여기저기 흩어진 시크릿 한 곳에서 실시간 탐지∙∙∙보안팀에 알림
실제로 사용 가능하고 유효한지 검증∙∙∙불필요한 알림 소음 감소
[한국M&A경제] 크리밋(Cremit, 대표 김동현)이 프라이머(Primer) 배치 23기에 선정돼 초기 투자를 유치했다고 18일 밝혔다.
크리밋은 소스코드 저장소, 문서, 채팅 앱과 같은 내부 협업툴에 노출된 800여 가지의 시크릿 키(Secret key)를 찾아내는 것에 집중하고 있다. 시크릿 디텍션(Secret detection) 영역은 새롭게 부상하는 보안 영역이다.
국내 시장에서는 시크릿(Secret) 문제를 해결하기 위한 마땅한 솔루션이 없었다. 이에 크리밋 김동현 대표는 이를 직접 개발했다. 이후 주변 보안 엔지니어들의 요청으로 5월 정식으로 법인을 설립하고 본격적으로 개발을 시작했다.
소프트웨어 개발 환경 변화로 인해 응용프로그램 인터페이스(API) 키(Key) 사용이 폭발적으로 증가하고 있다. 이에 따른 유출 사고 사례도 함께 증가하는 추세다. 대표적으로 2022년 우버(Uber)와 토요타(Toyota)가 있다. 실제로 Toyota는 탈취된 스크릿으로 인해 5년간 정보자산 유출이 발생했다고 발표한 바 있다.
이런 사고 대부분은 직원들의 관리 소홀이나 실수로 인해 발생한다. 비밀 관리 도구를 활용하고 교육을 꾸준히 실시해도 인간의 실수는 본질적으로 막기 어렵기 때문이다.
크리밋은 이 문제를 해결하기 위해 탐지 영역에서부터 시작했다. 간단한 연동을 통해 여기저기 흩어져 노출돼 있는 시크릿을 한 곳에서 실시간으로 탐지하고, 탐지된 시크릿이 있는 경우 보안팀에게 알림을 주는 형태다. 발견된 시크릿이 실제로 사용 가능하고 유효한지 검증 작업을 거쳐 알림을 주기 때문에, 불필요한 알림 소음으로부터 벗어날 수 있다.
크리밋 김동현 대표는 “소스코드 저장소 외에 내부 직원들이 접근하고 있는 시스템에도 시크릿이 다수 노출돼 있는 것을 발견했다”며 “이에 노션(Notion), 슬랙(Slack), 컨플루언스(Confluence)와 같은 협업 도구와 문서, 데이터베이스, 스토리지 등으로 탐색 범위로 확장해 개발을 마친 상태”라고 말했다.
이어 “고객의 요구사항에 맞춰 개인정보도 탐색의 영역에 포함시켰다”며 “이번 프라이머 투자를 바탕으로 고객의 피드백에 맞춰 빠른 서비스 개선과 기능 개발에 집중할 계획”이라고 밝혔다.
[한국M&A경제=이용준 기자] news@kmnanews.com
