마리오 벅산 리버싱랩스 CEO

▲ 마리오 벅산 리버싱랩스 CEO는 “리버싱랩스는 자동화된 정적분석과 파일 평판 플랫폼을 통해 빠르고 정확한 분석결과를 도출하며, 사이버 공격을 위해 기업 내 숨겨진 오브젝트를 찾아 대응한다”고 소개했다.

[아이티데일리] 글로벌 보안 기업 리버싱랩스(CEO 마리오 벅산)가 국내 시장 공략을 본격화하고 있다. 오픈소스 보안 전문기업 BDSK(대표 김택완, 구 블랙덕소프트웨어코리아)와 협력을 통해 한국지사를 설립하고, ‘제1회 리버싱랩스 사이버 시큐리티 인텔리전스 컨퍼런스’를 개최하는 등 영향력을 확대해 나가고 있다. 또한 IT 운영 관리 솔루션 전문기업 엔키아(대표 김영부, 봉건)과 골드 리셀러 계약을 체결해 유통망도 확대하고 있다.

리버싱랩스코리아는 80억 개 이상의 굿웨어 및 멀웨어 파일에 대한 컨텍스트와 초고속 자동화 정적분석 엔진, 고유의 해싱 알고리즘을 바탕으로 첨단 지능형 보안 시스템을 국내 시장에 보급하고 있다. 최근 한국을 포함, 글로벌 비즈니스를 확대해가고 있는 리버싱랩스의 마리오 벅산(Mario Vuksan) CEO와 만나봤다.


자동화 및 초고속 정적 분석으로 악성코드에 대응

2009년 설립된 리버싱랩스는 악성코드 분석과 해로운 파일 및 오브젝트에 대한 정보를 제공하는 데 역량을 집중하고 있다. 특히 자동화된 정적 분석과 파일 평판 플랫폼을 통해 빠르고 정확한 분석결과를 도출하고, 사이버 공격에 활용되는 숨겨진 오브젝트를 찾아낸다. 이런 역량을 바탕으로 2017년 인큐텔(In-Q-Tel), JP모건 등으로부터 2천 5백만 달러 이상의 투자를 유치했으며, 현재 미국 정부 및 금융기관, 국내 반도체 기업 등을 고객사로 확보하고 있다.

마리오 벅산 리버싱랩스 CEO는 “리버싱랩스는 진보된 악성코드 분석과 해로운 파일 및 오브젝트들에 대해 이해할 수 있도록 자동화된 정적분석과 파일 평판 플랫폼을 제공하고 있다”며 “리버싱랩스의 하이브리드 클라우드 플랫폼은 ▲엔드포인트 탐지 및 대응(EDR: Endpoint Detection & Response) ▲이메일 ▲보안 정보 및 이벤트 관리(SIEM: Security Information & Event Management) ▲샌드박스(Sandboxes) 등 기존 보안 솔루션과 결합해, SOC 분석가들의 대응시간을 줄이고, 보안 전문가들에게 높은 순위의 보안 위협에 대한 상세한 침해정보를 제공함으로써 진보된 검색 및 정책 설정을 통해 빠른 조치를 취할 수 있도록 지원한다”고 말했다.

그는 또한 “리버싱랩스는 보안 기업을 대상으로 위협 해결책을 제공해 왔다. 더불어 SOC, IT 또는 개발부서에 국한되지 않고 웹, 모바일, 이메일, 클라우드, 앱 개발 등에 대한 위협 문제를 비롯해, 파일과 오브젝트가 큰 위협이 되고 있는 상황에서 문제 해결 방안을 찾고 있는 산업으로 사업 영역을 확장하고 있다”고 덧붙였다.

리버싱랩스는 보안 기업 BDSK와 협력해 지난해 12월 국내 지사인 리버싱랩스코리아를 설립했다. 마리오 벅산 리버싱랩스 CEO는 한국지사 설립과 관련, “리버싱랩스는 지사 설립 이전부터 한국에 고객사를 확보하고 있었으며, 한국 고객에 대해 지원을 강화하고 현지화된 서비스를 제공하기 위해 지사를 설립하게 됐다”고 설명했다.

