진단 기술 이용해 악성코드 공격을 탐지·진단·분석·차단해

시큐레터(SecuLetter) 임차성 대표는 처음에 보안 회사(안랩등)에서 악성코드 분석가 및 연구원으로 일했다. 그렇게 악성코드 분석 분야에서 전문성을 쌓아 왔다. 그가 회사를 차리자고 생각한 것은 그때쯤이었다.

“이런 기술을 상용화해서 악성코드 위협으로부터 많은 사용자들을 보호할 수 있는 솔루션을 개발해 보자” 이렇게 2015년 9월 회사를 창립했다.


시큐레터(SecuLetter) 임차성 대표

비실행파일의 행위 기반 진단에서 악성코드를 탐지하지 못한 경우의 사례가 분석가에게 넘어오는데, 행위가 포착되지 않더라도 악성코드인지 아닌지를 판단하는 업무를 하다 보니 자연스레 비 행위 악성코드 진단에 관심을 갖게 된 것이다.

외부에서 내부 서버로 가장 많이 들어오는 파일은 이메일 첨부파일이다. 현재 나와 있는 백신들은 기존에 진단했던 이력을 토대로 움직이는데, 즉 데이터베이스인 시그너처가 있어야 한다는 얘기다.



악성코드 제작자는 이런 환경을 알기 때문에 새로 바이러스를 만들고 상용화된 백신 프로그램에 적용을 해보고 걸리지 않으면 바이러스를 보낸다. 이렇게 만들어진 바이러스로 특정한 기업이나 국가를 대상으로 타깃 공격을 한다고 하면 백신 프로그램이 큰 역할을 못하게 된다. 그래서 이메일이나 웹게시판을 통해 전송되는 워드나 한글과 같은 비실행파일에 숨은 악성코드를 찾아내는 것을 주요 아이템으로 잡았다.

회사는 업계를 선도하는 보안 기술력을 바탕으로, 한국은 물론 글로벌 보안 시장에서 No.1이 되기 위해 매일 열심히 달려가고 있는 젊은 기업이다. 악성코드 탐지 및 차단 전문기업으로, 전 세계적으로 유일하게 어셈블리 기반 악성코드 진단 솔루션을 개발했다. 리버스엔지니어링 진단 기술을 이용해, 시그너처나 행위 기반의 보안 솔루션들이 진단하기 어려운 악성코드 공격을 탐지?진단?분석? 차단하는 보안제품을 개발해 공급하고 있다.

사이버보안이 핵심 경쟁력인 한국전력기술, 우정사업정보센터, 한국인터넷진흥원 등 주요 국가기관은 물론, 고객의 금융자산을 다양한 APT 해킹공격으로부터 보호하는 것이 필수인 BNK부산은행과 같은 금융권과, 서울반도체 등에 서비스를 공급하고 있다. 4월 기준 중동 사우디아라비아의 정부투자기관 RVC(Riyadh Valley Company)와 KDB산업은행, 한국투자파트너스, UTC인베스트먼트, 우리은행 등에서 약 120억 원 정도의 투자 유치에 성공해 보다 업그레이드된 기술 개발에 매진하고 있다. 최근에는 국내를 넘어 해외에서도 다양한 성과를 내고 있다.

대표적으로 최근 사우디아라비아의 사이버 보안 전문 컨설팅?솔루션 공급기업 베스트 IT(Best Information Technology System)와 제품 공급을 위한 파트너십 계약을 맺었다. 중동 시장에 출시하는 ‘디옴 메일(Deom Mail) 서비스’에 직접 개발한 이메일 보안 솔루션을 장착한다. 올해 2분기에는 시큐레터 클라우드 이메일 서비스와의 연동을 거쳐 더 강화한 이메일 보안 서비스를 중동 시장에 공급할 계획이다. 임차성 대표에게 더 자세한 회사 이야기를 들었다.


Q.  사이버 보안 회사인데, 주로 어떤 제품을 만들어 공급한다는 것인지 자세한 설명 부탁드린다

시큐레터는 악성코드를 탐지, 진단, 분석, 차단하는 기술이 탑재된 보안 제품을 개발 및 공급하는 사업을 중심으로 클라우드 기반 메일 보안 서비스, 악성코드 분석 서비스를 제공하고 있다. 우리 보안 솔루션은 파일 전송 구간에서 유입되는 다양한 전자문서(HWP, MS Office, PDF)의 보안상 취약점을 분석해 사용자들을 악성코드 위협으로부터 보호해 준다. 좀 더 간단하게 얘기하면, 보통 이메일 사용자 본인도 모르는 사이 이메일에 포함된 악성코드를 받게 되는 경우가 많다.

