[인터뷰 내용]

대표님과 큐비트시큐리티의 제품인 PLURA에 관해서 소개 부탁드립니다.

안녕하세요, 저는 큐비트시큐리티 대표 신승민입니다. 저희 제품 PLURA는 실시간으로 해킹을 탐지하는 클라우드 기반의 솔루션입니다.

보통 사람들은 해킹이 일어나기 전에 예방해야 한다고 생각합니다. 해킹이 일어난 후에 탐지한다는 것은 어떤 의미가 있는지 궁금합니다.

작년에 보안 솔루션 업체 파이어아이(FireEye)가 보고한 리포트에 의하면, 기업이 해킹을 당하고 그 사실을 인지하는 데 걸리는 시간이 평균 205일이라고 합니다. 이는 피해가 심각해질 수 있는 상당히 긴 시간입니다. 실제로 한 커뮤니티에서 190만 명의 데이터가 유출되었는데, 1분 안에, 혹은 하루 안에 해킹 사실을 알았다면 이렇게 많은 데이터가 유출되지 않았을 것입니다. 그래서 정확한 탐지는 대단히 중요하고 저희 시스템은 실시간 탐지로 하루 안에 대처할 수 있습니다.

그렇다면 기존의 시스템에서는 어떤 문제점들이 있었나요?

기존의 탐지 시스템 중에 가장 유용한 것은 안티 바이러스인 것 같습니다. 그런데 안티 바이러스는 근본적으로 해킹 코드가 입력되지 않는 한 탐지할 수 없는 한계가 있습니다. 2014년에 보안 기업 시만텍(Symantec)의 부사장은 안티바이러스 소프트웨어가 전체 해킹 공격 중 45%만을 탐지할 수 있다고 발표해 많은 사람에게 충격을 주었습니다. PC에서의 통계였는데 스마트폰이나 다른 쪽에서는 더 심각하다는 말입니다.

흔히 볼 수 있는 IDS나 IPS 같은 장비는 패킷을 분석하는데 TCP/IP에서는 데이터가 1,500바이트를 넘으면 프레그멘테이션(fragmentation)이 일어나 패킷을 여러 개로 나뉘어서 전송합니다. 그래서 공격 패킷을 잘라서 보내면 패킷 하나하나를 받아들이는 데 문제가 없어도, 서버 쪽에서 재조합했을 때 해킹 코드가 될 수 있습니다. IDS나 IPS는 이런 종류의 해킹을 전혀 감지할 수 없습니다. 그래서 중간에 패킷을 받아본다는 것은 분명히 한계가 있고, 더 강도 있는 보안을 하게 되면 탐지 시스템이 너무 많은 패킷을 탐지하여 오탐이 너무 많아지는 문제가 생깁니다.

방화벽의 경우에도 다 막아주는 것처럼 보이지만, 아주 기본적인 해킹만 막을 뿐입니다. 해킹은 거의 다 웹서비스를 통해서 시작되는데, 그 말은 http와 https로 공격 패킷이 들어온다는 것이고 고급해커에 의한 공격은 아무것도 막아주지 않습니다. 이런 문제점들은 지난 수십 년 전부터 지금까지 계속 해결되지 못하고 있습니다. 안티 바이러스와 방화벽이 있어도 해킹에 대해 안전하다고 말할 수 없는 현실입니다.

PLURA는 이 문제를 어떻게 해결하여 해킹을 탐지하나요?

어떤 서버에 로그인이 성공 또는 실패했는지 혹은 패킷을 받아들이고 실행한 후에 문제가 발생했는지는 로그를 통해 알 수 있습니다. 기존에 로그를 취합하는 시스템이 있지만, 취합만 하고 분석하지는 않습니다. 저희 기술은 로그를 실시간으로 분석하고 정확히 탐지하여 어떤 문제점이 있는지 사용자들에게 즉시 알려주고 오탐율을 90% 이상 줄일 수 있습니다. 저희 제품은 로그 베이스이기 때문에 기존에 들어오는 로그에 대해 패턴매칭을 해놨다면 100% 다 탐지를 합니다. 전체 해킹에 대한 탐지율은 다른 것이고 사실은 알 수 없습니다.

3단계 해킹 탐지 시스템이라고 들었는데 설명 부탁드립니다.

