시큐레터, 비실행형 파일 보안 플랫폼 ‘마스(MARS)’ 해외 무대 선보여
미국 캘리포니아주 샌프란시스코에서 24일부터 27일까지 진행된 세계 최대 사이버보안 전시회 ‘RSA 콘퍼런스 2023(이하 RSAC2023)’가 막을 내렸다. 10개 기업이 한국 공동관으로 참가한 가운데 유독 많은 관심을 끈 기업이 있다. 20초 내에 알려지지 않은 위협을 탐지(Unknown Threat Detection within 20 Seconds)한다는 슬로건을 내건 시큐레터다.
시큐레터는 한국정보보호산업협회(KISIA)와 대한무역투자진흥공사(KOTRA)가 함께 준비한 한국 공동관에 전시 부스를 마련했다. HWP나 PDF, DOC와 같은 문서 및 이미지와 같은 비실행형 파일에 대한 보안을 제공하는 플랫폼 ‘마스(MARS)’를 해외 무대에 알렸다.
시큐레터의 핵심 기술은 비실행형 파일에 대한 원천 보안을 제공한다는 점이다. EXE와 같은 실행파일의 경우 그간 숱하게 공격 수단으로 활용됨에 따라 이를 지키기 위한 기술이 많이 발전했지만 비실행형 파일의 경우 아직 대응이 미흡한 상태다.
이에 문서파일 속 매크로와 같은 기능을 사전에 탐지하고 유해 요소를 제거하는 콘텐츠 무해화(CDR)와 같은 기술이 해결책으로 등장했다. 또 웹 격리(Isolation) 기술을 통해 설령 악성코드가 포함돼 있는 파일이라 할지라도 실제 기기에는 위협이 이어지지 않도록 하는 방법도 제시되고 있다.
그러나 CDR이나 웹 격리로는 해결하지 못하는 문제들도 남는다. CDR의 경우 문서파일의 취약점을 이용하는 공격에는 대응할 수 없다. 또 웹 격리의 경우 웹브라우저 환경에서만 이용할 수 있어 편의성이 떨어질 수밖에 없다. 문서파일의 경우 보는 것에 그치지 않고 편집을 해야 하는 경우가 적지 않은데, 격리 웹에서 안전하다 할지라도 이를 다운로드받으면 위협에 노출될 수 있다.
시큐레터가 내놓은 해결책은 역공학(리버스 엔지니어링)이다. 역공학은 악성코드 분석가가 메모리나 중앙처리장치(CPU) 레지스터, 익스플로잇체인, 취약점 등 분석과 같은 기법을 활용해 어셈블리 레벨에서 악성 유무를 판단하는데 활용하는 방식이다. 시큐레터는 이를 자동화한 소프트웨어(SW)로 제공한다.
임차성 시큐레터 대표는 “역공학을 이용한 악성코드 탐지의 가장 큰 이점은 알려지지 않은 위협, 제로데이에 대응할 수 있다는 점이다. 일반적으로 많이 활용되는 시그니처 기반 보안의 경우 제로데이 공격은 막을 수 없다. 이후 등장한 것이 샌드박스 기반 지능형지속위협(APT)이지만 해커들은 이 역시도 우회하기 시작했다”고 말했다.
이어서 “시큐레터는 검사 대상 파일의 어셈블리, 그러니까 프로그래밍 언어 단에서 정상 파일인지, 악성 파일인지를 진단한다. 정상 파일일 경우 사용할 수 있도록 하고, 만약 의심스러운 파일이라면 자체 CDR을 통해 무해화를 하거나 차단하는 것이 일련의 흐름”이라고 부연했다.
악성 행위가 이뤄지는 것을 기점으로 탐지 및 대응을 하게 되는 솔루션과도 차별화됐다. 다만 기술적으로는 다를지라도, 근본적인 개념에서는 유사점을 찾을 수 있다.
행위 기반 솔루션이 데이터의 유출이나 변조, 이상 행위를 발견한 뒤 대응한다면 시큐레터는 이상 행위를 하려는 ‘전조’를 탐지한다. 문서파일인데 비정상적으로 램(RAM) 사용량이 많아질 경우 이를 식별하는 것인데, 이상 행위의 가능성이나 전조, 트리거를 파악한다는 면에서 제품의 근본적인 지향점은 닮았다. 다만 보다 앞단에서 작동해 위협을 더 근본적으로 막는다는 것이 차별점이다.
