읽는 재미의 발견

새로워진 한국일보로그인/회원가입

  • 관심과 취향에 맞게 내맘대로 메인 뉴스 설정
  • 구독한 콘텐츠는 마이페이지에서 한번에 모아보기
  • 속보, 단독은 물론 관심기사와 활동내역까지 알림
자세히보기
알림
알림
  • 알림이 없습니다

대규모 해킹 공격 예견한 다크웹 보안관 서상덕 S2W 대표

입력
2024.11.13 05:00
19면
0 0

AI로 다크웹에서 수집한 범죄 정보 분석해 인터폴 등과 공조
CIA가 투자한 미국 보안업체 팔란티어의 아시아판 겨냥

지난 5일부터 사흘간 국방부, 환경부, 전국 법원, 합동참모본부 등 주요 정부 기관 및 부처 홈페이지가 잇따라 외부 해커들의 대규모 분산 서비스거부(DDoS, 디도스) 공격을 받았다. 특히 전국 법원에 대한 공격은 올해 일어난 디도스 공격 중 규모가 가장 컸다. 과학기술정보통신부에서는 러시아 해커들의 소행으로 추정했다.

그런데 이를 사전에 감지해 경고한 국내 신생기업(스타트업)이 있다. 인공지능(AI)을 이용한 사이버 보안업체 에스투더블유(S2W)다. 이들은 지난달 말 공개한 보고서를 통해 우크라이나와 전쟁을 벌이는 러시아의 해커들이 한국 정부의 우크라이나 지원을 빌미로 '한국작전'(#OpSouthKorea)이라는 대규모 해킹 공격을 펼치고 있다고 분석했다. 친러시아 해커 조직 사이버드래건이 주도한 한국작전은 국내 금융기관 및 정부 기관을 겨냥했다. S2W는 이들의 디도스 공격이 당분간 지속될 것이라고 경고했다.

이들은 한국작전을 어떻게 알았을까. 비결은 다크웹을 통한 정보 수집이다. 다크웹은 인터넷에서 공개된 공간과 달리 노출되지 않은 채 각종 범죄 모의와 관련 정보를 주고받는 어둠의 경로다. S2W는 국내외에서 다크웹 정보 수집에 뛰어난 보안업체로 꼽힌다. 덕분에 이들은 국내 정보기관 및 수사기관은 물론이고 국제형사경찰기구(인터폴)와 공조해 각종 사이버 범죄를 해결했다. 서울 세종대로 한국일보사에서 서상덕(49) S2W 대표를 만나 활동 비결을 들어봤다.

서상덕 S2W 대표가 서울 세종대로 한국일보사에서 인터뷰를 하며 최근 해킹 위협에 대해 설명하고 있다. 그는 AI로 다크웹에서 수집한 범죄 정보를 분석해 제공하는 일을 한다. 정다빈 기자

서상덕 S2W 대표가 서울 세종대로 한국일보사에서 인터뷰를 하며 최근 해킹 위협에 대해 설명하고 있다. 그는 AI로 다크웹에서 수집한 범죄 정보를 분석해 제공하는 일을 한다. 정다빈 기자


오사마 빈 라덴 사살에 기여한 팔란티어의 아시아판 회사

S2W는 인터넷에서 일어나는 각종 사이버 범죄 징후를 사전에 탐지하는 것을 목표로 한 보안업체다. 이 업체는 국내 유일하게 2020년 인터폴과 공식 협력 계약을 체결해 다양한 사이버 범죄 조직 분석 및 검거 작전을 공조하고 있다. "다크웹 등 사이버 우범지대에서 정보를 수집해 정부나 기업에 제공해요."

서 대표가 모델로 삼은 곳은 미국 보안업체 팔란티어 테크놀로지스다. 미국을 위협하는 테러 정보 수집을 목적으로 설립된 팔란티어는 뉴욕거래소에 상장된 시가총액 185조 원의 공개기업이면서 은밀하게 활동하는 이중적인 회사다. 전자결제업체 페이팔의 창립자 피터 틸이 만든 이 업체에 미 중앙정보국(CIA)에서 운영하는 펀드 인큐텔이 투자했다. 이들은 보스턴국제마라톤대회를 겨냥한 테러 징후를 사전에 탐지해 유명해졌고 9·11 테러를 지시한 오사마 빈 라덴을 사살한 '넵튠 스피어' 작전에 관여해 그의 위치를 확인하는 데 결정적 기여를 했다. "팔란티어는 인터넷의 여러 정보와 테러리스트들의 폐쇄적 사회관계망서비스(SNS)를 분석해 정보를 제공해요. 우리는 아시아의 팔란티어가 되는 것이 목표입니다."

팔란티어는 이 같은 정보력을 최근 민간 분야로 확장하고 있다. "팔란티어는 IBM 등 세계적 기업들과 손잡고 방대한 자료를 분석해 금융 사고나 보험사기 예방 등으로 영역을 넓히고 있어요. 우리도 팔란티어처럼 정보 수집 및 분석 능력을 각종 산업으로 확장할 계획입니다."