실시간 탐지, 추적탐지, 통계탐지 3단계 해킹 탐지 시스템입니다. 먼저, 실시간 탐지는 다이내믹 라이브러리(dynamic library)에 의한 필터링 규칙기반 탐지인데, 다이내믹 라이브러리에 저희가 만들고 제공한 패턴이 있고 유저가 만든 패턴도 즉시 넣어서 탐지할 수 있습니다.

그리고 로그인이 성공하면, 성공한 로그인이 과거에도 존재했는지, 과거에 주로 사용하는 IP 대역이었는지 등 상관 분석 방법에 의해 트레이스(trace)를 분석하여 탐지하는 것이 추적탐지입니다. 추적탐지로 과거의 로그와 비교해서 현재 성공한 로그인들이 어떤 패턴을 보이는지 유저에게 설명해줄 수 있습니다.

마지막으로 패턴을 아무리 많이 만들어도 존재하지 않는 것이 있을 수 있습니다. 그래서 새로운 로그를 지난 3개월 동안 발생한 로그 통계와 비교하여 아웃라이어(outlier)가 생긴 것을 알려주는 통계탐지를 사용합니다. 통계탐지는 과거 누적된 데이터를 스스로 학습하고 그 데이터와 비교해서 유저에게 설명해줍니다. 다이내믹 라이브러리와는 엔진 베이스에서 실시간 탐지하는 것이 아닌 통계적으로 탐지한다는 것이 다릅니다. 통계적으로 제공하는 범위는 로그와 전체 로그를, 로그인 성공만을, 로그 실패를 비교하거나, 어떤 객체, exe, dll를 엑세스 하는 개수 등 상당히 넓습니다.

전 세계적으로 비슷한 솔루션을 제공하는 경쟁사는 없나요? 있다면 PLURA만의 강점은 무엇인가요?

전 세계에 어떤 제품을 제공하는 스타트업이 있는지는 다 모르겠지만, 기본적으로 로그를 취합해서 분석해주는 많은 솔루션이 있습니다. 대부분 하드웨어에 소프트웨어를 얹어서 판매하는 어플라이언스(appliance) 형태입니다. 그런데 어플라이언스 제품은 5,000만 원부터 수억 원까지 큰 비용이 들고 그것을 검토할 사람이 필요합니다. 그리고 비용이 비싸서 테스트부터 도입 결정까지 걸리는 시간이 너무 오래 걸립니다. 반면에 저희는 클라우드 서비스로 만들어서 유저입장에서 비용과 검토하는 사람, 도입하는 시간 전부 다 절약할 수 있습니다. 설치하는데 10분도 안 걸리고 에이전트만 설치하면 유저가 아닌 관리자인 저희가 로그 데이터를 분석해드립니다.

PLURA 관련 시장은 어떤 상황인가요?

전 세계적으로 보안 시장 규모는 720억 달러(약 80조 원) 정도입니다. 우리나라에서는 1조 5,000억 원 정도인데, 그중에 로그 분석 분야는 약 700억 원으로 작은 규모입니다. 하지만 안티 바이러스 시장의 성장률이 연간 1%가 안 되는 것에 비해서 로그 분석 시장 분야는 거의 10%에 육박합니다. 미국에서는 SIEM(Security Information & Event Management) 영역에 들어가 있는데 720억 달러 중에서 200억 달러를 차지합니다. 미국 IT 분야 리서치 어드바이저리 전문업체 가트너(Gartner)는 2017년까지 보안시장에서 로그 분석 시장으로 넘어가는 규모를 410억 달러로 예측했고, 마찬가지로 어플라이언스 형태에서 클라우드 기반으로 넘어갈 것으로 생각하고 있습니다.

우리나라는 클라우드 지수가 굉장히 낮은 편이지만 2015년부터 증가하고 있고 클라우드란 용어도 많이 들립니다. 지난 3월에 일명 클라우드 발전법이 국회 본회의를 통과하였고, 공공기관은 반드시 클라우드 서비스를 써야 합니다. 이런 분위기를 타서 저희는 2015년 서비스를 런칭했고, 2016년부터 공공기관을 선두로 한국 시장이 더 성장할 것으로 생각합니다.

로그 정보를 외부로 유출한다는 점에 대해 기업의 거부감은 없었나요?

