보안은 한 번의 실패로 전체 시스템을 붕괴시킬 수 있는 문제다. 시큐러스는 다양한 기업의 현장에서 직접 보안 문제를 마주하며 시스템의 결함을 찾아내고, 사고의 원인을 분석하며, 다시는 같은 일이 반복되지 않게 하는 일을 맡아왔다. 보안 기술은 실제 현장에서 작동한다는 점에서 무게가 다르다.

시큐러스가 중요하게 여기는 ‘성근시보(誠勤是寶)’는 성실과 근면을 가장 큰 자산으로 여긴다는 뜻이다. 이 철학은 조직의 성장 방향이자, 기술 개발의 태도이기도 하다. 보안이라는 단어가 더 이상 사후 대처가 아닌 ‘기술의 전선’을 의미할 때, 시큐러스는 그 최전선에서 움직이고 있다. 시큐러스 유정숙 대표와 박창준 기술연구소장과 이야기를 나누었다.

(오른쪽부터) 박창준 기술연구소장과 유정숙 대표. 급변하는 IT환경 속에서 다양한 보안 이슈가 발생하고 있음에도 불구하고, 여전히 보안의 중요성을 과소평가하는 현실에 문제의식을 느껴 보안 전문회사 '시큐러스'를 설립했다. 현재 시큐러스는 보안 프로그램 개발 기술 및 보안 컨설팅 역량으로, 보안에 필요한 다양한 서비스를 제공하고 있다. [사진=기업경영인신문/ 한주희 기자]

시큐러스는 어떤 회사인가.

시큐러스는 ‘보안을 지키는 우리’라는 의미를 담아 설립된 소프트웨어 보안 전문기업이다. 보안과 협력을 가치로 삼고, 오랜 기간 축적한 보안 프로그램 개발 기술과 양질의 보안 컨설팅 경험으로 고객의 요구에 맞는 전문적이고 차별화된 솔루션을 제공하고 있다. 회사 내부 인재와 파트너사의 보안 솔루션으로 다양한 환경과 요구사항을 반영하여, 최적의 보안 서비스를 제공하는 것을 목표로 한다. 고객의 신뢰를 우선 가치로 둔다. 변화하는 환경에서 꾸준히 성장하는 IT 보안 기업이 되겠다는 방향을 가지고 있다. 보안 취약점 점검, 종합 보안 진단 컨설팅, 기업과 기관에 필요한 보안 솔루션 공급, 보안 결함 조치를 위한 보안 SI 등 고객이 필요로 하는 보안 서비스를 제공하고자 노력한다.

이 사업을 시작하게 된 계기가 궁금하다.

처음엔 개발자로 일을 시작했다. 공공기관이나 보안이 중요한 기관의 프로그램과 시스템을 만들다 보니 보안이라는 게 기술 하나만 잘해서 되는 게 아니라는 걸 알게 됐다. 주변에서도 해킹으로 피해를 본 사례를 자주 보게 됐고, 그때부터 보안은 기술만으로 해결되는 일이 아니라는 걸 깨달았다. 그렇게 관심을 두고 관련된 일을 해나가다 보니 자연스럽게 보안 분야로 오게 되었다. 함께 일하던 사람 중에도 같은 문제의식을 느낀 이들이 많았다. ‘제대로 한번 해보자, 장인 정신으로 보안을 다뤄보자’라는 마음이 모여, 2014년 1월 1일 회사를 세웠다. 그 이후로는 줄곧 보안 일만 전문적으로 다루고 있다.

현재 시큐러스의 보안 사업은 어떤 체계를 가지고 있나.

회사 운영은 보안 컨설팅팀과 보안 솔루션 개발팀, 두 팀으로 나뉜다. 컨설팅팀은 웹사이트와 서버에 대한 모의해킹, 보안 취약점 점검, 사이버 훈련, 침해사고 처리 등을 주로 맡는다. 사고가 발생했을 때 내부에 전문 인력이 없거나 신속한 조치가 필요하면 우리에게 연락이 온다. 사이버 수사대나 KISA에 신고했더라도 현장에서 바로 해결하기 어려운 경우가 있어, 그럴 때 우리는 현장에 들어가 분석과 처리를 담당한다. 기술력이 핵심인 분야라 실무 경험이 풍부한 인력들이 신속히 투입된다. 개발팀은 다수의 침해 사례를 바탕으로, 솔루션을 직접 만들어왔다. 그중 대표적인 것이 BPF도어 탐지 솔루션이다. BPF도어는 리눅스의 내부 기능을 악용해 포트를 열지 않고 외부와 통신하는 방식이라 기존 보안장비로는 발견하기 어렵다.

우리가 개발한 솔루션은 서버에 직접 루트 권한으로 접속하는 번거로움 없이 네트워크 연결만으로 점검할 수 있으며, 국내 최초이자 해외 사례 조사 결과로도 동일한 방식의 상용 솔루션을 찾기 어려운 기술이다. 현장 투입과 고객 요청에 따른 시장 조사를 통해 확인했다.

