AI스페라 “크리미널 IP의 경쟁력은 데이터”
[인터뷰] 강병탁 AI 스페라 대표
데이터 기반 ASM·CTI로 해외 공략 가속, AI로 제품 고도화
침해사고가 반복되면서 기업들이 외부에 노출된 자산을 다시 점검하는 흐름이 커지는 가운데, ‘공격표면관리(ASM)’와 ‘사이버위협인텔리전스(CTI)’ 기술이 주목받고 있다.
강병탁 AI스페라 대표는 2일 바이라인네트워크와의 인터뷰에서 “44페타바이트(PB)나 되는 데이터 기반의 ASM와 CTI를 결합한 ‘크리미널 IP(Criminal IP)’ 제품으로 국내외 시장 공략을 강화하고, 올해는 두 제품을 AI 기반 2.0버전으로 업그레이드해 순차 출시할 계획”이라고 밝혔다.
AI스페라는 2017년 설립된 ASM과 CTI 전문 사이버보안 기업이다. 강병탁 대표와 고려대학교 정보보호대학원 김휘강 교수가 공동창업자로, 기술·연구 기반을 함께 다져왔다. 최근에는 해외 시장 공략을 위해 미국과 일본에 법인을 두고 사업을 확장하고 있다. 지난 2022년까지 전략적 투자 목적으로 넷마블, NHN 등에서 약 110억원의 투자도 유치한 바 있다.
강병탁 대표는 AI스페라 창업 전 넥슨 등 게임회사의 보안 책임자로 근무했다. 그때는 지금처럼 ASM이라는 개념이 있기 전이라 취약점 스캐너를 돌린 뒤 사람이 손으로 외부 노출 자산을 하나씩 찾아 정리해야 했다. 당시 강 대표는 이런 반복 작업을 줄일 방법을 고민했고, 외부에 노출된 자산을 상시로 찾아 정리하는 ASM 형태의 제품이 필요하다는 결론에 이르렀다. 이후 미국 법인인 넥슨아메리카에서 근무하며 현지 보안 제품을 접했고, 공격자 동향과 공격 인프라 단서를 분석하는 위협 인텔리전스(TI) 분야까지 구상을 넓혔다.
강 대표는 “주력으로 삼고 있는 ASM과 CTI 분야는 미국과 유럽 등 글로벌 보안 제품이 강세”라며 “그들과 경쟁하려면 결국 데이터가 핵심”이라고 설명했다. 이어 그는 “위협 판단의 기반이 될 데이터를 확보하기 위해 약 43억개의 IP 주소를 폭넓게 수집·분석하자는 목표를 세웠고, 관련 데이터 기반을 구축하는 데만 거의 6년이 걸렸다”고 말했다.
데이터 기반 ‘크리미널 IP’로 ASM·CTI 고도화
강 대표는 최근 반복되는 보안 사고의 흐름을 ‘기본으로 돌아가는 과정’으로 본다고 설명했다. 사고가 터지고 대응 체계를 고도화하는 일도 중요하지만, 그 이전에 조직이 책임져야 할 외부 자산이 무엇인지, 기본부터 정리해야 할 때가 왔다는 것이다.
강 대표가 말하는 ASM는 단순한 ‘취약점 스캐너’와는 다르다. 취약점 스캐너가 주어진 대상을 점검한다면, ASM은 조직의 도메인과 IP, 서비스 단서를 바탕으로 외부에 노출된 자산을 찾아 관리해야 할 범위를 알게 해준다.
이 과정에서 강 대표가 반복해서 강조한 기준은 운영의 안정성이다. 모의해킹처럼 특정 대상을 특정 기간에 집중해서 점검하는 방식이 아니라, 시스템 운영에 영향을 미치지 않는 선에서 외부 노출 지점을 계속 찾고 정리하는 게 ASM의 핵심이라는 설명이다. 그는 “ASM 용어가 최근에 많이 사용되고 있다”며 “하지만 분명히 짚어야 할 점은 ASM은 시스템 운영에 방해가 되지 않아야 한다는 것이 기본 원칙”이라고 강조했다.
