샌즈랩 김기홍 대표, 악성 코드 추적 기술로 기업 가치 1300억원대로 키워
◆스물두 살에 교내 학생 벤처로 시작
샌즈랩은 연세대 컴퓨터 산업공학과 출신인 김 대표가 2003년 5월 창업했다. 그해 1월 전국 인터넷망이 마비됐던 ‘1·25 대란’이 계기가 됐다. 이 사건으로 한국의 유선 인터넷뿐만 아니라 무선 인터넷과 행정 전산망까지 모두 불통이 됐다. 주범은 윈도 2000의 취약점을 악용해 증식한 뒤 네트워크 과부하를 일으키는 웜바이러스 ‘슬래머’였다. 이 바이러스는 한국을 비롯해 미국·영국 등 전 세계 7만5000여 대의 컴퓨터를 감염시켰다.
이 사건은 해커 커뮤니티에서 활동하던 김 대표에게 충격을 줬다. 그는 해킹과 바이러스 공격에 대한 방어 기술을 연구하는 회사를 창업해야겠다고 생각했다. 대학교 1학년을 마친 후 겨울 방학 때 교내 학생 벤처 모집 공고에 지원했다. 이때 당선돼 설립한 회사가 샌즈랩의 전신인 세인트시큐리티다.
세인트시큐리티는 초창기부터 데이터에 사활을 걸었다. 창업 후 18년 동안 하루도 빼놓지 않고 악성 코드를 수집하고 분석했다. 여러 웹페이지를 돌아다니며 데이터를 추출하는 크롤링 방식에서 시작해 자동 분석 알고리즘을 개발했다. 이렇게 수집한 악성 코드 데이터는 하루 평균 약 200만 개, 현재까지 누적된 보유 데이터는 약 300억 개다. 그중 분석된 악성 코드는 약 20억 개에 이른다.
하지만 데이터를 많이 모으는 것으로는 돈이 되지 않았다. 사업 초기엔 국가 기술 과제와 중소기업 보안 컨설팅을 맡으면서 회사를 꾸려 나갈 수밖에 없었다. 전환점이 된 것은 2014년 악성 코드 점검 사이트 ‘말웨어닷컴’을 열면서다. 주변에서는 다른 사이버 보안 회사처럼 솔루션을 팔아야지 웹사이트로는 돈을 벌기 어렵다고 했다.
하지만 예상은 빗나갔다. 그동안 축적한 악성 코드 관련 기술과 50여 건의 특허를 기반으로 만든 사이트는 성공을 거뒀다. 말웨어닷컴은 의심스러운 파일이나 인터넷상의 파일 주소(URL)를 업로드하면 악성 여부를 판별하는 서비스를 제공한다. 업계 최초로 개발한 태그 검색 기능을 통해 특징별 악성 코드를 검색할 수 있다. 응용 프로그램 인터페이스(API), 피드(Feed) 등도 제공한다. 현재 한국인터넷진흥원과 넥슨코리아 등 국내외 730여 개 기관과 기업이 사용하고 있고 아시아 최대 사이버 위협 인텔리전스(CTI) 서비스로 자리 잡았다. 고객이 늘면서 사이트에서 수집되는 정보는 기하급수적으로 늘었고 이렇게 모인 데이터는 회사의 중요한 수익 창출원이 됐다. 처음부터 데이터에 집중한 덕분이다.
![인터넷 마비에 화가 나 창업했던 그…20년 만에 200억원 ‘잭팟’[전예진의 마켓 인사이트]](https://img.hankyung.com/photo/202301/AD.32285703.1.jpg)
샌즈랩은 2021년 악성 코드를 역추적하는 ‘인공지능(AI) 프로파일러’를 선보이며 기술력을 인정받았다. 정식 명칭은 ‘바이너리 역공학 기반 공격자 프로파일링 기술’이다. 한국 최초로 개발한 기술로, 2021년 산업통상자원부 산하 국가기술표준원에서 ‘신기술 인증(NET 인증)’을 받았다.
AI 프로파일러 기술은 역공학 기법을 이용해 감염된 파일에서 기계어와 가까운 수준의 원천 악성 코드를 뽑아 내는 것을 말한다. 이후 AI가 데이터를 잘 학습할 수 있도록 추출된 공격 코드 정보를 숫자 데이터로 만드는 ‘벡터화’ 과정을 거친다. 어떻게 하면 효율적으로 AI를 가르칠 수 있을지 고민한 끝에 나온 것이다.
이 기술을 활용하면 수집된 파일의 악성 여부를 식별하는 것을 넘어 다양한 정보를 얻을 수 있다. 악성 코드의 공격자, 제작 의도, 공격 방법, 침투 및 배포 방법, 취약점, 공격자가 얻게 되는 이익 등을 알 수 있다. 하나의 코드를 분석하는 것만으로 유사한 다른 악성 코드도 색출할 수 있다. 이를 기반으로 선제적으로 대응 방법도 제공할 수 있다.
