서현석 다크트레이스 한국대표

▲ 서현석 다크트레이스 한국대표

[컴퓨터월드] 보안업계가 제시하는 보안의 패러다임이 변하고 있다. 업계는 더 이상 ‘완벽한 보안’을 장담하지 않는다. 보안솔루션들의 발전에 발맞춰 공격기법들도 점차 고도화되고 있기 때문이다. 각종 보안솔루션들이 고도화되고 있음에도 보안사고는 끊이지 않고 발생하고 있는 이유이기도 하다.

이제 보안 업체들은 과거와는 달리 완벽한 보안을 장담하기보다 각자의 영역에서 최선의 보안을 위해 협력하는 방식을 택하고 있다. 특히 기존에 제대로 지켜되지 않았던 영역을 발견해내고 이를 보완하려는 움직임 역시 활발하다. AI를 적용해 인간의 면역체계를 닮은 내부보안 솔루션을 개발해낸 다크트레이스가 대표적인 예다.

새로운 카테고리의 보안솔루션을 제시한 다크트레이스의 서현석 한국대표를 만나 보안업계의 현안과 다크트레이스의 새로운 접근법에 대해 들어봤다.


완벽한 보안은 없다

보안 솔루션을 도입했음에도 다양한 보안사고가 일어나면서 완벽한 방어란 있을 수 없다는 인식 또한 커지고 있다. 더 이상 완벽을 보장할 수 없게 된 것이다. 완벽을 보장했던 많은 솔루션들이 그 한계를 드러내고 있음은 물론이다. 최근 발생한 굵직한 보안사고도 마찬가지다. 한수원, 국방부, 인터파크 등 최근 사고가 발생한 기관들은 하나같이 방화벽, IPS/IDS, ESM, APT방어 솔루션 등 수많은 보안솔루션들을 사용하고 있었다. 더 이상 보안 솔루션 도입으로 완벽한 보안을 장담할 수 없게 된 것이다.

서현석 다크트레이스 한국대표는 이러한 상황을 역설적으로 ‘기회’라고 설명했다. 나날이 발전하는 보안위협에 맞서 업체들이 서로 협업할 수 있는 기회가 늘었다는 것이다. 다크트레이스는 그동안 강조되던 외부에서의 공격시도를 막는다는 관점에서 벗어나 내부위협에 집중하고 있다. 특정 업체를 대체하기보다는 각자의 영역에서 집중하며 상생하겠다는 의미다.

내부보안에 집중하려다보니 기존의 정책기반, 패턴기반, 시그니처 기반 솔루션으로는 한계가 있었다. 패턴이나 정책에서 조금만 벗어나도 공격행동이 쉽게 통과되기 때문이다. 특히 자동화된 공격이 아닌 사람 그 자체는 언제나 변수로 작용했다. 변심, 스파이 등은 기존의 보안솔루션으로 해결하기 어려운 부분이었다. 이러한 부분을 해결하기 위해 다크트레이스는 머신러닝을 활용했다.

인간의 면역체계를 본뜨다

다크트레이스는 캠브리지에서 2013년 7월 설립된 머신러닝 기반 보안 회사다. 머신러닝 학파는 크게 미국을 중심으로한 학파와 유럽을 중심으로 하는 학파로 나뉜다. 이중 후자를 대표하는 곳이 캠브리지 대학이다.

다크트레이스는 이 캠브리지 대학 출신의 수학자 및 컴퓨터공학자들과 미국 영국 등의 정보기관 실무자들이 주축이 되어 설립한 회사다. 머신러닝 기술과 수학적 알고리즘, 필드의 중요한 보안활동가 등 보안 영역의 전문가들이 모여 설립했다. 현재 약 3천 곳의 글로벌 고객을 확보했고 25개국에 지사를 설립하는 등 영향력을 빠르게 키워가고 있다.

다크트레이스의 주요 솔루션은 사람의 면역체계를 본딴 ‘사이버 면역 시스템’이다. 기업 면역시스템·산업 면역 시스템·자율대응 시스템(안티제나) 이라는 세 가지 제품군으로 구성돼 있다.
지금까지의 정책기반, 시그니처기반 솔루션과는 달리 다크트레이스의 ‘사이버 면역 시스템’은 ‘정상상태’ 정의에 집중한다. 정상 상황을 학습한 후 학습된 정상적인 모습과의 비교를 통해 이상여부를 판단하는 것이다.

