[지디넷코리아]
“누구나 약 2만 원만 있으면 도메인을 구매할 수 있는데 한 달간 정상사이트인 것처럼 위장하고 있다 피해자가 정보를 입력하면 정보를 탈취하고 사이트를 폐쇄합니다. 이런 피싱 사이트와 메일이 인공지능(AI) 발달로 더욱 정교해지고 있습니다.”
최원혁 누리랩 대표는 최근 지디넷코리아와 인터뷰에서 “정상 사이트와 피싱 사이트를 육안으로 구분하는 게 쉽지 않다. 직접 사이트에 접속해보기 전까지는 미리 알 수 있는 방법도 많지 않다”면서 이 같이 밝혔다.
누리랩은 AI 기반 안티 피싱·스미싱 전문 기업이다. AI 기술을 통해 인터넷 주소(URL)가 정상인지 여부를 판별해주고, 지속적으로 생겨나는 악성 URL을 탐지하는 ‘애스크URL(askURL)’ 서비스를 주력 비즈니스로 하고 있다.
최 대표는 피싱 사이트 정교함을 경고했다. “예를 들면 쿠팡의 경우 ‘coupang.com’이라는 사이트가 있다고 했을 때, ‘coupang1.com’이라는 도메인을 공격자가 구매한다. 이후 한 달간 ‘coupang1.com’에 접속해도 정상적인 쿠팡 사이트와 연결되도록 리디렉션(브라우저가 웹 서버에 어떤 URL을 요청했을 때 다른 URL로 연결되는 것)해 놓는다”며 “한 달여간 정상적인 사이트로 연결되니 구글 등에 쿠팡을 검색해도 ‘coupang1.com’ 사이트가 표시되기 시작하고, 피싱 사이트로 전환해야겠다고 마음먹은 순간부터 정상 사이트가 아닌 정상 쿠팡 화면인 것처럼 꾸며놓은 ‘coupang1.com’ 사이트에 연결되게 설정해놓는다”고 설명했다.
이어 “구글에 쿠팡을 검색해 접속하던 사용자들은 ‘coupang1.com’ 사이트에 접속해도 정상적인 쿠팡 사이트로 인지해 계정정보를 입력하고 로그인을 시도한다”며 “그 순간 계정정보는 외부 서버로 탈취되고 개인정보 유출이 일어나는 것이다”고 짚었다.
최 대표는 이메일에 실행 파일을 첨부하고 첨부파일을 클릭하면 해킹이 일어나는 수법은 이메일 보안 솔루션의 고도화로 점차 사라졌으나, 이같은 피싱 사이트로 유도해 계정을 탈취하는 사례는 늘고 있다고 진단했다.
아울러 피싱 메일의 경우 실행 파일을 직접 첨부하기 보다 정상적인 메일의 정상적인 첨부파일을 첨부하고, 본문 내에서 피싱 사이트로 연결되는 URL을 첨부하는 식으로 변화하고 있다고 강조했다. 이 경우 이메일 보안 솔루션에서 탐지가 어렵기 때문이다.
최 대표는 “이런 피싱 수법은 AI로 더욱 고도화했다”며 “홈페이지 정보만 주면 AI가 진짜 홈페이와 똑같이 만들어준다”고 밝혔다. 그는 “예를 들면 마이크로소프트, 애플, DHL 등 글로벌 기업 홈페이지 로그인 페이지를 AI를 통해 만들어내고 있다”고 경고하면서 “다만 기존에 있던 사이트를 모방한 것이기 때문에 완벽하지는 않다. 정상 사이트에서 클릭하면 연결되는 수많은 URL를 모두 똑같이 복제하는 것은 불가능하기 때문에, 공격자들은 메인 화면과 로그인 화면만 흉내내는 것이 전부”라고 피싱 사이트를 구별하는 법도 소개했다.
피싱 사이트나 의심스러운 URL을 확실하게 확인할 수 있는 방법이 있다. 누리랩의 ‘askURL’이다. 최 대표는 이날 인터뷰에서 askURL의 관리자 화면을 직접 보여주며 핵심 기능을 설명했다.
askURL은 ‘askURL.io’에 접속해 의심스러운 URL을 입력하기만 하면 알아서 해당 URL이 피싱인지, 사기인지, 성인·불법도박 사이트인지 확인해 결과를 알려준다. 탐지율은 99.9%에 달한다. 이날 최 대표는 누리랩의 메인 홈페이지 URL을 입력한 결과를 보여줬다.
최 대표는 “URL이 정상인지 아닌지 여부만 판별해주는 것이 아니라 도메인 정보를 모두 수집해 결과를 표시하며, AI가 해당 사이트가 정상인지 아닌지 판단한 근거에 대해 상세히 설명해준다”며 “심지어 피싱 사이트의 경우 잠깐 생겼다가 사이트가 폐쇄·재생성되는 경우가 많은데, 사이트가 닫히기 전 화면을 캡처해 표시해준다. 이후 비슷한 사이트가 다시 생겨난다고 하더라도 이전 피싱 사이트에서 사용된 사진이나 도메인 정보가 일치하면 askURL에서 자동으로 피싱으로 분류하는 것도 가능하다”고 설명했다.
