[인터뷰] 조정대 본부장 "문제풀이 넘어 실전 대응으로…코어시큐리티 ‘쉴드온’, 사이버훈련 패러다임 바꿀 것"

“공격자가 협업하는 시대, 방어자도 협력 자체를 훈련해야 한다”
쉴드온, 금융·공공·군·기반시설 환경 맞춤형 사이버레인지 구현

사이버보안 전문기업 코어시큐리티(대표 김태일)가 AI 기반 사이버레인지 통합 보안훈련 플랫폼 ‘쉴드온(ShieldOn)’을 앞세워 실전형 사이버공방훈련 시장을 확대하고 있다. 쉴드온은 단순히 문제를 풀거나 취약점을 찾는 경진대회형 플랫폼이 아니라, 실제 침해사고가 발생했을 때 조직이 어떻게 탐지하고 분석하며 차단·격리·복구까지 수행하는지를 훈련하는 사이버레인지 플랫폼이다.

조정대 코어시큐리티 사이버레인지사업본부 본부장은 데일리시큐와 인터뷰에서 “사이버보안 교육과 훈련은 다르다”고 강조했다. 교육이 보안 원리와 이론을 이해하는 과정이라면, 훈련은 위기 상황에서 실제로 행동할 수 있도록 절차와 대응 능력을 몸에 익히는 과정이라는 설명이다. 쉴드온 소개 자료에서도 교육은 ‘왜와 무엇’을 이해하는 과정, 훈련은 ‘어떻게와 언제’를 숙달하는 과정으로 구분하고 있다.

조 본부장은 국방 분야에서 오랜 기간 사이버작전과 교육훈련 업무를 수행한 인물이다. 국방부와 사이버작전사령부에서 전략기획, 체계개발, 교육훈련 분야를 거쳤고, 최근 5년간 화이트햇 콘테스트, 국제 사이버훈련, 한미 사이버동맹훈련 등 다양한 사이버보안 교육훈련 활동에 참여했다.

그는 이 경험을 바탕으로 “CTF 방식의 문제풀이만으로는 실제 사고 대응 능력을 충분히 검증하기 어렵다”고 말했다.

문제풀이형 훈련으론 한계...실전 대응형 훈련 필요

조 본부장이 가장 먼저 지적한 부분은 기존 사이버훈련의 한계였다. 국내외에서 진행된 상당수 보안대회와 훈련은 특정 취약점을 찾거나 정해진 문제를 해결하는 데 초점이 맞춰져 있었다. 이런 방식은 개인의 기술 역량을 확인하는 데는 효과적이지만, 실제 사고 상황에서 필요한 보고, 의사결정, 역할 분담, 기관 간 정보공유까지 검증하기는 어렵다.

쉴드온은 이 지점을 보완하기 위해 설계됐다. 플랫폼은 훈련포털, 가상·모사, 훈련 시나리오, 대항군 운용, 사후강평, 훈련체계 관리 등 6대 기능으로 구성된다. 훈련포털은 일정과 인원, 진행률을 관리하고, 가상·모사 기능은 서버와 네트워크, 보안장비를 가상으로 재현한다.

훈련 시나리오는 실제 공격 사례와 MITRE ATT&CK 기반의 공격 흐름을 반영하고, 대항군 운용 기능은 공격자 역할을 수행한다. 사후강평은 탐지와 대응 시간, 정확도, 취약한 대응 구간을 분석해 훈련 종료 후 개선점을 제시한다.

조 본부장은 이 가운데 “가상·모사”를 쉴드온의 핵심 기반으로 꼽았다. 실제 기관이나 기업이 운영 중인 정보시스템을 물리적으로 그대로 구축하려면 막대한 비용과 시간이 필요하다. 쉴드온은 이를 소프트웨어 기반의 가상 환경으로 재현한다.

금융기관은 금융 업무 환경에 맞는 시스템과 위협 시나리오를, 군과 공공기관은 각 조직의 운영망과 임무 특성에 맞는 환경을 구성할 수 있다. 조 본부장은 “방어자가 실제로 지켜야 할 정보체계와 유사한 환경을 만들어야 실전처럼 훈련할 수 있다”고 설명했다.

지난해 10월 15일 부산 벡스코에서 열린 ‘영남권 사이버 공격·방어대회’는 쉴드온의 실전형 훈련 구조를 보여준 사례였다. 당시 대회는 APT 랜섬웨어 훈련 시나리오를 중심으로 진행됐다. AI 기반 자동화 공격자가 실시간 침투를 시도하면, 방어자는 이를 탐지하고 격리한 뒤 시스템을 복구하는 과정을 수행했다. 참가자들은 단순히 정답을 찾는 방식이 아니라 실제 침해사고 대응 조직처럼 움직여야 했다.

이 대회에서 쉴드온은 실제 네트워크 인프라와 시스템 환경을 재현하고, 공격·방어 상황을 실시간으로 보여주는 방식으로 몰입도를 높였다.

