씨큐비스타(CQVISTA, 대표 전덕조)의 NDR 제품인 ‘패킷사이버’가 국내 최초로 NDR 부문에서 국가정보원 국가사이버안보센터 보안기능 시험 제도인 ‘보안기능 확인서’ 인증을 획득했다.
NDR 부문에서 국내 처음으로 보안기능확인서를 획득한 패킷사이버(PacketCYBER)는 새로운 기능과 UI 디자인 개선을 통해 레퍼런스를 확대해 나가고 있다.
◆씨큐비스타, 기존 보안기술 우회하는 지능형 위협의 실시간 탐지 및 대응 기술 개발
씨큐비스타는 아시아에서 최초로 네트워크 기반 사이버 위협 헌팅 기술 개발해 보급하고 있으며, 고도화된 트래픽 분석 기술, 인공지능(AI) 및 머신 러닝과 같은 혁신적인 기술, 고성능 네트워크 트래픽의 실시간 처리 원천기술을 바탕으로 기존 보안 기술들을 우회하는 지능형 위협의 실시간 탐지 및 대응 기술을 개발해 보급하고 있는 핵심 기업이다.
전덕조 대표는 “씨큐비스타는 실시간 트래픽 처리 및 분석을 통해 지능형 위협을 효과적으로 발견 및 방어할 수 있는 차세대 위협 탐지 및 대응(NDR, Network Detection and Response)기술을 보유하고 있다. 또한 증가하고 있는 암호화 트래픽에 은닉돼 있는 위협을 탐지하기 위해 암호화된 보안 프로토콜(TLS) 트래픽을 실시간 수집 및 분석해 해킹과 침입에 즉각 대응할 수 있는 ‘네트워크 기반 실시간 TLS 트래픽 분석 및 가시화’ 기술을 개발하고 있다”고 설명했다.
이어 “특히 풍부한 소프트웨어 및 보안 기술 개발 경험을 갖춘 소수 정예 팀(컴퓨터 사이언스 전공 석사 3명 포함)이 회사에 합류했으며, 이사진의 경우 전체 약 110년 이상의 국내 외 개발 경력(Total Man Years)을 보유하고 있다"고 강조했다.
◆패킷사이버, 학습 없이 실시간 단위로 해커 행위와 유사한 행위 탐지
씨큐비스타 주력 제품인 패킷사이버(PacketCYBER)의 주요 특징을 살펴보면 다음과 같다.
전 대표는 “패킷사이버(PacketCYBER)와 유사한 외산 NDR 제품들은 AI를 사용해 네트워크 이상 징후를 탐지하는 기술을 제공한다. 보통 1개월 정도 정상 통신을 학습해야 하는 메커니즘을 가지고 있으며, 이후 탐지 모드로 전환하면 학습한 정상과 다른 이상 통신 세션을 탐지하는 방식”이라며 “하지만 이런 기술의 문제점은 위협이 이미 침입한 환경에 적용 불가능하고, 솔루션이 찾아준 네트워크 이상(Anomaly)을 보안관제요원이 해석하기 어렵다는 것”이라고 말했다.
또 “국산 NDR 제품은 모든 패킷을 일단 디스크에 저장하고 저장된 패킷에서 통신 세션 및 파일을 추출하는 메커니즘을 가지고 있다. 이런 기술의 문제점은 위협을 자동으로 탐지해주는 기능이 취약하고 수많은 수작업에 의한 분석 작업이 수반돼야 해서 시간 및 인력이 많이 든다”고 지적했다.
그는 “반면 씨큐비스타 패킷사이버(PacketCYBER)는 실시간에 트래픽을 디코딩해 통신 세션 및 파일을 추출한다. 추출한 통신 세션을 학습 없이 실시간 단위로 해커의 행위와 유사한 행위를 탐지하며, 추출한 파일의 악성 여부를 실시간에 판별하는 메커니즘을 갖추고 있다. 더불어 탐지한 위협을 어떻게 추가 분석 및 대응해야 하는지에 대한 명쾌한 방안을 제시함으로써 보안관제요원에게 부담을 주지 않는다는 장점이 있다”고 강조했다.
현재 패킷사이버(PacketCYBER)는 ▲GS 인증 1등급 ▲조달청 디지털서비스몰 조달 등록(국내 최초, 유일 네트워크 위협 탐지 및 대응(NDR)로 등록) ▲최상위관리 기관 인증(국내 최초, 유일네트워크 위협 탐지 및 대응(NDR)으로 국가용 보안기능확인서 취득) 등 이 분야에서 독보적인 기술력을 인정받고 있다.
◆패킷사이버 도입 기대 효과
패킷사이버 제품 라인업은 250Mbps, 500Mbps, 1Gbps, 2Gbps, 10Gbps 등으로 구성됐다.
기대 효과로는 네트워크 기반 위협 가시성을 제공한다. △공격자가 숨기기 어려운 모든 네트워크 활동에 대한 가시성을 확보한다. △로그이벤트를 생성하지 않는 초기 네트워크 기반 C&C, 검색 또는 내부 정찰 활동 등의 활동에 대한 모든 통신 메타 데이터를 제공한다. 또 △EDR이 설치 되지 않는 임베디드 시스템과 단말 환경에서 발생되는 위협에 대한 가시성을 높일 수 있다.
그리고 △기존 시그니처 기반 도구 및 네트워크 샌드박스와 같은 경계 보안이 놓치는 위협을 사전에 차단하여 업무의 연속성을 증대하고 △네트워크를 안전하게 유지해 중요한 비즈니스 시스템의 가용성과 효율성 보장한다.
