김용호 CTO “풀패킷 수집 기반의 트래픽 전수검사로 탐지해야”
방산보안 분야로 사업영역 확장...2025년 상장 목표로 뛴다
[보안뉴스 김경애 기자] “기업의 보안담당자가 위협탐지와 침해사고를 확인하기 위해서는 직접적인 조사가 필요한데요. 기업에서 자체 개발한 인하우스 시스템의 경우 애플리케이션 포맷이 수시로 바뀌다 보니 기존 보안 솔루션이 업데이트 속도를 따라가지 못해 탐지하지 못하는 경우가 많습니다. 따라서 풀패킷 수집 기반의 트래픽 전수검사를 통해 비정상행위를 탐지해야 합니다.”
▲쿼드마이너 김용호 CTO[사진=보안뉴스]
쿼드마이너 김용호 CTO는 고도화되는 보안 위협에 좀더 효율적이고 전략적인 대응방안을 마련해야 할 필요성을 강조했다. 그가 현장에서 만난 보안담당자의 고충은 무엇이고, 그에 맞는 효율적인 대응방안은 무엇인지 들어봤다.
Q. 쿼드마이너가 탐지한 주요 보안 위협은 무엇인가요?
최근 탐지한 보안 위협은 정상적인 애플리케이션을 이용해 내부 정보를 대량으로 유출하려는 시도와 같은 내부자 정보 유출 위협이 탐지된 바 있는데요. 이 경우 정상적인 애플리케이션 트래픽이었지만 네트워크 블랙박스(Network Blackbox)에서 기계학습 기반의 이상탐지, H LAB에서 사전 정의한 위협모델 기반의 비정상세션 및 컨텐츠 탐지 룰, 실질적 위협 여부까지 판단해 탐지했습니다. 알려지지 않은, 정상적인 애플리케이션 및 서비스를 이용한 내부자 정보 유출 위협탐지 사례입니다.
특히 실제 유출하려는 정보가 무엇인지 수집된 풀패킷 재생(Rebuild) 과정을 통해 첨부파일, 업로드를 시도한 원본파일들을 추출해 민감 정보를 확인할 수 있었는데요. 이는 수작업이나 추가대상 시스템을 별도 조사없이 Network Blackbox에서 바로 탐지, 헌팅, 포렌식 등의 과정을 거쳤기 때문에 위협 유효성과 영향도를 판단할 수 있습니다.
Q. 고도화된 보안위협에 따른 보안담당자들의 주요 애로사항은 무엇인가요?
대부분의 보안담당자가 보안운영 시 침해위협을 탐지함에도 불구하고, 어디서부터 어떤 공격이 시작됐는지, 현재 어떤 악성행위를 하고 있는지, 어디까지 침투돼 있는지, 실제 공격에 성공했는지, 어떤 피해가 발생했는지 등을 자세히 파악하지 못하고 있는 경우가 많습니다. 예를 들어 파일리스 공격의 경우 악성행위 등에 대해 네트워크에서 탐지하지 못하는 경우가 많기 때문이죠.
또한 보안담당자가 타깃 시스템을 조사할 권한이 없거나 현업 시스템을 직접 로그인 또는 수작업으로 조사해야 하는 경우도 많습니다. 그런 경우 제때 대응하지 못해 피해가 커지거든요. 뿐만 아니라 오탐 등 비효과적으로 보안 운영이 되는 게 현실입니다. 따라서 공격전술 분석기반의 위협헌팅 대시보드를 통해 김수키 등과 같은 위협그룹을 실시간으로 파악하고, 선제적으로 대응할 수 있어야 합니다.
Q. 실시간으로 위협그룹을 탐지하려면 어떤 기술이 적용돼야 하나요?
네트워크 탐지 및 대응(NDR) 원천기술을 이용해 개발된 Network Blackbox를 통한 탐지가 필요합니다. 부분적인 패킷 수집과정에서 획득되는 메타데이터에 의존하지 말고, 풀패킷 수집 기반의 트래픽 전수검사를 통해 비정상행위를 탐지하고 보안위협을 헌팅해야 합니다. 그리고 수집된 패킷 재생(Rebuild)를 통해 즉각적인 위협의 영향도와 유효성을 확인할 수 있는 원본 증적데이터를 확보해야 합니다.
