[기획 보도] 김기홍 샌즈랩 대표, “고품질·경제적 데이터 셋 기반 위협 인텔리전스로 국내외 시장 이끌겠다”
샌즈랩
2024.07.17
"고품질·경제적 데이터 셋 기반 위협 인텔리전스로 국내외 시장 이끌겠다”
[인터뷰] 김기홍 샌즈랩 대표이사
데이터셋 기술은 인공지능과 머신러닝의 발전에 핵심 요소다. 정확하고 정제된 데이터셋은 AI 모델의 성능을 좌우하며, 정밀한 예측과 분석을 가능하게 한다. 또한, 프라이버시 보호와 데이터 보안이 중요한 이슈로 부각되면서 데이터셋의 관리와 활용에 대한 규제가 강화될 것으로 예상된다.
위협 인텔리전스는 사이버 공격에 대한 방대한 데이터를 분석하여 위협을 예측하고 대응 전략을 수립하는 과정에서 데이터셋을 필수적으로 활용한다. 데이터셋은 악성 코드 샘플, 공격 패턴, 취약점 정보 등 다양한 형태로 존재하며, 이를 기반으로 머신러닝 알고리듬을 학습시켜 보다 정교한 위협 탐지와 예측이 가능하다. 기술적으로, 데이터셋은 위협 인텔리전스의 정확성과 효율성을 결정짓는 핵심 요소이다. 잘 정제된 데이터셋은 인텔리전스 시스템이 새로운 위협을 식별하고 경고를 발령하는 데 중요한 역할을 한다. 예를 들어, AI 기반 위협 인텔리전스 시스템은 과거 공격 데이터를 학습하여 새로운 공격 패턴을 실시간으로 감지할 수 있다.
또한, 데이터셋의 품질은 위협 인텔리전스의 신뢰성과 직결된다. 정확한 데이터셋을 통해 생성된 인텔리전스는 보안 팀이 보다 빠르고 정확한 의사결정을 내릴 수 있게 도와준다. 결과적으로, 데이터셋과 위협 인텔리전스의 상호 작용은 사이버 보안의 전반적인 효과를 높인다.
데이터셋을 바탕으로 기술력을 쌓아온 샌즈랩은 오랜 기간 인텔리전스 분야를 이끌며 AI 보안 기술을 개발해 단순한 AI 보안을 넘어 보안담당자의 역할을 하는 AI 개발을 목표로 하고 있다. 샌즈랩의 위협 인텔리전스 기술은 국내외에서 탄탄하게 인지도를 높여가고 있다. 보안도 AI도 가장 중요한 근간은 데이터셋임을 강조하는 샌즈랩의 김기홍 대표이사를 만나 국내를 넘어 글로벌 시장에서 주목받으며 공격적으로 진출하고 있는 샌즈랩의 기술력과 글로벌 비전을 들어봤다.
Q. 최근 글로벌 사이버 위협 인텔리전스의 변화는 어떤가?
최근 사이버 공격의 양은 기하급수적으로 증가하고 있다. 그러나 중요한 것은 이러한 공격 중에서 우리에게 유효한 공격을 식별하는 것이다. 샌즈랩이 오랜 기간 인텔리전스 비즈니스 경험을 통해 얻은 대부분의 고객 피드백이 시중에는 유명한 위협 인텔리전스 보고서들이 있지만 실제로 기업에 유효한지는 불분명하다는 것이었다.
크라우드스트라이크나 맨디언트 같은 주요 보안 업체들의 분석 보고서들은 훌륭하지만, 보안 담당자들은 당장 눈앞에 닥친 문제 해결이 더 시급하다는 것이 현장의 목소리였다. 따라서 각 기업에 맞춤형으로 최적화된 인텔리전스를 제공하는 것이 필요하다. 샌즈랩은 수백만 개의 위협 데이터를 분석하여 악성 요소를 식별하고, 이를 고객의 시스템에 맞춰 최적화된 형태로 제공하고 있다.
또다른 위협 인텔리전스의 변화는 현재 공격자들도 AI를 활용하여 더욱 정교한 피싱 및 악성 코드를 제작하고 있다는 것이다. 예전에는 광범위한 디도스 공격이나 웜 바이러스 감염이 주를 이루었지만, 지금은 특정 타겟을 겨냥한 정밀한 공격이 많아지고 있다. 따라서 방어자도 기업 맞춤형 큐레이션과 AI 기술을 활용하여 보다 효과적인 방어 전략을 마련해야 한다.
샌즈랩은 AI를 통해 공격 대상 기업의 정보를 분석하고, 이를 바탕으로 정밀한 인텔리전스를 제공하여 방어 전략을 최적화하고 있다. 예를 들어, 특정 기업의 위협 인텔리전스를 큐레이팅하여 제공해 보안 담당자가 빠르게 대응할 수 있도록 돕고 있다.
