지난해 11월 로그프레소(대표 양봉열)에 합류한 장상근 연구소장은 화이트해커 출신이다. 2007년 하우리를 시작으로 안랩 등에서 악성코드 분석, 보안취약점 분석, 보안 시스템 개발 업무를 해왔다. 또 3.20 사이버 테러 사태 이후 방송사로 이직해 6년간 공영방송사 정보보안팀에서 보안관제 및 보안관리체계를 구축 및 개발하는 등 보안기업과 공기업에서 사이버보안을 바라보는 시야를 넓혀 왔다.
데일리시큐는 최근 장상근 소장을 만나 로그프레소에 합류한 소감과 향후 목표 등에 대해 들어 보았다.
2013년 3월 20일 북한 해커들의 사이버공격으로 주요 방송사와 금융기관의 전산망이 마비되는 초유의 사태가 발생했다. 이 사건을 계기로 방송사는 실력있는 보안전문가를 영입해 사이버보안을 강화해야 할 시점이었다.
2013년 장 소장은 공영방송사 정보보안팀으로 이직해 10년간 보안관제시스템을 구축하고 운영하면서 방송사 보안관제 체계를 만들고 운영하는데 A부터 Z까지 노하우를 축적할 수 있었다. 이후 보도국에서 빅데이터와 머신러닝 기술을 활용해 데이터 기반의 뉴스를 제작하는데 도움이 되는 시스템을 개발했고 이는 지금도 방송사 보도 역량을 높이는데 기여를 하고 있다.
“스플렁크 능가하는 글로벌 기업으로 성장”
장상근 소장은 로그프레소 합류 소감을 묻는 질문에 “당시 방송사에서 어떤 보안 위협을 찾아내기 위해서 로그 분석을 수행하는데 너무 많은 시간이 소요되었다.
그래서 보안관제 시스템을 구축하면서 로그 분석 시스템을 도입하게 되었는데 다른 제품에 비해 로그프레소 솔루션이 개발 도구 등도 지원해주고 있고 활용도와 커스텀에서 가장 매력적이었고 협력도 잘해줬다” 며 “보안관제 업무를 하면서 보안관제 관련 책도 출간하고 위협을 찾아내고 방어하는 과정 등 보안관제의 재미에 푹 빠져 있었다. 이를 가능하게 해 준 솔루션이 바로 로그프레소 제품이었다. 그런 가운데 로그프레소와 함께 일 할 수 있는 기회가 왔고 조금만 더 노력하면 스플렁크를 능가하는 글로벌 기업으로 성장할 수 있지 않을까라는 희망을 품고 같이 일하게 됐다.”고 전했다.
장 소장은 현재 로그프레소 제품기획, 위협탐지모델과 SOAR 플레이북 등 다양한 개발 업무를 담당하고 있다. 특히 로그프레소 제품을 활용해 보다 효율적이고 실질적인 관제 업무를 수행할 수 있도록 고객사 교육 콘텐츠를 개발도 집중하고 있다.
“고객들이 로그프레소 제품 효과를 극대화할 수 있도록 교육 콘텐츠 개발”
그는 “로그프레소는 SOAR 보안운영 자동화 ‘마에스트로’, SIEM 통합보안관제 플랫폼 ‘소나’, LMS 통합 로그 관리 시스템 ‘소나 라이트’, 로그분석 및 침해대응 도구 ‘미니’ 등을 도입한 고객들이 제품 기능을 극대화해 활용할 수 있도록 교육 체계를 구축할 필요가 있었다”며 “온라인 교육 플랫폼인 로그프레소 스쿨을 개설해 고객과 파트너사에 도움이 되는 서비스를 제공할 계획”이라고 전했다.
로그프레소는 솔루션 구축도 간편하게 진행할 수 있도록 앱 스토어 방식을 적용했다. 예전에는 사이트 구축 시 고객사 별로 커스텀 해주기 위해 많은 공이 들어가고 고객도 사용에 어려움을 갖고 있었다면, 이제는 앱 형태로 설치 버튼만 누르면 자동으로 데이터를 수집하고 분석이 가능해 사용자 편의성이 상당히 개선됐다.
“앱으로 편리하게 연동하고 구축과 운영 가능해”
장 소장은 “현재 로그프레소 SIEM, SOAR 솔루션은 사용자 편의성을 높이기 위해 보안장비 별로 앱을 설치하고 업데이트만 하면 자동으로 연동되고 탐지룰이 업데이트되면서 대시보드가 펼쳐지고 보안관제 체계가 돌아가게 구성돼 있다. 구축하는 우리와 사용 기업이 모두 편리하고 간편하게 구축과 운영을 할 수 있게 제공하고 있다. 현재 로그프레소는 자체 앱 스토어를 통해 130여 개의 앱을 서비스하고 있다. 이제 탐지 시나리오를 강화하고 자동화하는데 주력하고 있으며 이를 통해 탐지력을 글로벌 수준으로 높여 나갈 계획이다”라고 밝혔다.