예를들어 특정한 사람이 특정한 시간대에 특정한 행위를 하는 것이 맞는가. 9시에 출근해서 6시에 퇴근하던 사람이 갑자기 새벽 4시에 서버에 접속해 특정 행위를 한다면 이는 분명 확인해봐야 할 행위다. 사이버 면역 시스템은 이러한 상황들을 빠르게 보안담당자에게 알려 이상여부를 판단할 수 있도록 도와준다. 사람의 선입견 없이 알고리즘과 공식에 의해 진행돼 보다 객관적이고 빠르게 이상 여부 발생을 확인할 수 있다.


14가지의 머신러닝 알고리즘 사용

이러한 정상/이상여부를 정확하게 판단하기 위해서는 기업 고유의 문화에 대한 이해가 필수적이다. 따라서 다크트레이스의 사이버 면역 시스템은 설치 후 최소 2주간 자율적인 학습을 진행하게 된다. 2주 후에도 지속적인 업데이트가 진행되며 회사마다 축적된 내용은 모두 상이하다.

사이버 면역 시스템에는 약 14가지의 주요 알고리즘이 사용된다. 어느 정도의 확률로 이상행위인가를 판별해내는 확률시스템, 캠브리지의 수학과 교수인 베이스의 이론에 근거한 베이지안 확률이론을 한 차례 개선해 특허를 얻은 재귀적 베이지안 추정 이론, 검색 기법인 몬테카를로 검색기법 등이다. 이 외에도 여러 가지 구성요소 간 상관관계를 통해 의미를 추출해내는 라쏘모델 등이 사용됐다.

정상 여부를 판단하는 데는 이들 알고리즘을 이용한 여러 기능이 활용된다. 그 대표적인 기능 중 하나가 ‘군집화’ 기능이다. 논리적으로 비슷한 사람, 장비, 군집을 설정하고 이들의 역할을 지속적으로 비교해나가는 기능을 일컫는다. 사람과 사람, 사람과 장비, 장비와 장비, 군집과 사람, 군집과 군집 등 논리적으로 구분된 군집의 역할을 통해 정상여부를 빠르게 판단할 수 있게 된다. 이러한 군집화 기능 강화로 도입초기 2주간의 학습기간에도 어느정도 정상 여부를 판단하는 것이 가능하다. 예를들어 동일한 업무를 수행하는 군집의 일원이 군집내 다른 사람과 상이한 행동을 한다면 정상상태를 벗어난 것으로 추측해볼 수 있게 된다.

또한 이상여부 판단을 위해 시스템이 자율적으로 학습해나가는 비지도학습과 지도학습을 동시에 활용하고 있으며 이러한 정상성을 시각화해 3D로 표현해 보안담당자는 쉽게 이상 여부를 확인할 수 있다. 더불어 API를 통해 APT솔루션, 방화벽 등과 정보를 주고받을 수 있어 다방면의 보안이 가능하다.


자율적으로 돌아가는 시스템, 사람의 역할은 문제확인

얼핏 복잡해 보이지만 이러한 모든 기능이 자동으로 진행된다. 서현석 대표는 “시스템 메뉴에 설정 메뉴가 없다”고 언급했다. 설정을 거치지 않아도 ‘알아서’ 구동되는 시스템이 개발 초창기 부터의 콘셉트였다.

담당자는 시각화 기능을 통해 올라오는 경고 메시지를 확인하면 된다. 이 메시지가 실제 의미가 있는 것인가 확인하는 건 사람의 몫이다. 서 대표는 AI의 급속적인 발전으로 고용안정성에 대한 우려가 제기되고 있는 근래, 이러한 모델이야말로 궁극적인 형태의 AI/사람 간 협력모델이라고 강조했다.

이러한 모델 탓에 협력 업체들의 기술지원 방식 역시 달라졌다. 서 대표는 “다크트레이스의 시스템은 파트너들에게도 기회”라고 강조했다. 설치가 쉽고 설정할 영역은 적으면서 엔지니어의 컨설팅이 필요한 부분은 많아졌기 때문이다. 기존의 솔루션의 경우 장비 설치, 정책설정, 유지보수 및 장애처리에 많은 시간을 쏟아야 했지만 다크트레이스의 솔루션을 공급하면서 기업의 전체 보안 향상을 돕는 컨설팅 역을 맡게 됐다.

아웃 오브 밴드 방식으로 설치되는 다크트레이스의 솔루션은 백본스위치에서 포트미러링 방식으로 패킷을 입력받기 때문에 장비의 고장이 전체 서비스에 영향을 주지 않는 특성이 있다. 이러한 특성 역시 엔지니어의 컨설팅 역량 향상을 도울 수 있다는 게 서 대표의 설명이다. 엔지니어들은 시각화 툴을 통해 발생하는 보안메시지들을 확인하고 어떤 조치를 취해야 보안 향상이 가능한지 제시하는 전문가 역할을 담당하게 된다.