누리랩이 하루 평균 수집하는 URL만 70만건에 달한다. 한국인터넷진흥원(KISA)에서 제공하고 있는 악성 URL을 탐지하는 보호나라 서비스에도 누리랩의 엔진이 탑재돼 있다. 그는 “나이스평가정보에서 제공하는 URL 해킹안심 서비스도 누리랩 기술이 기반”이라고 덧붙였다.
피싱 사이트에 계정정보나 개인정보를 입력하면 공격자는 외부 서버로 해당 정보를 빼돌린 뒤 다크웹이나 텔레그램 등 채널을 통해 정보를 사고판다. 혹은 이런 정보를 바탕으로 또 다른 피싱 범죄에 악용하기도 한다. 그만큼 URL 하나만 잘못 접근하더라도 피해는 이중, 삼중으로 불어날 수 있다.
최 대표는 우리 국민이 안심하고 URL을 사용할 수 있도록, 또 안전한 URL임을 어느 누구나 한 눈에 확인할 수 있도록 하는 ‘안전한 한국’ 서비스를 곧 출시할 예정이다.
최 대표는 “어느 사이트인지 한 눈에 확인하기 어려울 정도로 긴 URL을 압축시켜주는 서비스가 있다. 대표적으로 ‘bit.ly/~~’ 등으로 시작하는 URL을 받아본 적이 있을 텐데, 이는 피싱 URL이 아니라 긴 URL을 ‘비틀리(bitly)’라는 업체를 통해 짧게 압축한 URL이다”라며 “그러나 이 URL 압축 서비스는 피싱 사이트도 압축할 수 있다는 한계가 있다. 이에 많은 공격자들이 피싱 사이트를 ‘bit.ly/~~’ 등의 형태로 URL을 압축해 제공한다. 이러면 해당 사이트가 피싱 사이트인지 정상 사이트인지 들어가보기 전까지 확인할 수 없다는 문제가 발생한다”고 말했다.
그는 “누리랩도 비틀리와 같은 URL 압축 서비스를 조만간 선보일 예정이다. 단 askURL의 데이터베이스를 활용해 피싱사이트의 경우 압축·변환하지 않도록 필터링하는 기능을 탑재한다”며 “바로 ‘안전한.한국’ 서비스”라고 소개했다.
‘안전한.한국’은 누리랩이 선보이는 서비스이자, URL이다. ‘안전한.한국’ 사이트에 압축하고 싶은 URL을 입력하면 ‘안전한.한국/○○○’ 등의 형식으로 URL을 변환해준다. 이에 URL에 포함된 ‘안전한.한국’만 확인해도 누리랩이 검증한 안전한 URL임을 한 눈에 확인할 수 있도록 했다.
실제 기자가 ‘안전한.한국’ 서비스에 지디넷코리아 홈페이지 URL을 입력하자, ‘www.zdnet.co.kr’이라는 URL이 ‘안전한.한국/틀림없이.비싼.신고’ URL로 변환됐다. ‘안전한.한국/틀림없이.비싼.신고’를 주소창에 다시 입력하자 지디넷코리아 홈페이지로 연결됐다.
최 대표는 “아직 완성된 서비스는 아니기 때문에 조만간 서비스를 완성해 선보일 계획이다. 한국어로 URL 압축하는 것 뿐 아니라 영어 URL로 안전하게 압축하는 방법도 있다”고 소개하며 “단순한 URL 압축이 아니라 피싱 사이트까지 필터링되기 때문에 안전한 인터넷 환경 조성에 이바지할 수 있을 거라고 생각한다”고 밝혔다.
누리랩은 LG유플러스, 나이스평가정보 등에 askURL 서비스를 공급하고 있다. B2B로 계약을 맺은 기업에는 별도 서버를 열어 사내에서 이용하는 URL 탐색 서비스를 별도로 관리한다. 공개적으로 URL 데이터를 수집하지 않으며, 고객사만의 askURL 환경을 구성해주는 것이 핵심이다.
최 대표는 1997년 경일대 컴퓨터공학과를 졸업한 이듬해 백신을 중심으로 한 사이버보안 전문 기업 하우리를 공동 창업, CTO로 일했다. 10년간 하우리에서 재직하다 2008년 퇴사 후 지난 2011년 누리랩을 개인사업자로 창업했다.
누리랩은 창업 초기 대검찰청으로부터 포렌식 과제를 받아 수행하는 기업이었다. 이후 과제가 확대되며 2015년부터 현재 법인의 형태를 갖춘 누리랩이 탄생했다.
