이스라엘은 세계에서 가장 치열한 '사이버 전면전'을 치르는 나라다. 하마스·헤즈볼라·이란의 해커들이 총동원돼 이스라엘을 집중 공격하고 있어서다. 2023년 10월 개전 이후 지난해 7월까지 이스라엘 방위군(IDF)이 받은 해킹 시도건수는 30억건. 지난 6월13일 이란의 공격 직후 해킹 시도는 무려 700% 증가했을 정도다.이스라엘 8200부대는 '사이버 전쟁'의 최전선에 있는 정보부대다. 해킹 방어 뿐 아니라 적국의 데이터베이스에 침입해 기밀을 빼내고 데이터를 망가뜨리는 '공격'도 수행한다.
일단 입대하면 평균 4년간 실전을 경험하는 만큼 8200부대는 세계적인 사이버보안 창업 사관학교로도 불린다. 시가총액이 수십조원에 달하는 팔로알토 네트웍스, 체크포인트, 사이버아크 등 글로벌 사이버보안 시장을 주도하는 창업자들이 모두 이곳을 나왔다. 1988년생인 에런 슈타우버 울트라레드 최고경영자(CEO) 역시 8200부대 출신으로, 켈라·울트라레드·슬링이라는 3개의 사이버보안 회사를 연이어 창업하며 주목받고 있다.
그의 회사들은 슈타우버 CEO가 겪은 ‘사이버전’의 경험을 민간 보안으로 이식한 게 특징이다. 켈라는 다크넷 데이터 전체를 자체 클라우드로 옮겨 분석하고, 울트라레드는 잠재적 위협 목록에 따라 보안을 점검하며, 슬링은 협력사의 해킹 노출도까지 분석한다. 올해 연달아 터진 국내 대형 통신사들의 해킹 사건에 대해 슈타우버 CEO는 ‘선제적 방어’와 ‘지속적인 위협 노출 관리(CTEM)’의 부재를 원인으로 꼽았다.
그는 지난 9월 이스라엘 텔아비브에서 진행된 한국경제신문과의 인터뷰에서 “한국의 사이버보안이 연이어 뚫린 것을 알고 있다”며 “현재 몇몇 한국 회사와 개념증명(PoC)을 진행 중”이라고 밝혔다. 그는 SKT가 해킹을 당해 2696만건의 개인정보가 유출된 사건에 대해 “인터넷 노출 자산을 간과하면 국가가 관리하는 해커들이 어떻게 이를 악용하는지 보여주는 전형적인 사례”라고 지적했다.
울트라레드는 BPF도어가 심어진 인프라나 도메인, 클라우드 노드 등 모든 온라인 공용 자산을 인공지능(AI) 기반으로 모니터링한다. 그는 “공격자가 초기 발판으로 삼는 사각지대를 제거하는 것”이라고 설명했다.
이어 “SKT는 공용 취약점(CVE) 데이터나 해커 정보 등을 결합해 우선순위로 BPF도어 같은 백도어 설치에 취약한 서버를 식별해야했다”고 밝혔다. 이같은 서버에 대해 “시나리오 기반으로 24시간 모의 공격 테스트를 돌렸다면 악성코드가 퍼지기 전에 진입점이나 비정상적인 패턴을 감지했을 가능성이 높다”는 게 그의 판단이다.
반면 KT가 해킹을 당해 무단 소액결제 피해가 발생한 사건에 대해선 “드문 형태의 공격”이라고 설명했다. 해커가 도난당한 인증서로 인증된 불량 펨토셀(초소형 기지국) 장치를 사용했을 가능성이 높다는 점에서다. 그럼에도 “모니터링으로 조기 경고를 할 수 있었을 것”이라고 분석했다.
그는 “개방형 웹, 딥웹, 다크웹 전반에서 유출된 자격 증명과 디지털 인증서를 지속적으로 모니터링하면 해커가 펨토셀 인증서를 거래했을 때 이런 움직임을 사전에 탐지할 수 있다”고 했다.
슈타우버 CEO는 AI 도입으로 1% 미만인 오탐지율을 더 낮출 수 있을 것으로 보고 있다. 오탐지율은 보안솔루션이 정상 활동을 해킹 위협으로 잘못 판단해 관리자가 정작 중요한 경고를 간과하게 만드는 요인이다. 그는 "8200부대에서 창의적인 문제 해결방식을 배웠다"며 "잠재적 위협에 대한 오탐지율이 업계 평균 30%대지만 우리는 1% 미만"이라고 자부했다. 그러면서 “새로운 시각의 해킹을 찾아내고 불필요한 오탐지를 더 줄이는 데 AI를 접목하고 있다”고 말했다.
텔아비브=박진우 기자 jwp@hankyung.com
관련뉴스
