2년 동안 투자하고 개발한 고유 보안 솔루션...최근 실험 통해 EDR 1위 기록
보안은 설명하는 것...강제하고 윽박지르면 구멍 반드시 생겨...그래서 ‘리즌’

[보안뉴스 문가용 기자] 이스라엘의 보안 기업 사이버리즌(Cybereason)은 최근 몇 년 동안 외신에 자주 인용되며 해외 보안 전문가들의 뇌리에 서서히 박히게 된 업체로, EDR 분야의 신흥 강자다. 또한 글로벌 본부를 이스라엘에서 보스턴으로 옮기고, 일본의 소프트뱅크와 손을 잡고 일본 내 EDR 시장을 평정하는 등 행보가 심상치 않다.


그러는 내내 사이버리즌은 사이버 공격 트렌드에 대한 각종 보고서를 왕성하게 발표하고 있어 굉장히 큰 조직일 것 같은 느낌을 주지만 전 세계 직원이 500명 정도에 불과하다고 한다. 물론 설립 6년 만에 거둔 성과라 적은 수라고 할 수는 없지만 요 몇 년 동안의 존재감에 비하면 크지 않다는 느낌을 준다.

보고서로만 접한 이 회사에 대한 궁금증이 자리잡아가고 있는 가운데, 마침 아태지역 담당자들이 일산에서 오늘부터 금요일까지 열리는 세계보안엑스포에 참가한다고 해서 약속을 잡았다. 엔지니어인 블라도 바딕(Vlado Vadjic)과 아태지역 부사장인 찰스 코테(Charles Cote)를 전시장 안 부스에서 만났다.

보안뉴스 : 설립 6년이면 스타트업이라는 이름이 어울린다. 그런데 이렇게 급격한 성장을 한 데에는 어떤 비결이 있는가?
코테 : 근간은 사이버리즌 창업자들이 2년에 걸쳐 개발한 크로스 머신 코릴레이션 엔진(Cross Machine Correlation Engine)이다. 사이버리즌만의 고유 소프트웨어로, 엔드포인트에서의 침투 탐지 및 대응을 담당한다. 간단히 설명하면 행동 분석과 머신 러닝을 기반으로 이상 현상이나 징조들을 탐지하는 솔루션이다.

보안뉴스 : 그런 솔루션은 시장에 얼마든지 나와 있다. 지금 전시장에만 해도 EDR 업체들이 수두룩하다.
바딕 : 하지만 우리의 엔진은 다른 EDR 제품보다 속도가 100배 빠르다. 이는 마이터 코퍼레이션(MITRE Corporation)이 최근 실시한 객관적인 실험을 통해서도 증명된 바 있다. 그냥 우리가 우리 솔루션 자랑하려고 ‘100배’라고 말하는 게 아니다. 제3자에 의한 실험 결과가 그렇게 말해주었다. 객관적인 증거 자료가 생겼기 때문에 우리는 여기 저기 자랑스럽게 말하고 다닌다.

보안뉴스 : 단순히 빠르다는 것만으로 이런 성장이 가능한가? 마이터의 실험 결과가 나오기 전에는 어떻게 영업했나?
코테 : 사이버리즌이라는 이름(reason : 까닭, 이유, 논리)에 나타나는 철학이기도 한데, 우리는 고객에게 충분한 설명과 교육을 제공하고 납득시키는 걸 좋아한다. 보안은 그렇게 해야 한다고 믿고 있다. 난해한 기술 용어들과 각종 사고사례들을 사용해 억압하듯 보안을 강요하는 건 반드시 구멍을 만들게 되어 있다. 충분한 설명(reasoning)으로 자발적인 참여를 하도록 이끌어줘야 한다. 그게 보안에 대한 우리의 믿음이다.

크로스 머신 코릴레이션 엔진을 개발한 후에도 우린 이러한 설명의 노력을 멈추지 않았다. 이런 좋은 엔진이 있습니다, 하고 설명을 끝내는 게 아니라 각 고객의 환경과 시스템에 맞는 맞춤형 개념증명을 만들어 최종 구현 상태를 확인할 수 있도록 했다. 또 환경에 따라 성능이 달라지는 보안 솔루션은 최대한 지양한다는 게 우리 방침이기도 하다. 어차피 고객의 환경을 보호하려면 개념증명을 만들 때의 노력을 쏟아, 그 환경에서 최적으로 돌아가는 방법을 찾아내야 했기 때문에 이를 낭비라고 생각하지 않았다.

