[데이터넷] 네트워크 보안 스타트업 쿼드마이너(공동대표 박범중·홍재완)가 국내 대기업 및 금융기업의 정보보안 강화를 위해 풀 패킷 분석 기반의 차세대 네트워크 탐지 및 대응(NDR: Network Detection and Response) 솔루션 ‘네트워크 블랙박스(Network Blackbox)’를 공급하며 두각을 나타내고 있다. 쿼드마이너는 최고 수준의 네트워크 보안 기술을 강점으로 국내는 물론 글로벌 사이버 보안 시장에 도전장을 던졌다. <편집자>
쿼드마이너가 개발한 풀 패킷 분석 기반의 차세대 NDR 솔루션인 ‘네트워크 블랙박스’는 기업 내부자에 의한 정보유출이나 악성코드 감염으로 인한 잠재적인 위험과 위협을 네트워크 레벨에서 분석한다. 기존 네트워크 보안 솔루션과의 가장 큰 차이점은 기업의 인터넷망을 통해 들어오고 나가는 모든 패킷을 고속으로 수집 및 분석해 위협을 발견하고 선별 대응할 수 있어 내부 직원에 의한 비정상적인 행위 분석은 물론 기업에서 운영하고 있는 서비스에서 발생할 수 있는 보안위협 분석까지 가능하다.
특히 모든 패킷을 수집하고 분석하기 때문에 문제가 됐던 행위에 대한 근거자료와 원본파일, 원본데이터를 모두 보유할 수 있다. 또한 자체 개발해 특허 받은 기술들을 이용해 분석 속도를 높이고 저장 공간의 효율성을 극대화한 것도 장점이다.
풀 패킷 수집·분석 문제 해소
항공기 추락사고와 같은 대형 참사는 사고를 일으킨 실체가 거의 소멸돼 좀처럼 그 원인을 찾아내기 어렵다. 사이버 보안 분야 역시 기업마다 다양한 보안 솔루션을 구축해 운영하고 있지만 내부자에 의한 정보유출이나 악성코드 감염으로 인한 문제 발생 시 원인 해결을 위한 정확한 분석에 시간이 오래 걸리고, 문제의 원인이 되는 원본 자료 확보가 어려운 것이 현실이다.
기업 입장에서는 네트워크 레벨에서 모든 패킷 정보를 수집하고 분석하고 싶지만 많은 비용과 검색 속도 이슈로 인해 도입에 어려움을 겪고 있다. 또한 네트워크 보안 기술에서 주로 사용하는 페이로드 분석, 플로우 분석 등의 기술은 모든 패킷 정보를 가지고 있지 않기 때문에 이러한 문제 해결에 한계가 있다.
풀 패킷 수집 및 분석 분야는 소수의 글로벌 기업들이 장악하고 있지만 이들 마저도 검색 속도 이슈, 저장 공간 효율화 문제, 사용이 불편한 UX/UI 등의 기술적인 약점을 갖고 있다. 쿼드마이너가 이러한 문제점을 해소하기 위해 국내 기술로 개발해 선보인 솔루션이 바로 ‘네트워크 블랙박스’다.
네트워크 레벨 모든 패킷 저장·분석
사이버 공격은 모든 분야의 기업이 직면한 가장 큰 위협이다. 산업스파이로 인한 지적재산 손실부터 빈번하게 발생하는 대규모 데이터 유출까지, 네트워크 해킹 기법이 점점 복잡하게 진화함에 따라 기업들은 많은 시간과 자원을 투자해 위협을 극복하고자 하지만 어려움이 크다.
그러나 네트워크 블랙박스는 내외부 위협에 대한 명확한 분석, 실시간 이상 징후 탐지, 사용자 화면 재현, 풀 패킷 데이터 통합, 써드파티 솔루션 연동 등 다양한 기능을 갖춰 기업 내 모든 네트워크 행위에 대한 명확한 근거 제공은 물론 모든 패킷을 저장 및 재현할 수 있어 사이버 보안 위협을 탐지하고 해결할 수 있다.
또한 다양한 조건의 상관분석 규칙이나 시나리오 기반의 탐지 규칙을 적용해 보안 담당자는 보다 손쉬운 UX/UI 환경에서 오탐지 혹은 과탐지 부분을 줄이고, 정탐률은 높일 수 있다. 이 외에도 자체 개발한 데이터베이스를 이용해 분석 속도를 높이고, 저장 공간 효율성도 극대화했다.
풀 패킷 기반 위협 탐지
네트워크 블랙박스는 수리카타(Suricata) 엔진 기반의 실시간 위협 탐지 기능을 제공한다. 2만5000~1만 규칙을 기반으로 이상 행위 및 위협을 탐지하며 풀 패킷을 기반으로 위협에 대한 다양한 상세 분석을 제공한다. 출발지IP 또는 목적지IP를 기준으로 전반적인 행위를 추적할 수 있으며, 플로우 분석/웹화면 복원/첨부파일 추출은 물론 사전 및 사후의 모든 행위에 대한 분석이 가능하다.
네트워크 블랙박스는 데이터 유출 방지를 위해 네트워크를 통하는 메일, 파일, 검색, 번역 등 다양한 콘텐츠들을 추출하고 분석하는 기능을 제공한다. 다른 데이터 유출 방지 솔루션과의 가장 큰 차이점은 메일, 첨부파일 등을 주고받는 네트워크 트래픽의 통신 프로토콜이 변경되더라도 풀 패킷을 기반으로 언제든지 지난 트래픽에서 콘텐츠 추출이 가능하다. 즉, 단 하나의 콘텐츠도 놓치지 않고 추적이 가능하다.
뿐만 아니라 네트워크 블랙박스는 물리계층부터 응용계층까지 네트워크 전체 계층에 대한 분석이 가능하고 근거자료를 제공한다. 기존의 네트워크 솔루션은 OSI 7계층에서 특정 계층만 분석하거나 간혹 전체 계층을 분석하지만 모든 패킷을 저장해 근거자료를 가지고 있지는 않다.
풀 패킷을 기반으로 요청/응답(Request/Response), 메타데이터(Metadata), 해시(Hash), 핸드쉐이크(Handshake), HEX 분석은 물론 웹 화면 복원부터 콘텐츠 추출까지 모든 분석 기능을 제공하며 이러한 분석정보를 바탕으로 사용자 행위 분석까지 가능하다. 이러한 패킷 분석을 통해 이상 행위로 판단되는 트래픽을 패킷 격리 기능을 통해 증적 자료로 확보할 수 있다.
네트워크 보안 주도 ‘박차’
쿼드마이너는 독보적인 기술력을 바탕으로 국가 소프트웨어 품질인증(GS인증) 1등급을 획득하며 우수성을 인정받았고, 내년에는 CC인증도 완료할 예정이다. 현재 국내 대기업과 금융기업, 공공기관 등에 납품을 완료한 가운데 2018년 TIPS 프로그램 선정, 유망 스타트업의 해외 진출을 돕는 ‘리쉐입 도쿄’, ‘리쉐입 싱가포르’에 참석했으며, 미국 뉴욕에서 진행하는 정보보호 공모전에서도 입상하며 해외에서도 주목받고 있다.
쿼드마이너는 차세대 네트워크 탐지 및 대응 솔루션인 네트워크 블랙박스로 ▲침입탐지/방지시스템(NIDS/NIPS) ▲위협관리시스템(TMS) ▲플로우 분석시스템(Flow) ▲데이터유출방지시스템(DLP) ▲네트워크 포렌식 등 5개의 네트워크 보안 영역 주도를 위해 기술 개발과 시장 공략에 박차를 가하고 있다.