사용기업 담당자는 로그프레소 앱만 설치하면 10분 이내로 대시보드를 통해 로그 수집과 위협 상황을 한눈에 파악하고 대응할 수 있다. 또 AI 어시스턴트도 적용돼 있으며 향후 로그프레소에서 개발중인 sLLM(소형 언어 모델)도 탑재되면 망분리 폐쇄망에서도 언어 모델을 사용할 수 있게 된다. 이렇게 되면 담당자는 프롬프트를 활용해 자동으로 위협 IP를 차단하고 공격에 실시간으로 대응할 수 있다.
“탐지 시나리오 강화…sLLM 적용 등 기능 개선으로 글로벌 시장 진출”
장 소장은 sLLM 개발과 마이터어텍, 위협 헌팅 기능 탑재 등 로그프레소 제품의 탐지 시나리오를 보강하는데 연구원들과 함께 역량을 집중하고 있다고 전했다.
한편 그는 로그프레소가 국내뿐만 아니라 글로벌로 진출해 성공하는 것을 최종 목표로 하고 있다. 그래서 제품들을 클라우드 기반으로 전환하고 있다고 한다.
그는 “로그프레소 제품은 이미 성능면에서는 글로벌 제품들을 능가하고 있다. 오픈 소스 기반이 아닌 자체 개발한 원천 기술을 기반으로 한 TTA 시험 평가 결과, 단일 시스템에서 실시간 인덱싱 포함 초당 270만건 로그를 수집할 수 있고 검색 속도는 1TB(25억건)에서 단일 IP를 검색하는데 0.098초에 불과하다. 1초도 걸리지 않는다. 이 정도 성능은 글로벌 제품들과 동등하거나 오히려 앞선 상황이다. 그리고 앞서 말한 API를 통한 자유로운 연동 및 설치와 운영 등에서도 강점이 있다. 다만, 탐지 시나리오에서 다소 부족한 부분이 있는데 이 부분에 대한 개선과 시각적인 면에서 개선해 나간다면 상당한 경쟁력을 확보할 수 있을 것”이라고 말했다.
특히 장 소장은 “글로벌로 진출하기 위해서는 모든 기능들이 API로 컨트롤 할 수 있고 연동할 수 있어야 한다. 국내 방화벽이나 웹방화벽 제품들도 API를 공개해 연동할 수 있는 체계로 가야 한다. 그래야 글로벌로 나갈 수 있다고 생각한다. 연동이 안되는 폐쇄적인 제품은 해외로 나갈 수 없다. API 형태로 개발과 API 보안에 투자해야 한다. 국내 보안 제품들도 클라우드와 SaaS 기반으로 제작하고 API로 연동할 수 있도록 구성해 함께 해외 시장에 진출해서 성공했으면 하는 바람이다”라고 강조했다.
국내 어플라이언스 보안 제품들도 이제 인식을 바꿔야 할 때다. 제품설계부터 호환성과 연동을 고려해 설계해야 글로벌 시장에 진출할 수 있고 고객들도 사용하기 편리하지 않을까란 생각이다.
“클라우드 SIEM·가격·로그 데이터 저장 기간 등 글로벌 기업과 경쟁을 위한 조건 갖춰”
한편 장 소장은 로그프레소 클라우드 제품의 강점으로 가격 경쟁력과 로그 데이터 저장 기간을 들었다. 클라우드의 오브젝트 스토리지를 활용해 데이터를 저장하는데 타사 대비 절반 정도의 비용으로 가능하고, 또 타사는 30일까지만 로그 저장이 가능한 반면, 로그프레소는 2년 이상 로그 데이터를 저장하고 검색이 가능 하다는 것이다. 이는 침해사고를 분석하는데 중요한 부분이다.
그리고 로그프레소 제품을 도입하고 엔드포인트 제품 몇 개만 도입하면 ISMS-P 인증을 받을 수 있는 조건을 갖출 수 있도록 제품 구성을 준비하고 있다고 전했다. 이 부분이 가능하도록 여러 기업들과 얼라이언스를 맺고 고객들은 인증을 빠르게 받고 비용도 절감할 수 있도록 하겠다는 것이다.
장상근 소장의 합류로 로그프레소 제품들이 어떻게 강화될지 그리고 글로벌 시장에서 날개를 펼 수 있을지 귀추가 주목된다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
