[오늘의CEO]이시영 엑사비스 대표 "향후 보안, '제로데이' 대응에 달렸다"

“현재까지 보안 솔루션은 자동차가 세 개의 바퀴로만 굴러가던 것과 같습니다. 알려진 보안 위협의 침투는 막을 수 있었지만 이미 내부로 들어와 있는 보안 위협은 사실상 '보안 사각지대'였습니다.”

이시영 엑사비스 대표는 18일 “해킹 공격 피해 사례 가운데 약 76%가 '제로데이' 공격으로, 대부분은 피해 본 것조차 인지하지 못한다”면서 “앞으로 사이버보안 체계의 성공은 어느 수준까지 이 문제에 대응할 수 있는가에 달려 있다”고 말했다.

사이버보안 사각지대를 없애려면 모든 네트워크 흐름에 보안 조치를 하면 된다. 그러나 사회관계망서비스(SNS) 사용량, 원격교육, 5세대(5G) 이동통신과 사물인터넷(IoT) 등 대중화로 폭증하는 트래픽을 실시간 분석하는 것은 불가능한 현실이다. 현재로서는 최신 위협 정보(TI)를 수시로 업데이트해 악성코드의 진입 자체를 막는 것이 최선으로 여겨져 왔다.

문제는 최신 TI가 업데이트되기 전에 이미 내부로 침투한 악성코드 사례다. 이처럼 해당 취약점에 대한 패치가 나오지 않은 기간에 수행된 공격을 제로데이 공격이라고 한다. 제로데이 기간에 있는 보안 위협은 모든 보안 장비를 정상으로 통과한다. 이에 따라 어떠한 경보도 발생하지 않기 때문에 경보 로그가 남지 않는다.

침투를 인지할 수 있는 방법은 과거 트래픽을 재조사하는 방법밖에 없다. 평균 3개월(평균 제로데이 기간)의 과거 트래픽을 저장한 후 매일 새로운 탐지 규칙이 나올 때마다 과거 3개월 전부터의 트래픽을 재조사해야 한다. 대상 데이터의 막대한 규모 및 주기적 재검사에 대한 오버헤드 때문에 보안 전문가들 사이에서도 '사실상 제로데이 공격은 막을 수 없다'는 인식이 퍼져 있었다.

이 대표는 네트워크 트래픽을 조정하기 위해 쓰이는 기술인 심층패킷검사(DPI)를 이 문제에 적용할 수 있다는 아이디어를 떠올렸다. 오랜 연구 끝에 전체 네트워크 트래픽 가운데 정보를 2%만 저장해도 데이터 풀패키지캡처(FPC)와 비교해 99.6%의 정확도를 유지하는 기술 개발에 성공했다. 네트워크, 알고리즘, 보안이라는 세 가지 분야를 상호 접목했기에 가능한 방식이다.

이 대표는 “통신이 시작하면 초반 1% 헤더 정보에 나머지 99% 정보가 다 있다. 세션 내에서 10개 패킷만 보면 어떤 세션인지 알 수 있다”면서 “나머지 정보 99%는 랜덤하게 나타나기 때문에 분석해도 큰 의미가 없다”고 설명했다.

이 기술을 통해 엑사비스는 보안기업 체크포인트의 테크니컬 파트너사로 국내에서 유일하게 선정됐다. 체크포인트는 이스라엘에서 역사가 가장 오래된 보안기업이다. 30년 전에 방화벽 개념을 최초로 세웠다. 체크포인트 역시 제로데이 문제를 대용량 스토리지 확보 문제로 접근하고 있었다. 그러나 엑사비스의 기술을 발견한 후 접근 방식을 선회했다. 1년 동안 기술 협력 테스트를 거친 후 체크포인트 장비에 엑사비스 기술을 연동하는 방식을 도입했다.

이 대표는 “현재까지 네트워크 보안이 '잘 알고 있는' 문제에 대응하는 방식이었다면 앞으로는 '알려지지 않은' 문제에 더 집중해야 한다”면서 “제로데이 보안은 이미 내부에 침투한 위협의 조기 인지를 통해 사후 피해를 최소화하는 데 가치가 있다”고 말했다.

이형두기자 dudu@etnews.com