로그에는 두 가지 타입이 있습니다. 시스템 로그와 커스텀 로그가 있는데, 커스텀 로그에는 많은 정보가 포함되어 있습니다. 커스텀 로그를 통해 아이디나 패스워드부터 게임 회사의 경우에는 영업자료까지도 알 수 있습니다. 그래서 커스텀 로그를 클라우드로 넘기는 것에 대한 저항감이 강합니다. 하지만 시스템 로그는 중요한 정보가 없습니다. 오직 커널이 내 서버에 남긴 로그만이 남아있을 뿐이고, 시스템 로그의 유출은 상대적으로 고객 기업들의 저항감이 없습니다. 시스템 로그가 유출되었을 때 손해를 입을 확률은 커스텀 로그가 유출된 것에 비하면 1/100도 안 된다고 생각합니다. 게다가 저희는 로그를 직접 보지 않고 데이터마이닝 기법으로 분석하기 때문에 문제가 없습니다.

지금까지 스타트업을 하면서 어떤 어려움이 있었나요?

저희가 클라우드 서비스로 시작했는데 서버 하나에 로그 데이터가 나오는 양이 워낙 많아서 시스템 설계 때문에 고생했습니다. 그때는 대안이 오직 데이터베이스밖에 없었습니다. 돈이 없어서 MySQL를 사용했는데 1,000만 개를 넣었더니 검색은 물론이고 아무것도 할 수 없었습니다. 결국은 한 달 치 로그를 쌓고 나머지를 버리는 시스템을 계속했었고, 너무 힘들었습니다. 3년 전에 하둡(Hadoop)이 나오면서 데이터를 넣어 분석하려는 시도를 했으나 아무 의미가 없었습니다. 설계도 잘못되었고, 하둡이 너무 느려서 검색하면 나오지 않았습니다. 그런데 하둡 2.0이 나온 이후로 빨라졌고, 하둡 맵리듀스는 쓰지 않지만, 아파치(Apache)의 하둡 에코 시스템의 속도가 비약적으로 늘어났습니다. 엄청나게 많은 데이터를 저장할 수 있고 검색도 빨리 처리할 수 있어서 가능하다고 생각했고, 작년부터 개발하여 이번에 런칭하게 되었습니다.

창업하시게 된 계기가 궁금합니다.

회사를 설립하기 전에 게임회사에서 CTO로 일했습니다. 게임 해킹에 대응하며 시스템을 설계하고 로그 분석 시스템도 운영했는데 근본적인 질문에 도달했습니다. dll 인젝션을 어떻게 막을 수 있을지 방법을 찾다가 로그 분석을 하면 가능하다는 것을 발견했습니다. 처음에는 실패해서 로그 분석 시스템을 만들기 전에 게임을 런칭했는데 완전히 해킹당해서 좌절했습니다. 그때 솔루션을 만들어서 다른 사람과 공유하자고 결심했고, 어떻게 사업을 시작할 것인지 지속적으로 고민해서 작년에 회사를 퇴사하고 창업을 하게 되었습니다.

큐비트시큐리티는 어떤 사람들로 구성되어 있나요?

팀원은 현재 총 8명으로 아키텍처는 제가 하고, 서버와 클라이언트, 앱 개발에 3명, UI 및 UX에 2명, 데이터 및 네트워크 분석에 2명으로 구성됩니다. 팀원 중 60%는 이전 회사에 같이 일하시던 분들입니다. 저 자신을 트랜드에 맞는 진보적인 사람이라고 생각하는데, 사람을 뽑을 때는 조심스럽습니다. 그래서 이미 신뢰 관계가 있는 같이 일해본 사람들이 더 많은 것 같습니다.

미국 진출을 준비하고 계신가요? 만약 준비하고 계신다면 그 이유가 궁금합니다.