Q. 현재 기업들이 직면한 가장 큰 문제점은?
두 가지 측면의 문제가 있다. 우선 기업들이 보안에 투자할 때, 법률적으로 필수적인 부분에만 집중하는 경향이 있어 체계적인 보안 강화를 위해 필요한 투자가 부족한다. 보안 담당자는 기업의 예산을 확보하는 데 어려움을 겪고 있다.
두번째 문제는 기술의 발전 속도와 투자자들의 이해 속도 간의 격차가 크다는 것이다. 예를 들어, AI를 활용한 보안 솔루션이 강조되고 있지만, 이를 구현하기 위해 필요한 예산을 확보하는 것이 쉽지 않다. 의사 결정자가 보안의 중요성을 인식하고, 비즈니스 연속성을 위해 보안 투자를 확대해야 한다. 또한, 보안 체계를 시스템화하고 프로세스화하여 필수적인 것만이 아닌 전체적인 보안 강화를 목표로 해야 한다.
Q. 샌즈랩 CTX의 기술적 경쟁력은?
기술적 측면에서 CTX는 단일 악성 코드 분석에서 벗어나 공격의 전체적인 컨텍스트를 제공한다. 이는 파일 하나만 분석하는 것이 아니라, 해당 파일이 어떤 공격 그룹과 연관이 있으며, 공격자들이 주로 사용하는 공격 기법, 관련된 IP, 도메인, URL 등 종합적인 인텔리전스를 제공한다. 예를 들어, 중국의 특정 해킹 그룹이 사용하는 악성 코드와 그들이 주로 공격하는 방식, 관련된 인프라 등을 분석하여 기업이 중장기적인 대응 체계를 구축할 수 있도록 돕는다.
비즈니스 측면에서 CTX는 위협 보고서를 사람이 작성하는 것보다 AI가 작성하도록 하는 것을 최종 로드맵으로 삼고 있다. 이는 방대한 데이터를 분석하고 AI가 작성한 분석 보고서가 검증된다면, 각 기업에서 최소 선임-책임 연구원 수준의 역할을 수행할 수 있을 것이라는 판단에 기초한다. AI는 보안 계획 수립에 포괄적이고 실질적인 도움을 제공하며, 내부 취약점을 식별하고 그 데이터를 누적해 활용할 수 있는 근거를 제시하는 해결책을 제공한다.
그러나 아무리 우수한 AI라도 정제되지 않은 데이터셋을 학습하면 의미가 없다. 따라서 CTX는 데이터셋을 철저히 정제하여 학습시켜 글로벌 경쟁력에 손색없는 국산 인텔리전스를 제공하고자 한다. 이 접근법은 AI의 효율성을 극대화하고, 기업들이 보다 효과적인 보안 전략 수립을 지원한다.
Q. 샌즈랩 CTX의 그간의 성과는
CTX는 사실 오픈한 지 1년이 아직 되지 않았지만 지속적으로 고객이 확보되고 있다. 오픈 시점부터 작은 수량의 분석들은 고객이 CTX 웹사이트에 접속해서 활용할 수 있도록 서비스하고 있다. 위협 인텔리전스에는 크게 두 부류가 있는데 한 기업에서만 정보를 보유하려는 폐쇄형과 개방해서 의견을 수렴해 영점조절하는 개방형이 있다. CTX는 개방형을 표방하고 있으며 그만큼 자신도 있다.
개방형이다 보니 서비스의 가격을 낮춰 대량으로 쓸 수 있게 해 국내외 많은 사용자들을 확보하고 있다. 실제 위협 인텔리전스는 워낙 비용이 높은데다 분석해야 할 내용이 많으면 그 수량을 다 연동해서 쓰기에는 예산 문제가 발생하기 때문에 이러한 고민에 처한 고객들이 최근 많이 늘고 있다.
개방형으로 인해 고객들은 자신들의 정보가 노출이 되는 것을 우려하기도 한다. 예를 들어 바이러스토탈에 업로드하면 이슈들이 모두 공개되는 반면 CTX는 분석만해서 결과만 제공해 노출의 우려가 없다. 개방형 인텔리전스 서비스를 지향하고 있지만 분석 기술 자체는 폐쇄적으로 제공하는 것이 강점이 있어 고객 확보가 속도를 내고 있다.
샌즈랩 CTX 비전
CTX는 현재 정부 및 공공기관에 제일 많이 서비스되고 있고, 인프라에 진보적인 빅테크와 스타트업에서 많이 활용하고 있다. 금융과 같은 보수적인 산업은 그들 시스템안에서 활용되기 원하기 때문에 소형화시켜 내부에 구축하는 방법을 개발 중에 있다. CTX는 연평균 33~55%로 빠르게 성장하고 있다.