참가자들은 공격 징후 탐지, 로그 분석, 피해 확산 차단, 복구 조치까지 수행하며 사이버 회복력과 위기 대응 역량을 점검했다. 조 본부장은 당시 대회에 대해 “단순한 해킹 경진대회를 넘어 실제 전장에서의 사이버전 대응 능력과 조직 간 협업 역량을 종합적으로 검증한 자리였다”고 평가했다.

쉴드온의 차별점은 ‘협력’을 평가한다는 데 있다

조 본부장이 인터뷰에서 가장 강조한 키워드는 ‘협력형 사이버레인지’였다. 그는 공격자들이 이미 협력하고 있다고 말했다. 랜섬웨어 서비스형 범죄조직, 초기침투 브로커, 취약점 거래 생태계처럼 공격자는 분업화된 공급망을 구축하고 있다. 따라서 방어자도 개인 능력에만 의존해서는 안 되며, 협력 자체를 훈련 대상으로 삼아야 한다는 것이다.

그는 협력형 훈련을 “사이버 위협 상황 발생 시 대응·조치 과정의 각 단계에서 개인과 개인, 기관과 기관, 국가와 국가 간 부족한 부분을 상호 보완하며 함께 대응해 나가는 전 과정을 훈련하는 모델”로 정의했다. 기존 훈련이 개인이나 팀 단위 기술 수행역량을 측정했다면, 협력형 훈련은 정보공유, 합동대응, 의사결정까지 평가한다.

특히 쉴드온은 평가체계를 세 축으로 나눈다. 첫째는 개인 기술 역량이다. 탐지, 분석, 격리, 복구 절차를 얼마나 정확히 수행했는지를 본다. 둘째는 팀 성과다. 차단 시간, 복구 목표시간, 오탐률, 피해 확산 차단 시점처럼 팀이 만들어 낸 결과를 측정한다.

셋째는 협력지표다. 정보공유의 적시성, 역할 분담의 명확성, 공동 의사결정 품질, 교대·인계 정확도 등이 여기에 포함된다. 자료에는 협력지표가 일정 기준에 미달하면 수료를 제한하고 재훈련을 부여하는 방식도 제시돼 있다.

이 부분은 기존 사이버훈련과 가장 큰 차이를 보인다. 지금까지 많은 훈련은 개인이 얼마나 빨리 문제를 풀었는지, 특정 기술을 얼마나 잘 사용했는지를 평가했다. 하지만 실제 사고 현장에서는 뛰어난 분석가 한 명만으로 대응이 끝나지 않는다. 탐지 담당자가 이상 징후를 발견하면 분석팀에 정확히 넘겨야 하고, 분석 결과는 의사결정권자에게 보고돼야 하며, 차단과 복구 과정에서는 시스템 운영팀과 보안팀, 외부 협력기관까지 연결돼야 한다.


조 본부장은 “협력지표의 핵심은 개인과 개인, 기관과 기관, 더 나아가 국가와 국가 간 협력까지 평가 가능한 구조를 만드는 것”이라고 설명했다. 그는 실제 상황에서 보고가 늦거나, 인계가 부정확하거나, 역할이 중복되면 기술적으로는 탐지에 성공했더라도 조직 차원의 대응은 실패할 수 있다고 지적했다.


쉴드온, AI가 시나리오·공격·사후강평 전 과정에 적용

쉴드온의 또 다른 핵심은 AI 자동화다. 코어시큐리티는 쉴드온을 차세대 사이버훈련시스템으로 고도화하면서 시나리오 준비, 공격 수행, 훈련 평가까지 AI를 적용하는 방향으로 개발하고 있다. 그는 AI 시나리오 생성, AI 레드팀 운영, AI 사후강평을 차세대 사이버레인지 쉴드온의 핵심 경쟁력이라고 강조했다. 

AI 시나리오 생성은 위협 인텔리전스와 최신 취약점 정보를 기반으로 공격 흐름을 설계하고, 훈련 대상자의 수준에 따라 난이도와 유형을 조정하는 방식이다. AI 레드팀은 자율 침투 에이전트처럼 작동하며 방어자의 대응 수준에 따라 공격 전술을 바꾼다. AI 사후강평은 훈련 과정에서 발생한 로그와 대응 기록을 분석해 개인별·팀별 취약점을 도출하고 맞춤형 개선 방향을 제시한다.

조 본부장은 “시나리오가 가장 중요하다”고 말했다. 실제 공격 사례를 분석해 어떤 경로로 침투가 이뤄졌는지, 어느 단계에서 방어자가 놓칠 수 있는지, 어떤 의사결정이 필요한지를 훈련 안에 녹여야 한다는 설명이다.

그는 “훈련 시나리오를 만드는 콘텐츠 개발자는 매우 창의적이어야 한다”며 “단순히 취약점 하나를 넣는 것이 아니라 실제 침해사고에서 벌어질 수 있는 흐름을 상상하고 설계해야 한다”고 말했다.

