악성코드검거단 "백신 무용지물인 신종 악성코드, '악단홀'로 바로 차단"[과기대 딥테크]

※ 서울과학기술대학교는 초기창업패키지 딥테크(AI·빅데이터) 분야 창업 기업을 지원합니다. IT동아는 서울과학기술대학교의 맞춤형 성장 지원 프로그램을 토대로 시장에서 뚜렷한 성과를 내는 유망 딥테크 스타트업의 면면을 살펴봅니다.

문제는 기존의 백신(Antivirus)이 이미 알려진 악성코드 목록에 의존한다는 점이다. 새로운 악성코드가 백신 목록에 등록되기까지는 평균 200일 이상이 소요된다. 사실상 매일 쏟아지는 신종 위협 앞에서 기존 백신은 대응에 한계가 있을 수밖에 없다는 지적이 나온다.

'악성코드검거단(AKDAN, 대표 전상현)'은 이러한 백신의 사각지대를 정면으로 돌파하기 위해 등장한 딥테크 스타트업이다. 이들은 파일이 실행되기 직전에 악성 여부를 판단하는 독자적인 '사전 실행 탐지(PED)' 기술을 탑재한 솔루션 '악단홀(AKDAN HALL)' 제품군을 통해, 백신이 놓친 신종 위협까지 1초 만에 잡아내는 기술력을 갖췄다고 강조한다. 취재진은 전상현 대표를 만나, 기존 보안의 상식을 깨는 악성코드검거단의 기술력과 비전에 대해 자세히 들어봤다.

- 사명이 매우 강렬하고 직관적이다. 안정적인 연구원 생활을 뒤로하고 창업을 결심하게 된 계기는 무엇인가?

: 2010년부터 15년 넘게 안랩’을 비롯한 보안 업계 현장에서 근무하며 악성코드 분석 엔진을 개발해왔다. 현장에서 느낀 가장 큰 좌절감은 '속도'였다. 악성코드는 일주일 단위로 진화하는데, 방어 기술은 그 뒤를 쫓아가기 바빴다. 이전 회사들에서도 훌륭한 엔진을 개발했지만, 기존 분석 방식(샌드박스 등)의 구조적 한계 때문에 최신 악성코드를 완벽히 막아내는 데 어려움이 있었다. "이대로는 안 된다, 판을 바꿔야 한다"는 생각이 들었다. 기존의 관성에서 벗어나 완전히 새로운 분석 패러다임을 직접 만들어보고 싶었다. '악성코드검거단'이라는 사명은 신종 악성코드를 끝까지 추적해 검거하겠다는, 일종의 선전포고와도 같다.

- '기존 백신이 신종 악성코드를 잡지 못한다'는 말이 일반 사용자들에겐 낯설 수 있다. 구체적으로 어떤 차이가 있나?

: 쉽게 비유하자면 기존 백신은 '수배 전단지'를 들고 검문하는 것과 같다. "이 얼굴(악성코드 시그니처)을 가진 사람은 범죄자다"라고 목록에 등록되어 있어야만 잡을 수 있다. 즉, 성형수술을 하거나 변장을 한 신종 범죄자(Unknown 악성코드)가 나타나면 눈앞에서 놓칠 수밖에 없다. 반면 우리의 기술은 수배 전단지가 필요 없다. 대신 그 사람의 행동을 본다. 범행 환경과 가장 유사한 가상환경을 만들어 공격자가 준비한 범죄행위를 유발하도록 최면을 거는 것과 같다. 파일이 실행되려 할 때, 그 파일이 시스템을 파괴하려 하거나 정보를 빼내려는 의심스러운 행동을 빠르게 도출할 수 있다. 이를 통해 알려지지 않은 위협도 원천 봉쇄할 수 있다.

- 핵심 솔루션인 '악단홀 PED'에 대해 소개해달라. 기술적으로 어떤 강점이 있나?