특히 공격의 초기 탐지로 피해를 완화할 수 있다. △추출된 파일 데이터의 악성 코드를 실시간으로 탐지함으로써 놓치는 위협으로 발생하는 피해를 초기에 차단하고 △취약점이 있는 암호화 프로토콜 과 암호화를 사용하는 트래픽을 모니터링 함으로써 초기 공격을 차단할 수 있다.
효율적인 보안 관제 및 대응이 가능하다는 점도 특징이다. △내부 이상 행위에 대해 위협을 특정함으로써 보안관제의 즉각적인 대응 능력을 높일 수 있다. 더불어 △평균복구시간- MTTR(Mean Time To Recovery)을 줄여 보안 관제의 효율성을 증대하고 △특정된 위협에 대한 자동 교차 세션데이터를 클릭만으로 쉽게 원인을 찾아 효과적인 보안관제가 가능하다.
◆기존 보안솔루션 및 타사 NDR과 패킷사이버의 차별점
대부분의 규모가 있는 기관에서는 다양한 보안솔루션과 탐지 이벤트를 진행할 때통합보안관제(SIEM)플랫폼을 이용한다. 이러한 보안 관리 방식도 물론 기업 내부의 보안 이벤트를 모니터링하고 대응하는 데 중요한 역할을 수행하는 것은 사실이지만, 이런 방식의 보안 관리는 특정 시그니처와 규칙에 의해 사전에 정의된 위협에 대해 탐지하고 대응하기 때문에 새로운 공격의 탐지에 취약하다.
글로벌 보안 기업 2022년 침해사고 보고서에 따르면, 위와 같은 방식으로 관리할 수 있는 보안 위협은 전체의 약 80%정도로 보고 있다.
나머지 기존 보안관리에서 놓친 위협을 찾아서 대응할 수 있는 솔루션이 없으며,패킷사이버가 바로 그러한 역할을 수행할 수 있는 솔루션으로 평가받고 있다.
다른 NDR과 패킷사이버의 다른 점에 대해 그는 “패킷사이버는 실시간으로 공격 행위와 유사한 행위를 탐지하고 위협을 특정할 수 있지만 타사 NDR은 메커니즘 상 불가능하다. 그리고 타 NDR에는 없는 기능인 악성코드를 실시간 탐지할 수 있다. 미국 국방부에서 사용하는 FDR(File Detection and Response)과 동일한 메커니즘으로 실행파일, 문서파일 뿐만이 아니라 약 30여 종의 파일에 대해 고속으로 악성코드를 탐지할 수 있다. 또 타 NDR은 운영 난이도가 높기 때문에 반드시 별도의 운영 인력이 필요하지만 패킷사이버는 별도 전문 인력이 필요 없다”고 설명했다.
그리고 실제 사례 중심으로 차별점에 대해 그는 “경기도에 있는 지방자치단체 중 한 곳에서 폐쇄망으로 운영 중인 폐쇄회로(CC) TV망의 침해사고가 의심스러운 상황이 발생했다. 담당 주무관은 친한 보안 기업을 통해 글로벌 업체의 지능형 위협 대응(APT)기술을 2주간 적용했으나 문제를 전혀 해결하지 못했다”며 “이를 해결하기 위해 글로벌 AI기반 네트워크 이상탐지 솔루션을 적용하려고 했으나, 앞서 언급한 1개월 정도의 학습 기간이 별도로 들어가기 때문에 당장 적용은 불가능한 상황이었다. 패킷사이버의 경우에는 학습 없이 실시간으로 해커의 행위와 유사한 행위를 탐지하고 탐지한 위협을 어떻게 추가 분석 및 대응해야 하는지에 대한 명쾌한 대응 방안을 제시하는 메커니즘을 적용함으로써 깔끔하게 CCTV망 침해 사고를 해결했다”고 강조했다.
현재 패킷사이버 고객은 금융(은행), 중견기업, 중앙부처를 포함한 공공기관, 국방 분야 고객을 보유하고 있으며, 최상위관리 기관 인증서 획득 이후, 다양한 행사를 통해 적극적으로 제품에 대해 홍보를 진행하고 있어 고객 기반은 더욱 확대될 전망이다.
◆“국내 시장 넘어 APAC 최고 보안 기술 기업으로 성장 목표”
전덕조 대표는 “총판사 4곳이 보유한 많은 파트너와 스페셜 파트너 2곳이 있다. 파트너를 적극적으로 지원해 시장 기반을 공고히 해 나갈 예정”이라며 “현재 클라우드 지원, 사물 인터넷(IoT)용 솔루션을 개발 중이다. 또한 증가하고 있는 암호화 트래픽에 은닉돼 있는 위협을 탐지하기 위해 암호화된 보안 프로토콜(TLS)트래픽을 실시간 수집 및 분석해 해킹과 침입에 즉각 대응할 수 있는 ‘네트워크 기반 실시간 TLS트래픽 분석 및 가시화’ 기술을 다부처 정부연구과제에 참여하여 개발 중”이라고 밝혔다.
이어 그는 “이러한 기술들을 모두 상용화함으로써 ‘네트워크 통신 트래픽을 보안관점에서 분석’하는 다양한 제품 포트폴리오를 구축함과 더불어 최근 3회에 걸쳐 가트너 그룹과 사전 미팅을 진행했고 파트너 계약, 홍보대행사를 통한 홍보, 각종 전시회 및 파트너 데이 참가 등을 통한 마케팅 활동을 통해 국내 시장을 넘어 아시아태평양지역(APAC) 최고의 보안 기술 기업으로 성장하려는 목표를 가지고 있다”고 전했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★