한국이 글로벌 방산수출의 새로운 강자로 부상하면서 세계의 주목을 받고 있다. 하지만 갈수록 소프트웨어 비중이 높아지는 무기체계 연구개발에서 망분리 위주의 방산보안이 업무 효율성을 저해하고 있는 데다, RMF·CMMC 등 방산수출에 요구되는 새로운 보안 이슈가 현실로 다가오고 있다. 뉴스투데이는 이와 같은 방산보안의 문제와 이슈를 인식하고 전문가 인터뷰를 통해 해법을 알아보는 [방산보안Q] 시리즈를 시작한다. <편집자 주> 

---

 

 

 

[뉴스투데이=김한경 안보전문기자] 국내 유일의 차세대 네트워크 보안 솔루션을 개발한 ‘쿼드마이너’(Quad Miners)는 2017년 설립된 젊은 기업이지만 2022년 경제 전문지 ‘포브스’가 선정한 아시아 100대 유망기업에 선정됐으며, 세계적인 정보기술 시장조사기관인 ‘가트너’에서 기술의 우수성을 인정받아 2020년부터 4년 연속 NDR((Network Detection and Response, 네트워크 탐지 및 대응) 대표 벤더사로 등재되고 있다. 

 

네트워크 보안 분야에서 10년 이상의 경력을 가진 4명(Quad)의 개발자들(Miners)이 모여 설립한 이 회사는 삽 모양의 픽토그램이 보여주듯이 끈기와 노력으로 네트워크 보안의 문제를 깊이 파고들겠다는 의지를 내세우며 획기적인 NDR 제품 개발에 몰두했다. 그 결과 2019년 네트워크의 방대한 전체 패킷(데이터 전송 간 사용되는 데이터 묶음)을 고속으로 검사할 수 있는 ‘NETWORK BLACKBOX’를 출시했다.

 

항공기에서 사용하는 블랙박스 개념을 네트워크 보안에 도입한 이 제품은 해킹 또는 정보유출 사고가 발생하면 최초 시점부터 끝나는 시점과 그 이후까지 모든 데이터의 흐름을 ‘블랙박스’에 기록하고 저장·분석한다. 즉 네트워크에서 전송되는 모든 패킷을 수집·저장하고 지도학습 기반의 AI 엔진으로 데이터베이스화해 분석·탐지한 후 실시간으로 이상 행위를 찾아내고 포렌식까지 할 수 있어 사이버 공격을 당했을 때 원인과 책임을 분명히 가려낼 수 있다.

 

지난 5월 쿼드마이너는 과학기술정보통신부와 정보통신기획평가원(IITP)에서 주관하는 56억원 규모의 정보보호핵심원천기술개발사업을 수주했다. 이 사업은 조직화한 사이버위협 그룹이 생성형 AI 기술을 이용해 감행하는 신·변종 사이버 공격에 대한 탐지, 대응 및 예측을 위한 신기술 개발이 목적이다. 회사는 여기서 개발된 기술을 NETWORK BLACKBOX에 바로 적용해 국내는 물론 일본, 동남아 등지로 사업화를 추진할 예정이다.

 

기자는 쿼드마이너의 독보적인 NDR 기술이 방산업체 보안 강화에 어떻게 적용될 수 있을지 궁금해 지난 23일 회사를 직접 방문했다. 박범중 대표는 그동안 회사가 성장해온 과정을 설명하면서 “첨단기술기업들은 내부자료가 어떻게 유통되는지 전혀 모르는 상태라서 해킹 사고가 발생해도 원인 분석과 대책 강구가 어렵다”면서 “국방과 방산 분야에서도 패킷 전수검사를 강화해야만 다양한 사이버위협에 대응할 수 있다”고 강조했다. 다음은 그와의 일문일답.

 

Q. 쿼드마이너가 사이버보안 분야 중에서 특히 네트워크 보안 솔루션(NDR)에 역점을 두고 사업을 추진해온 이유는?

 

A. 사이버보안 분야에서 가장 큰 시장이 네트워크 보안과 엔드포인트 보안인 데다, 보안 사고의 원인과 해결 방법 대부분이 네트워크 패킷 데이터 안에 있다고 생각했다. 기업이 고객에게 제공하는 온라인 서비스, 내부 임직원들이 하는 업무 대부분이 네트워크 통신이다. 따라서 패킷 데이터의 모든 정보를 수집하고, 정렬, 분석, 학습, 대응하는 일련의 과정을 빠르게 할 수 있다면 여러 솔루션을 사용했던 분석 작업을 NDR 솔루션으로 사이버위협 대응을 더 신속하게 처리할 수 있다. 