BPF도어 탐지 기술은 기술적으로도 어려운 영역이라고 들었다.

대부분의 보안장비는 OSI 5계층 이상, 즉 사용자나 애플리케이션 수준의 통신을 중심으로 감시한다. 반면 BPF도어는 OSI 2계층처럼 네트워크의 낮은 단계에서 작동해 포트를 열지 않고 외부와 통신하므로 일반적인 감시망으로는 포착되기 어렵다. 비유하자면 정문과 복도는 감시하지만, 건물 기초의 틈새로 몰래 들어오는 셈이다. 이 때문에 몇 년 동안 공격이 이어지며 내부 자료가 유출되었고, 통신사뿐 아니라 공공기관과 기업들도 무방비 상태가 될 수 있었다. 다만, 적절한 기술을 적용하면 탐지와 대응이 가능하고 우리는 그 부분을 기술로 해결하고자 했다.

시큐러스의 주력 사업은.

웹 서비스, 모바일 서비스, 와이파이 등 무선 기반 서비스에 대한 모의해킹을 비롯해 서버, 네트워크, DBMS, 보안장비, CCTV 등 IT 인프라 전반에 대한 보안 취약점 점검 컨설팅을 제공하고 있다. 해킹 사고 분석 및 대응 컨설팅, 사이버 침해 대응 모의훈련도 수행하고 있으며, 국내의 ISMS·ISMS-P, 국제 기준의 ISO 27001·ISO 27701 등 정보보호·개인정보보호 인증 컨설팅도 주요 사업 중 하나다. 고객사에 필요한 보안 프로그램 개발, 즉 보안 SI를 진행하고 있으며, 자사와 파트너사의 보안 솔루션도 함께 공급하고 있다.

고객에게 필요한 보안 솔루션을 적절하게 공급하기 위해 IT 인프라 보안 관련 자문 서비스도 제공하고 있으며, 정확하고 효과적인 보안 환경 구축을 돕고 있다. 현재는 클라우드 보안, AI 시스템 구축 시 고려해야 할 보안 요소에 대한 가이드를 제공하며, 최신 시스템의 취약점 점검 서비스도 함께 진행한다. 최근 보안 트렌드에 맞춰 BPF도어 탐지 스캐너, 네트워크 취약점 점검 솔루션, 파일 악성코드 탐지 솔루션, DDoS 모의훈련 솔루션 등을 선보이고 있다.

최근 출시한 보안 솔루션이 있다면.

‘sBPFDoor’는 리눅스 BPF를 악용해 은밀하게 동작하는 백도어를 네트워크만으로 탐지하는 솔루션이다. 서버에 별도의 에이전트 설치나 루트 권한의 서버 접속 없이 동일 네트워크의 PC에서 프로그램에 IP 대역 입력만으로 약 10분 내 검사하고 변종까지 찾아낸다.

‘sNetFinder’는 IP나 도메인 입력만으로 네트워크·서버·웹·DB의 알려진 취약점을 찾아 CVE와 연계해 위험도를 자동 분석한다. 검사 결과를 엑셀 보고서로 내보내 경영진 보고나 보안 감사에 바로 쓸 수 있으며 BPF도어 탐지 기능을 포함한다.

‘FireStorm Pro v1.0’은 최대 10Gbps를 지원하는 DDoS 모의훈련 솔루션이다. 현실적인 트래픽 시뮬레이션과 사용자 정의 시나리오로 서비스 환경을 사전 점검할 수 있다.

‘sDetector’는 바이러스토탈(VirusTotal) 기반의 탐지 엔진으로, 파일 내부 구조를 분석해 변형된 악성코드까지 찾아낸다. 이메일 첨부나 웹 업로드 파일을 포함한 다양한 포맷과 60여 종 상의 잘 알려진 파일 확장자를 지원해 랜섬웨어 등 고도화된 위협에 대응한다.

BPF도어 탐지 외에 다른 보안 솔루션도 있다고 했는데.

네트워크 취약점 점검 솔루션과 파일 악성코드 탐지 솔루션도 개발했다. 과거 신용카드 사고에서 알려진 CVE 취약점을 방치해 문제가 발생한 사례가 있다. 우리의 점검 솔루션은 그런 취약점을 사전에 찾아내어 조치할 수 있도록 돕는다. 파일 악성코드 탐지 솔루션은 기존 백신처럼 알려진 공격 패턴만 식별하는 방식이 아니다. 파일 내부의 형식과 구성 요소를 분석해 이상 징후를 찾아내므로, 변형된 악성코드라도 핵심 구성 요소가 유지되면 검출이 가능하다. 바이러스 토탈(VirusTotal) 같은 다중 안티바이러스 엔진 기반 검사 플랫폼에서의 검사 결과를 포함해, 실전 샘플 테스트에서도 높은 탐지율을 기록하고 있다.