Q. 기업에서는 어떤 점을 개선하고 싶어 하나요?
사이버 보안 인프라스트럭처의 성숙도가 낮은 기업이나 조직은 여러 보안 제품을 운영하기 보다는 Network Blackbox를 통해 통합적인 네트워크 위협 탐지와 함께 신속하게 가시성을 확보하고 싶어하죠.
성숙도가 높은 기업의 경우 기존 사이버 보안 장비에서 탐지된 이슈, 보안 위협 이벤트 검증 및 영향도, 유효성 판단, 보안운영 자동화 및 오케스트레이션 과정에서 알려지지 않은 보안 위협탐지, 신속한 위협 판정을 위한 원본증적 데이터 활용 등이 가능하길 원합니다.
최근에는 제로트러스트 아키텍처의 실제 적용이 확산되고 있는데요. 제로트러스트 환경 하에서 동적인 보안정책 결정을 위해 제공되는 신뢰도 판단 데이터를 제공하는 필수 구성요소로도 인식되고 있습니다. 이전에는 외부-내부간 트래픽 상에서의 기능 활용성에 치우쳐 있었는데요. 이제는 제로트러스트 아키텍처의 확산에 따라 외부-내부는 물론 내부-내부간 트래픽 모니터링 및 분석 데이터 제공, 잠재된 위협 헌팅 등이 가능하길 원하는 상황입니다.
Q. 쿼드마이너가 제시하는 보안위협 대응방안은 무엇인가요?
디지털 전환 과정에서 기존 방식대로의 보안운영으로는 한계가 있어요. 조직적이고 지능화·고도화된 사이버 보안 위협에 효과적인 대응이 불가능합니다. 기업의 보안 사각지대를 최소화하기 위해서는 NDR 원천기술인 풀패킷 캡처기반 트래픽 전수검사 기술을 토대로 제로트러스트 환경에서의 보안운영 자동화가 필요합니다. 따라서 수집된 빅데이터를 기반으로 AI-Enhanced 자동화 기술을 적용한 AISecOps 프레임워크로 대응해야 합니다.
Q. 보안담당자들에게 전하고자 하는 메시지는 무엇인가요?
IT 환경의 발전에 따라 신기술의 도입과 적용이 필요합니다. 그러나 사이버 보안 측면에서 신기술의 경우 기술 성숙도에 따라 신중한 선택이 필요한데요. 현재의 사이버 보안 제품과 기술을 개선해야 하고, 통합 과정을 통해 커버리지를 확대해야 합니다. 그리고 자동화 과정을 통해 보안 기술을 성숙시키고 효용성을 끌어올려야 합니다.
그런 관점에서 신기술인 AI-Enhanced가 회자되고 있는데요. 쿼드마이너는 이번 ISEC 2024의 테마인 ‘Future-Proof’와 일맥상통한 기업의 미래를 보장하는 사이버 보안 전문기업으로 해당 기술과 기능을 지속적으로 연구개발해 AISecOps를 지원할 계획입니다.
Q. 앞으로의 계획이 궁금합니다.
올해 과학기술정보통신부와 정보통신기획평가원(IITP)에서 주관하는 56억원 규모의 정보보호 핵심원천기술 개발사업을 수주했는데요. 이 연구개발 사업은 사이버위협 그룹의 생성형 AI 기술을 이용한 신·변종 사이버 공격에 대한 탐지, 대응 및 예측을 위한 신기술 개발이 목적입니다.
향후 쿼드마이너는 여기서 개발된 기술을 Network Blackbox에 바로 적용해 국내는 물론 일본, 동남아 등지로 사업화를 추진할 예정입니다. 더불어 자사의 포트폴리오 중 하나인 QUADX를 AI 기술을 활용한 AI-Assistant 기반의 보안 운영 통합과 자동화 솔루션으로 발전시켜 나갈 계획입니다.
또한 축적된 기술과 노하우를 토대로 방산보안 기술개발에도 박차를 가해 방산보안 분야로 사업영역을 확장할 계획입니다. 아울러 이를 바탕으로 확보된 첨단 사이버 보안기술을 토대로 오는 2025년 상장을 목표로 준비하고 있습니다.
