[디지털데일리 김보민기자] 최근 일본에서 생성형 인공지능(AI)을 활용해 랜섬웨어를 제작한 20대가 체포됐다. 정보통신(IT) 지식이 전무한 그가 범죄 방법을 알아낸 경로는 간단했다. 랜섬웨어를 만들 때 필요한 정보를 AI에게 물어보고, 답변을 종합해 설명서처럼 따른 것이 전부였다.

일반인도 사이버 공격을 가할 수 있는 시대가 온 것이다. 기업은 물론 공공을 겨냥한 위협이 고도화되고 있는 만큼, 난도를 높여 보안 수준을 강화해야 한다는 목소리가 커진 이유다. 엔드포인트 단위에서 통합 보안 태세를 갖춰야 한다는 의견에도 힘이 실리고 있다.

한국지사를 설립해 국내 엔드포인트탐지대응(EDR) 시장에 도전장을 내민 사이버리즌(Cybereason)도 철저한 보안 전략만 있다면 위협에 대응할 수 있다고 보고 있다. EDR은 물론, 매니지드탐지대응(MDR)부터 확장탐지대응(XDR)까지 각 기업에 맞는 전략을 수립하는 것이 여느 때보다 중요해졌다는 의미다.

에릭 네이글 사이버리즌 JPAC 지역 전체총괄사장은 지난 27일 <디지털데일리>를 만나 "공격자는 항상 최신 기술과 기법을 사용해 접근하기 때문에 방어자 측면에서 고민이 깊어지고 있다"며 "위협을 막을 경계를 설치하는 것도 중요하지만, 내부에 침투했더라도 이를 탐지하고 대응하는 데 걸리는 시간을 줄이는 것이 관건"이라고 말했다.

사이버리즌에 따르면 최근 전 세계 랜섬웨어 공격은 지난해 4분기 대비 23% 줄어들었다. 다만 네이글 사장은 이러한 수치가 일시적일 수 있다고 평가했다. 그는 "각국 정부가 록빗(LockBit)과 같은 조직을 적극적으로 추적했기 때문"이라며 "다만 이러한 랜섬웨어 공격자는 언제든 다시 등장해 모습을 바꿀(reinvent) 수 있다"고 강조했다.

서비스형랜섬웨어(RaaS)는 물론, 사이버 공격으로 돈을 버는 공격자도 늘고 있다. 네이글 사장은 "아시아태평양(APAC) 지역의 경우 전문 서비스 영역이 가장 큰 공격을 받고 있다"며 "대기업과 금융 서비스는 물론 보험, 컨설팅, IT서비스도 예외는 아니다"라고 설명했다.

그렇다면 사이버리즌은 어떻게 사이버 공격에 대응하고 있을까. 네이글 사장은 "가시성, 속도, 신뢰 등 세 가지 키워드를 실현하는 것이 핵심"이라며 "어떤 기술도 공격자에게 절대 뚫리지 않는다고 장담할 수 없는 만큼 피해가 발생하기 전에 막고, 공격 이후에는 무장 대응하는 것이 중요하다"고 강조했다.

사이버리즌은 단일 플랫폼 위에 EDR, 차세대 안티바이러스(NGAV), 공격 표면 방어, 보안운영(SOC) 최적화, 보안태세 점검, 사고대응 등을 제공하고 있다. 특히 EDR 솔루션은 클라우드와 구축형(온프레미스) 환경을 모두 지원한다. 통상 EDR 솔루션이 클라우드 환경에서 서비스형소프트웨어(SaaS)로만 제공된다는 점을 고려했을 때 차별점이 있는 대목이다.

'EDR은 사용하기 어렵다'는 인식을 깨기 위해 MDR 서비스도 함께 제공한다. 실시간 모니터링과 위협 헌팅 및 요약, 심각도 지정 등을 권고해 보안 태세를 강화하는 방식이다. 멀옵(MalOp) 엔진도 중추 역할을 한다. MalOp은 의심 행위에 따른 이벤트를 분석하는 과정에서 관련 요인을 묶어 처리하는 역할을 한다. 사용자는 단일 화면에서 이벤트가 발생한 엔드포인트, 네트워크, 대응방안 등을 볼 수 있다.

네이글 사장은 "사이버리즌은 엔드포인트 단위에서 이벤트가 들어오면 이를 실시간으로 분석해 의심스러운 요소와 증거를 찾아낸다"며 "머신(machine) 수가 50대이든, 100대이든 상관 없이 교차 기계조정을 통해 모든 것을 한 데 모아 그룹화할 수도 있다"고 부연했다.

사이버리즌은 XDR 분야에서도 경쟁력을 키우고 있다. XDR은 사이버 보안 솔루션을 한 데 통합해 대응 역량을 최대화하는 일종의 개념이다. EDR 업계에서는 XDR을 차세대 먹거리로 키우고 있는데, 사이버리즌 또한 주요 기업으로 활약 중이다. 지난해 12월에는 일본을 중심으로 모바일위협방어(Mobile Threat Defense·MTD)를 출시했는데, 이를 XDR과 통합해 주목을 받은 바 있다.

네이글 사장은 "XDR은 플랫폼을 중앙에서 상호 연관시키고 관리할 수 있다"며 "즉, 엔드포인트 데이터와 모바일 데이터를 연결할 수 있다는 의미"라고 설명했다. 모바일에서 시작된 공격이 노트북을 비롯해 주요 네트워크로 이동하는 것을 방어하기 위해 플랫폼 기반 상호 연관 대응이 가능하다는 의미다.

한국에도 MTD 출격이 임박했다. 네이글 사장에 따르면 현재 사이버리즌은 주요 고객과 논의를 시작했고, 3분기 중 판매를 개시할 계획이다.

네이글 사장은 XDR 보안 태세가 더욱 전략적으로 개선될 필요가 있다고 평가했다. 그는 "시장이 나아갈 방향은 XDR과 보안정보및이벤트관리(SIEM)의 융합"이라고 말했다. 그러면서 "SIEM의 문제점은 구축된 탐지 로직이 많지 않다는 것"이라며 "효과적인 로직을 구현하려면 SIEM에 많은 비용을 지출해야 하는데, 큰 엔터프라이즈 기업이 아닌 이상 현실적으로 어렵다"고 분위기를 전했다. 그만큼 SIEM 자체로만 보안을 강화하기에 비용이 많이 든다는 의미다. 사이버리즌은 이러한 애로사항을 보완하기 위해 SIEM탐지대응(SIEM DR·SDR) 사업도 전개하고 있다.

끝으로 네이글 사장은 "랜섬웨어와 같은 공격은 여전히 대부분 기업에게 큰 문제로 다가오고 있다"며 "한국에서도 북한을 비롯해 다양한 표적 공격이 증가하고 있는 만큼, 비즈니스 성장에 집중할 예정"이라고 말했다.