"회사 부장님이 확인하라며 보낸 한글 문서 파일, 협력사가 보낸 PDF 파일, 공공기관 사이트에 민원인이 올린 이미지 파일에도 해커가 보낸 악성코드가 있을지 모른다. 'exe 실행파일'을 다운로드하는 것만 위험한 것이 아니다. 서서히 우리의 일상에 침투하고 있는 해커의 비실행파일을 보안 솔루션으로 잡겠다."
임차성 시큐레터 대표는 최근 경기 성남시 금토동에서 만나 이렇게 말했다. 안랩, 소만사 등 보안업체에서 2008년부터 분석가로 일했던 임 대표는 비실행파일에 숨어있는 악성코드를 검진할 수 있는 솔루션을 개발한 후 2015년 시큐레터를 설립했다.
시큐레터는 악성코드를 분석·차단하는 자동화된 보안 솔루션을 제공하는 기업으로, 비실행파일 내 악성코드를 집중적으로 진단한다. 한글(HWP), PDF 등 문서파일과 gif 등 이미지 파일을 뜻하는 '비실행파일'은 해커들이 이메일로 악성코드를 전파하기 위해 활용하는 대표적인 수단이다.
기존 악성코드 진단 솔루션은 대체로 exe 등 실행파일을 통한 행위 기반 진단을 중점적으로 진행했다. 그러나 실행파일의 보안 위험도에 대한 일반 이메일 사용자의 의식 수준이 높아지면서, 점점 더 많은 해커가 상대적으로 친숙하고 안전하다고 여겨지는 한글 문서 등 비실행파일로 이메일 해킹 공격을 하고 있다.
회사는 비실행파일 보안에 집중하며 차별성을 확보해 2020년 사우디아라비아의 정부투자기관인 RVC로부터 약 25억원의 투자를 받았으며 누적 투자금은 190억원이다. 시큐레터는 2020년 KT와 제휴를 맺고 지능형위협메일 분석 솔루션을 출시하기도 했다. 시큐레터는 올해 하반기를 목표로 기술 특례 상장을 준비 중이다.
ㅡ안랩을 나와 창업하게 된 계기는.
"안랩 등 보안업체에서 약 7년간 연구원으로 근무하면서 확인한 현재 사이버보안의 맹점은 대다수의 이메일 해킹 공격이 비실행파일을 중심으로 진행되고 있음에도 여전히 보안 절차는 실행파일 중심으로만 이뤄진다는 것이었다. 실행파일은 과거에 성행했던 해킹 방법인데 이미 많은 사람이 실행파일을 위험하다고 인지하고 있기 때문에 더는 함부로 다운로드하지 않는다. 실행파일이 '다운로드 100%' 상태가 되면 내 PC에 낯선, 위험한 악성코드가 깔릴 것이라고 생각하기 때문이다.
반면 비실행파일은 일할 때 이메일로 자주 주고받는 워드 파일 등 커뮤니케이션 수단이라 파급력도 더 크다. 회사에서 '아무 파일이나 다운로드하고 프로그램 실행하지 마세요'는 말하지만 '아무 한글파일이나 다운로드하지 마세요'라고 말할 순 없지 않나. 활용도도 훨씬 높고 위험하다고 분류되지도 않는다. 이점을 안랩 등 회사에서 해킹 공격 사례를 분석하면서 깨달았고, 미래엔 비실행파일을 중심으로 한 공격이 더 많아지겠다고 생각해 비실행파일에만 초점을 맞춘 보안 솔루션을 직접 개발하게 됐다."
ㅡ비실행파일이 왜 실행파일보다 더 파급력 있는지 자세히 설명해달라.
