'한번 뚫리면 끝.' 

올해에도 사이버 위협이 끊이지 않고 있는 가운데, 세계 주요 기관과 기업들 사이에서는 이 말이 공식처럼 통하기 시작했다. 범죄를 저지른 범죄자를 특정하듯, 사이버 영역에서 공격자가 '누구'인지 찾아내는 것이 보안 방패를 강화할 본질로 떠오른 이유다.

이에 미국과 같은 거대 보안 시장은 사이버 방패를 강화할 무기로 사이버위협인텔리전스(CTI) 솔루션을 내세우고 있다. 여기에 인공지능(AI) 기술을 더해, 보안 담당자 손길을 줄이는 방식에도 관심이 뜨거워지는 추세다. CTI 기술 성숙도가 무르익고 있다는 평가에도 힘이 실리는 분위기다.

국산 인텔리전스도 기회를 모색해야 하는 상황이다. 지난 2004년 법인 설립 후 올해 20살을 맞이한 샌즈랩도 마찬가지다. 샌즈랩은 고품질 데이터셋을 기반으로 자란 AI를 자사 인텔리전스 솔루션에 탑재해, 국내외 시장을 공략하기 위한 채비를 마쳤다.

◆ 단단해진 샌즈랩, 국내외서 'AI 포 시큐리티' 구현

​김기홍 샌즈랩 대표는 최근 <디지털데일리>를 만나 "과거 샌즈랩은 열정, 꿈, 패기가 가득한 회사였다면 20살의 샌즈랩은 다듬어진 후 단단해진 회사"라며 "우리가 가지고 있는 기술력에 대한 힘을 유지하는 것이 중요해진 시기"라고 말했다. 

샌즈랩은 CTI 플랫폼 'CTX(Cyber Threat Intelligence Service)'를 중심으로 네트워크탐지및대응 솔루션 'MNX' 등 핵심 제품을 공급하며 성장해왔다. 국내뿐만 아니라 해외에서도 승부수를 두는 데 집중하고 있다. 올해 5월에도 미국에서 열린 글로벌 최대 규모 사이버 보안 콘퍼런스 RSAC 2024에 참가해 CTX를 알리는 데 심혈을 기울였다.

김 대표는 "글로벌 인텔리전스 시장은 분명 성장하고 있다"며 "다만 국내 시장의 경우 법률적인 이슈가 있는 보안 제품이나 기술에 투자를 선행하고 있기 떄문에, 우선순위에서 밀리는 경향이 있다"고 말했다. 해외 대비 국내에서는 인텔리전스 제품에 대한 관심이 저조하다는 취지다.

국산 인텔리전스가 해외에서 승부 요인을 찾고 있는 이유도 여기에서 찾을 수 있다. 김 대표는 국산 인텔리전스가 해외에서 경쟁력을 키울 요인이 분명하다고 보고 있다. 특히 AI 기술을 더한 인텔리전스라면 더욱 용이하다고 판단했다. 김 대표는 "인텔리전스라는 단어를 떠올리면 보통 '지능적'이라는 표현으로 이해를 한다"며 "AI를 기반으로 보안을 구현할 수 있는 산업 중 하나가 인텔리전스가 될 수 있다는 의미"라고 설명했다.

CTX는 AI 엔진을 기반으로 파일을 분석해 특정 해쉬(MDS, SHA1, SHA256) 조회가 가능하도록 지원하는 것이 특징이다. 악성 여부는 물론 공격 그룹, 타깃 산업, 마이터 어택 공격 기법 등 정보를 알려줄 수도 있다. 사이버 공격자가 누구인지 '특정'하는 데 특화된 무기인 셈이다.

김 대표는 다른 토종 기업과의 차별점이 분명하다고 자신했다. 그는 "샌즈랩이 가지고 있는 기술이나 특징은 악성코드 중심으로 인텔리전스를 만드는 것, 그리고 악성코드를 분석해 인사이트를 만들어내는 원천 기술을 확보하고 있다는 사실"이라고 말했다.

이어 "다크웹, OSINT 정보, 내부에 뛰어난 분석가를 두는 등 각자 특화된 부분이 있다"며 "샌즈랩은 악성코드를 던졌을 때 분석하고, 누가 공격을 했고 이를 만들었는지 빠르게 추적하는 노하우가 있다"고 설명했다. 대표적으로 DBP(실행파일 특화)·DDP(비실행파일 특화)와 같은 프로파일링 기술을 기반으로 방패를 강화하고 있다는 점에 강점이 있다고 봤다. 위협 프로파일링 콘텍스트로 구성된 정보를 데이터셋 형태로 정의한 것도 특징이다.

김 대표는 "샌즈랩의 강점은 분석 결과를 AI가 만들어주고, 탐지율이 높게 나온다는 것"이라고 강조했다. 그러면서 "샌즈랩은 AI 기술을 활용해 사이버 보안을 극대화하는 'AI 포 시큐리티(for Security)'를 구현하고 있다"고 말했다.