이런 악성코드에 노출된다는 것은 랜섬웨어나 APT, 피싱 공격에 노출될 가능성도 높아진다는 의미다. 시큐레터는 이러한 공격으로부터 이용자들의 정보와 자산을 안전하게 보호하는 솔루션을 제공하고 있다. 모든 파일 전송 구간에서 악성코드(악성파일)를 정확하고 신속하게 진단 및 차단하는 기술이 핵심기술이고, 역분석으로 익스플로잇(버그, 보안 취약점 등 설계상 결함을 이용해 공격하는 프로그램)을 찾아내는 기술은 시큐레터가 독자적인 기술이다.

이런 기술력이 탑재된 대표 제품으로 SLE(SecuLetter Email), SLF(SecuLetter FileServer), SLCS(SecuLetter Cloud Service) 등이 있다. SLE는 이메일로 유입되는 비실행형(non-PE) 파일 형태의 악성코드에 특화된 기술로, 알려지지 않은 공격까지 사전에 탐지, 차단해 주는 전문위협대응 솔루션이다. 최근에는 비실행파일, 문서를 통한 공격이 증가하고 있는데, 전용 분석 엔진을 탑재한 SLE는 어셈블리 레벨 분석을 통해 문서가 일으키는 악성 행위를 사전에 탐지하고 차단한다.



SLF는 외부 및 내부 망을 통해 파일을 주고받는 환경에서 의심하기 힘든 형태의 비실행형, 특히 문서 형태의 파일로 들어올 수 있는 악성코드를 사전에 탐지, 차단해주는 전문위협대응솔루션이다. 망 분리 환경에서 망 연계 보안 솔루션으로 최적화된 제품이다.

SLCS는 시큐레터의 어플라이언스 형태 솔루션인 SLE나 SLF가 수행하는 전문 악성코드 분석 기법을 그대로 클라우드 환경에 접목시킨 서비스다.


Q.  그렇다면, 제품의 경쟁력과 차별성은 무엇이라고 말할 수 있나. 주력 시장에 대해서도 소개해 달라,

현재 나와 있는 대부분의 보안 솔루션들은 시그너처를 기반으로 한다. 즉 현재까지 나와 있는 악성코드, 알고 있는 악성코드에 대해서만 차단할 수 있다. 그렇기 때문에, 알려지지 않은 악성코드, 신규로 출몰하는 악성코드에 대해서는 진단할 수 없어, 악성코드로 인한 위협을 완전히 막을 수 없다는 것이 맹점이다. 이러한 점을 개선하기 위해, 행위기반 APT 솔루션이 출시됐지만, 이 솔루션들은 실행파일 즉 exe, sys, dll 같은 파일을 분석 및 진단할 수 있다.

최근 악성코드의 유입의 대다수를 차지하는 디지털 문서(HWP, MS Office, PDF 등)에 대해서는 진단율 및 진단 속도가 낮다. 또한 이 솔루션들이 진단하는 기술들을 피해가는 악성 해킹 기술들(가상환경 회피, 시간차 공격 등)이 나와 있어 탐지에 한계점이 있다. 시큐레터는 자동화된 리버스엔지니어링(reverse engineering, 역공학)을 통해 악성코드를 진단하는 것에 대한 독자적인 기술력을 보유하고 있고, 이를 바탕으로 만들어진 솔루션을 공급하고 있다.

리버스 엔지니어링을 통해 비시행형 파일을 분석하고 악의적인 행위가 있는지를 찾아본다. 망분리 환경의 업무망 보호, 이메일 악성파일 분석 등에 적합하다. 분석 시간이 빠르기 때문에 인라인으로 구축가능하며, 클라우드 서비스로도 제공해 예산과 전문가가 충분하지 않은 중소기업에 사용할 수 있다. 코로나로 비대면 문화가 확산되면서 전자문서 교환 시 온라인으로 전송되는 바이러스 전파가 계속 증가할 수밖에 없다.

언택트 비즈니스가 늘어날수록 기업이 원하는 보안 프로그램들은 다양해질 것으로 보인다. 모든 전자 문서가 실행파일을 전송하기보단 거의 비실행파일인 이미지 문서 파일이기 때문에 비실행파일 악성코드를 진단하는 솔루션이 더 중요해진 상황이라고 할 수 있다. 그런 점에서 우리 회사의 차별화되고 경쟁력있는 보안 솔루션에 대한 니즈가 커질 것으로 전망한다. 국내는 물론 해외에서도 시큐레터의 보안 기술에 대해 좋은 평가를 얻고 있어 시장을 빠르게 키워가고 있다.

