[디지털데일리 이종현기자] 특정 브라우저를 통해 접근할 수 있는 다크웹(Darkweb)이나, 일반에는 공개돼 있지 않은 딥웹(Deepweb), 익명성을 보장하는 메신저 등의 이용이 크게 증가하고 있는 가운데, 이런 곳들이 사이버크라임(Cybercrime)의 온상지가 되고 있다는 지적이 제기됐다.

S2W 서상덕 대표는 “디지털 공간 내에서의 생활 반경이 넓어지고, 소비하는 시간도 늘어나면서 사이버크라임 역시 함께 증가하는 중이다. 기업이나 기관뿐만 개인을 대상으로도 증가하는 추세”라며 복잡·다변화되는 사이버크라임과 관련 기업들의 대응력 강화가 필요하다고 강조했다.

28일 국내 보안 스타트업 S2W는 창립 후 첫 기자간담회를 개최했다. S2W의 청사진을 밝히며 새롭게 출시한 사이버위협 인텔리전스(CTI) 솔루션 ‘퀘이사(Quaxar)’를 소개했다.

◆국제 경찰 ‘인터폴’의 공식 파트너사··· 이랜드그룹 해킹한 조직 검거에 도움

S2W는 2020년 인터폴 공식 파트너로 선정되며 이름을 알린 기업이다. 인터폴은 공식 홈페이지를 통해 S2W가 국제 랜섬웨어 조직 레빌(Revil), 클롭(Cl0p), 갠드크랩(GandCrap) 등을 검거하는 데 도움이 되는 정보를 제공했다고 알렸다.

이중 클롭은 2020년 12월 이랜드그룹을 공격해 NC백화점·뉴코아아울렛 등의 매장을 마비시킨 곳이다. 클롭은 이랜드그룹으로부터 200만개 이상의 정보를 훔쳤다고 주장한 바 있는데, 인터폴에 의해 작년 검거됐다.

이는 S2W의 CTI가 어떤 식으로 활용되는지를 알려주는 상직적인 사례다. 일반인들에게는 공개되지 않은, 범죄와 관련됐거나 범죄에 이용될 수 있는 음지에서의 정보를 획득해 고객에게 제공하는 것이 핵심 골자다.

S2W 최고전략책임자(CSO)인 이지원 부대표는 “S2W는 더 안전한 사이버공간을 조성하기 위한 기술을 고민하는 기업이다. 2018년 법인을 설립해 올해로 4년차다. 2020년 인터폴의 공식 파트너 기업으로 선정된 이후 확장에 탄력이 붙었다”고 말했다.

또 그는 “초기에는 다크웹을 중심으로 데이터를 수집했지만 이제는 범위를 넓혀 사이버공간 전반을 아우르게 됐다. 데이터 인텔리전스 기업으로 나아가는 중”이라고 밝혔다. 자연히 범용성도 확대됐는데, 현재 중고거래 플랫폼 번개장터와 리셀 플랫폼 크림이 S2W의 기술을 이용하고 있다.

◆삼성전자 턴 랩서스의 근거지도 다크웹·텔레그램

최근 발생하는 굵직한 사이버보안 사고 다수는 다크웹에서 그 흔적을 엿볼 수 있다. 지난 3월 한국을 떠들썩하게 한 랩서스(Lapsus$)의 삼성전자 해킹도 텔레그램을 통해 공개됐다.

랩서스는 3월 3일 자신의 텔레그램 채널을 통해 삼성전자로부터 정보를 탈취했다고 언급한 뒤 3월 5일 오전 7시경에 토렌트 파일로 유포를 시작했다. S2W는 3월 6일부터 고객사를 대상으로 랩서스의 침투 수법에 대한 인텔리전스를, 3월 8일에는 랩서스 관련 상세 종합 보고서를 공유했다.

S2W의 조사에 따르면 랩서스가 활동을 시작한 것은 2021년 5월 15일 유명 해킹포럼인 ‘레이드포럼’에서부터다. 이후 게임사 EA, 브라질 보건부를 비롯해 엔비디아, 삼성전자, 유비소프트, LG전자, 마이크로소프트(MS), 옥타(Okta) 등 글로벌 테크 기업들이 피해를 입었다.

S2W 곽경주 이사는 “2020년 메이즈(Maze) 랜섬웨어를 기점으로 이를 카피한 랜섬웨어 그룹이 급증했다. 올해부터는 랩서스의 침투 전략을 카피한 공격그룹이 많이 생겨날 것으로 전망된다”며 “미국 연방수사국(FBI)이나 인터폴 등의 수사 결과가 분수령이 될 것”이라고 전망했다.

◆기능 강화한 CTI ‘퀘이사’ 출시··· 대기업서 기술력 입증하고 SMB로 확장

각종 사이버보안 사고가 연이어 발생하는 가운데 S2W는 신규 CTI 솔루션 ‘퀘이사’를 출시했다. 기존의 자사 CTI 솔루션 ‘자비스Xarvis’를 보다 강화한 것으로, 텍스트 위주였던 인터페이스에서 가시성 높은 그래픽 인터페이스로 교체했다.

곽경주 이사는 기능도 강화했다고 강조했다. 익명 메신저나 트위터, 페이스북 등 일반 사회관계망서비스(SNS)까지 데이터 수집 채널을 확대했다. 수집량은 늘고 처리속도는 빨라졌고, 자연어처리(NLP)도 고도화했다는 설명이다.

현재 S2W의 월평균 데이터 수집 양은 2억건 이상이다. 2021년 상반기 대비 수집 데이터양은 7300%가량 증가했다. 기업 내부에서 식별하기 어려운 공격표면(Attack Surface)을 자동으로 탐지하는 등, CTI에 필요한 전반적인 업무를 수행할 수 있도록 지원한다.

S2W는 퀘이사 출시와 함께, 기업들간 공격 관련 첩보 등 핵심 정보를 공유할 수 있는 생태계, 퀘이사 인텔리전스 에코 시스템(QUaxar INTelligence Eco System, 이하 퀸테스(QUINTES)를 조성한다는 방침이다. 폐쇄적인 환경에서 신뢰도를 기반으로 고객사간 정보 공유의 허브가 되도록 힘쏟겠다는 계획이다.

삼성전자 해킹 이후 랩서스에 대한 보고서를 공개한 것처럼, 사이버보안 관련으로 대외 활동도 늘린다는 방침이다. 서상덕 대표는 “대중을 대상으로 사이버공격이 얼마나 위험한지 적극적으로 알리는 형태의 활동도 필요하다고 생각한다. 각종 보안사고에 대해 어떤 시사점이 있는지, 무엇을 대비해야 하는지 등을 전달하는 미디어센터를 운영할 것”이라고 피력했다.

다만 다소 협소한 국내 시장은 걸림돌이다. CTI의 경우 방화벽이나 침입방지시스템(IPS), 엔드포인트 탐지 및 대응(EDR) 등 포인트 보안 솔루션을 도입한 후, 이를 보다 효과적으로 운영하기 위해 도입된다. 대기업이나 금융권 등, CTI를 필요로 하는 기업 고객군이 비교적 소수라는 점은 S2W가 극복해야 할 과제다.

이에 이지원 부대표는 “급성장 중인 스타트업에서도 문의를 많이 한다. 서비스를 개발하는 것도 벅찬데 공격에 대비하기는 어렵고, 그러면서 고객 데이터는 많은 곳들이 다수다. 우선 대기업을 중심으로 기술력을 검증한 뒤, 중소·중견기업이나 스타트업을 대상으로 하는 패키징도 내놓을 계획”이라고 답했다.