다음은 마리오 벅산 리버싱랩스 CEO와의 인터뷰를 문답식으로 정리한 것이다.


공격 대응 위해 공격 기술 및 구조에 대한 이해 필요

Q. 리버싱랩스를 설립하게 된 계기는?

“10년 전인 2009년 리버싱랩스 설립 당시에는 새로운 사이버 공격 요소가 급격히 증가하고 있었다. 특정 국가의 후원을 받는 해커 및 범죄 단체들은 금전적인 목적으로 특정 타깃에 다양한 공격 기법을 활용하기 시작했다. 여러 겹의 코드 난독화, 코드 보안 등을 활용한 공격으로 인해 많은 기업들이 방어를 위한 기술적인 해결책을 찾는데 어려움을 겪었다.”

“이런 신규 공격들이 구체화되기 시작했을 때, 공동창업자인 토미슬라프(Tomislav)와 함께 다른 보안 기업에서 일하며 실행 파일 내 콘텐츠의 움직임을 추적하고 있었다. 하지만 콘텐츠의 구조나 실행 파일의 수익 하중을 들여다 볼 수는 없었다. 이 때, 정교해진 공격으로부터 위험을 경감시키기 위해서는 그 공격에 사용되는 기술과 구조를 이해하는 것이 매우 중요하다는 것을 깨달았다.”

“또한 대부분의 기업들이 공격에 대한 심도 있는 이해를 위해 투자를 하고 있지 않다는 것도 알게 됐다. 이에 따라 위협을 미리 막을 수 없는 수동적이고 시그니처에 기반한 방법으로 대응하는 끝없는 악순환이 반복되고 있었다. 이런 문제점에 대한 해결책을 제시하기 위해 리버싱랩스를 설립했다.”


Q. 리버싱랩스를 설립했을 때, 당시 보안 시장 상황은?

“리버싱랩스를 설립했을 때 대부분의 조직들은 파일이 시스템 상에 나타났을 때부터 그 파일을 추적하고, 그들이 보유한 시그니처와 일치했을 때만 보안 조치를 취하고 있었다. 그러나 아무도 그 공격 코드가 생성되는 방법이나, 파일 형식, 행동, 변형의 다양성, 다른 컴포넌트 사이의 코드 원칙 등에 대해서는 이해하려고 하지 않았다.”

“보안 업계는 공격의 행적을 복구하는 것에만 지나치게 집착해 코드 수준에서의 행동, 난독화 기법 혹은 어떻게 그 소프트웨어가 말단에서 가끔식 발견됐는지 등 본질에 대해서는 이해하려고 하지 않았다. 이런 행동은 결국 APT 공격자에게 힘을 실어주는 꼴이었다. 이런 문제를 해결하고자 시장에서는 악성코드 문제를 해결하기 위한 새롭고 혁신적인 방법을 요구하기 시작했다.”


Q. 설립 당시의 아이디어를 어떻게 적용했나?

“새롭고 현대적인 위협들을 해결하기 위해서는 파일 형식에서부터 정적 행동, 숨겨진 내장 콘텐츠의 조사 및 추출에 이르기까지 공격 코드의 구조를 이해하기 위해 노력해야 하며, 새롭고 복잡한 공격 문제를 해결할 수 있는 정확한 솔루션을 개발할 필요가 있다는 것을 깨달았다.”

“또한 소프트웨어와 새로운 디지털 세계는 형성과정에서 극도의 변화를 필요로 한다는 것과, 그런 미래에 대비해야 한다는 것을 이해했다. 초창기부터 높은 확장성을 지닌 대규모의 탄력적인 처리와 더불어, 여러 환경에서의 연결성을 기대할 수 있는 하이브리드 클라우드 모델로 개발하는 것에 집중했다.”