[김경애 기자(boan3@boannews.com)]
방산보안 분야로 사업영역 확장...2025년 상장 목표로 뛴다
[보안뉴스 김경애 기자] “기업의 보안담당자가 위협탐지와 침해사고를 확인하기 위해서는 직접적인 조사가 필요한데요. 기업에서 자체 개발한 인하우스 시스템의 경우 애플리케이션 포맷이 수시로 바뀌다 보니 기존 보안 솔루션이 업데이트 속도를 따라가지 못해 탐지하지 못하는 경우가 많습니다. 따라서 풀패킷 수집 기반의 트래픽 전수검사를 통해 비정상행위를 탐지해야 합니다.”
▲쿼드마이너 김용호 CTO[사진=보안뉴스]
쿼드마이너 김용호 CTO는 고도화되는 보안 위협에 좀더 효율적이고 전략적인 대응방안을 마련해야 할 필요성을 강조했다. 그가 현장에서 만난 보안담당자의 고충은 무엇이고, 그에 맞는 효율적인 대응방안은 무엇인지 들어봤다.
Q. 쿼드마이너가 탐지한 주요 보안 위협은 무엇인가요?
최근 탐지한 보안 위협은 정상적인 애플리케이션을 이용해 내부 정보를 대량으로 유출하려는 시도와 같은 내부자 정보 유출 위협이 탐지된 바 있는데요. 이 경우 정상적인 애플리케이션 트래픽이었지만 네트워크 블랙박스(Network Blackbox)에서 기계학습 기반의 이상탐지, H LAB에서 사전 정의한 위협모델 기반의 비정상세션 및 컨텐츠 탐지 룰, 실질적 위협 여부까지 판단해 탐지했습니다. 알려지지 않은, 정상적인 애플리케이션 및 서비스를 이용한 내부자 정보 유출 위협탐지 사례입니다.
특히 실제 유출하려는 정보가 무엇인지 수집된 풀패킷 재생(Rebuild) 과정을 통해 첨부파일, 업로드를 시도한 원본파일들을 추출해 민감 정보를 확인할 수 있었는데요. 이는 수작업이나 추가대상 시스템을 별도 조사없이 Network Blackbox에서 바로 탐지, 헌팅, 포렌식 등의 과정을 거쳤기 때문에 위협 유효성과 영향도를 판단할 수 있습니다.
Q. 고도화된 보안위협에 따른 보안담당자들의 주요 애로사항은 무엇인가요?
대부분의 보안담당자가 보안운영 시 침해위협을 탐지함에도 불구하고, 어디서부터 어떤 공격이 시작됐는지, 현재 어떤 악성행위를 하고 있는지, 어디까지 침투돼 있는지, 실제 공격에 성공했는지, 어떤 피해가 발생했는지 등을 자세히 파악하지 못하고 있는 경우가 많습니다. 예를 들어 파일리스 공격의 경우 악성행위 등에 대해 네트워크에서 탐지하지 못하는 경우가 많기 때문이죠.
또한 보안담당자가 타깃 시스템을 조사할 권한이 없거나 현업 시스템을 직접 로그인 또는 수작업으로 조사해야 하는 경우도 많습니다. 그런 경우 제때 대응하지 못해 피해가 커지거든요. 뿐만 아니라 오탐 등 비효과적으로 보안 운영이 되는 게 현실입니다. 따라서 공격전술 분석기반의 위협헌팅 대시보드를 통해 김수키 등과 같은 위협그룹을 실시간으로 파악하고, 선제적으로 대응할 수 있어야 합니다.
Q. 실시간으로 위협그룹을 탐지하려면 어떤 기술이 적용돼야 하나요?
네트워크 탐지 및 대응(NDR) 원천기술을 이용해 개발된 Network Blackbox를 통한 탐지가 필요합니다. 부분적인 패킷 수집과정에서 획득되는 메타데이터에 의존하지 말고, 풀패킷 수집 기반의 트래픽 전수검사를 통해 비정상행위를 탐지하고 보안위협을 헌팅해야 합니다. 그리고 수집된 패킷 재생(Rebuild)를 통해 즉각적인 위협의 영향도와 유효성을 확인할 수 있는 원본 증적데이터를 확보해야 합니다.