보안뉴스 : 또한 해외 매체들에 자주 인용되는 보고서들도 눈에 띈다. 정확한 통계를 내보지는 않았지만 단골처럼 등장하는 게 사실이다.
바딕 : 보고서 작성을 전담하는 연구팀이 따로 있지는 않다. 대신 전 세계 곳곳에 위협을 사냥(threat hunting)하는 전문가들을 두고 있다. 이들은 필드에서 고객들의 자산을 보호하고, 고객들의 시스템을 능동적으로 방어하면서 얻어낸 첩보들을 공유한다. 이런 첩보 공유 플랫폼을 내부적으로 두고 있다. 실험실이 아니라 현장에서 직접 얻어낸 첩보들이기 때문에 실제적이고 구체적이며 적용 가능한 것이다. 그래서 인용이 많이 되는 것 같다.

보고서를 위한 보고서를 만들지 않는다는 게 어쩌면 양질의 보고서가 나오는 비결이 아닐까 한다. 물론 다른 업체들도 그렇겠지만, 우리에게 보고서란 고객의 필요를 채워주었던 기록이며, 고객을 교육하고 설득하기 위한 자료이다. 그러다보니 출시 시기가 비교적 빠르다는 강점도 가지고 있다.

보안뉴스 : 이야기를 들어보니 ‘맞춤형’에 특화되어 있는 기업 같기도 하다.
코테 : 굳이 고객에게 모든 것을 맞춘다는 건 아니다. 보안의 오래된 진리이기도 한데, ‘만병통치약(one-size-fits-all)이란 없다’는 것을 철저하게 믿고 있을 뿐이다. 정말로 ‘이거 하나만 설치하면 다 해결되는 솔루션’이란 건 존재하지 않는다. 우리가 아무리 심혈을 기울여 만든 엔진들이라고 해도 그렇다. 그 좋은 엔진이 정말로 좋은 효과를 발휘하려면 고객마다 다른 사정들이 반영되어 작동해야 한다. 우린 우리 솔루션이 좋다는 걸 더 충실하게 알리고 싶었을 뿐이다.

보안뉴스 : EDR의 강자다. 그 다음은 무엇인가?
코테 : 차세대 백신(NGAV)이다. 머신 러닝을 기반으로 하고 있으며, 랜섬웨어와 파워셸 등을 통한 공격을 차단할 수 있다. 랜섬웨어는 1, 2위를 다투고 있는 위협거리이며, 파워셸 공격은 탐지가 매우 어려워 최근 공격자들 사이에서 활발히 연구되고 있는 것이다.

보안뉴스 : 한국 시장에서 성적은 좋은가?
코테 : 일본 EDR 시장에서 1위를 기록하고 있다. 그래서 자연스럽게 한국으로 넘어올 수 있게 됐다. 한국 시장은 구매자들이 해박하고, 파이프라인이 건강하며, 고유 기술력도 가지고 있으면서 해외 기술도 잘 받아들인다는 독특한 특징을 가지고 있다. 또한 조직들의 보안 인식도 높은 편에 속한다. 그래서 가능성을 충분히 보고 진출을 결심했고, 좋은 성적을 거두고 있다. 이름을 밝힐 수는 없지만 유명 기업들을 클라이언트로 두고 있고, 해마다 2배씩 성장하고 있다. 올해가 특히 기대된다.

보안뉴스 : 세계보안엑스포가 시장 조사에 도움이 되는가?
바딕 : EDR 제품이 정말 많다. 경쟁사들이다. 경쟁사들을 공부하고 알아볼 수 있는 기회다. 돌아다니면서 하나하나 알아볼 생각이다.

3줄 요약
1. 2년 동안 개발한 고유 엔진, 최근 마이터 실험 통해 성능 인정 받음.
2. 고객마다 다른 ‘맞춤형’이 장점. “모든 환경에 다 맞는 솔루션은 없기 때문에.”
3. 보고를 위한 보고가 아니라, 실제 위협 사냥을 하면서 남긴 기록들을 보고서로 남김.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>