Q. 각 국가별 사이버 보안 환경과 규제에 대한 샌즈랩의 대응은?
우선 클라우드 인프라를 활용하는 것이다. 자체 IDC를 구축하려 했지만 애저 환경에서 분산처리를 통해 개발하는 것이 글로벌에서 활용될 수 있고, 권역별로 분석 인프라들을 갖춰 놓는 것이 보다 실용적이기 때문이다.
샌즈랩의 분석이 국가별로 진행되다 보니 분석결과의 제공이 조심스럽고 결과에 대한 프로파일링과 검증, 그리고 교차 검증 등이 도전과제이다. 이러한 부분은 샌즈랩 혼자서 하는 것보다는 위협인텔리전스 기업들의 하나된 목소리와 방향이 더 큰 효과를 발휘할 것으로 생각된다. 아직은 이른 시기일 수 있으나 관련 업계가 함께 협의체를 구성하고 방향을 잡아가면 위협 인텔리전스 시장 자체는 더욱 활성화될 것으로 생각된다.
보안 환경과 규재 대응은 정책부분과 관련 부분이다. 신중하게 정책이 수립되는 것이 맞는 방향이긴 하지만 기술의 발전이 더 빨라 그 괴리감은 산업계 입장에서는 빠른 해결책을 기대하게 된다.
Q.샌즈랩의 글로벌 사업 전략은?
글로벌 사업은 다각도로 구상하고 있다. 글로벌 시장의 직접 진출 시 성공에 대한 보장을 담보할 수 없기에 신중해야 한다. 기회 비용 관점에서 국내 기술 역량을 높이면서 파트너와 함께 시장을 넓히는 것이는 좋은 대안이다. 직접 세일즈보다는 이미 기반을 갖춘 파트너를 통해 샌즈랩의 가치를 높이고 사업을 확장하는 것이 효과적이다.
최근 마이크로소프트와의 협업이 좋은 예이다. 기술 역량을 먼저 높였기에 마이크로소프트와 세미나도 할 수 있었고 좋은 사례들이 나오기 시작했다. 이런 유의미한 결과들이 고객에게 제공하는 서비스가 더 많아질 수 있어 마이크로소프트와 샌즈랩 모두에게 비즈니스 기회가 주어질 수 있다.
김기홍 샌즈랩 대표이사
이러한 파트너 생태계를 다양하고 넓은 범위에서 구축하고자 한다. SIEM, SOAR 제품군이나 산업군과 연계해 추가패키지 형태로 판매하는 것이 첫번째 전략이다. 또한 신탁 형태의 인텔리전스 협의체를 구성해 위협 인텔리전스 시장 전체를 넓히는 방안이 두번째 전략이자 향후 계획이기도 하다.
고객 지원 방안면에서 샌즈랩은 고객 전용 API를 제공하고 있다. 고객이 직접 가공하고 중간에서 개발해야 하는 번거로운 과정 없이 샌즈랩이 고객의 상황과 요구에 맞게 만들어준다. 샌즈랩은 고객이 비용을 쓰는 그 이상의 서비스를 제공하는 것을 목표로 하고 있다.
Q. 향후 샌즈랩 발전 방향과 계획은
우선 좋은 파트너들을 많이 발굴해 시너지를 낼 수 있는 모델들을 다각도로 만들 계획이다. 또한 시장을 활성화시키는 연합체나 커뮤니티 구성을 위해 샌즈랩이 좀더 노력할 것이다. 글로벌 빅테크와 협력을 통해 그들의 서비스 속에 샌즈랩의 CTX가 잘 녹아들어 보호하고 있다는 경험들을 제공하고 싶다.
두번째로 샌즈랩은 국내 사이버 보안의 중심에 있다 보니 양질의 데이터가 많아 이를 정리해 실체가 있는 AI 모델들을 공개할 계획이다. 좋은 데이터셋을 국내외 기업들이나 기관들에게 제공해서 넥스트 AI를 만들 수 있는 초석이 되었으면 하는 바램이다.
샌즈랩이 지향하는 바는 최신화 되어있는 사이버보안 도메인에 특화되어 있는 한 사람의 역할을 충분히 할 수 있는 AI 모델을 만들어 기업에 최적화시키는 것이다. 이러한 AI 모델이 나온다면 최근 AI 활용에 화두가 되고 있는 그야말로 전기값은 할 수 있는 역량은 나오리라고 본다.
샌즈랩은 서두르지 않지만 차근 차근 견고하게 보안에서 그리고 AI 활용을 지원할 수 있는 기술 로드맵을 실현해가고 발전시키고 있으며, 현재 필요한 사업과 과제들을 수주하고 있으니 기대해도 좋다.