2020-05-26 12:41 (화)
[RSAC 2020] 블루헥사곤 “딥러닝 기반 네트워크 위협 방어에 혁신…한국 시장 본격 진출”
상태바
[RSAC 2020] 블루헥사곤 “딥러닝 기반 네트워크 위협 방어에 혁신…한국 시장 본격 진출”
  • 길민권 기자
  • 승인 2020.03.06 15:42
이 기사를 공유합니다

딥러닝 기술로 1초이내에 기존 및 신규 악성코드 매우 정교하게 탐지
기존 보안솔루션과 샌드박스 한계 뛰어 넘어…‘Prevention First’ 전략에 초점
RSAC 2020. '블루헥사곤' 전시부스에 많은 참관객들이 몰려 딥러닝 적용 네트워크 보안 솔루션에 대해 관심을 보이고 있다. (데일리시큐=미국 샌프란시스코)
RSAC 2020. '블루헥사곤' 전시부스에 많은 참관객들이 몰려 딥러닝 적용 네트워크 보안 솔루션에 대해 관심을 보이고 있다. 블루헥사곤은 올해 본격적으로 한국 시장에도 진출한다는 계획이다. (데일리시큐=미국 샌프란시스코)

세계 최대 정보보안 컨퍼런스 및 엑스포 RSAC 2020에서 이목이 집중된 스타트업 기업이 있다. 고도화된 딥러닝 기술을 적용해 멀웨어 탐지 속도와 정확성 그리고 선제적 방어 능력을 극대화할 수 있는 제품을 출시해 이미 글로벌 투자사로부터 향후 발전 가능성을 인정받아 많은 투자 유치를 이끌어낸 기업이다. 바로 ‘Blue Hexagon(블루헥사곤)’이다.

데일리시큐는 미국 샌프란시스코에서 열린 RSAC 2020 엑스포 현장에서 블루헥사곤 보안 설계 및 보안 전략 부서 총 책임을 맡고 있는 프란시스코 나제라(Francisco Najera)를 만나 인터뷰를 진행했다. 블루헥사곤은 올해 본격적으로 한국 시장 진출을 준비하고 있는 기업이기도 하다. (이하 인터뷰 내용)

 

◇우선 이번 RSAC 2020에서 주목 받고 있는 ‘Blue Hexagon(블루헥사곤)’ 회사 소개를 간략히 부탁한다.

우선 데일리시큐를 통해서 한국에 블루헥사곤을 소개할 수 있게 돼 기쁘다. 블루헥사곤은 Nayeem Islam(네임 이슬람)과 Saumitra Das(쏘우미트라 다스)에 의해 2017년에 설립된 회사다. 둘은 사이버 보안 및 AI 분야에서 매우 유명하고 존경받는 인물들로 퀄컴(Qualcomm) 연구소에서 다양한 모바일 플랫폼들을 위한 머신러닝(Machine Learning)과 딥러닝(Deep Learning) 기술 프로젝트를 수년간 수행한 경험을 갖고 있다.

딥러닝 기반으로 개발된 블루헥사곤 제품 라인업은 2019년 2월 공식적으로 상용화되었으며 2019년 RSA 행사에 첫 선을 보이고 올해 두번째 참가를 하게 됐다.

블루헥사곤은 현재 벤치마크 캐피탈(Benchmark Capital) 및 알티미터 캐피탈(Altimeter Capital)사로부터 시리즈B 투자를 유치한 스타트업 기업이며 캘리포니아 실리콘밸리의 심장부인 써니베일(Sunnyvale)에 본사를 두고 있다. 그리고 뉴욕 및 미국 주요 도시에서 지사를 운영하고 있다.

◇블루헥사곤의 주요 사업 백그라운드와 역할 그리고 보안 시장에서의 마켓 포지션 및 경쟁 상황에 대해 말해 달라.

머신러닝과 딥러닝 그리고 사이버 보안 분야에 다양한 경험을 가지고 설립했고 보안 업계 최초로 딥러닝 기반 네트워크 위협(Threat) 방어 솔루션인 ‘블루헥사곤’을 개발했다.

딥러닝 기술을 기반으로 ‘Prevention First’(우선 예방) 방어(Defense) 전략에 초점을 맞춰 보안 운영 능력을 실질적이고 혁신적으로 향상 시키는 것이 블루헥사곤이 지향하는 목표다.

지난 몇 년간 공격자들은 차세대 방화벽, 이메일 게이트웨이, 프락시 및 시큐어 웹 게이트웨이와 같은 1차 보안솔루션들을 쉽게 우회하는 공격 기법들을 사용해오고 있는 반면 고객사 및 솔루션 벤더사들은 사고 발생 이후에나 관련 공격을 이해하고 조치하는 악순환을 이어오고 있다.