쉴드온의 AI 사후강평은 훈련을 일회성 이벤트가 아닌 반복 학습 체계로 바꾸는 역할을 한다. 훈련이 끝난 뒤 “잘했다”거나 “못했다”는 평가에 그치지 않고, 어느 단계에서 탐지가 늦었는지, 어떤 정보가 공유되지 않았는지, 차단 결정이 적절했는지, 복구 절차가 표준운영절차에 맞았는지를 데이터로 확인할 수 있다. 이는 기관이나 기업이 다음 훈련을 설계할 때 중요한 근거가 된다.

공공·군·금융·기반시설까지 확장 가능한 사이버훈련 플랫폼

코어시큐리티는 쉴드온을 정부, 군, 금융기관, 기반시설, 제조기업 등 다양한 분야에 적용할 수 있는 플랫폼으로 설명했다. 분야마다 지켜야 할 시스템과 공격 시나리오가 다르기 때문이다. 금융권은 전자금융과 고객정보 보호, 거래시스템 장애 대응이 중요하고, 제조기업은 생산망과 운영기술 환경의 연속성이 핵심이다. 군과 공공기관은 임무망, 폐쇄망, 정보공유 체계까지 고려해야 한다.

쉴드온은 이런 차이를 가상·모사와 시나리오 라이브러리로 반영한다. 정부·군·금융기관 특화 시나리오 라이브러리를 내장하고, ICDX(Interactive Cyber Defense eXercise)부터 실전훈련까지 단일 플랫폼으로 통합 관리할 수 있다고 설명하고 있다. 이는 기관별 환경에 맞는 훈련을 반복적으로 수행하고, 훈련 결과를 데이터로 축적해 조직의 보안 성숙도를 관리할 수 있다는 의미다.

ICDX는 CTF식 문제풀이에서 한 단계 발전한 상호작용형 사이버 방어 연습이다. 개별 취약점 분석과 탐지, 방어 기술을 실제와 유사한 환경에서 반복 훈련할 수 있다는 장점이 있다. 다만 조직 전체의 사고 대응 절차, 지휘체계, 협업, 복구까지 검증하는 실전형 사이버레인지 훈련과는 차이가 있다.

코어시큐리티는 쉴드온을 통해 ICDX 수준의 기술훈련을 넘어, SOP 기반 대응 절차와 팀·기관 간 협력까지 평가하는 실전 대응 훈련으로 확장하고 있다.

코어시큐리티는 동아대학교와 협력해 동남권 사이버보안 역량 강화를 위한 훈련 환경 구축도 추진하고 있다. 조 본부장은 인터뷰에서 동아대학교 사이버보안교육센터와 관련해 “동남권 사이버보안 역량 강화를 위해 훈련센터를 구축했다”고 설명했다. 지난해 영남권 사이버 공격·방어대회에 이어 지역 거점형 보안훈련 체계가 본격화되고 있다. 

이 같은 지역 거점형 훈련은 대학, 공공기관, 기업이 함께 참여하는 공동 대응 생태계로 확장될 수 있다. 특정 기관만 잘하는 보안이 아니라 지역 단위로 위협 정보를 공유하고, 실제 사고 때 협력할 수 있는 훈련 경험을 쌓는 것이 목적이다. 사이버위협이 공급망과 협력사, 지역 기반 인프라까지 동시에 겨냥하는 상황에서 이런 공동훈련 체계의 필요성은 더 커지고 있다.

“공격자는 협업한다…방어자도 협력 자체를 훈련해야 한다”

쉴드온이 주목받는 이유는 사이버훈련의 기준을 바꾸려 하기 때문이다. 기존 훈련이 개인의 기술 숙련도와 문제 해결 능력을 확인하는 데 머물렀다면, 쉴드온은 실제 조직이 사고를 어떻게 인지하고, 어떻게 보고하고, 누가 결심하며, 어떤 순서로 차단·복구하는지를 함께 본다. 특히 협력지표를 평가체계에 포함한 점은 실전 대응형 사이버레인지의 방향을 보여준다.

조정대 본부장은 “이제 사이버훈련은 개인이 문제를 얼마나 잘 푸느냐를 보는 수준을 넘어야 한다”며 “실제 침해사고가 발생하면 탐지와 분석, 보고와 결심, 차단과 복구가 하나의 흐름으로 움직여야 한다”고 말했다.

그는 이어 “공격자는 이미 협업하고 있다. 랜섬웨어 조직과 초기침투 브로커, 취약점 거래 생태계가 분업화돼 움직이는 상황에서 방어자도 협력하지 않으면 대응 속도를 따라갈 수 없다”며 “쉴드온은 개인 기술과 팀 성과뿐 아니라 정보공유, 역할 분담, 의사결정, 인계까지 평가해 조직이 실제 위기 상황에서 움직일 수 있도록 만드는 훈련 플랫폼”이라고 강조했다.

출처 : 데일리시큐(https://www.dailysecu.com)