콘트라스트 시큐리티, 구글 보안 운영 연동…‘실행 중 코드’로 앱 공격 추적한다

애플리케이션 보안 스타트업 콘트라스트 시큐리티가 구글 보안 운영과의 새 연동 기능을 공개했다. 이번 통합의 핵심은 운영 환경에서 실제로 실행되는 코드의 정보를 보안 분석 체계로 직접 넘겨, 보안관제센터(SOC) 팀이 네트워크 바깥의 ‘애플리케이션 계층’ 공격까지 더 정확하게 식별할 수 있게 했다는 점이다.

콘트라스트 시큐리티는 24일 자사 애플리케이션 탐지·대응 플랫폼인 ADR의 런타임 애플리케이션 텔레메트리를 구글 보안 운영(Google Security Operations)에 직접 연결한다고 밝혔다. 이 데이터는 구글의 통합 데이터 모델인 UDM(Unified Data Model)에 맞춰 정규화되며, 이를 통해 SOC 분석가는 외곽 방어 장비나 네트워크 신호에만 의존하지 않고 실제 실행 중인 애플리케이션의 동작을 바탕으로 공격을 탐지하고 조사할 수 있다.

이번 연동으로 구글 보안 운영에 전달되는 런타임 맥락 정보에는 영향을 받은 애플리케이션, 코드 실행 경로, 스택 트레이스, 공격 결과 등이 포함된다. 특히 공격이 실제로 성공했는지, 혹은 차단됐는지까지 확인할 수 있어 기존 보안 도구보다 한층 정밀한 대응이 가능해진다. 전용 탐지 규칙은 검증된 애플리케이션 공격을 자동으로 사건으로 등록하고, 이를 다른 보안 시스템의 신호와 연계해 분석하도록 설계됐다.

콘트라스트 시큐리티는 이런 방식이 기존 보안 솔루션을 우회하는 공격에 효과적이라고 설명했다. 대표적으로 ‘안전하지 않은 역직렬화’ 같은 로직 기반 공격은 이미 알려진 서명값이 없고 정상적인 애플리케이션 동작을 가장해 침투하기 때문에, 실제 운영 환경에서 코드 실행을 보지 않으면 식별이 쉽지 않다.

이 같은 움직임은 애플리케이션 계층 위험이 빠르게 커지는 흐름과 맞물린다. 구글 맨디언트의 ‘M-트렌즈 2026’ 보고서에 따르면 취약점 악용은 전체 초기 침입의 32%를 차지하며 피싱과 탈취된 자격 증명보다 더 큰 비중을 기록했다. 특히 이런 공격 상당수는 애플리케이션이 실제 운영 환경에서 실행될 때만 드러난다는 점에서 런타임 기반 가시성의 중요성이 커지고 있다.

콘트라스트 시큐리티는 공격이 감지되면 해당 런타임 텔레메트리가 즉시 구글 보안 운영에 표시되고, 플랫폼은 이를 취약한 코드까지 역추적한다고 설명했다. SOC 팀은 즉각 대응할 수 있고, 개발팀은 콘트라스트의 ‘에이전틱 스마트픽스’를 활용해 우선순위를 정해 수정 작업에 나설 수 있다.

이번 연동은 구글 보안 운영에 탑재된 인공지능 ‘제미나이’에도 구조화된 런타임 데이터를 제공한다. 이는 AI가 더 정확하게 사고를 조사하고 자동 대응을 수행하는 데 필요한 맥락 정보를 보강하는 역할을 한다.

파야 펭 콘트라스트 시큐리티 ADR 총괄 겸 제품 책임자는 “대부분의 SOC 팀은 애플리케이션 계층에서 사실상 눈을 가린 채 운영되고 있다”며 “‘코드가 실제로 어떻게 실행되는지’, 또 해당 애플리케이션이 실제로 악용 가능한 상태인지를 기존 경계형 텔레메트리만으로는 알 수 없다”고 말했다.

비닛 반 구글 클라우드 보안·아이덴티티 파트너십 디렉터는 이번 협력이 고객에게 “‘AI 시대’에 데이터를 보호하고 통제력을 유지하며 자신 있게 혁신할 수 있는 고급 보안 도구”를 제공한다고 밝혔다.

이번 통합 기능은 현재 구글 보안 운영 파트너 디렉터리에서 바로 사용할 수 있다. 보안 시장 전반에서 탐지의 무게중심이 네트워크에서 애플리케이션 내부 실행 흐름으로 옮겨가는 가운데, 이번 연동은 SOC와 개발 조직을 더 긴밀하게 연결하는 사례로 평가된다.