인터넷 트래픽 대부분이 암호화되는 환경에서 기존 보안 체계의 한계를 보완하려는 시도가 본격화되고 있다.
사이버 보안 기업 씨큐비스타가 복호화 과정 없이 암호화된 트래픽에서 위협을 식별하는 차세대 NDR(Network Detection & Response) 솔루션 ‘패킷사이버(PacketCYBER) v3.0’을 공식 출시했다.
보안 업계에 따르면 현재 인터넷 트래픽의 90% 이상이 암호화된 상태로 전송된다. TLS 1.3, QUIC 같은 최신 프로토콜이 확산되면서 패킷 내부를 직접 분석하는 기존 방식은 점점 한계에 직면하고 있다.
그동안 많은 보안 솔루션이 패킷의 내용(payload) 분석에 의존해왔지만, 암호화 환경에서는 해당 방식이 사실상 무력화된다. 이로 인해 공격자는 암호화 채널을 활용해 탐지를 회피하는 전략을 고도화해왔다.
패킷사이버 v3.0은 기존 접근 방식과 다른 방향을 택했다. 암호화된 내용을 풀어보는 대신, 통신 메타데이터와 행위 패턴을 분석해 위협을 식별하는 구조다. 암호화 터널이 형성되기 이전 단계에서 이상 징후를 포착하는 방식으로, 데이터 복호화 과정 없이도 실시간 탐지가 가능하다.
JA3·JA4 핑거프린팅과 세션 단위 행위 분석을 결합해 C2(명령제어) 통신, 터널링, 은닉 채널 등 주요 공격 유형을 탐지할 수 있도록 설계됐다.
성능 측면에서도 기존 한계를 줄이는 데 초점을 맞췄다. 풀 패킷 캡처 방식에서 발생하던 저장 비용과 처리 지연 문제를 메타데이터 기반 구조로 개선했다. 한 달 이상 통신 이력을 저장하면서도 수 초 내 분석이 가능한 엔진을 통해 66개 이상의 위협 시나리오를 실시간 감시한다.
장기간 잠복하는 지능형 지속 위협(APT) 대응에도 초점을 맞췄다. 단기 탐지 중심에서 벗어나 장기적인 네트워크 가시성을 확보하는 방향이다.
탐지 범위 역시 확대됐다. 글로벌 보안 표준으로 활용되는 MITRE ATT&CK 프레임워크의 14개 전술을 모두 커버하며, 136개의 기술 ID를 탐지한다. 은닉형 백도어로 알려진 BPFDoor를 네트워크 수준에서 탐지하는 기능도 포함됐다.
엔드포인트 보안이 무력화된 상황에서도 네트워크 단에서 랜섬웨어 대응이 가능하다는 점을 차별 요소로 내세운다.
전덕조 씨큐비스타 대표는 “AI 기반 공격이 고도화되는 상황에서 기존 방식만으로는 대응이 어렵다”며 “패킷 내용 분석에서 통신 행위 분석 중심으로 보안 패러다임을 전환해야 한다”고 밝혔다.
회사는 판교 기술연구소를 중심으로 연구개발 인력을 확대하고, 해외 시장 공략에도 속도를 낼 계획이다.
암호화 트래픽 환경에서 복호화 없이 위협을 탐지하는 접근은 업계에서도 필요성이 꾸준히 제기돼 왔다.
다만 메타데이터 기반 분석이 실제 다양한 공격 환경에서 어느 수준의 정확도를 유지할 수 있는지, 오탐(false positive) 문제를 어떻게 관리할지는 시장 확산의 핵심 변수로 남아 있다. 또한 글로벌 보안 기업들과의 기술 경쟁 속에서 표준으로 자리 잡기까지는 추가적인 검증과 레퍼런스 확보가 요구된다.
암호화가 기본값이 된 네트워크 환경에서 보안 기술 역시 새로운 방향을 요구받고 있다. 씨큐비스타의 이번 NDR 솔루션은 그 전환 흐름을 반영한 사례로 볼 수 있다.
패킷을 해독하지 않고도 위협을 찾아내는 기술이 실제 보안 현장에서 얼마나 효과를 입증할지에 따라, 차세대 네트워크 보안의 기준이 달라질 가능성이 커지고 있다.
Copyright ⓒ 스타트업엔 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