AI스페라의 크리미널 IP는 ASM과 CTI, 두 라인으로 구성돼 있다. ‘크리미널 IP ASM(Criminal IP ASM)’은 외부 노출 자산을 탐지·분류해 관리하고, ‘크리미널 IP TI(Criminal IP TI)’는 공격자 인프라와 공격 흔적을 맥락으로 엮어 방어 우선순위를 세운다. 강 대표는 “크리미널 IP는 전 세계의 방대한 IP 주소 기반 데이터에 근거한 검색과 공격표면관리 플랫폼”이라고 정의했다.
ASM과 CTI의 기반은 데이터다. 강 대표는 크리미널 IP가 약 43억개의 IP 주소를 보유한 데이터 기반으로 작동하고, 데이터 총량은 총 44페타바이트(PB) 규모라고 설명했다. 44PB는 4K 영화 1편을 약 20GB로 잡았을 때, 약 220만편을 저장할 수 있는 용량이다. 이 방대한 데이터는 6년간 수집한 노력의 산물이다.
강 대표는 IP 주소와 데이터를 ‘한 번 모아두고 끝내는 방식’만으로는 위협 판단이 어렵다고 말했다. 인터넷 자산과 공격 인프라는 계속 바뀌기 때문에, 계속 수집하면서 매일 변화를 추적해야 ‘연결고리’가 생긴다는 설명이다.
예를 들면 ‘위협 국가의 IP가 발견됐다’ 같은 하나의 정보만으로는 위협 수준을 판단할 수 없다. 대신 그 IP가 언제 어떤 조직을 공격했는지, 어떤 악성코드와 연결됐는지, 어떤 공격 캠페인에서 등장했는지 같은 또 다른 종류의 정보가 있을 때 비로소 제대로 된 위협 인텔리전스가 된다. 즉 IP 하나가 아니라 공격 이력과 맥락이 함께 연결될 때, 조직이 무엇부터 점검해야 하는지 우선순위를 세울 수 있다는 설명이다.
강 대표는 공격자 커뮤니티의 동향도 위협 판단의 중요한 단서라고 말했다. 실제로 지난해 공격자 커뮤니티에서는 해킹 사고가 발생한 “한국의 대기업을 털고 있다”는 식의 글이 전에 올라왔고, 특정 산업군을 거론하는 대화도 포착됐다. 그는 “이런 단서를 바탕으로 몇 달 전부터 리포트를 뽑아, 우리 조직에도 같은 유형의 취약점이 없는지 점검해볼 수 있게 했다”며 “IP·도메인 같은 표면 정보만 보는 게 아니라 방법, 맥락, 대상을 함께 봐야 의미 있는 위협 인텔리전스가 완성된다”고 강조했다.
해외 시장을 공략하기 위해서도 이 데이터는 매우 중요하다. 강 대표는 글로벌 보안 생태계가 단독 솔루션보다 연동과 결합을 중시한다고 보고, 애플리케이션 프로그래밍 인터페이스(API)와 플러그인 형태로 여러 글로벌 보안 제품군에 크리미널 IP를 붙이는 전략을 선택했다고 설명했다. 실제로 크리미널 IP는 시스코, 팔로알토네트웍스 등 글로벌 보안 기업의 파트너 제품으로 등록되어 있다.
SBOM을 크리미널 IP 개발·패치에 적용
강 대표는 크리미널 IP가 보유한 또 하나의 장점으로 최근 보안업계에서 강조하는 ‘공급망 보안’을 꼽았다. 제품 자체가 안전해도, 제품에 포함된 오픈소스 라이브러리와 구성요소에서 취약점이 있으면 보안팀이 감당해야 할 범위가 커진다. 특히 클라우드와 서비스형 소프트웨어(SaaS) 환경에서 외부 구성요소 활용이 늘어난 만큼, ‘어떤 라이브러리를 썼는지’를 기록하고 ‘변경을 어떻게 관리하는지’가 주요 관리 대상으로 떠올랐기 때문이다.