최 대표는 “2017년부터 대검찰청에서 주는 과제가 개발 업무가 아닌 유지보수에 치중되기 시작했다. 이에 직원들 인건비도 나오지 않는 수준까지 도달했고, 자체 제품에 대한 니즈가 생기기 시작했다”며 “2018년부터 안티 랜섬웨어, 백신 분야에 다시 집중하기 시작했다. 백신 프로그램을 메일에 적용하다 보니 자연스럽게 URL과 문서에 첨부되는 악성코드들을 많이 접하게 됐다”고 밝혔다.
그는 “이런 가운데 2022년께 생성형 AI가 등장하면서 수작업으로 URL을 수집·분석하던 것에서 나아가 자동화할 수 있는 수준까지 발전하게 됐다”며 “이것이 askURL의 초기 모델이 됐다”고 설명했다.
askURL은 초기 모델서부터 큰 인기를 끌었다. 여러 기업에서 러브콜을 보냈고, 업그레이드를 거듭해서 현재 askURL까지 만들어냈다.
누리랩은 지난해 65억 원의 매출을 올렸다. 올해 목표는 85억 원이다. 최 대표는 “충분히 달성 가능한 목표치”라면서 “2027년에는 100억 원을 기록할 것”이라고 내다봤다. 3년 후에는 상장할 계획도 있다. 이미 지난해 연말 결산 때 IPO(기업 공개)가 다음 목표라고 제시한 상태다.
최 대표는 누리랩이 온라인상의 모든 사기, 피싱 행위를 잡아낼 수 있는 플랫폼으로 성장하겠다는 청사진과 함께 글로벌 1위 안티 피싱 전문 기업으로 도약하겠다는 포부도 밝혔다.
“전 세계를 타깃으로 사업을 확장할 예정”이라면서 “현재 알제리에 askURL을 공급하고 있으며, 카타르와도 도입 논의가 가시화되고 있다. 다음 타깃은 일본이다. 일본에서 이미 피싱협회에 가입하는 등 성과를 내고 있다. 일본 피싱 협회는 일본에 지사를 두고 있어야 가입할 수 있는데, 누리랩은 askURL의 우수한 성능을 인정받아 협회 내 가입 투표를 만장일치로 통과해 지사 없이도 피싱 협회에 가입한 유일한 기업이다”라고 설명했다.
이어 최 대표는 “일본이 끝이 아니다. EDR(엔드포인트 탐지 및 대응)에서 세계 1위를 꼽으라 하면 크라우드스트라이크를 지목하듯, 안티 피싱 분야에서 세계 1위를 꼽으라 하면 누리랩이 되게 할 것”이라면서 “압도적인 AI 학습량으로 세계 무대에서 실력을 입증해 내겠다”고 강조했다.
최원혁 누리랩 대표는…..
◆ 학력
2015.02 : 동국대학교 정보통신공학과 컴퓨터공학 박사 수료
2001.02 : 동국대학교 국제정보대학원 정보보호학 석사 졸업
1997.02 : 경일대학교 컴퓨터공학 학사 졸업
◆ 경력
2015.03 – 현 재 : (주)누리랩 대표이사/연구소장 (법인전환)
2011.05 – 2015.03 : 누리랩 대표 (개인 사업자)
2011.11 – 2014.03 : (주)잉카인터넷 보안기술 CSO 이사
2009.09 – 2010.10 : (주)터보테크 난독화 솔루션 개발 팀장
1998.05 – 2008.08 : (주)하우리 CTO/연구소장 (창업멤버, 백신 개발 총괄)
◆ 이력
2025.05 – 현 재 : 민관합동조사단 위원 (과학시술정보통신부장관 임명)
2025.05 – 현 재 : 제6기 사이버보안전문단 (한국인터넷진흥원 임명)
2022.04 – 현 재 : 경찰청 사이버안보 해킹조직 연구회 전문위원
2021.03 – 현 재 : 사이버작전사령부 자문위원
2020.09 – 현 재 : 이화여자대학교 엘텍공과대학 소프트웨어학부 사이버보안전공 겸임교수
2022.01 – 2022.12 : 중소벤처기업진흥공단 정책모니터링단 위원
2021.09 – 2024.08 : 경희사이버대학교 IT·디자인융합학부 AI사이버보안전공 겸임교수
2021.03 – 2023.08 : 고려대학교 인공지능사이버보안학과 겸임교수
2019.09 – 2020.08 : 국민대학교 산학협력 멘토위원
2016.09 – 2017.08 : 김포대학교 사이버보안과 외래교수
2014.03 – 2016.02 : 사이버보안전문단 (미래창조과학부 임명)
2009.03 – 2013.02 : 동국대학교 국제정보대학원 정보보호학과 사이버포렌식전공 교수
2004.10 – 2014.03 : 방통위 민간합동조사단 운영위원
1995.10 – 현 재 : 공개용 백신 (키콤백신) 개발