[템터뷰] '탐지 넘어 예측까지...AI 시대 보안은 '위협인텔리전스'가 좌우한다'

"얼마 전 특정 회사의 데이터가 다크웹에 올라왔다고 해서 이슈가 된 적이 있어요. 그런데 알고 보니 3년 전에 이미 등장했던 데이터였어요. 이런 히스토리(정황)를 모르면 위협에 대한 판단이 힘든 거죠."

위협인텔리전스는 단순한 탐지를 넘어 공격의 배경과 의도를 해석하고 선제적으로 대응하기 위한 보안 전략이다. S2W는 이 분야에서 '정황 중심 분석'이라는 차별화된 접근으로 독자적인 경쟁력을 구축해왔다. 핵심 조직은 위협인텔리전스센터 '탈론(TALON)'이다.

'탈론'의 수장인 김재기 위협인텔리전스센터장은 2020년 수석 연구원으로 S2W에 합류해 팀장, 수석팀장을 거쳐 2023년 센터장으로 선임됐다. 그는 "입사 당시 20명 남짓이던 회사가 현재 100명이 넘는 규모로 성장했다"며 "초창기에는 팀 단위 운영을 안정화하는 데 집중했고, 이후 분석을 정형화하고 정황 기반 분석으로 방향을 잡아가기 시작했다"고 말했다.

정황 기반 위협인텔리전스...AI로 기능 고도화

'탈론'은 다크웹, 딥웹, 폐쇄망, 오픈소스 등에서 수집한 정형·비정형 데이터를 상시 분석하며 단순 침해 지표(IoC)를 넘어 정황 기반 전략형 인텔리전스를 제공하는 분석 특화 조직이다. 

김 센터장은 "공격자는 오래된 유출 데이터를 최신 유출로 위장하거나 과거 공격 수법을 반복적으로 사용하는 경우가 많다"며 "데이터의 전후 맥락을 함께 분석해야 한다"고 설명했다. 이를 통해 위협 정도가 어떤지, 어디를 타겟으로 하는지, 대응 방안을 세워야 하는지 여부 등 보다 현실적인 액셔너블 아이템(실행에 옮겨야 하는 조치)을 제공한다. 

AI도 빠르게 접목 중이다. 김 센터장은 "AI는 분석가가 직관적으로 위협을 이해하고 대응할 수 있도록 보조하는 역할을 한다"며 "사용자 경험(UX) 측면에서도 이를 자연스럽게 녹여내려는 시도를 병행하고 있다"고 말했다.

'탈론'은 내부에 프롬프트 엔지니어링과 LLM 활용법 등을 공유하는 AI 태스크포스(TF)를 운영한다. 반복적인 분석 업무는 자동화하고 사람은 판단과 해석이 필요한 고난도 위협에 집중할 수 있는 구조를 지향한다.

실전 경험으로 경쟁력 입증...세계 무대 경험도

S2W는 싱가포르·인도네시아 정부기관 등 국내외 정부기관 및 수사기관과 긴밀한 협력 관계도 이어가고 있다. 특히 인터폴과는 5년 이상 관계를 지속 중이다. 김 센터장은 "공식 계약 외에도 수사기관이 현장에서 인텔리전스가 필요할 때 가장 먼저 연락을 주는 경우가 많다"며 ”이 또한 민간의 기능을 인증하는 부분“이라고 말했다.

분석 자산이 다시 실전에 호출되는 사례도 있다. 과거 김 센터장이 자사 블로그에 공개한 북한 배후 악성코드 분석 자료가 유사 공격 등장 후 재조명되며 수사기관 지원으로 이어진 것이 대표적이다. 이처럼 위협인텔리전스는 축적된 사례 분석과 데이터화 작업을 기반으로 새로운 위협의 성격을 추정하고 적절한 대응책을 제시하는 순환 구조 위에서 완성된다.

S2W가 위협인텔리전스 분야에서 독보적인 강점을 지닌 이유도 그간 이 분야에 기울여온 노력 및 시간과 닿아있다. 축적 데이터가 예측 역량으로도 확장되고 있는 것. 김 센터장은 "궁극적으로 인텔리전스의 방향도 예전에 있던 내용을 이야기하는 것보다 이를 바탕으로 예측하는 쪽으로 나아가고 있다"며 선제적 대응의 중요성을 강조했다.

국제 사이버안보 훈련에서도 기량을 증명했다. '탈론'은 이번에 처음으로 민간 기업의 참가가 허용된 북대서양조약기구(NATO) 사이버 안보 훈련 '락드쉴즈 2025'에서 출제자의 의도를 넘어서는 난제 해결 역량을 드러냈다. 참가사(자) 중 문제를 해결한 이는 '탈론'이 유일했다고 한다.

김 센터장은 "종합적인 보안 역량을 요구하는 훈련에서 실질적인 존재감을 보였다는 점에 의미가 있다"며 "압축적인 형태에서 사이버 보안이란 것을 안보의 영역으로 국가 단위에서 어떻게 가져가는지 간접적으로 체험할 수 있었다"고 평가했다.

"AI 시대 보안, 민관 협력 체계 마련해야"

김 센터장은 향후 사이버 안보 전략의 핵심으로 민관 역할 분담과 유연한 거버넌스를 꼽는다. 그는 "정부가 모든 기술을 내재화하려 하는 것보다 정부와 민간의 역할을 잘 구분해 민간이 보유한 실전형 기술과 인사이트를 유연하게 활용하는 거버넌스가 마련되면 시장의 성장도 함께 기대할 수 있을 것"이라고 말했다. AI 확산으로 공격 표면이 넓어지는 만큼 정부와 민간 기술력을 연결하는 협업 체계 마련이 방어력 제고의 관건이 될 것이라는 시사점이다.

사업 측면에서 S2W는 위협인텔리전스 역량을 제품화·플랫폼화해 공공과 민간을 아우르는 서비스를 전개하고 있다. 공공기관 대상 위협 인텔리전스 통합 플랫폼 '자비스(XARVIS)', 민간 기업 맞춤형 사이버 위험 대응 솔루션 '퀘이사(QUAXAR)', 산업용 생성형 AI 기반 분석 플랫폼 'SAIP(S2W AI Platform)'이 대표 라인업이다. 이 가운데 'SAIP'는 위협 탐지, 추론, 경고 발령뿐 아니라 지식그래프와 거대언어모델(LLM)을 연계해 위협 간 연관성과 흐름을 시각화하는 기능을 구현하고 있다.

외형 확장도 가속화 단계에 들어섰다. S2W는 지난 6월 코스닥시장 상장 예비심사를 통과했다. 대신증권을 주관사로 선정해 이르면 3분기 증시 입성 목표를 달성할 전망이다. 상장 이후에는 안보와 산업 양측에서의 AI 전환(AX)을 지원하며 '제2의 성장기'를 연다는 계획이다.

장기 비전은 데이터 온톨로지까지 확장하는 '팔란티어' 모델이다. 김 센터장은 "궁극적으론 팔란티어를 목표로 하고 있다"며 "보안(사업)이 잘 됐을 때 여러 가지 데이터를 다루는 온톨로지로 나아가려 한다"고 말했다. 현재 S2W는 스스로를 '빅데이터 분석 AI 기업'으로 소개한다.

임경호 기자 lim@techm.kr