[디지털데일리 이종현기자] 샌즈랩은 2014년 서비스를 시작한 악성코드 자동 분석 플랫폼 ‘멀웨어즈닷컴’을 공격자 중심의 사이버위협 인텔리전스(CTI)를 제공하는 전문 브랜드 ‘CTX’로 재단장해 선보인다고 31일 밝혔다.

2014년 출시한 멀웨어즈닷컴은 사이버위협에 대한 빅데이터를 수집 및 분석하는 샌즈랩의 대표 제품이다. 샌즈랩은 멀웨어즈닷컴을 통해 376억개가량의 데이터를 수집했고 이중 악성코드 데이터는 약 22억개다.

CTX는 멀웨어즈닷컴을 재설계한 CTI 서비스다. 샌즈랩은 사이버위협(Cyber Threat)의 CT와 익스퍼트(eXper), 익스체인지(eXchange), 콘텍스트(conteXt) 등 위협의 여러 변수를 뜻하는 X를 더해 탄생했다.

김기홍 샌즈랩 대표는 “멀웨어즈닷컴을 서비스한 지 9년 정도의 시간이 흘렀다. 개발 당시 다들 미쳤다, 만들지 말라고 했지만 소기의 성과를 거뒀다. 분석만 하고 돈을 못 버는 것이 아니다. 연간 약 60억원 정도의 매출이 발생하고 있다. 덕분에 2월 코스닥 시장에 상장하기도 했다”고 말했다.

CTX는 악성코드에 집중했던 멀웨어즈닷컴을 보다 확장해 CTI 전문 서비스를 제공하도록 만든 것이다. 어떤 위협이 있는지, 위협의 주체는 누구인지, 해당 위협이나 공격자가 어떤 이력을 지녔는지, 피해를 입은 기업‧기관이 있는지 등 공격뿐만 아니라 그 이면의 다양한 정보까지 포함한 인텔리전스를 제공한다. 글로벌 시장에 선보이기 위해 기능뿐만 아니라 사용자환경(UI) 등도 대폭 개선했다.

김 대표는 CTX에서 사용하기 위한 데이터셋의 형태 재구성은 단순한 연결고리를 만드는 것이 아니라, 각각 최대한의 객관적 사실을 수반하는 지식 그래프 형태로 구성되도록 하는데 초점을 맞췄다고 강조했다. ‘설명 가능한 인텔리전스’를 제공하겠다는 취지다.

그는 “CTI 서비스는 안티바이러스와 같은 보안 솔루션을 구매하는 것에 비해 눈에 띄지 않으면서 비싸다. 때문에 시장 확장에 한계가 있다”고 전했다. 또 여러 곳에서 수집된 데이터를 의미 있는 정보로 가공하는 전문 인력들에 의존하는 만큼 인력 의존도가 높다는 특징도 있다. 국내에서 CTI 비즈니스를 하는 것이 녹록지 않은 이유다.

“봐야 할 데이터가 너무 많아졌다. 봐야 할 데이터 자체가 노이즈가 되고 있다”, “지금은 대량의 데이터를 분석하는 것보다는 우리 기업을 노리는 정교한 공격을 분석하는 것이 중요하다”, “인텔리전스가 필요한지 모르겠다”, 샌즈랩이 CTI 비즈니스를 하면서 고객들에게 듣는 말이다.

김 대표는 “CTX는 경제적인 CTI를 만들어보자는 컨셉에서 출발했다”고 소개했다. CTI를 이용 중인 고객들은 여러 CTI에서 얻어낸 정보를 대량으로 모아 신뢰할 수 있는 영역의 데이터만 인공지능(AI)을 통해 고르는 작업을 하고 있는데, CTX는 각각의 CTI가 가장 잘 하는 분야의 데이터만 취합해 제공함으로써 별도 취합 및 연동 과정을 없앴다.

CTX는 멀웨어즈닷컴과 마찬가지로 보안관제 서비스를 제공 중인 기업들을 중심으로 제공될 예정이다. 보안관제 기업들이 CTX를 구독해 비용을 샌즈랩에 제공하는 방식이다. 때문에 공공 사업에 직접 참여하진 않더라도 간접적으로 진출하고 있다.

CTX의 정식 출시는 11월15일이다. 현재는 오픈베타 형태로 제공되고 있다. 당분간 멀웨어즈닷컴이라는 브랜드와 함께 제공되고, 향후 멀웨어즈닷컴을 종료할 예정이다. 또 CTX와 어우러질 네트워크 탐지 및 대응(NDR) 솔루션 ‘MNX’도 제공할 계획이다.

샌즈랩은 위협 분석 등에 머신러닝(ML)을 활용하는 것을 넘어, 생성형 AI를 통해 위협에 대한 분석까지 제공하는 기능을 준비하고 있다. 김 대표는 “생성형 AI로 보고서를 작성하면, 그걸 받아보는 사람은 AI가 작성했는지 사람이 작성했는지 알 수 있을지 궁금하다”며 “생성형 AI가 만든 보고서를 뉴스 형태로 제공하는 기능도 구현할 것”이라며 내년에는 해당 기능의 일부를 선보일 수 있으리라 전망했다.