최신 보안 트렌드를 따라가기 위한 노력도 클 것 같다.

보안은 제품개발에서 끝나지 않는다. 공격 방식이 계속 바뀌기 때문에 그 변화에 실시간으로 대처하려는 노력이 필요하다. 최근에는 생성형 AI를 활용한 공격이 늘고 있어서, 우리도 AI 기반 방어 기술을 개발하고 있다. 예전처럼 정해진 규칙만으로 탐지하는 방식에는 한계가 있다. 이제는 스스로 판단하고, 대응할 수 있는 능동형 보안 솔루션이 필요하다. 내부에서도 그런 기술을 꾸준히 연구하고 있고, 고객사 요청이나 실제 사고 사례를 보면서 새로운 기술 방향을 계속 고민하고 있다.

경영철학이 궁금하다.

경영에서 기술력과 사람, 이 두 가지를 가장 중요하게 본다. 보안은 결국 사람이 다루는 기술의 영역이기 때문이다. 기관이나 기업이 IT 시스템을 운영할 때 가장 먼저 해야 할 일은 보안 취약점을 제대로 진단하는 일이다. 어디가 약한지 알아야 해결할 수 있다. 병원에서 진단 없이 치료할 수 없는 것과 같다. 원인을 정확히 알아야 조치도 제대로 이뤄지고, 그래야 시스템이 안정적으로 돌아간다. 우리 회사는 성근시보(誠勤是寶)라는 가치를 중요하게 생각한다. 맡은 일에 성실하고, 책임감 있게 임하며, 도전과 창의로 성장하려는 사람과 함께 일하고 싶다. 성실함과 근면함이 결국 회사를 움직이는 힘이다.

정부나 공공기관에 바라는 점이 있다면 무엇인가.

보안 기술의 중요성은 여전히 과소평가하는 부분이 많다. 정책이나 인증 체계만큼이나 기술 자체가 뒷받침돼야 한다. 지금은 KISA가 컨트롤타워 역할을 맡고 있지만, 실제 해킹 사고가 발생했을 때는 현장 대처가 쉽지 않다. 사이버 수사대 역시 즉각적으로 움직이기에는 한계가 있다. 해킹을 당한 기업들은 피해를 스스로 감당해야 하는 경우가 많다. 경제적 손실이 커도 마땅한 보상이나 구제 절차가 없는 게 현실이다. 결국 민간 보안 기업들이 기술을 개발하고 현장을 지원할 수 있도록 정부가 제도적으로 연계해 줘야 한다. 컨트롤타워에는 반드시 현장을 잘 아는 전문가분들이 포함되어야 한다. 요즘은 AI나 IT산업이 주로 주목받지만, 정작 보안은 뒤로 밀려 있다. 이런 상황이 계속되면 비슷한 사고는 반복될 수밖에 없다.

향후 계획이나 구상이 있다면.

앞으로는 기술 중심의 보안 역량을 더 강화하는 데 집중하려 한다. 고객이 필요로 하는 보안 솔루션을 직접 개발하고, 환경에 맞는 컨설팅 서비스를 꾸준히 해나갈 계획이다. 지금의 변화 속도를 따라가기 위해서는 기술을 다듬고, 새로운 위협에 빠르게 대처할 수 있는 환경이 필요하다.

보안 위협은 점점 고도화되고 있다. 해킹 수법도 더 교묘하고 지능적으로 바뀌고 있다. 이런 상황일수록 최신 보안 기술에 대한 탐구를 멈추면 안 된다. 우리는 매일 변화하는 보안 동향을 살피고, 새로운 공격 기법에 맞는 솔루션을 연구·개발하고 있다. 고객사의 시스템을 사전에 진단하고, 문제를 빠르게 찾아내 대응할 수 있도록 돕는다. 그 과정에서 고객이 본연의 비즈니스에 온전히 집중할 수 있게 하는 것이 우리의 역할이라 생각한다.

정보보호관리체계(ISMS)나 CSP(클라우드 보안 인증) 같은 인증 제도는 이미 자리 잡았지만, 실제 공격에 대응할 수 있는 기술력은 여전히 강화가 필요하다. 우리는 우리의 자리에서 꾸준히 기술을 다듬고 있다. 보안의 본질은 결국 기술이고, 기술은 사람이 만들어가는 것이다.

앞으로도 고객 맞춤형 보안 솔루션을 개발하고, 시장에 필요한 서비스를 직접 만들어낼 것이다. 장인 정신으로 기술을 쌓아가며, 국내 보안 수준을 한 단계 더 높이는 데 힘을 보태고 싶다. 시큐러스가 ‘보안을 기술로 지키는 회사’로 기억되길 바란다.

취재 | 한주희 기자(epub@bizhuman.co.kr)

글 | 박희수 편집국장(editseoul@bizhuman.co.kr)