: 제품명인 '악단홀(AKDAN HALL)'은 악성코드검거단의 줄임말인 '악단'과 시청(City Hall)의 '홀'을 합친 것으로, 내 PC 안에 악성코드를 검거하고 관리하는 감시청을 세운다는 의미다. 핵심인 'PED(사전 실행 탐지)' 기술은 사용자가 이메일 첨부파일 등을 열려고 클릭하는 그 순간, 1초 미만의 짧은 시간(평균 0.27초) 안에 분석을 마친다. 기존 EDR(엔드포인트 탐지 및 대응) 솔루션이 악성코드가 실행된 후의 행위를 추적하는 '사후 약방문' 식이라면, 우리는 실행 자체를 보류시키고 검사하기 때문에 피해가 발생할 틈을 주지 않는다. 이 기술력을 인정받아 작년엔 KISA 우수정보보호기술로도 지정됐다.

- 개인뿐만 아니라 기업을 위한 라인업도 갖추고 있다고 들었다.

: 그렇다. 개인과 소규모 사업자는 클라우드 기반의 에이전트를 설치해 간편하게 사용할 수 있다. 하지만 병원이나 공공기관처럼 내부 데이터 유출을 극도로 꺼리거나, 외부 인터넷이 차단된 폐쇄망 환경을 사용하는 곳들도 있다. 이들을 위해 '악단홀 미니(mini)'라는 소형 실물 서버 형태의 제품을 개발했다. 주먹만 한 크기의 이 서버를 공유기에 연결만 하면, 100명 규모의 조직에서 오가는 파일들을 안전하게 분석하고 보호할 수 있다. 설치가 매우 간편하고 도입 비용도 기존 장비 대비 획기적으로 낮췄다. 향후 대기업을 위한 엔터프라이즈 제품과 보안 벤더사들에게 분석 엔진을 공급하는 SDK(소프트웨어 개발 도구) 사업도 확장할 계획이다.

- 이미 V3나 알약 같은 백신 소프트웨어를 쓰고 있는 사용자들도 굳이 '악단홀'을 추가로 써야 하나? 충돌 우려는 없나?

: 그 부분이 우리의 가장 큰 차별점이다. 보통 백신 프로그램들은 PC에 두 개 이상 설치하면 서로 충돌하거나 PC가 급격히 느려지기 때문에 하나만 써야 한다. 하지만 '악단홀'은 기존 백신과 싸우지 않고 '협력'한다. 백신이 1차로 수배자 명단에 있는 악성코드를 거르면, 우리가 2차로 백신이 놓친 신종 악성코드를 정밀 검사하는 '이중 보안' 체계가 완성되는 셈이다. 평소에는 시스템 리소스를 거의 차지하지 않다가, 사용자가 문서를 클릭하는 순간에만 작동하기 때문에(CPU 점유율 2.6% 수준) PC 성능 저하를 걱정할 필요도 없다.

- 서울과학기술대학교 창업지원단의 초기창업패키지 프로그램은 어떤 도움이 되었나?

: 하드웨어 제품인 '악단홀 미니'를 상용화하는 데 결정적인 도움을 받았다. 아이디어 단계였던 제품을 실제 판매 가능한 수준의 시제품으로 완성하는 과정에서 비용 지원뿐만 아니라 멘토링이 큰 힘이 됐다. 또한 기술 개발에만 몰두하느라 부족했던 마케팅이나 투자 유치(IR) 관련 네트워크를 확장할 수 있었다. 스타트업이 기술을 넘어 비즈니스로 도약하는 데 필요한 실질적인 지원을 받았다.

- 향후 계획과 목표는?

: 단기적으로는 일본 시장 진출에 집중하고 있다. 이미 제품의 일본어 현지화를 마쳤고, 작년 말 일본 전시회 참가를 계기로 현지 파트너사와 대리점 설립을 논의 중이다. 장기적으로는 '경쟁'이 아닌 '상생'을 꿈꾼다. 다른 보안 회사들과 경쟁해서 이기는 것이 목표가 아니다. 우리의 강력한 분석 엔진을 다른 보안 벤더사들에게 공급해, 그들의 제품 성능을 높여주는 파트너가 되고 싶다. 한국의 보안 기술이 세계적 수준임을 증명하고, 안전한 디지털 세상을 만드는 데 기여하는 '퍼스트 무버(First Mover)'가 되겠다.

IT동아 김영우 기자 (pengo@itdonga.com)