[보안리더] 노용환 모니터랩 소장 "풀스택 보안 솔루션 갖출 것"
"사이버 위협 인텔리전스(CTI)를 기반으로 실제 공격 시뮬레이션을 해보고, 어떤 문제가 있는지 평가한 이후 시스템에 직접 적용하는 '풀스택 보안 체계'를 구축하려고 한다. 모니터랩은 파편화돼 있는 보안의 각 분야를 유기적으로 연동할 수 있는 모든 라인업을 갖추고 있다" 노용환 모니터랩 엔드포인트보안연구소 소장은 지난 15일 지디넷코리아와 인터뷰에서 이같이 밝혔다. 노 소장은 위협 헌팅 기반 엔드포인트 위협 탐지 대응(EDR,Endpoint Detection & Response) 전문기업 쏘마 대표를 지내다 올해 모니터랩에 합류했다. 이날 그는 모니터랩이 구상하고 있는 기존 네트워크 보안 중심 사업 영역에서 나아가 엔드포인트까지 아우르는 '풀스택 보안 체계'를 플랫폼으로 제공하겠다는 목표와 구체적인 전략에 대해 소개했다. "모니터랩 CTI 플랫폼 'AILabs', 정보 제공 패러다임 벗었다" 상대를 알고 싸우면 100번 싸워도 위험하지 않다는 말이 있다. 이 말은 사이버 위협에서도 크게 다르지 않다. 공격자가 어떻게 공격하는지 사전에 파악하는 것이 중요하다. 모니터랩은 기업의 보안팀이 빠르게 새로운 위협을 탐지하고 대응할 수 있도록 CTI 플랫폼을 운영하고 있다. CTI는 크게 두 종류로 나뉜다. 다크웹 등 공격자들이 주로 활동하는 공간인 오픈소스 인텔리전스(OSINT)에서 공격 징후나 공격 기법 등을 사전에 파악하는 방식과, 실제 공격이 이뤄진 데이터를 기반으로 분석 및 인사이트를 제공하는 방식이다. 모니터랩의 경우는 후자다. 네트워크부터 엔드포인트까지 실시간 탐지·대응하는 플랫폼을 제공하고 있는 회사인 만큼 고객사를 대상으로 한 공격을 실제 차단한 데이터를 바탕으로 분석을 진행한다. 이렇게 만들어진 CTI는 다크웹 등 OSINT에서 생성된 데이터보다 실제 공격에 더 가까운 정보와 인사이트를 제공할 수 있다는 장점이 있다. 노 소장은 "모니터랩의 CTI 플랫폼 'AI랩스(AILabs)'는 모니터랩의 웹 방화벽, EDR, 인터넷 시큐어 웹 게이트웨이 등에서 탐지된 공격을 실시간으로 막아내고 있는 데이터를 기반으로 인텔리전스를 만드는 구조"라며 "실제 필드에서 이뤄진 데이터를 기반으로 한 인텔리전스를 지향하고 있기 때문에 보안 담당자의 입장에서는 더욱 현실적인 인텔리전스를 받을 수 있을 것이라 생각한다"고 설명했다. 해외는 물론 국내에도 CTI 플랫폼을 운영하고 있는 곳은 많다. 그러나 모니터랩은 AILabs를 단순한 '위협 정보 제공' 패러다임에서 벗어나 CTI에서 제공되는 데이터를 기반으로 공격 시나리오를 구성하는 등 '정보 활용'에 무게중심을 두고 있다. 노 소장은 "CTI는 정보 제공에 그친다는 문제가 있다. 이에 CTI를 활용하고 직접 사용해 보안에 적용해야 되는 담당자의 입장에서는 '보고서'일 수밖에 없다"며 "CTI를 1년에만 수억원의 금액을 지불하고 보고서를 직접 보고 적용해야 한다면 어느 담당자가 CTI 도입에 긍정적일 수 있겠나"라고 되물었다. 그러면서 그는 "CTI의 정보를 기반으로 실제 시뮬레이션을 해보고 어떤 문제가 있는지 검증·평가하는 식으로 연계할 필요가 있다"며 "모니터랩은 현장 데이터 기반의 실제 활용 가능한 인텔리전스 제공에 방점을 두고 있다"고 밝혔다. "모니터랩 BAS, 실제 데이터 기반 공격 시나리오로 보안 솔루션 검증" 공격자가 어떻게 공격하는지를 파악했으면, 그 다음 단계는 실제 공격 방식을 바탕으로 실전 연습을 하는 것이 필요하다. 