이런 이유로 AI스페라는 해외 시장에서 요구하는 ‘소프트웨어 자재명세서(SBOM)’를 크리미널 IP의 개발·운영 과정에 적용했다. SBOM은 소프트웨어를 구성하는 라이브러리와 오픈소스 요소를 목록으로 남겨, 취약점이 생겼을 때 영향 범위를 빠르게 확인하게 돕는 체계다.
강 대표는 “격주로 제품 패치 과정에 SBOM 절차를 넣어 격주 단위로 반복 점검하고 있다”며 “취약점 신호가 나오면 어떤 라이브러리에서 문제가 생겼는지 확인하고, 조치한 뒤 다시 스캐너를 돌려 문제가 사라졌는지 확인한 후에 제품을 배포하고 있다”고 강조했다. 이어 “아직 국내에서는 SBOM이 의무가 아니지만 해외에서는 중요한 기준으로 자리잡았다”고 덧붙였다.
이 같은 흐름은 외부 사업 참여로도 이어졌다. AI스페라는 지난해 한국인터넷진흥원(KISA)의 ‘SBOM 기반 공급망 보안 모델 구축’ 실증 사업에 참여해, SBOM을 문서가 아니라 운영 과정에 전면 적용했다고 밝혔다. 제품에 어떤 소프트웨어 구성요소가 들어갔는지를 정리해두고, 새 취약점이 공개되면 해당 구성요소가 실제로 포함됐는지와 영향 범위를 빠르게 확인하는 방식이다.
AI로 제품 고도화, 운영 부담을 낮출 것
강 대표는 2025년의 성과에 대해 “전년(2024년) 대비 매출이 약 2배 이상 성장했다”며 “국내뿐 아니라 미국·유럽을 포함한 해외에서도 매출이 지속해서 늘고 있다”고 설명했다. 이어 “특히 해외에서 참여한 전시 현장에서도 ‘크리미널 IP를 안다’는 반응이 많아져, 성장을 체감하고 있다”고 덧붙였다.
이어 2026년 계획에 대해서는 “작년과 같이 ASM과 CTI을 주력으로 하되, 제품에 AI를 더 탑재해 성능을 고도화해갈 예정”이라며 “올해 두 제품의 AI 기반 v2.0을 내놓을 예정”이라고 말했다.
AI스페라가 보고 있는 AI를 통한 자동화는 ‘화려한 탐지 데모’가 아니다. 보안팀이 실제로 시간을 쓰는 업무부터 덜어내겠다는 구상이다. 강 대표는 대기업과 공공기관의 보안 현장을 예로 들며, “사고 대응이나 고급 분석보다 자산 정리, 외부 노출 확인, 알람 분류, 보고서 작성, 관계 부서 커뮤니케이션 같은 운영 업무가 대부분을 차지한다”며 “2026년 크리미널 IP의 목표는 이 반복 업무를 AI가 대신 처리하도록 구조를 바꾸는 데 있다”고 말했다.
이어 그는 ‘크리미널 IP ASM v2.0’이 외부의 자산을 더 많이 찾는 데서 나아가, 무엇이 중요한 노출인지와 우선순위를 AI가 분석하고 정리해주는 방향으로 진화할 것이라고 말했다. 보안 담당자가 모든 자산을 다 훑는 대신 지금 당장 봐야 할 항목부터 확인하고 조치하도록 돕겠다는 것이다. ‘크리미널 IP TI v2.0’도 같은 방향이다. 위협 정보를 많이 나열하기보다, 우리 조직과의 관련성과 필요한 대응을 AI가 맥락으로 정리해 보안팀의 판단과 보고 부담을 줄이겠다는 구상이다.
앞으로의 목표에 대해, 강 대표는 “독보적인 데이터를 기반으로 ASM과 CTI를 결합한 모델을 더 고도화해, 국내에서 유일하게 해외 매출 비중이 더 높은 글로벌 보안 서비스형 소프트웨어(SaaS) 기업으로 자리 잡는 게 목표”라고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