업계에서는 이러한 공격 및 대응을 위해서 MITRE ATT&CK 프레임워크를 폭 넓게 채택하고 있다. 이는 많은 장점과 업무 적용에 모멘텀을 가지고는 있지만, 현재 TAXII를 통해서 공유하고 있는 주요 내용들은 공격자들이 이미 네트워크에 침투한 후 권한상승이나 2차 공격행위, 정보유출 등을 위한 TTPs(Tatics, Techniques, and Procedures)를 이해하는 데 주로 도움이 되고 있다. 주로 사고를 당한 이후의 기술적 내용들에 집중되어 있다는 의미다.

하지만 사이버 킬체인(Cyber Kill-Chain) 상에서 공격을 막기 위해 우리가 보다 나은 접근법을 고려할 수 있다면 어떨까. 예를 들어 공격을 시도하기 위해 네트워크를 통해 특정 시스템에 접근하거나 측면공격을 수행하고자 할 때 선제적으로 모두 탐지해 접근 자체를 원초적으로 방어할 수 있다면 어떨까. 블루헥사곤이 해결하고자 하는 것이 바로 이것이다.

데일리시큐와 인터뷰를 진행한, 블루헥사곤 보안 설계 및 보안 전략 부서 총 책임을 맡고 있는 프란시스코 나제라(Francisco Najera).
데일리시큐와 인터뷰를 진행한, 블루헥사곤 보안 설계 및 보안 전략 부서 총 책임을 맡고 있는 프란시스코 나제라(Francisco Najera).

◇블루헥사곤 제품의 주요 기능 및 특징에 대해 소개해 달라.

우선 현재 보안솔루션들은 한계점들이 드러나고 있다.

오늘날 대부분 회사 및 조직들은 지속적으로 증가하고 있는 대규모 외부 공격을 경험하고 있다. 지데이터(GData) 자료에 의하면, 2019년 상반기에만 3만 종 이상의 이모텝(Emotet) 변종이 발견되었고, 일 평균 200개의 변종이 쏟아져 나오고 있는 상황이다.

이들 사이버 공격자들은 조직화 되어있고 자금도 충분하다. 그들은 자동화 및 머신러닝을 사용해 이전에 볼 수 없었던 새로운 버전의 악성 멀웨어와 변종 그리고 알려지지 않은 공격 멀웨어를 제작해 공격하고 있다. 이는 기존의 패턴 탐지 기반의 1차 방어 체계인 차세대 방화벽, 프락시, 안티 바이러스 및 IPS 등을 무력화 시키고 있다.

때문에 클라우드 혹은 온프레미스 샌드박스(Sand Box) 같은 2차 방어 라인에 의존할 수 밖에 없다. 하지만 현재 진보된 멀웨어들은 샌드박스(Sand Box)를 여러 기술을 사용해 우회할 수가 있는 상황이다.

블루헥사곤은 바로 이러한 문제점에 대한 해답을 주고자 한다. 외부에서 공격이 접근할때, 딥러닝 기술을 활용해 1초이내에 기존 및 신규 악성코드, 변종형태, 난독화된 버전 등 다양한 형태의 악성코드를 매우 정교하게 탐지해 낼 수 있다. 많은 BMT를 통해서 기존 보안 솔루션 대비 압도적 결과가 이를 증명하고 있다.

블루헥사곤의 기술은 파일을 손상시키거나 행위를 관찰하거나 시그니처와 같은 패턴을 만들거나 이상징후 또는 비정상 행위를 탐지하는 등의 기술을 사용하지 않는다. 또한 탐지 가능한 파일의 크기도 1G까지 가능해 기존 어떤 솔루션보다 성능이 뛰어나다. 때문에 어떠한 형태의 악성코드도 탐지가 가능한 것이다.

전통적인 보안 접근 방식은 탐지가 너무 느리고 오로지 공격에 대한 반응만을 기본으로 하기 때문에, 공격자에게 충분한 공격 시간을 주게 되고 고객 시스템을 넘나 들며 메모리에 숨기고 또 계정 도용(Impersonation)등의 공격을 가능하게 하고 있다는 것이 문제다. 이런 점이 기존 솔루션과 블루헥사곤의 핵심 차별 포인트라고 할 수 있다.

◇블루헥사곤의 제품 경쟁력은 무엇인가. 그리고 왜 현재 사이버 보안 시장에서 블루헥사곤이 꼭 필요한 제품이라고 생각하는가.

기존 보안 제품들은 매일 생성되는 알려지지 않은 엄청난 공격 내용들을 즉시 파악할 수 없다. 우리가 알고 있는 ‘차세대’로 알려진 보안 어플라이언스 제품들은 이미 오래된 이전 시대의 기술을 사용하기 때문이다.

샌드박스(Sand Box)는 우회되고 있고 네트워크 위협 분석 솔루션은 탐지에 많은 시간이 소비되고 많은 오탐을 생성하는 기존의 패턴기반 및 비정상행위(Anomaly) 탐지 방식에 의존하고 있다. 비정상 행위 탐지가 반드시 나쁘다는 것은 아니지만, 오탐에 대한 추가 분석이 요구되기 때문에 보안 분석가의 업무를 가중시키고 있다는 것이 문제다.