실전 기반의 시뮬레이션을 통해 어떻게 대응할지 정책과 전략을 수립하고 실질적인 방어 수단을 마련하는 것이다. 노 소장은 "모니터랩은 구축된 보안 솔루션들이 실제 공격에 얼마나 효과적으로 대응할 수 있는지 점검하는 공격 시뮬레이션(BAS,Breach and Attack Simulation)도 상품화했다"며 "잇단 침해사고가 발생하고 있는 가운데 여러 보안 담당자들이 우리 기업(조직)은 이런 해킹 공격에 얼마나 버틸 수 있는지 테스트해보고 싶어 하는 수요가 늘었다"고 말했다. 이에 그는 "EDR은 보안 솔루션들을 모니터링하고 있다 이상 행위나 공격이 발생했을 때 즉시 탐지하는 솔루션인데, 그렇다면 EDR 엔진을 잘 만들려면 실제로 일어난 공격 과정을 알아야 한다"며 "쏘마 때부터 이런 공격 코드들을 개발해왔고, 실제 공격을 진행해보기도 하면서 수천개의 공격 데이터가 쌓였다. 이런 공격 코드를 모아 UI(유저 인터페이스)도 붙이고 단일 공격들을 시간 순서대로 조합하니 APT(지능형 지속 공격) 시나리오가 만들어졌다"고 BAS의 제작 비하인드에 대해 설명했다. 노 소장은 "모니터랩은 EDR 엔진을 개발하다가 BAS를 만들게 됐기 때문에, 오히려 다른 글로벌 BAS 제품보다 실제에 가까운 공격 시뮬레이션이 가능해졌다"며 "새로운 공격 기술들을 계속해서 흡수하고, 똑같이 시뮬레이션을 제작하고 이걸 탐지하는 기술을 개발하는 사이클이 계속해서 순환하다 보니 실제와 가까운 공격 시나리오들이 많다"고 밝혔다. 모니터랩 BAS의 장점은 '실전'이다. BAS는 모의해킹이나 취약점 진단과는 엄연히 다르다. 모의해킹이나 취약점 진단의 경우 시스템에 침투될 수 있는 위험을 찾아내는 작업이라면, BAS는 익스플로잇(취약점 공격) 이후의 공격 패턴에 초점이 맞춰져 있다. 이미 침투가 이뤄졌을 때, 보안 솔루션들이 얼마나 잘 막아낼 수 있고 차단할 수 있는지 촘촘하게 점검하고 부족한 부분을 찾아내는 작업인 셈이다. 예컨대 사무실 내 금고를 지켜야 하는 상황을 가정해보면, 모의해킹이나 취약점 진단의 경우 사무실에 어떻게 도둑이 침입할 수 있는지를 도둑의 관점에서 살펴보는 작업이다. 반면 BAS는 사무실 내 CCTV, 출입 통제 장치, 금고 잠금장치 등이 도둑의 교묘한 수법에도 제대로 기능하고 차단할 수 있는지를 시뮬레이션화한 것이다. 이에 노 소장은 "모의해킹, 취약점 진단 등 침투를 허용할 수 있는 구간을 파악하는 것, BAS를 통해 보안 솔루션이 실전 기반 공격 행위를 제대로 방어할 수 있는지를 파악하는 것 모두 중요하다"며 "따라서 모의침투로 약점을 찾고, BAS로 내부를 점검하며, ASM(공격 표면 관리)를 가지고 외부 자산이 위험에 노출돼 있는지를 잘 관리하는 것이 중요하다"고 당부했다. "AI로 공격 코드 변종 생성 자동화…우선순위 기반 '어택 패스'도 마련" 모니터랩 BAS의 공격 시나리오는 AI 기반의 자동화 체계도 탑재돼 있다. 윈도우, 리눅스 등 운영 체제별로 어느 공격 시나리오가 가장 효율적인지, 성공 확률이 높은지 파악하고 우선순위를 잡아 공격 시나리오 생성 자체를 자동화하는 기술이다. 노 소장은 "공격 시나리오를 구성할 때 크게 두가지로 분류한다. 우선 공격 시나리오를 짤 단계에 윈도우, 리눅스 혹은 어떤 보안 솔루션에 잘 통하는 공격 코드를 우선순위를 잡아 시나리오를 생성한다"며 "이를 어택 그래프, 또는 어택 패스라고 표현하고 있다. 