“텔레그램에 아동 성착취물을 올리며 가상자산을 주면 추가 영상을 팔겠다는 성범죄자, 다크웹에 대마초를 사겠다며 글을 올린 익명의 사람, 특정 기업을 해킹하기 위해 필요한 유출 계정을 판매하는 해커들… S2W는 이들이 온라인에 올린 다양한 정보를 모두 수집한 후 고도화된 필터링 알고리즘을 통해 범죄 예방에 핵심이 되는 정보를 찾아낸다. 이를 활용해 국가기관은 사회적 범죄를 막고, 기업은 자신의 보안 시스템을 지킨다.”
S2W는 다크웹, 텔레그램 등 사이버 공간 내 범죄 정보를 수집하고 분석해, 사이버 범죄 수사와 기업의 위협 대응을 위한 보안 솔루션을 제공하는 회사다. 다크웹은 일반 웹브라우저가 아닌 특수한 프로그램으로만 접속할 수 있는 공간을 뜻한다. IP주소를 추적할 수 없도록 만들어진 은닉 인터넷망이라 익명성이 보장되며, 이 때문에 사이버 범죄가 빈번하게 벌어지며 해커들의 주된 활동 무대가 되기도 한다.
서상덕 S2W 대표와 카이스트 동기인 신승원 카이스트 전기전자공학부 교수가 2018년 공동창업한 이 회사는 다양한 사이버 범죄 정보를 추출한 후 방대한 데이터 중 가장 중요한 정보를 뽑아내 고객사에 제공한다.
S2W는 지난해 인터폴과 다크웹 위협 정보 분석을 위한 협정을 체결하면서 전 세계 보안업계에서 큰 관심을 받았다. 회사는 다크웹 내 랜섬웨어(파일을 암호화한 후 몸값을 요구하는 해킹) 공격 조직 추적 프로젝트에 참여해 클롭, 갠드크랩, 레빌 등 조직을 검거하는 데 필요한 주요 정보를 제공했다. 지난해 120억원 규모의 시리즈B 투자 유치에도 성공하며 누적 투자액 170억원을 확보하기도 했다. S2W는 현재 인터폴 외에도 약 40여곳의 기업과 국가기관에 보안 솔루션을 제공하고 있다.
서상덕 S2W 대표를 지난 6일 경기 판교에서 만났다. 서 대표는 카이스트 전자및전기공학과를 졸업한 후 티맥스소프트에서 개발자로 커리어를 시작했다. 이후 미국에서 경영학석사(MBA) 학위를 취득한 후 진로를 바꿔 보스턴컨설팅그룹에서 컨설턴트로 일했다. 또 롯데그룹 미래전략센터에서 신규사업과 인수합병 검토 등 업무를 했으며 이때 사내 벤처를 만들어보는 등 다양한 사업 관련 경력을 확보했다.
ㅡ회사 창업 계기는.
“카이스트 출신의 친구 신승원 교수도 개발자 일을 하다가 그만두고 미국에서 보안으로 박사학위를 받고 이후 카이스트 교수로 부임했다. 카이스트에서 2015년에 다크웹 보안을 연구하던 신 교수가 대용량의 데이터를 수집하면서 ‘이건 학교에서 펀딩받고 지속할 스케일이 아니다’라는 깨달음을 얻었다고 한다. 결국 다크웹 보안 관련 연구를 계속하기 위해선 창업이 필요하다고 생각해 회사를 창업했다. 기술 개발은 신 교수가 맡고 난 경영을 하기로 했다. 다크웹뿐 아니라 텔레그램 등 다양한 익명 기반의 채널이 우후죽순 탄생하면서 보안 문제가 심각하다는 것을 깨달아 이를 학계 차원을 뛰어넘어 더 제대로 해결하고자 했다.”
ㅡ다크웹은 어떤 공간인가.
“IP주소가 추적되지 않는 익명의 공간이다. 처음엔 국가기관의 검열을 피해 역추적 당하지 않는 자유로운 공간을 만들자는 취지에서 만들어졌다. 실명으로 하지 못하는 정부에 대한 이야기를 할 수 있는 공간이었다. 미국 해군 정보부대가 적국의 정보를 흔적 없이 들여다보기 위해 시작하기도 했다. 그러나 범죄에 악용되기 시작하면서 익명으로 마약과 성착취물을 거래하고, 해커들이 유출된 계정을 사고파는 공간으로 변질하기도 했다.”
ㅡ다크웹이 최근 더 주목받는 이유는.
“과거엔 다크웹 등 온라인상 블랙마켓에서 거래가 오가도 대가를 현금화하기가 어려웠다. 그러나 안전하게 대가를 받을 수 있는 수단인 가상자산이 등장하면서 이 시장이 더 성행하고 있다. 현금을 직접 받는 것보다 훨씬 안전하지 않나. 흔적이 남지 않게 되면서 더 많은 이들이 흔적을 남기지 않고 편하게 불법 거래를 할 수 있게 됐다. 성착취물을 가상자산을 주고 판매했던 N번방 사건이 대표적이다. 마약, 성착취물 등 특정 이슈에 관심이 많은 온라인 이용자가 모인 사이버 공간에서 텔레그램 방을 홍보해 모객 행위를 하는 경우도 많아졌다. ‘가상자산으로 돈을 주면 되니 걸리지 않고 안전하다’라는 말과 함께 말이다. 다크웹에는 특정 기업의 유출된 정보를 가상자산 얼마에 팔겠다는 글이 계속 올라오고 있다. 심각한 보안 문제다.”
