한정된 시간 동안만 동작하고 계속 바뀌는 보안코드 ‘동적 보안’

 

[컴퓨터월드] 본지는 세계 속에 한국을 심고 있는 국내 중소기업을 발굴해 그 회사가 제품을 개발하고 해외에 진출하기까지 어떤 과정을 겪으면서 성장할 수 있었는지를 조명하는 기획기사를 시리즈로 게재한다. 새롭게 회사를 설립하는 중소업체, 특히 해외 시장 진출을 앞두고 어려움을 겪고 있는 중소업체에 도움을 주고자함이다.

먼저 다이내믹 보안 기술로 세계 시장에서 주목받고 있는 에버스핀의 성장과 해외진출 과정 그리고 기업 문화 등에 대해 지난 9월부터 연재하고 있다. 지난호에서는 엔드포인트 보안이 중요한 이유, 엔드포인트를 보호하기 위해 어떤 기술이 사용되고 있는지, 엔드포인트 보안 솔루션이 적용되고 있음에도 왜 해킹 사고가 일어날 수밖에 없는지를 설명했다.

이번 호에서는 에버스핀이 세계 최초로 고안한 동적 보안 기술로 기존 엔드포인트 보안의 한계점을 어떻게 극복했는지, 이 신 기술이 보안 시장에서 어떤 성과를 이뤄냈는지 알아본다. <편집자 주>

1회 에버스핀, 세계에 한국테크를 증명하다 (2019년 9월호)
2회 보안의 기본, ‘이곳’을 수비해야 한다 (2019년 10월호)
3회 오늘날의 보안 기술, 그 실태와 문제점 (2019년 11월호)
4회 동적 보안, 문제를 직시하고 명쾌한 해결을 제시하다(이번호)


정보 보안 기술이 나날이 발전하고 있음에도 사이버 범죄의 발생 건수는 계속 늘어나기만 하고 있다. 기술의 발전이 해커가 진화하는 속도보다 더디고 기존 보안 기술이 해킹 사고의 근본적인 원인을 제거할 수 없기 때문이다.

암호화, 난독화, 무결성 검증과 같은 기존 기술들은 단지 해커의 침투를 지연시킬 뿐 그들을 막을 수 있는 근본적인 방법이 되지 못한다.

 

문제를 정확히 파악하는 데서 해결책 찾아야

하영빈 에버스핀 대표는 “모든 세상사의 해결책은 문제를 정확히 파악하는 데서 출발해야 한다”고 말한다. 에버스핀의 괄목할 만한 성장은 현재 보안 시장이 직면한 상황의 문제점을 철저히 분석하는 것에서부터 시작했다.

-왜 해킹을 막지 못하는가? 해커는 시간만 충분히 주어지면 어떤 보안 기술도 분석할 수 있다.

-왜? 보안 기능을 하는 코드도 결국은 해커가 읽을 수 있는 개발언어로 쓰였기 때문이다. 분석된다는 것은 곧 보안 기능이 무력화될 수 있음을 의미한다.

-어떻게 하면 분석을 막을 수 있는가? 코드를 분석할 ‘충분한’ 시간을 주지 않으면 된다.

-이를 위해 무엇을 해야 하는가? 해커가 끊임없이 분석하되, 이것이 반복된 시도에만 그치도록 해커의 행위를 탐지하고 차단하는 ‘보안 코드’를 계속 바꿔야 한다.

해커가 프로그램을 분석한다는 것은 우리가 한국어로 된 책을 읽고 이해하는 것과 본질적으로 다르지 않다. 소프트웨어는 해커가 읽을 수 있는 프로그래밍 언어로 쓰인 텍스트의 집합이기 때문이다. 에버스핀은 해킹의 성공 여부는 결국 ‘시간에 달렸다’는 결론을 내렸다. 그래서 보안 기능을 하는 소스 코드(보안 모듈)를 짧은 시간에 지속적으로 바꾸는 기술을 개발했고 이를 ‘동적 보안’이라 정의했다.

 

시간이 문제라면, 시간을 제한하라.

동적 보안 기술이 적용된 보안 솔루션 ‘에버세이프’를 해킹하려면 해커는 한 모듈이 다른 모듈로 교체되기 전까지 현재 동작하고 있는 모듈의 분석을 끝내야 한다. 하지만 이는 현실적으로 매우 어렵다. 끊임없이 바뀌는 보안 코드를 해커가 계속 분석할 수 있을까? 매일 내용이 완전히 바뀌는 5,000페이지의 책을 이해하려면 이를 끊임없이 읽는 수밖에 없다. 마찬가지로 매일 새롭게 바뀌는 보안 코드가 있다면 해커는 이를 늘 분석하고 있을 것이다.

해킹을 막지 못하는 근본 원인은 무엇인가라는 간단한 물음에서 시작한 아이디어. 에버스핀은 이 아이디어를 기술로 구현하면서 ‘한정된 시간 동안만 동작하고 계속 바뀌는 보안 코드’, 즉 ‘동적 보안’이라는 전에 없던 개념을 정립하고 보안에 대한 새로운 패러다임을 제시했다.

이러한 기술을 바탕으로 국가 보안 연구소 NSRI의 보안성 검증 테스트를 역사상 최초로 모두 통과하고, 8개 보안 솔루션 업체가 서로 해킹전을 벌인 경쟁에서 유일하게 생존했으며, 도전 K 스타트업에서 최종 우승해 대통령상을 수상했다. 또한 글로벌 금융회사들이 후원하는 전 세계 최고의 핀테크 페스티벌, 싱가포르 핀테크 어워즈에서 최종 우승했으며 IT 보안 컨설팅 분야에서 세계 최고라 불리는 컨설팅 회사의 화이트 해커들에게 에버세이프의 방어 능력을 인정받은데 이어 우수한 기술을 바탕으로 일본, 인도네시아, 인도 등에서 기업 가치로 수조 원에 달하는 대기업과 합작회사를 설립했다.

창립 후 이제 5년 남짓, 탄탄한 기술력을 바탕으로 세계시장에서 명성을 드날리고 있는 에버스핀이 이뤄낸 성과다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지