“사이버 보안 환경은 공격자(해커)가 방어자보다 유리한 위치에 있는 만큼, 향후 보안 위협이 더 커질 것이다. 에스투더블유(S2W)는 멀티도메인 교차 분석 기술을 기반으로 다크웹 등에서 발생하는 불법 활동부터 기업 대상 보안 위협까지 해커의 침입 징후를 종합적으로 추적하고 선제적으로 차단한다.”
서상덕 S2W 대표는 최근 경기 성남시 S2W 본사에서 진행한 인터뷰에서 이렇게 말했다. 서 대표는 “올해 들어 국내에서 연이어 해킹 사고가 터졌는데, 이는 단순히 일시적인 현상이 아니라 전 세계적으로 발생하는 새로운 표준”이라며 “코로나19 이후로 개인이나 기업이 가진 데이터가 네트워크에 묶이면서 한 번 보안 사고가 터지면 치명적인 만큼 선제적 대비가 중요하다”고 말했다.
최근 쿠팡 사태는 해킹 리스크를 더 부각시켰다. 쿠팡은 한국 고객 계정 약 3370만 개 정보가 유출됐다고 11월 29일 공지했다. 유출된 개인정보에는 이름과 이메일, 전화번호, 주소, 일부 주문 정보 등이 포함됐다.
2018년 설립된 S2W는 과거 ‘다크웹 분석 회사’로 이름을 알렸다. S2W는 미성년자 성 착취로 공분을 샀던 ‘n번방 사건’ 당시 다크웹에서 불법 거래 흔적을 잡아낸 바 있다. 당시 기술력은 인터폴과 수사 공조로 이어질 만큼 인정받았다. 이후 S2W는 사업 영역을 확장했다. 다크웹과 텔레그램, 암호화폐 거래 등 사이버 음지에서 불법 활동을 추적하던 단계를 넘어, 기업 외부의 보안 위협을 종합 분석하는 정보 보안 기업으로 거듭났다.
현재 S2W의 핵심 기술은 지식 그래프 기반 멀티도메인 교차 분석이다. 소셜미디어(SNS), 가상자산 거래소, 다크웹 등 멀티도메인 내 다출처·이종 데이터를 수집·정제한 후 이들의 연결 고리를 특화 인공지능(AI) 기술로 교차 분석해 정보를 도출하는 방식이다.
가령 해커가 텔레그램으로 연락하고 가상자산 거래소에서 불법적인 거래를 할 경우 S2W는 도메인별 서로 다른 데이터를 교차 분석해 연결 고리를 찾아 시각화한다. 관련 분야의 글로벌 선두 주자인 팔란티어의 ‘온톨로지(Ontology)’와 유사한 솔루션이다.
S2W는 이 기술을 바탕으로 △국가 안보· 수사기관 대상 사이버 안보 솔루션 ‘자비스(XARVIS)’ △기업·기관 대상 사이버 보안 솔루션 ‘퀘이사(QUAXAR)’ △산업 특화 AI 전환(AX) 지원 솔루션 ‘SAIP’ 등을 제공하고 있다.
S2W의 매출은 빠르게 성장하고 있다. 2019년 5억원 수준이었던 매출은 2022년 41억원, 2023년 63억원, 2024년 96억원으로 늘었다. 전체 매출에서 해외 비중은 2022년 0.2%, 2023년 6.1%, 2024년 23.7%로 늘고 있다. S2W는 지난 9월 기업공개(IPO)를 성공적으로 마무리하며 안정적인 자금 조달 기반을 확보했다. 상장 첫날 주가는 공모가 대비 약 80% 상승하며 시가총액 약 2540억원을 형성하기도 했다. 12월 9일 현재 3400억원 수준으로 불어났다. 다음은 서 대표와 일문일답.
주요 솔루션인 자비스, 퀘이사, SAIP는 각각 어떤 역할을 하나.
“자비스는 사이버 음지 데이터를 분석해 국가 안보와 범죄 대응에 활용되는 플랫폼이다. S2W의 기술력을 집약한 대표 솔루션이자 해외시장 개척의 선봉장 역할을 하고 있다. 퀘이사는 기업용 솔루션으로 기업 외부 데이터를 교차 분석해 정보 유출, 공급망 취약점 등을 조기 탐지한다. 시장 규모가 큰 만큼 실질적인 매출을 견인하는 캐시카우가 될 핵심 제품이다. SAIP는 AX를 지원하는 솔루션으로, 복잡한 내부 데이터를 안전하게 관리하고 기업 맞춤형 AI를 구축할 수 있도록 돕는 차세대 플랫폼이다.”
솔루션 적용 사례가 있다면.