"비실행파일은 끊임없이 변종이 되고, 변종이 된 형태의 새로운 비실행파일이 또 평범한 문서나 이미지 파일의 가면을 쓰고 나를 신뢰하는 다른 이들에게 계속 퍼져서 그야말로 살아있는 사이버 슈퍼 바이러스가 된다. 예컨대 회사 팀장이 해커가 보낸 악성코드가 숨겨진 문서파일을 다운로드했다고 가정하자. 팀장의 PC가 악성코드에 감염될 뿐 아니라 팀장이 그 문서파일을 팀원에게 보내면, 그 파일을 포맷으로 새 문서를 작성하는 팀원의 문서파일도 '좀비'가 된다. 그 좀비 파일을 팀원이 다른 협력사 직원에게 보내면 그 직원 PC도 감염이 된다. 비실행파일은 문서 안에서 띄어쓰기 한 칸만, 글자 한 글자만 바꿔도 아예 특징(시그니처)이 바뀌어 기존 솔루션이 이를 위험하다고 감지할 수가 없다. 또 비실행파일은 문서를 다운로드해 특정 페이지, 예컨대 3페이지까지 마우스를 스크롤해야만 악성행위가 발현되는 등 해커들이 많은 속임수를 쓴다. 그래서 악성파일을 받고도 3년 후 파일을 열고 특정 행위를 실행한 이후에야 악성코드에 감염되기도 한다. 즉 3년간 내 PC에 지뢰가 숨겨졌는지 모르고 살 수도 있다는 뜻이다."
ㅡ기존 보안 솔루션으로는 변종이 되는 악성 파일을 잡을 수 없나.
"그렇다. 현존하는 상당수의 보안 솔루션은 과거 악성코드로 이미 한번 분류된 파일을 데이터베이스로 삼아, 특정 이메일의 파일과 대조하는 단순한 방식이다. 그렇다면 누군가 과거 다운로드한 적이 있는 악성코드가 아닌, 새롭게 개발됐거나 변조된 파일은 잡아낼 수가 없다. 무한대로 변조되는 비실행파일을 잡는 것이 매우 어렵다는 것을 뜻한다. 행위기반솔루션, 즉 파일을 한번 가상의 공간에서 실행해보고 비정상적인 행위가 있는지를 확인하는 방식도 있는데, 비실행파일의 경우 가상의 공간에서 파일을 한차례 실행해도, 직접 파일을 열어보는 것이 아닌 이상 이상행위가 발생하지 않는 경우도 많다."
ㅡ그렇다면 시큐레터는 비실행파일 내 악성코드를 어떻게 찾나.
"리버스 엔지니어링 기술을 기반으로 완성된 파일을 보고, 이미 앞서 악성코드로 분류됐던 특징, 즉 시그니처나 특별한 비정상적인 행위가 포착되지 않아도 악성코드를 차단할 수 있게 했다. 리버스 엔지니어링은 완성된 파일을 보고 설계기법을 역추적하는 기술을 뜻한다. 파일을 세세하게 분해해, 새롭게 개발되거나 변종이 된 악성코드라도, 이 파일이 잠재적으로 악성 행위를 할 수 있을지를 역으로 분해해서 판단한다. 자동차를 만드는 기술이 없으면 누군가 만든 자동차를 분해해서 어떻게 만든지 파악하면 다시 또 조립하는 법을 스스로 터득할 수 있지 않나. 해커가 만든 비실행파일을 가져와 분석하고, 수백개로 분해된 소스코드를 기반으로 이 파일은 어떻게 만들어졌는지, 악성코드가 있는지 여부를 파악하는 것이다."
ㅡ사우디아라비아 정부투자기관으로부터 투자를 받은 점이 특이하다.
"북한 해커들이 계속 한국을 공격하듯이, 사우디아라비아도 이란과 사이가 좋지 않아 계속 사이버 공격을 받고 있으며 보안에 대한 관심이 크다. 시큐레터에 투자했던 업체를 통해 소개받아 투자를 유치하게 됐다. 인도네시아, 말레이시아 등 동남아를 기반으로 미국 등 다양한 해외 국가 진출도 준비하고 있다."
ㅡ 앞으로의 목표는.
"연내 기술 특례 상장을 통해 기업공개(IPO)를 마무리할 예정이다. 여전히 많은 기업과 기관이 실행파일만을 중점적으로 다루는 보안 솔루션을 도입한 상태에서 멈춰있다. 보안 솔루션 하나면 충분하다고 생각하는 경우가 많다. 우리는 기술력으로 인정받아 실행파일을 중심으로 진단하는 보안 솔루션뿐 아니라 비실행파일에 초점을 맞춘 시큐레터의 보안 솔루션도 추가로 도입해야 한다는 것을 증명하겠다."