Q. 기업에서는 어떤 점을 개선하고 싶어 하나요?
사이버 보안 인프라스트럭처의 성숙도가 낮은 기업이나 조직은 여러 보안 제품을 운영하기 보다는 Network Blackbox를 통해 통합적인 네트워크 위협 탐지와 함께 신속하게 가시성을 확보하고 싶어하죠.
성숙도가 높은 기업의 경우 기존 사이버 보안 장비에서 탐지된 이슈, 보안 위협 이벤트 검증 및 영향도, 유효성 판단, 보안운영 자동화 및 오케스트레이션 과정에서 알려지지 않은 보안 위협탐지, 신속한 위협 판정을 위한 원본증적 데이터 활용 등이 가능하길 원합니다.
최근에는 제로트러스트 아키텍처의 실제 적용이 확산되고 있는데요. 제로트러스트 환경 하에서 동적인 보안정책 결정을 위해 제공되는 신뢰도 판단 데이터를 제공하는 필수 구성요소로도 인식되고 있습니다. 이전에는 외부-내부간 트래픽 상에서의 기능 활용성에 치우쳐 있었는데요. 이제는 제로트러스트 아키텍처의 확산에 따라 외부-내부는 물론 내부-내부간 트래픽 모니터링 및 분석 데이터 제공, 잠재된 위협 헌팅 등이 가능하길 원하는 상황입니다.
Q. 쿼드마이너가 제시하는 보안위협 대응방안은 무엇인가요?
디지털 전환 과정에서 기존 방식대로의 보안운영으로는 한계가 있어요. 조직적이고 지능화·고도화된 사이버 보안 위협에 효과적인 대응이 불가능합니다. 기업의 보안 사각지대를 최소화하기 위해서는 NDR 원천기술인 풀패킷 캡처기반 트래픽 전수검사 기술을 토대로 제로트러스트 환경에서의 보안운영 자동화가 필요합니다. 따라서 수집된 빅데이터를 기반으로 AI-Enhanced 자동화 기술을 적용한 AISecOps 프레임워크로 대응해야 합니다.
Q. 보안담당자들에게 전하고자 하는 메시지는 무엇인가요?
IT 환경의 발전에 따라 신기술의 도입과 적용이 필요합니다. 그러나 사이버 보안 측면에서 신기술의 경우 기술 성숙도에 따라 신중한 선택이 필요한데요. 현재의 사이버 보안 제품과 기술을 개선해야 하고, 통합 과정을 통해 커버리지를 확대해야 합니다. 그리고 자동화 과정을 통해 보안 기술을 성숙시키고 효용성을 끌어올려야 합니다.
그런 관점에서 신기술인 AI-Enhanced가 회자되고 있는데요. 쿼드마이너는 이번 ISEC 2024의 테마인 ‘Future-Proof’와 일맥상통한 기업의 미래를 보장하는 사이버 보안 전문기업으로 해당 기술과 기능을 지속적으로 연구개발해 AISecOps를 지원할 계획입니다.
Q. 앞으로의 계획이 궁금합니다.
올해 과학기술정보통신부와 정보통신기획평가원(IITP)에서 주관하는 56억원 규모의 정보보호 핵심원천기술 개발사업을 수주했는데요. 이 연구개발 사업은 사이버위협 그룹의 생성형 AI 기술을 이용한 신·변종 사이버 공격에 대한 탐지, 대응 및 예측을 위한 신기술 개발이 목적입니다.
향후 쿼드마이너는 여기서 개발된 기술을 Network Blackbox에 바로 적용해 국내는 물론 일본, 동남아 등지로 사업화를 추진할 예정입니다. 더불어 자사의 포트폴리오 중 하나인 QUADX를 AI 기술을 활용한 AI-Assistant 기반의 보안 운영 통합과 자동화 솔루션으로 발전시켜 나갈 계획입니다.
또한 축적된 기술과 노하우를 토대로 방산보안 기술개발에도 박차를 가해 방산보안 분야로 사업영역을 확장할 계획입니다. 아울러 이를 바탕으로 확보된 첨단 사이버 보안기술을 토대로 오는 2025년 상장을 목표로 준비하고 있습니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