이런 어택 패스를 구축할 단계를 자동화하는 AI 기반 공격 시나리오 생성 기술이 탑재돼 있다"고 설명했다. 그는 "또한 악성 스크립트, 악성코드, 파워쉘 등 아무리 실전 기반 공격 시나리오를 구성한다고 하더라도 공격 패턴이 똑같으면 변종에 대한 대비가 어렵기 마련이다"라며 "이에 변종 공격 도구를 일일이 수작업으로 생성하는 것이 아니라 AI로 자동화해 기존에 만들어 놓은 어떠한 공격 도구에 대한 변종 생성을 자동화했다"고 강조했다. 이런 AI 기술들은 더욱 효과적으로 침투할 수 있도록 공격 시나리오를 구성하게 해준다. 모니터랩은 EDR을 구축할 때 AI 기반 공격 시나리오까지 어떻게 대응할지 고민하면서 개발한다. 이에 고도화된 공격 시나리오를 구성함과 동시에 고객사 보안 솔루션이 AI 기반 공격까지도 대응할 수 있는지를 검증할 수 있다. 노 소장은 "수억원에 달하는 보안 솔루션을 도입해 사용하더라도 결국엔 지속적인 관리가 부족해 실제 공격에 대응할 수 없다면 무용지물"이라며 "보안 담당자들은 현업에서 보고서 쓰기에도 업무량이 벅찬데, 'EDR, CTI를 비싼 걸 쓰면 되겠지' 하는 안일한 생각을 갖고 있다면 원래 효율의 90%도 발휘하지 못한다"고 지적했다. 따라서 "실전 기반 CTI와 구축한 보안 솔루션이 공격에 얼마나 대응하는지 검증할 수 있는 BAS 등 꾸준한 관리가 필요하다"며 "보안은 설치가 아닌 관리"라고 강조했다. "BAS 관련 문의 쏟아져…'풀스택 보안' 내년 상반기 론칭" "쉴 틈이 없다. 너무 바쁘다" 노 소장은 BAS에 대한 고객사 수요에 대한 질문에 이같이 답했다. 그는 "구체적인 수요에 대한 수치화된 자료는 없지만 공공, 금융, 민간을 가리지 않고 여러 미팅이나 연락을 주고 계신다"고 말했다. 실제 공격자들의 동향을 선제적으로 파악하고, 구축된 보안 솔루션들이 제대로 기능하고 있는지 실전 기반으로 검증하며, 네트워크부터 엔드포인트까지 실전 기반으로 효과적인 방어 체계를 구축할 수 있도록 하는 것. 그것이 노 소장의 목표다. 그는 "모니터랩의 CTI, BAS, EDR, 여러 네트워크 보안 솔루션이 효과적으로 작동할 수 있는 환경은 고객이 구축할 수 없다. 이에 모니터랩은 모든 부분적인 보안 섹션들을 통합해 플랫폼 형태로 제공할 계획"이라며 "현재 통합하는 작업에 들어갔다. 내년 상반기에 정식 론칭을 목표로 하고 있다"고 밝혔다. 노 소장은 "CTI, BAS, EDR에 모니터랩의 기존 SSE(보안서비스엣지) 서비스까지 연동하면 네트워크 레벨에서 차단하고, 엔드포인트 레벨에서 차단 및 대응할 수 있으며, CTI는 최신 정보를 계속해서 업데이트하는 '풀스택'을 만들 수 있다. 이를 직접 필드에 적용해보는 것이 엔지니어로서의 목표"라고 다짐했다. 끝으로 노 소장은 "보안 사고가 줄어들고 보안 업계가 건강해지며, 공격들도 효과적으로 잘 막아내는 안전한 세상이 오게 된다면 그냥 푹 쉬고 싶다"고 허심탄회한 소감을 내놨다. 한편 노 소장은 1976년 출생, 1999년부터 26년 경력의 해킹·개발 경력을 가진 베테랑이다. 안랩에서 상용 백신 개발에도 참여한 바 있으며, APT 공격 탐지 및 추적 분야에서도 활약한 이력이 있다. 쏘마는 2016년 창업해 엔드포인트 행위 정보를 이용해 위협을 탐지하는 위협 헌팅 플랫폼을 구축했다. 올해 모니터랩이 쏘마를 인수하면서 현재는 모니터랩이 구상하고 있는 풀스택 보안 체계에 핵심 역할을 수행하고 있다.