코로나19 감염된 피까지 거래하는 다크웹 분석 AI 개발

S2W의 숨은 병기는 '다크버트'와 '사이버튠'이라는 AI다. 다크버트는 전 세계 최초로 다크웹을 전문으로 학습한 AI이며 사이버튠은 보안 관련 문서나 코드 등을 이해한다. "다크버트와 사이버튠은 보안업계에서 수년간 경험을 쌓은 전문가 수준의 AI입니다. 다크버트는 다크웹 용어들을 분석해 범죄 종류를 가려내요. 이후 단순 잡담인지, 정부 기관에 보고해야 할 수준인지 중요도를 파악하죠."

다크웹은 공간이 무한증식해 정보 수집이 어렵다. 중앙 서버나 공간을 통제하는 서버가 필요 없는 분산 기술이 적용돼 이용자가 늘어나면 공간이 자동 확장된다. 여기에 일반 AI가 알기 힘든 은어를 사용한다. 다크버트는 다크웹에서 쓰는 은어에 특화됐다. "다크웹은 러시아어를 많이 써요. 또 일부러 은어와 문법을 파괴한 문장을 사용하기 때문에 일반 AI로 분석이 어려워요."

다크웹에 떠도는 범죄 정보는 상상을 초월한다. 해킹 모의부터 마약 및 총기 거래 등 온갖 불법 정보는 물론이고 각종 해킹 도구와 신종 코로나바이러스 감염증(코로나19)에 감염된 피를 거래하는 암시장까지 존재한다. 해커를 고용하는 인력 시장도 열린다.

최근 다크웹에서 심각한 문제로 부상한 것이 북한 해커의 구직 활동이다. "북한 해커들이 다크웹에서 신분을 숨긴 채 아르바이트로 가상자산 거래소와 암호화폐를 해킹하거나 소프트웨어를 개발하면서 악성코드를 심기도 해요. 이런 활동으로 북한이 조 단위의 돈을 벌죠. 이 같은 해커 정보도 파악되면 공유해요."

서상덕 S2W 대표는 다크웹에서 쓰이는 은어에 익숙한 전용 AI '다크버트'를 이용해 각종 사이버 범죄 정보를 분석한다. 이렇게 분석한 정보를 정부 및 인터폴 등 수사기관에 제공한다. 정다빈 기자

서상덕 S2W 대표는 다크웹에서 쓰이는 은어에 익숙한 전용 AI '다크버트'를 이용해 각종 사이버 범죄 정보를 분석한다. 이렇게 분석한 정보를 정부 및 인터폴 등 수사기관에 제공한다. 정다빈 기자


사이버 덫 '위장 서버' 활용

S2W는 사이버 덫에 해당하는 기발한 위장 서버도 활용해 다크웹 정보를 수집한다. "다크웹에 은밀하게 범죄 정보를 추적하는 위장 서버를 심어 놓죠. 다크웹 이용자들은 위장 서버인 줄 모르고 그 안에서 정보를 주고받아요. 물론 위장 서버는 국제법을 위반하지 않는 한도 내에서 활동해요. 즉 범죄 정보를 수집하지만 범죄 활동을 하지 않아요."

수집한 정보는 AI의 1차 분석을 거쳐 내부의 최정예 정보분석팀 '탈론'의 손을 거쳐 정보기관 및 수사기관에 제공된다. 전체 직원 100명 가운데 30명이 포진한 탈론팀은 보안업체, 군 사이버전 전문가 및 사이버범죄 전문 경찰관 출신 등으로 구성됐다.

정보를 제공받은 정부 기관은 이 업체에서 개발한 분석 도구 '자비스'를 활용한다. 자비스는 필요한 범죄 정보를 추출하는 솔루션이다. 추적 대상자가 사용하는 인터넷 주소나 자금 거래 등을 파악하는 도구 등이 포함됐다. 특히 자비스는 숨어 있는 범죄 정보 창구(채널)를 찾아내는 능력이 뛰어나다. 이와 관련된 기술은 노출 우려 때문에 일부러 특허 출원을 하지 않았다. "자비스는 정보기관, 수사기관 등에서 사용하는 분석 도구여서 민간에 제공하지 않아요. 인터폴, 인도네시아 내무부 등 해외에서도 사용해요."


분업화, 조직화된 기업 해킹 막는 도구도 개발

최근 기업을 겨냥한 해킹은 형태가 바뀌었다. 요즘 해커들은 직원들의 접속 이용자번호(ID)를 탈취하는 방식을 주로 사용한다. "과거 해킹이 기업 내부에 침투하기 위해 몰래 비밀 통로를 뚫었다면 요즘은 직원의 출입증을 훔치는 형태로 바뀌었어요. 특히 재택 근무자의 노트북을 많이 뚫죠."