또 시큐레터의 기술이 시장에서 주목받는 것은 이와 같은 과정에 필요한 시간이 20초 이내라는 점이다. 시큐레터는 검색엔진인 마스의 고도화를 통해 악성코드 진단에 필요한 시간을 계속 줄이고 있다. 2021년 45초였던 진단 시간은 현재 12초로 줄였다. 올해 내 10초 내에 진단이 가능하도록 성능이 강화되리라는 것이 임 대표의 설명이다.
RSAC2023 시큐레터 전시 부스. 해외 참관객들이 계속해서 기술에 대한 문의를 이어갔다
정보기술(IT) 담당자들이 사이버보안 솔루션을 도입할 때 중요하게 여기는 것은 보안 성능만이 아니다. 시스템의 가용성, 편의성을 해치지 않는지도 고려 대상이다.
임 대표는 “사이버보안 솔루션을 도입할 때 많이 고민하는 것이, 이 제품을 도입함으로써 우리 시스템에 지장이 가진 않을까 하는 부분이이다. 정상 파일을 악성파일로 잘못 인식해 차단하는 등의 ‘과탐’인데, 과탐이 많다면 아무리 성능이 좋은 솔루션이라도 반쪽짜리다. 시큐레터의 기술은 과탐으로 문제가 생긴 적이 거의 없다”고 강조했다.
현재 시큐레터는 보유한 기술을 바탕으로 이메일이나 망연계 및 문서중앙화 등 솔루션과 연동해서 사용할 수 있는 제품을 선보이고 있다. 악성파일의 대부분이 이메일 등으로 유입되는 만큼 그 길목을 지키는 데 기술을 활용하는 중이다. 현재 미국을 비롯해 동남아, 중동 등 해외 사업을 본격화하고 있다.
클라우드 기반의 서비스형 소프트웨어(SaaS)로 제공된다는 것도 해외 무대에서는 매력점이다. 여전히 전용 어플라이언스나 구축형 SW를 요구하는 한국 시장과 달리 글로벌에서는 SaaS가 기본값이다. 시큐레터는 일찌감치 SaaS 모델로 제품 개발을 마쳤다.
그는 “해외 시장 진출을 위해서는 무조건 SaaS로 가야 한다고 생각했다”며 “시큐레터가 선보인 것이 알려지지 않은 위협에 대한 탐색이라는, 조금 유니크한 영역이다 보니 참관객들도 많이 궁금해하셨다. 해외 무대에서 많은 관심을 받게 돼 고무적”이라고 RSAC2023 참가 소회를 밝혔다.
한편 시큐리터는 오는 하반기 기업공개(IPO)를 추진한다. 현재 기술특례상장을 위한 예비심사 청구서를 제출한 상태다. 작년 전문평가기관 두 곳으로부터 기술평가 A를 획득하며 첫 관문은 넘은 상태다.
기사 출처 : 디지털데일리(https://www.ddaily.co.kr/page/view/2023042822395690631)
—
자동화된 리버스 엔지니어링 기술을 통해 취약점 공격을 진단하는 시큐레터는 정확한 악성코드를 탐지·차단하므로써 업체 최고의 악성코드 진단속도로 국내 및 해외 수주를 진행하고 있습니다. 국내 주요 금융 및 공공, 제조 기업 등 다수의 수주가 이뤄졌으며, 인도네시아 및 말레이시아에서도 수주가 이뤄지는 만큼 성능과 기능은 업계 TOP이라고 말할 수 있습니다.
업무 문서로 위장한 고도화 된 방법을 통해 계정을 탈취하고 내부망에 접속해 회사 기밀이나 개인정보를 탈취하는 해커에게 손쉬운 먹잇감이 될 상황이시라면 기업의 이메일 수신부터 첨부문서 열람, 문서 전송 등 매 단계마다 제로 트러스트에 기반한 보안 정책과 솔루션을 적용해 보안을 향상시킬 수 있는 시큐레터를 만나보시기 바랍니다. 피플러스가 기업의 보안 상황에 맞게 진단하여 최적화된 프로그램을 안내해 드립니다.