ㅡ이러한 문제를 어떻게 해결하나.
“다크웹이나 텔레그램 등 사이버 공간 내 다양한 정보를 수집해 데이터 중 문제될 것을 기업 혹은 정부기관에 알려준다. 다만 사람이 하나하나 정보를 찬찬히 보고 수집하는 수작업이 아니라, 기계적으로 거의 모든 정보를 다 수집하고 효율화된 방식으로 필터링하는 자동화된 과정을 거친다. 60가지 종류로 다크웹을 분류하고 있으며, 다양한 샘플을 학습해 정교화된 필터링 엔진이 범죄 적발 및 방지에 필수적인 정보를 자동으로 정리해준다. 기업엔 산업기밀 유출 등 관련 정보를, 국가기관엔 범죄 관련 정보 등을 준다. 다양한 신규 도메인도 모두 관리하고 있는데 이들이 범죄에 악용될 가능성이 크기 때문이다. 예컨대 abc.com이라는 회사를 모방해 ab_c.com이라는 신규 도메인이 생겼다면, 사이버 범죄자들이 피싱 범죄를 위해 모방 사이트를 만들었을 확률이 높다. 이러한 신규 도메인까지 모두 긁어 고객사 보유자 매칭한다.”
ㅡ개별 기업이나 국가기관이 이 일을 할 순 없나.
“개별 기업이 자신과 관련된 사이버 위협 정보를 찾기 위해 수집 네트워크를 만드는 것은 가성비가 떨어진다. 우리 집을 잘 지키기 위해 우리 집 담장부터 철망까지 직접 다 만드는 건 가능하다고 해도, 마을 전체에 어떤 위협이 있나 수상한 사람은 돌아다니지 않나 확인하기 위해 마을에 폐쇄회로(CC)TV를 설치하고 옆 동네 도로망까지 확인하는 건 ‘가성비’가 떨어지지 않나.
기업이 내부망에 침입한 해커를 차단하는 등 내부 보안은 직접 할 수 있다. 그러나 바로 근처가 아닌 외부 온라인 공간, 즉 미지의 세계인 다크웹 등에서 위협 요소가 있는지까지 직접 확인하기 위해 기술을 개발하고 관리할 수 없기 때문에 S2W가 대신 하는 것이다. 이건 단일 회사가 할 수 있는 일이 아니다. 예를 들어서 지금 당장 우리 회사 보안시스템에 수상한 사람이 침입했는지는 확인할 수 있다 해도, 회사 외부 다크웹 블랙마켓에서 우리 회사 직원들의 유출된 계정이 팔리고 있는지를 확인할 여력은 없다. 이걸 우리가 대신 해준다.”
ㅡ인터폴과는 어떻게 인연을 맺었나.
“회사 연구팀에서 유명 보안학회에 냈던 암호화폐와 다크웹의 연관성에 대한 논문이 화제가 되면서 인터폴이 기술자문을 요청했다. 현재도 인터폴과 공조 활동을 하며 기술력과 자본이 부족한 제3국을 돕는 일을 하고 있다. 나이지리아, 캄보디아 등 국가 내 인신매매, 야생동물 매매 등 사이버범죄 적발 관련 제3국 경찰 교육용 자료를 만들고 범죄조직 검거에 도움을 주고 있다.”
ㅡ랩서스 사건 이후 보안에 대한 관심이 더 커졌다.
“그렇다. 보안 보강이 절실하다는 인식이 높아졌다. 예컨대 랩서스 등 해킹조직들은 여러 정보와 도구를 조합해 공격을 준비한다. 예컨대 A라는 회사를 공격하기 위해 이 회사 관련 유출 계정을 다크웹에서 검색해 사 모으고, 이 중 유효하게 작동하는 계정을 통해 악성코드를 깐다. 다크웹에서 수집한 추가 정보로 방어막도 뚫고, 악성코드가 설치된 A회사 내 PC를 전초기지로 삼아서 공격한다. 실제 고객사 중 랩서스 사태 때 S2W가 미리 위험을 감지해 알린 덕에 공격 시도에도 피해를 보지 않은 곳도 있다. 여기 대비했던 기업과 아닌 기업의 희비가 엇갈렸기에 기업 그리고 국가 모두 보안에 더 집중하게 됐다.”
ㅡ앞으로의 목표는.
“사업을 확장해 다양한 기업과 국가가 사이버 범죄에 대응할 수 있도록 돕겠다. 더 많은 익명 온라인 채널이 탄생했고, 가상자산으로 인해 더 많은 돈이 범죄로 흘러가고 있다. 이를 막기 위해 고도화된 서비스를 계속 개발하겠다.”