따라서 블루헥사곤의 접근 방식과 기술은 매우 혁명적이라고 말할 수 있다. 탐지를 위해서 어떤 탐지 패턴이나 학습 등이 필요하지 않기 때문이다.

실시간으로 악성코드를 탐지하기 위해 높은 수준의 딥러닝 기반을 적용해 ‘데이터 기반의 특징 형상화 모델’(Data-Driven Feature Abstraction Models)을 사용한다. 의료, 영상분석 등 다양한 분야에 사용되는 딥러닝 기반의 분석 기술이다. 이 기술은 기존 사람에 의해서 수행하는 한계(예를 들어 패턴생성이나 학습 등)를 뛰어넘는 방법이며 더욱 효율적이고 고도로 정교한 수준의 위협 탐지율을 보장한다.

블루헥사곤을 통해, 위협 내용을 분석하거나 오탐에 대처하기 위해 낭비되는 시간을 획기적으로 줄일 수 있으며 보안 담당자들의 업무 효율을 극대화할 수 있다. 높은 탐지 정확도와 낮은 오탐 그리고 매우 빠른 탐지 속도를 필요로 하는 고객에게 하이브리드형 보안 아키텍처로 적합하다. 또한 블루헥사곤 어플라이언스는 미러링 행태(Passive mode)로 동작하기 때문에 인라인 모드(Inline mode)의 부담이 없으며 운영 중인 SOAR(Security Orchestration, Automation and Response) 솔루션과 통합되어 운영이 가능하다.

RSAC 2020 참관객에게 블루헥사곤 핵심 기술을 설명하고 있는 프란시스코.
RSAC 2020 참관객에게 블루헥사곤 핵심 기술을 설명하고 있는 프란시스코.

◇블루헥사곤은 올해부터 본격적으로 한국 비즈니스에 돌입한다고 들었다. 한국에서 사업 계획과 전략은 어떤가.

한국 사업은 총판사인 트라이오니즈(대표 조혁래)와 기술파트너사인 타이거팀(대표 황석훈)을 중심으로 개척해 나갈 계획이다.

한국은 블루헥사곤의 성공을 위해 매우 중요한 지역이라고 생각한다. 한국에는 기존 전통적인 보안제품을 다수 보유·운영하고 있는 잠재 고객들이 있으며, 이 중 상당수가 오래 되고 효율적이지 못한 ‘차세대’로 일컬어 지는 이전 보안 기술들에 의존하고 있는 상황이다. 고객들의 선택의 폭도 넓지 못하다. 특히 한국은 정치, 경제적 측면에서 북한, 중국 등 APT 공격 그룹에 의한 사이버 범죄의 표적이 되고 있다.

블루헥사곤은 한국에서 기존 방화벽, 프록시 및 보안 웹 게이트웨이와 같은 보안의 1차 방어선을 우리의 초고속 및 고효율적 기술을 통해 보완하고 개선하는 역할을 담당하고자 한다.

또한 샌드박스(Sand Box) 기술을 사용하고 있는 곳도 전략적인 비즈니스 대상이다. 이유는 기존 샌드박스는 악성코드 여부를 확인하는데 상당한 시간이 소요되고 여러 제약들이 있었지만, 블루헥사곤은 이를 확인하는데 단 1초 이내면 충분하고 분석 과정에서 기술적 제약이 거의 없기 때문이다. 한마디로 기존 전통적인 샌드박스 기술을 압도하기 때문이라고 말 할 수 있다.

◇끝으로 한국 고객들에게 전하고 싶은 말이 있다면

세계는 딥러닝(Deep Learning)에 의해 주도되고 있는 기술적 속도와 효율의 혁명을 경험하고 있다. 구글의 어시스턴트, 아마존의 알렉사와 같은 목소리 감지 기술, 자율주행 기술, AI 음성 비서 등의 기술에 익숙한 상황이다. 또 이런 딥러닝 기술은 각종 암을 진단하고 코로나19와 같은 전염병 발병을 예측하는 데도 사용되고 있다.

딥러닝을 이용한 사이버 보안의 고도화는 이제 너무도 필연적이고 앞으로도 매우 유망한 분야임에 틀림없다. 블루헥사곤이 미국과 유럽 시장에서 이것을 증명하고 있다. 현재 블루헥사곤 딥러닝 기술을 이용해 많은 고객들의 보안 운영 방식이 개선되고 있고 침해(Breach) 위험 감소 효과를 보고 있다. 앞으로 한국 고객들과도 많이 소통하고 한국의 사이버보안 발전에 도움이 될 수 있도록 최선을 다하겠다.

★정보보안 대표 미디어 데일리시큐!★