해커가 탈취한 기업 관리자 계정은 다크웹에서 기업 규모에 따라 수백만 원에서 수억 원 단위로 거래된다. 서 대표에 따르면 유명 해킹 조직의 연 수입은 수천억 원에 이른다. "해킹 조직은 기업 관리자 계정을 탈취해 다크웹에 경매로 올려요. 그러면 하루에서 한 달 내 대형 보안사고가 터져요."

해킹 사고를 막기 위해 내놓은 기업용 보안 솔루션이 '퀘이사'다. 퀘이사는 최근 기업의 보안 사고 형태에 맞춰 사고를 예방하고 사고 발생 시 최단 시간 내 탐지하기 위해 개발됐다. "유명 반도체업체, 통신업체, 항공사와 자동차업체, 금융업체 등 국내 150개 기업이 퀘이사를 사용해요."

기업을 위한 보안 AI 서비스 'SAIP'도 올해 새로 출시해 현대제철 등 여러 대기업에 제공했다. SAIP는 외부 AI가 아닌 기업 내부에 설치하는 방식(온프레미스)이어서 기업 자체 정보를 이용해 학습한다. "SAIP는 역할, 직급, 부서별로 접근 가능한 정보를 자동으로 분류해 다른 사람이 보지 못하도록 차단해요. 심지어 AI도 이런 정보를 건드리지 못하도록 설계했어요. 또 AI도 해킹당할 수 있기 때문에 이를 막는 보안 기능이 내장돼 있어요."

서상덕 S2W 대표가 우려하는 것은 AI가 공격과 방어를 하는 AI 시대에 공수 불균형이다. AI 윤리 문제 등 여러 이유로 기술 개발에 제동이 걸리면 불리한 싸움이 될 수 있다는 지적이다. 정다빈 기자

서상덕 S2W 대표가 우려하는 것은 AI가 공격과 방어를 하는 AI 시대에 공수 불균형이다. AI 윤리 문제 등 여러 이유로 기술 개발에 제동이 걸리면 불리한 싸움이 될 수 있다는 지적이다. 정다빈 기자


AI끼리 공격하고 막는 AI 전쟁 대비해야

과학고를 나와 한국과학기술원(KAIST·카이스트)에서 전기전자공학을 전공한 서 대표는 국내 소프트웨어개발업체 티맥스소프트웨어 개발자로 3년간 일했다. 이후 미국 미시간대로 유학을 가서 경영학 석사과정을 마친 뒤 보스턴컨설팅의 서울 사무소를 거쳐 롯데그룹 미래전략연구소에서 7년간 신사업 전략 수립 등을 했다.

한때 여성복 관련 정보를 모으는 디자이어랩을 운영했던 그는 친구인 신승원 카이스트 교수의 제의로 2018년 S2W를 공동창업했다. 티맥스소프트에서 함께 근무한 신 교수는 미국 텍사스 A&M 대학에서 사이버 보안 박사 학위를 받고 미국 국방과학연구소 같은 조직인 스탠퍼드연구소(SRI)에서 근무한 보안 전문가다.

S2W는 창립 이래 매출이 매년 1.5배 이상 성장해 올해 100억 원을 예상한다. 투자는 KDB산업은행, LB인베스트먼트, 스톤브릿지, 미래에셋벤처투자, 롯데벤처스 등에서 누적으로 230억 원을 받았다. "내년에 손익분기점에 도달할 것으로 예상해 기술특례상장을 진행할 계획입니다. 이와 관련해 올해 안에 전략적 투자를 받기 위해 논의 중이죠."

요즘 서 대표의 고민은 AI를 이용한 해킹의 증가다. AI가 창과 방패로 모두 쓰이는 것이다. "AI가 발달하면서 원하는 용도의 맞춤형 해킹 도구를 손쉽게 만들 수 있어요. 다크웹에 아예 해킹용으로 개발된 AI도 많이 올라와요. 앞으로 AI끼리 공격하고 막는 AI 전쟁이 일어날 겁니다."

그는 정부에서 AI 윤리 규정 적용을 신중하게 검토할 필요가 있다고 지적했다. "사이버 공격을 벌이는 집단은 AI 윤리 규정을 지키지 않아요. 이렇게 되면 윤리 규정에 집착하는 나라들은 사이버 범죄와 사이버 전쟁에서 불리하죠. 정부에서 규제 예외조치(샌드박스)로 사이버 공격용 AI 등을 따로 연구할 필요가 있어요. 또 미국 팔란티어처럼 정부가 나서서 경쟁력 있는 기업을 선별적으로 키우는 지원도 필요하죠."

최연진 IT전문기자

기사 URL이 복사되었습니다.

세상을 보는 균형, 한국일보Copyright ⓒ Hankookilbo 신문 구독신청

LIVE ISSUE

기사 URL이 복사되었습니다.

댓글0

0 / 250
중복 선택 불가 안내

이미 공감 표현을 선택하신
기사입니다. 변경을 원하시면 취소
후 다시 선택해주세요.