“특히 아이디어를 구현함에 있어, 자동화된 정적 분석 방식을 선택했다. 그 이유는 접근 방법이 안전한 동시에 기업에게 공격방법에 대해 구체화된 수준의 이해를 제공할 수 있었기 때문이었다. 이는 파일이나 오브젝트를 분해할 필요가 없고, 가속화된 속도에서 조사 분석 과정을 완전히 제어할 수 있다는 것을 의미한다. 리버싱랩스는 이 기술로 고객사들이 며칠이 아니라 단 몇 밀리초 만에 정확한 위협을 감지할 수 있도록 돕고 있다.”

“이런 아이디어와 비전을 실행하기 위한 팀을 구축하기 위해 노력해왔다. 파일 포맷과 행동양식을 조사하기 시작했을 때, 멀웨어 식별 패턴 양식을 바꿔놓기 위한 전통적인 표준 방식을 뛰어넘기를 원했다. 클라우드 플랫폼을 구축할 때는 기업이 요구하는 속도와 정확성을 충분히 만족시켜줄 수 있는 최고의 데이터센터와 처리기술을 확보해야 했다. 이런 아이디어와 비전을 실현하기 위해 자신이 만드는 것에 대해 자부심과 도전의식을 갖고, 미래를 만들어 갈 사람들이 필요했다.”


사이버 보안, 기업 임원급 이슈로 격상

Q. 최근 글로벌 보안 트렌드는?

“지난 10년간 보안은 IT 팀의 이슈였으나 최근에는 임원들의 관심사가 되고 있다. 보안은 임원들에게 최우선 순위의 업무로 자리잡은 것이다.”

“리버싱랩스가 보는 또 다른 보안 트렌드는 점차 커져가는 보안 기술의 차이다. 진보된 형태의 악성코드 등 사이버 공격 기술이 발전함에 따라 위협을 식별하고 분석하기 위해서는 더욱 숙련된 기술자를 필요로 하고 있다. 기업들은 직원 채용과 교육에 있어 더욱 신중해야 한다는 압박을 받지만, 한편으로는 비용을 줄이고 실행 효율성을 높이기 위해 반복 가능한 처리 과정을 자동화하고 가시성을 높이는 방법을 찾고 있다. 더 빠르고 정확한 악성코드 분석은 이런 목표를 달성하기 위한 방안으로 제시되고 있다.”

“마지막으로 리버싱랩스가 주목하고 있는 최근 보안 트렌드는 ‘진화하는 위협 요소’다. 오늘날 악성코드는 개발과 배포 과정 등 다양한 단계에 걸쳐 주입되고 있다. 우크라이나의 낫페트야(NotPetya), 에이수스의 섀도우해머(ShadowHammer)와 마찬가지로 공급망 공격 형태가 증가하고 있으며, 점차 기업들에게 커다란 위협이 되고 있다. 소프트웨어 공급망 전반에 걸친 악성코드에 대한 가시성 확보는 안전한 사업을 추구하는 기업들에게 매우 중요해지고 있다.”

“한국의 경우 고도화된 사이버 위협과 보안 솔루션의 관점에서 매우 진보된 시장이다. 공격 기술의 진화로 인해 한국은 더 이상 소규모의 보안 기술이나 공급자만으로는 충분하지 않게 됐다. 한국은 확실히 사이버 보안에대한 접근방법에 있어 진화하고 있으며, 최고의 사이버 대응성을 지원하기 위해 최신 보안 기술을 연구개발하고 있는 것으로 보인다.”