원래 미국 진출은 내년 초로 계획하고 RSA 컨퍼런스에 맞춰서 준비하려고 했습니다. 그런데 비석세스의 정현욱 대표님께서 비글로벌 샌프란시스코 2015에 참가를 제안하셔서 빨리 시도하는 방향으로 순서를 바꿨습니다. 그로 인해 실제 고객 수와 로그 수, 분석한 데이터양을 더 명확하게 보여줄 수 있는 데이터가 비글로벌 날짜까지 원하는 만큼 쌓이지 않을 것 같습니다. 그 점이 아쉽기는 하지만 미국 진출에 대한 의지는 큽니다. 이유는 당연합니다. 국내 IT 기업의 여러 좋은 서비스가 있지만, 세계적으로 유명해진 회사가 별로 없다는 것이 아쉽습니다. 저희는 만들고 있는 소프트웨어가 글로벌한지 초반부터 타진하고 싶었습니다. 저희는 클라우드 베이스의 보안과 관련된 회사인데, 한국에서 경쟁하는 회사로 보이기보다 세계시장으로 진출하길 원해서 비글로벌에 참가를 했습니다.

향후 투자 계획은 어떠하신가요?

스타트업이니까 투자를 받아야 하고, 현재 8명인 직원을 두 배로 늘리기를 원합니다. 투자가 원활하게 일어났다면 15명 정도 되었을 텐데, 저희는 고객이 일반인들이 아니라 기업들이기 때문에 투자받기에 약간 어려운 게 사실입니다. 일반 VC는 B2C에서 접근하는 방식에 대한 이해도가 상당히 높으신데, B2B에는 약간 어려워하시고 시장의 성장에 대해 우려도 하십니다. 어렵게 VC를 만나며 투자에 대해 진행을 하고 있습니다. 지금 디캠프(D.CAMP)에 들어와있는데 추가 투자도 있을 것이고 11월에 TIPS에 가기로 예정이 되어서 준비하고 있습니다.

오는 10월 15일 ‘비글로벌 샌프란시스코 2015’에 참가하는 Top10 기업으로 선정되셨습니다. 비글로벌 컨퍼런스 IR과 부스를 위해 특별하게 준비한 것이 있습니까?

발표하기 전 30초 정도의 데모 영상을 준비했고 심혈을 많이 기울였습니다. 또 하나는 IR인데, 저희 서비스를 설명해드려야 하고, 다른 수많은 기업이 하지 않고 있는, 우리가 성공했다고 하는 것에 대한 설득이 필요합니다. 남은 3주 동안 IR 덱을 얼마나 잘 만들어서 5분 안에 적절하게 설명해 드릴 수 있는지가 가장 큰 숙제입니다.

창업을 꿈꾸는 포스텍 학생들에게 조언 부탁드립니다.

학생이면 창업해야 한다고 생각합니다. 학생 창업하신 분들을 많이 만나봤는데 너무 페이스북이 성공한 것처럼 따라가려고 생각하시는 것 같습니다. 훌륭한 학생들이 B2C에 대한 문제 해결에 전력을 쏟고 있을 것이 아니라 대학원에 가서 조금 더 공부해서, 그 안에서 해결해야 할 문제를 끄집어내는 것이 낫다고 생각합니다. 창업하실 때 사회의 문제를 해결하는 것이 어떤 가치를 주고 얼마나 가치를 더할 수 있는지 한 번쯤 고민했으면 좋겠습니다. 저희는 작은 회사지만 해킹을 인지하기까지 오래 걸리는 해킹을 실시간으로 탐지하고 싶었고 하루 안에 해결책을 드리고 싶었습니다. 그리고 중요한 문제가 틀림없다고 생각했습니다.

영화 아라비아의 로렌스에 나오는 대사 중에 이런 내용이 있습니다. 대부분 사람은 지친 몸을 안고서 달콤한 꿈을 꿉니다. ‘내일은, 10년 뒤에는 더 행복해야지.’하며 꿈을 꾸지만, 다음 날 일어나면 허망된 꿈이라는 생각을 합니다. 그런데 벤처 기업가분들은 혁명가이고, 낮에 꿈을 꿉니다. ‘세상을 변혁시키고, 난 할 수 있어’라는 꿈은 절대로 밤에 지친 몸으로 하는 것이 아닙니다. 만나본 모든 스타트업 분들은 이사회에 어떤 것을 이바지하고, 어떤 변화를 줄 것이고, 어떤 성취를 할 것인지 낮에 명확하게 꿈을 꾸고 계십니다. 이 말은 모든 스타트업 분들하고 함께 나누고 싶습니다.

[출처] [수수기-30] 큐비트시큐리티 대표 신승민작성자 APGC