◆ MS와 '통(通)'한 샌즈랩…"오랜 논의 끝 협력"

샌즈랩의 올해 최대 성과 중 하나로는 마이크로소프트(MS)와의 협력을 빼놓을 수 없다. 

샌즈랩과 MS는 지난 3월 차세대 보안 기술을 강화하자는 취지로 업무협약을 체결했고, 차세대 AI 기술과 MS 인프라 기반 사이버 보안 기술 연구 개발 등에 협력하기로 약속했다. 6월에는 '샌즈랩 온 애저'라는 이름으로 세미나를 열기도 했다. 당시 샌즈랩은 CTX와 애저 클라우드 인프라 간 연동을 공개하며 관심을 모은 바 있다. 김 대표는 "(MS와의 협력은) 굉장히 오래된 딜"이라며 "지난해 RSA 때부터 찾아가 '같이 (사업을) 추진하면 좋겠다고 제안했다"고 말했다.

특히 인텔리전스 분야에서 MS와 샌즈랩 간 이해관계자 맞아떨어진 것이 실제 협력을 추진하는 데 주효했다고 강조했다. 그는 "인텔리전스 사업은 혼자 잘될 수가 없다"며 "보안정보및이벤트관리(SIEM), 보안운영및위협대응자동화(SOAR) 플랫폼 쪽으로 연계하거나, 기존 플랫폼과 연동해 같이 버무려야 한다는 특징이 있기 때문"이라고 설명했다.

김 대표는 "MS는 (보안 서비스) 센티넬을 가지고 있다"며 "센티넬 플랫폼의 철학이 샌즈랩과 (협력 쪽으로) 맞았다"고 표현했다. 이어 "센티넬을 운영하다 보면 식별을 못 할 수 있고, 그렇다고 내버려 두면 위협 피해를 입게 되니 대조 검토(크로스체크)를 하고 시스템적으로 연동해 물어보게끔 하도록 운영하는 것이 중요해졌다"고 부연했다. 마치 병명을 확인하기 위해 여러 병원에서 다양한 진단을 받아보는 것과 동일하다는 의미다.

아직 협력이 공식화된 지 오래되지 않은 만큼 성과는 지켜볼 부분이다. 김 대표는 "현재 시장에서는 연동을 해보며 사용을 해보고 있는 상황"이라며 "오랫동안 검증을 받은 만큼 이제 시장에 보여주고 있는 단계"라고 말했다.

◆ 성숙기 접어든 샌즈랩, 인텔리전스계 '퍼스트 펭귄'으로 도약

그렇다면 20살을 맞이한 샌즈랩의 다음 목표는 무엇일까. 김 대표는 "기업공개(IPO) 당시 이야기했던 것처럼 '퍼스트 펭귄'이고 싶다"고 답했다. 퍼스트 펭귄은 특정 시장에 먼저 뛰어들거나 선도하는 '선구자'를 뜻하는 말이다.

김 대표는 "지금까지 데이터, 인재, 인텔리전스 기술을 필두로 IPO에 성공했고 안정적인 운영 자금도 생겼다"며 "샌즈랩이 먼저 도전해 본 것들이 유의미하다는 것을 알려주고 싶다"고 자신했다. 최근 보안 특화 거대언어모델(LLM)을 선보이고, AI 보안 자동화 등을 구현한 것도 도전적 정신의 일환이라고 꼽았다.

해외 전략에도 본격 속도를 올린다. 이 과정에서 그간 주력해온 '특허'가 핵심 역할을 할 전망이다. 김 대표는 "등한시하기 좋은 특허를 활용하는 것이 전략"이라며 "(다른 기업들은) 기술만 있으면 된다고 생각할 수 있지만 권리권자를 놓고 싸우는 순간이 오기 마련"이라고 말했다.

샌즈랩은 국내 보안 기업 중 특허 등록에 진심인 기업 중 하나다. 김 대표는 "매년 30~40개 이상 (특허를) 내고 있고, 현재 약 110여건이 쌓였다"며 "시간과 비용이 많이 드는 작업이지만, 지금은 아니더라도 수년 뒤 좋은 힘이 될 것으로 기대한다"고 강조했다.

좋은 AI 생태계를 실현하는 작업에도 힘을 보탠다. 대표적으로 최근 한국인터넷진흥원(KISA)이 추진하는 45억원 규모 '사이버보안 AI 데이터셋 구축 및 활용 강화 사업'을 수주했고, 과학기술정보통신부와 정보통신기획평가원(IITP)이 주관하는 '정보보호핵심원천기술개발사업'을 수주하기도 했다. 공동 개발에는 LG유플러스, 한국과학기술원(KAIST), 포티투마루, 로그프레소 등이 참여한다.

끝으로 김 대표는 "보안 쪽도 (AI를 잘 활용하면) 편해질 수 있다는 사실을 알리고 싶다"며 "보안 담당자가 잘못 판단해 대규모 해킹 사건이 날까 고민을 하고 있는 만큼, 동반자 역할을 하는 모델을 만들어보고 싶다"고 말했다.