시큐레터가 타겟팅하는 시장은 APT 시장, 랜섬웨어 시장, SEG(Secure Email Gateway) 시장이다. 2019년 전세계 APT 시장은 약 5.2 조, 아시아 APT 시장은 약 1.2조, 한국은 약 1000억대 규모로 파악되고 있으며, 2026년까지 연평균 20% 이상의 고성장을 보일 것으로 예상된다.


Q.  제품 외에 인력이나 지원에서 회사의 장점이 있다면.

시큐레터는 독보적인 기술을 가진 전문가들이 모여 있는 ‘전문가그룹’이다. 악성코드 진단 관련 국내 최고의 인력이 모인 젊은 기업이다. 목표의식이 같고 함께 회사를 일궈 나갈 수 있는 분들을 지속적으로 찾고 있다. 스타트업의 자본은 사람이라는 말이 있는 만큼 좋은 인재를 얼마나 잘 영입하느냐가 비즈니스의 성공 기반이라고 본다. 우리 회사의 경쟁력도 사람에서 나오는 만큼 공채는 물론 직원들의 스카우트도 적극 권장하고 있다.

앞으로 더 많은 전문가들이 함께 할 수 있을 것으로 기대한다. 기술력 역시 국내는 물론 세계적으로도 인정받고 있다. 앞서 말한 것처럼 리버스엔지니어링으로 익스플로잇을 찾아 탐지하는 차별적이고, 독자적인 기술을 가지고 있다. 이런 기술력이 실제 투자로 이어지며 큰 성과를 내고 있고, 이는 다시 기술력 강화로 이어지는 선순환 인프라를 만들었다.

실제로 중동 사우디 국책투자기관 RVC, 한국투자파트너스(KIP), KDB산업은행 등으로부터 기술적 우수성, 기업 건전성, 글로벌 시장성 등을 인정받아 120억 원의 투자를 받았다. 우리은행으로부터 4차 산업혁명을 주도할 성장 잠재력이 높은 기업에 선정되기도 했다. 앞으로는 인공지능 기술을 결합한 제품 고도화로 기술 경쟁력을 더욱 강화해 갈 계획이다.


Q.  지금까지의 성과와 그 성장 배경은 무엇이라고 생각하나.

창업 이래 스타트업의 핵심은 사람이라는 경영철학을 가지고 회사를 운영하고 있다. 멤버들이 업무에서의 전문성을 키워 나가는 것은 물론, 일과 삶의 균형을 맞추고 즐겁게 일할 수 있는 환경을 제공하려고 노력하고 있다. 좋은 환경에서 최고의 결과물이 나온다고 생각한다. 사람 중심의 이러한 운영방침이 좋은 인재들이 마음껏 역량을 발휘할 수 있는 요인으로 작용해, 지금까지의 성장의 배경이 된 것 같다. 앞으로도 한국은 물론 글로벌 보안 시장에서 No.1을 목표로 하자는 비전을 갖고 직원들과 열심히 달려갈 계획이다.


Q.  향후, 기업의 목표는 무엇인가.

기술력을 기반으로 제품군을 확장하고 인공지능(AI), 콘텐츠 악성코드 무해화(CDR) 등 보안 기술도 고도화할 계획이다. 중동을 포함한 글로벌 시장 진출에도 더 속도를 낼 예정이다. 현재, 미국 내 유력 파트너와 함께 미국 시장 진출을 위해 필요한 업무들을 진행하고 있다. 시큐레터 설립 초기부터, ‘반드시 글로벌 시장에 진출하겠다’는 목표를 가지고 업무를 추진하고 있다. 왜냐하면 시장 관점에서 볼 때, 한국의 보안 시장은 전세계 시장의 1% 남짓이 될 정도로 작다.

우수한 제품이 있다면, 전 세계 99% 시장에도 충분히 공급할 수 있고, 이를 통해, 한국을 넘어 세계에 시큐레터 솔루션을 공급하는 매출 1조원대의 회사로 만들어 나갈 계획이다. 재택근무, 원격근무가 늘어나면서 보안에 대한 니즈도 커지고 있다. 국내에서만 가격 경쟁을 할 것이 아니라 글로벌적인 성공 사례가 나왔으면 한다. 아직까지 보안 시장에서는 이렇다 할 선구자 수준의 기업이 나오지 않은 상태다. 시큐레터가 그런 기업이 될 것으로 믿는다.


※ 자료 협조: 본투글로벌센터(센터장 김종갑). 시큐레터는 본투글로벌센터의 멤버사입니다.