Q. 최근 한국에서는 EDR과 같은 동적 분석 중심의 보안 트렌드가 있다. 이에 대한 생각은?

“리버싱랩스는 많은 조직들이 그들의 네트워크에서 진보된 보안 위협을 발견하기 위해 보다 효과적이고 확장적인 방법으로 정적 분석으로 전환한다고 보고 있다. 동적 분석 솔루션은 몇몇 조직의 악성코드 대응에 대한 요구사항을 맞추고는 있지만, 위협이 진화할수록 이들의 단점 역시 부각되고 있다. 파일을 분해해야 한다는 점, 사이즈가 큰 파일은 처리할 수 없다는 점, 알려지지 않은 위협에 취약하다는 점 등 샌드박스 역시 단점을 갖고 있다.”

“리버싱랩스는 자동화된 정적 분석 방식을 채택했다. 그 이유는 정적 분석 기술이 고객들을 안전하게 보호함과 동시에 공격에 대한 상세한 이해를 제공하며, 가속화된 속도의 분석을 수행함으로써, 노출 기회를 줄이고 단시간 내에 위협을 정확하게 탐지할 수 있도록 지원하고 있기 때문이다.”


80억 개 이상의 DB로 지능형 위협 대응 솔루션 제공

Q, 리버싱랩스는 어떻게 위협 인텔리전스를 구성하고 있는가?

“리버싱랩스는 80억 개 이상의 굿웨어와 멀웨어 파일에 대한 컨텍스트를 보유한 지능형 위협 대응 솔루션을 제공하고 있다. 리버싱랩스는 프라이버시 문제가 발생하기 쉬운 클라우드 소싱 기반 컬렉션에 의존하지 않으며, 대신 소프트웨어 판매자와 다양한 악성코드 소스 등을 수집, 분석한다. 이렇게 수집된 모든 파일은 리버싱랩스의 독자적인 파일 분해 기술과 40개가 넘는 안티바이러스(AV) 스캐너, 및 가티 동적 탐지정보를 활용해 산업 파일 평판 컨센서스(Consensus)를 제공한다.”

“또한 리버싱랩스는 파일의 악성코드를 식별하고 억제하는 능력을 촉진시키기 위해 다양한 파트너사들과 협업하고 있다. 대표적인 리버싱랩스의 파트너사는 태니엄(Tanium), 스플렁크(Splunk), 멘로시큐리티(Menlo Security), 아이오닉(Ionic), IBM, 기가몬(Gigamon) 등이 있다.”


글로벌 기업과 협업해 시장 공략

Q. 시장을 공략하기 위한 리버싱랩스의 전략은?

“리버싱랩스는 새롭게 떠오르는 위협을 다루면서 주요 글로벌 기업들과 협업하는 것에 관심을 갖고 있다. 이를 위해 아시아 태평양 지역 및 일본, 유럽 및 중동·아프리카, 북미의 다국적 기업들과 함께하는 ‘Go-to-Market’ 전략을 수립하고 있다.”

“리버싱랩스의 글로벌 전략은 떠오르는 위협들을 처리하는 것과 연계해 지능형 조기 경보 및 보호 시스템을 적용하는 것에 있다. 이를 통해 기업들은 조기 경보 시스템을 갖출 수 있게 되며, 사내 악성프로그램에 감염된 파일과 개체들에 대한 가시성 및 통제가 가능하게 된다.”

Q. 한국지사를 설립한 이유는?

“한국에 여러 고객사를 보유하고 있기 때문에, 한국에 정식으로 지사를 설립하기로 결정했다. 리버싱랩스코리아의 목표는 한국 고객들에게 보다 향상된 서비스, 현지화된 서비스를 제공하는 것이다.”

“리버싱랩스는 아시아 태평양 및 일본 지역, 특히 한국을 중요한 시장으로 여기고 있다. 지역 시장의 요구사항을 이해하고 변화시킬 수 있으며, 고객들을 성공적으로 확보하고 지원할 수 있는 역량을 보유한 현지 파트너십은 매우 중요하다. 또한 한국은 리버싱랩스가 높게 평가하고, 점차 진화하는 보안시장이며, 전략적 핵심 국가로 판단하고 있다.”

저작권자 © 아이티데일리 무단전재 및 재배포 금지