 

Q. 타사의 NDR과 성능을 비교할 때 쿼드마이너의 ‘NETWORK BLACKBOX’가 어떤 차별점을 갖고 있는가?        

 

A. NDR 기술을 제공하는 글로벌 보안업체들은 Flow 분석 기술을 사용한다. 이 기술은 수집되는 전체 패킷 데이터 중 부분 분석 혹은 샘플링 분석을 하는 것이라서 놓치는 데이터가 많다. 이에 비해 쿼드마이너의 ‘NETWORK BLACKBOX’는 풀패킷 분석, 즉 패킷 전수검사를 하므로 놓치는 데이터가 없는 데다, 모든 원본 데이터를 분석·저장하기 때문에 잠재적인 보안 리스크가 무엇인지 알아낼 수 있다.   

 

Q. 미국 ‘Gartner Report’에 2020년부터 4년 연속 NDR 대표 벤더사로 등재되고 있다. 국내 보안제품 중 유일하다는데, 그 이유가 무엇이라고 생각하나?

 

A. NDR이라는 용어 자체가 가트너에서 만든 표현이며, 가트너 보고서에 등재되려면 AI 모델링, 탐지, 헌팅, 포렌식, 대응까지 기술 검증이 돼야 한다. 이를 위해 글로벌 시장 기준에 맞게 기술개발 및 문서들이 준비돼야 하며, 평가 위원들에게 제품에 대한 시연을 통해 다양한 기술항목 테스트를 받아야 한다. 

 

사용 언어도 영어, 일본어, 한국어 지원은 기본이며, 글로벌 시장에서 어떤 고객사들이 제품을 사용하고 있는지 레퍼런스까지 확인한다. 이런 모든 과정을 거쳐 가트너가 요구하는 수준에 도달한 업체만이 해당 분야의 대표 벤더사로 등재된다. 현재까지 국내 보안제품 중 쿼드마이너의 ‘NETWORK BLACKBOX’가 유일한 것으로 알고 있다.

 

Q. 방산업체가 ‘NETWORK BLACKBOX’를 도입한다면 어떤 효과를 얻을 수 있는지 구체적으로 설명해 달라. 

 

A. 기업 내부로 들어오는 데이터, 나가는 데이터 모두를 수집하고 저장하는 기업은 거의 없다. 그런데 최근 내부자에 의한 악의적인 악성 파일 설치, 외부 경쟁사와 결탁한 정보유출 등 기존 보안 체계에서 탐지하기 어려운 문제들이 많이 발생하고 있다. 네트워크 블랙박스라는 표현과 같이 잠재적인 위험을 찾아내려면 내외부에서 유통되는 모든 패킷 데이터들을 수집해 전수검사를 해야 한다. 그래야만 다양한 사이버위협에 선제적으로 대응할 수 있다.

 

현재 방산업체들은 대기업의 경우 물리적 망분리가 어느 정도 이루어진 상태로 알고 있다. 하지만 망분리 개념은 기본적으로 내부자는 신뢰하고 외부에서 접근하는 위협을 막기 위한 것이어서 최근 발생하는 문제들을 감당하기 어렵다. 따라서 해킹 사고가 발생해도 어디서 어떻게 뚫렸고 무엇이 얼마나 유출됐는지 알 수 없다. 이로 인해 원인 분석과 대책 강구가 어려운 상황이며, 방산업체에 ‘NETWORK BLACKBOX’ 도입이 필요한 이유이다.    

 

Q. ‘NETWORK BLACKBOX’의 패킷 전수검사에 대한 부정적 인식이 도입을 망설이게 한다는데, 패킷에 담긴 데이터의 모든 내용까지 볼 수 있는 것인가?

 

A. 암호화된 데이터가 아니라면 데이터의 내용을 볼 수 있다. 잠재적인 사이버위협을 찾아내기 위해서는 패킷 전수검사 과정에서 데이터에 담긴 세부 내용까지 확인할 필요가 있다. 우리가 눈으로 확인할 수 없는 코드, 단서들이 숨겨져 있을 수 있기 때문이다. 패킷 데이터에 대한 전수검사가 꺼려진다면 기업 내부 보안정책에 따라 데이터 수집 항목을 분류하고 별도 설정을 통해 수집 및 분석에 제한을 둘 수 있다.

 

---

◀ 박범중 프로필 ▶ 쿼드마이너 CEO이자 공동창업자. ㈜안랩, 넷마블㈜ 등에서 정보보안 업무를 담당했으며, 이후 RSA, IBM에서 다년간 Sales Leader로 근무했다.