"대학교 1학년 때 악성코드 분석기술 기업으로 창업했습니다. 고도화된 악성코드를 분석해보고 싶었지만 그 때만 해도 관련 자료를 공유해주는 분들이 없었습니다. 악성코드 공유 플랫폼을 만들겠다고 결심했습니다. 이제는 아시아에서 가장 많은 데이터셋을 보유한 회사가 됐습니다."

2003년 1월25일, 대한민국 전역의 인터넷이 마비되는 '1·25 사태'가 발생했다. 악성코드 '슬래머 웜'에 감염된 국내 PC들이 KT 혜화전화국에 DDoS(분산서비스거부공격) 공격을 가했다. 혜화전화국은 한국-해외를 연결하는 인터넷의 관문이기도 했다. 이 사태로 인터넷 트래픽이 다른 백본망으로 마구 넘어가는 바람에 다른 지역의 서버까지 모두 마비가 됐다.

그 해 5월, 대학교 1학년생이었던 김기홍 샌즈랩 대표는 보안 이슈로 대한민국 IT인프라가 붕괴되는 모습을 보고 창업을 결심했다. 연세대에서 운영 중이던 학생벤처 창업지원사업의 지원을 받아 세인트시큐리티를 설립한 것이다. 악성코드를 수집하고 AI(인공지능)와 빅데이터를 활용해 분석한 후 사이버 보안 위협 대응·예측 등에 필요한 CTI(사이버위협정보)를 제공하는 회사 샌즈랩 (13,130원 ▼100 -0.76%)은 이렇게 시작됐다.

샌즈랩은 현재 악성코드 갯수만 20억건에, 악성코드 관련 사이버 위협분석 빅데이터 300억건 등 페타바이트급(1페타바이트는 약 100만 기가바이트) 데이터를 보유하고 있다. 샌즈랩이 보유한 악성코드 정보의 수는 아시아 최대 수준으로 평가된다. 샌즈랩이 구축한 데이터셋은 정보보안 시스템 구축이 필요한 공공기관과 민간기업, 주요 IT 보안기업에 공급된다. 최근에는 보안기업 3개사로 구성된 컨소시엄의 PM(프로젝트 매니저) 역할을 맡아 KISA(한국인터넷진흥원)에 최신 침해사고, 10대 산업군 관련 위협 인텔리전스, 사회이슈 연관 위협헌팅 정보 등 데이터셋을 대규모로 구축하는 사업을 성공리에 완수했다.

김 대표는 "쓰레기도 모으면 자원이 되듯 악성코드 정보도 모이면 중요한 정보가 될 수 있다는 생각에 창업 초기부터 모은 악성코드 분석 정보를 하나도 버리지 않고 모았다"며 "아무리 좋은 AI모델이라도 양질의 데이터셋이 없으면 무용지물이지만 좋은 데이터만 있으면 어떤 AI모델이든 굉장히 좋은 성능을 나타낼 수 있다"고 했다.

사이버 공격의 기법이 고도화되면서 사이버위협 정보에 대한 수요가 늘었고 샌즈랩의 매출 역시 가파르게 증가했다. 2021년 54억원에 불과하던 매출은 2022년 93억원, 지난해 117억원으로 2년새 2배 이상 수준으로 늘었다. 다만 2022년 21억원에 달하던 영업이익이 지난해에는 8억원 영업손실로 적자전환했지만 이는 AI 개발인력 확충과 사옥 이전에 따른 일회성 비용 때문이라는 게 김 대표의 설명이다.

창업 후 한동안은 샌즈랩도 고객사 전산장비에 보안서버를 구축형 방식으로 설치해 유지보수하는 사업을 벌여왔지만 유지보수 비용의 과도화 등 이유로 플랫폼 기업으로의 전환을 모색해야 했다. 그 결과 2014년 샌즈랩은 멀웨어즈닷컴이라는 이름의 플랫폼을 출시했다. 멀웨어즈닷컴은 단순히 수집된 파일의 악성 여부를 판별하는 데 그치지 않고 악성코드 공격자, 제작 의도, 공격 방법, 침투 및 배포방법, 취약점 정보, 공격자가 얻게 되는 이익, 유사 악성코드, 대응현황 등 종합 정보를 제공하는 플랫폼으로 자리잡았다. 샌즈랩은 멀웨어즈닷컴을 고도화켜 AI 기반 차세대 인텔리전스 브랜드 'CTX'를 지난해 출시했다. 사이버위협을 의미하는 CT(Cyber Threats)에 위협의 다양한 변이형태를 의미하는 'X'를 붙여 만든 브랜드다. CTX는 올해 초 오픈AI가 만든 응용AI 마켓플레이스인 GPT스토어에 입점하기도 했다. 이외에도 샌즈랩은 MNX(네트워크 이상탐지 솔루션) MDX(문서이상 탐지 솔루션) 등 사업도 운영 중이다.

김 대표는 "생성형 AI로 악성코드를 자동화된 방식으로 생산하고 더욱 정교해진 가짜메일로 타깃이 된 기관·개인을 속여 경계선 안쪽에 악성코드를 배포하는 공격이 늘어나고 있다"며 "반면 LLM(거대언어모델) 기술이 사이버보안 산업에 접목되면 굉장히 유용한 유스케이스(적용사례)가 나올 수 있다"고 했다. 예컨대 사이버 위협정보에 대한 분석 보고서가 나온다더라도 전문가가 아니면 이 데이터를 해석하기 쉽지 않지만 LLM 기반 AI 모델이 접목되면 일반인이 이해하기 쉬운 자연어로 해석이 제공되기에 보안정보에 대한 진입 장벽이 낮아지고 인텔리전스 시장의 저변도 확대될 것이라는 것이다.

김 대표는 "최근 해외 보안업체 팔로알토의 실적 전망치 하향 등 보안 산업에 대한 우려가 제기됐지만 이는 기존 경계보안 솔루션 중심의 보안산업에 대한 얘기"라며 "사이버보안에 대한 우려가 커질수록 샌즈랩이 주력으로 하는 AI 빅데이터, 데이터셋 시장은 오히려 성장 가능성이 더 큰 분야"라고 했다.