파트너와의 협력 통해 한국 시장 확대

현재 다크트레이스의 솔루션은 총판사인 삼성SDS와 14곳의 골드파트너를 통해 공급되고 있다. 특히 삼성SDS는 고객사이자 투자자, 총판사로 다크트레이스와 함께 다방면의 협력을 진행하고 있다.

골드파트너와의 협력도 확대중이다. 각 파트너들의 장점을 살려 여러 교육 프로그램과 인센티브를 제공하는 한편 새로 확장하는 분야가 있다면 함께 심도있게 대화하고 추가적인 교육과 코마케팅을 진행한다.

최근에는 스카다(SCADA) 방면을 지원하기 위해 파트너들의 인력투자를 돕고 함께 사업기회를 발굴해 나가거나 기술지원을 제공하고 있다.

이러한 협력관계를 통해 이미 국내에 약 20곳의 고객사를 확보했다. 공공 금융 등 모든 산업 분야를 망라하고 있는데 특히 공공과 금융분야 고객이 많다.

판매파트너들 외에도 함께 기술개발에 나선 기술파트너 역시 존재한다. 외산제품이다 보니 국내에서 활용되는 한글·현지화 돼 있는 통합보안솔루션/ 관제솔루션들과 활용할 때 장점을 살리기 용이하다. 원시패킷을 받아 사이버면역시스템이 도출한 결과를 API를 통해 협력 솔루션에 제공하면 이를 다시 해석해내는 방식이다.

국내 통합관제회사의 경우 다크트레이스의 경고내역을 다시한번 더 조사해 상관관계를 분석하기도 하고 네트워크 포렌직 업체의 경우 패킷저장의 부담을 줄이기 위해 다크트레이스의 솔루션을 이용해 문제 가능성이 높은 내용만 저장하는 전략을 선보였다. APT업체의 경우 사이버면역시스템이 송출하는 이상행위를 샌드박스에서 실행해 보안을 높이는 방식을 구상해 함께 개발중이다.

서현석 대표는 이러한 협업은 결국 고객관점의 고민 결과라고 강조했다. 벤더 관점에서는 큰 장비, 가격이 높은 장비를 파는 것이 유리하지만, 고객 입장에서는 적정 환경에 가장 맞는 규모의 솔루션이 필요하다는 것이다. 서 대표는 이러한 기술협력을 통해 고객에 적합한 맞춤형 장비 공급이 가능해 고객 만족도가 높다고 설명했다.

고객지원위해 인력 보강

서 대표는 원활한 고객 기술지원을 위해 기술인력과 마케팅인력을 보충할 예정이다. 또한 다크트레이스 제품의 특성상 제품의 성능 기능보다는 컨설팅이 주요하다는 점 때문에 협력사의 교육에도 중점을 두고 있다.

네트워크 보안 업계에서의 다양한 경험 토대로 국내 시장 개척

서 대표는 “다크트레이스는 랜섬웨어를 비롯한 제로데이성 변종, 신종,공격들을 이상행위관점에서 잡아내는 솔루션”이라며, “시작점이 내부에 있다면 내부에서 확산되기 전에 정확하게 잡아내서 대응할 수 있다”고 강조했다. 이어 “이를 증명하고 소비자들이 믿게 만들어 이 분야가 명실상부한 보안 솔루션 카테고리로 정착할 수 있도록 매진할 것”이라고 말했다.

한편 서현석 대표는 시스코, 포티넷, 브로케이드, F5 등 세계적인 네트워크와 보안회사를 거쳐 다크트레이스에 합류했다. 로드밸런서, UTM, 라우터스위치, SAN, 대용량 백본 스위치 등 다양한 보안 솔루션을 경험함으로써 보안 시장과 제품은 물론 다크트레이스의 사상과 제품에 대한 누구보다도 더 잘 이해하고 있다.

서 대표는 “다크트레이스로 자리를 옮기면서 머신러닝과 관련된 제품은 처음 접했지만 한국 고객에게 좋은 솔루션을 사용할 수 있는 기회를 확대하고 한국 보안시장에 건강한 동기를 부여할 수 있을 것으로 확신하고 있다”고 말했다. 서 대표가 이름도 생소한 다크트레이스의 한국 대표직을 수락한 이유이기도 하다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지