“보안 업계 특성상 고객사와 비밀 유지 협약을 맺고 있어 추상화해 설명하겠다. 최근 제로데이(Zero-Day) 취약점이 다크웹을 통해 빠르게 확산한 사례가 있었다. 당시 S2W가 이를 조기 탐지해 해당 취약점을 악용당할 가능성이 있는 고객사에 사전 경고를 발송했고 이후 실제 침투 시도가 있었지만 모두 차단됐다.
또 다른 사례로는 관리자나 가상 사설망(VPN) 계정 정보가 해커 사이에서 고가에 거래되는 경우가 종종 있다. 이런 고유 권한 계정이 유출되면 보통 1~2주 내 대형 보안 사고로 이어진다. S2W는 고객사 계정 유출 정황을 포착해 즉시 비밀번호 교체와 접근 차단을 안내했고 피해를 방지한 사례가 있다. 이런 대응으로 고객사와 재계약 100%를 유지하고 있다.”
어떤 계기로 보안 기업 창업을 결심했는가.
“롯데그룹에서 신규 사업 전략, 벤처 투자 업무를 맡으며 스타트업 생태계를 처음 접했다. 이후 사내 벤처 프로젝트로 의류 유통 분야 창업에 뛰어들었으나, 2년 만에 폐업하며 뼈아픈 교훈을 얻었다. 이후 창업에 대한 꿈을 접으려 했을 때 카이스트 동기이자 공동 창업자인 신승원 교수의 제안으로 마음이 바뀌었다.
신 교수는 다크웹과 가상자산을 분석하는 기술을 연구 중이었는데, 팔란티어처럼 ‘한국판 데이터 인텔리전스 기업’을 만들자는 제안이었다. 누구나 할 수 있는 사업보다 뾰족한 기술에 집중하는 게 옳다고 판단했고 S2W를 공동 창업했다. 창업 초창기에는 자금 조달과 고객 확보가 가장 어려웠다. 국내 보안 기업은 시장이 작고 글로벌 진출이 어렵다는 인식이 강했고 그 벽을 깨겠다는 마음으로 투자자와 시장을 설득했다.”
국내 유일의 인터폴 협력사로서 장기 재계약 비결이 무엇인가.
“S2W는 설립 초기부터 다크웹과 가상자산 간 교차 분석 기술을 연구해 왔다. 이 기술로 발표한 논문이 인터폴 가상자산 범죄 대응 관련 부서 눈에 띄었고 인터폴 측에서 먼저 협력 요청을 제안하는 연락이 왔다. 가상자산은 국경을 넘나드는 신종 범죄 수단으로 급속히 확산하고 있어 개별 국가 경찰만으로는 대응이 어려운 상황이었다. 협력 초창기에는 가상자산 수사 지원 중심으로 활동하다가, 이후 인터폴이 중점적으로 다루는 인신매매, 야생동물 밀매 등 국제 범죄 수사 지원에도 협력하게 됐다. 국제 랜섬웨어 조직 추적 과정에서도 S2W가 주요 단서를 제공하며 높은 평가를 받았다. 이러한 공로를 인정받아 무상 협력사에서 지난 2021년 유상 계약사로 승격됐고 현재까지 장기 계약 관계를 유지하고 있다.”
한국의 보안 체계는 어떤 방향으로 나아가야 할까.
“최근 재택근무, 클라우드 전환으로 대부분 조직이 외부 연결을 전제로 하는 개방형 네트워크 환경으로 바뀌었다. 이 변화는 해커에게 더 많은 공격 기회와 도구를 제공했다. 보안 사고는 100% 사람이 관여하는 인재(人災)이지만, 막을 수 없는 수준의 공격까지 기업이 책임지는 구조는 문제라고 생각한다. 따라서 공격 주체를 찾아 엄중히 처벌하는 동시에 기업이 자산 규모와 데이터 중요도에 맞춰 적정 수준의 보안 투자를 했다면 그에 상응하는 면책이 주어져야 한다. 이런 방식이 도입되면 기업이 단순 면피가 아니라 실질적 보안 강화를 위해 투자하게 되고 결과적으로 보안 산업 전반의 경쟁력과 수준이 올라갈 것이다.”
AI 발전에 따라 고도화되는 사이버 공격에 대해 어떻게 보는가.
“점점 더 진짜와 가짜를 구분하기 어려워지고 형식을 넘어 맥락까지 파고드는 사이버 범죄가 범람할 것으로 보인다. 해킹은 더 이상 전문가의 영역이 아니다. AI를 활용한다면 범죄 의지가 있는 일반인도 쉽게 할 수 있을 것이다.
다만 이런 우려에도 불구하고 우리는 이미 비슷한 위험을 겪어봤다. 총기, 무기, 자동차 등 인간의 위협 능력을 증폭하는 기계는 많았다. 이런 도구가 사회적 피해를 키우지 않게 하는 제도가 중요하다. AI로 인한 보안 위협도 사회적 합의를 통해 관리해 나갈 수 있을 것으로 본다.”