샌즈랩은 악성 코드 간 연관 관계를 파악해 공격 기법과 공격 그룹을 식별하고 공격 주체의 취약점을 알려주는 서비스를 강점으로 내세우고 있다. 경쟁사는 악성 코드와 관련된 URL이나 도메인, 유사 파일, 발생 국가 등을 그래프로 제공하는 데 그치지만 샌즈랩은 사이버 위협을 가하는 주체를 프로파일링한 후 일반적인 특징과 패턴 기반의 규칙을 탐지하기 때문에 높은 확률로 악성 코드를 감지해 낼 수 있다는 설명이다.
실제로 말웨어닷컴은 22억 개에 달하는 악성 코드를 학습해 코드 추적 정확도를 99%로 올렸다. 사이트에 모이는 신규 악성 코드는 매일 250만 개에 달한다. 이를 실시간으로 수집 분석한 결과 약 300억 개가 넘는 사이버 위협 분석 빅데이터를 확보하고 있다. 회사가 보유한 데이터를 용량으로 환산하면 약 5PB 규모다. 개인 정보를 취급하는 증권사나 카드사와 같은 금융 기업이나 방대한 양의 정보기술(IT) 데이터를 필요로 하는 대기업이 이 정도 규모의 데이터를 확보하고 있다.
이렇게 구축한 빅데이터는 해킹 대응에서 중요한 전술·기술·절차를 분석해 공격 진행 단계를 파악하는 데 중요한 역할을 한다. 사이버 공격과 범죄, 테러 대응에 필요한 미래 기술을 개발하는 데도 기여하고 있다. 김 대표는 “악성 코드 여부만 판별하는 기존 솔루션과 달리 앞으로 벌어질 공격을 예측할 수 있다”며 “그런데도 기존 해킹 대응 비용보다 약 23% 저렴하다”고 설명했다.
◆기업 가치 1600억원 도전
샌즈랩은 AI 기반의 백신 ‘MAX’와 네트워크 기반의 알려지지 않은 공격을 식별하고 대응하는 ‘MDX’ 기술 솔루션 등을 선보이며 사이버 보안 분야에서 사업 영역을 확장하고 있다. 최근에는 IT·금융 기업 등 정보 보안이 필요한 민간 기업과 공급 계약을 하며 실적이 늘었다. 2019년 매출은 36억원에서 지난해 54억원으로 3년 만에 50% 증가했다. 같은 기간 영업이익도 3억원에서 5억원으로 약 70% 늘었다. 2022년 1~3분기 누적 매출은 32억원, 영업손실은 10억원으로 나타났다.
최대 주주는 암호 인증 관리 기업 케이사인으로 53.5%의 지분을 갖고 있다. 케이사인은 2017년 세인트시큐리티에 투자했고 최근 공동 주택용 블록체인 관리 서비스, 원격 근무 지원 분산 신원 인증(DID) 서비스 등으로 사업 분야를 확장하고 있다. 2대 주주인 창업자 김 대표는 20.0%의 지분을 보유하고 있다. 공모 후 지분율은 각각 42.44%, 15.88%로 낮아진다. 상장 후 김 대표의 지분 가치는 204억~252억원이 될 것으로 추정된다.
샌즈랩은 이번 기업공개(IPO)를 통해 총 1511만1000주를 상장한다. 공모 예정 주식은 370만 주로, 이 중 70만 주는 샌즈랩이 보유한 자기 주식을 내놓는다. 회사 측은 희망 공모 가격으로 8500~1만500원을 제시했다. 상장으로 최대 388억원을 조달할 예정이다. 상장 후 시가 총액은 약 1284억~1586억원이 될 것으로 보인다. 1월 10~11일 기관투자가를 대상으로 수요 예측을 진행한 후 1월 16~17일 일반 투자자의 청약받는다. 상장 주간사 회사는 키움증권이 맡았다.
상장 후 조달한 공모 자금은 기술 개발에 투자하고 기술 수출을 통해 글로벌 시장에 진출할 계획이다. 상장 후에는 차세대 기술에 대한 적극적인 연구·개발(R&D)을 통해 기반을 넓히며 기술 특허 기반의 주문자 상표 부착 생산(OEM) 라이선싱 전략을 바탕으로 글로벌 진출에도 힘쓰겠다는 계획이다. 김 대표는 “디지털 안전 사회를 위해 글로벌 최고 수준의 신속·정확한 인텔리전스를 제공하는 회사로 성장하겠다”고 말했다.
전예진 한국경제 기자 ace@hankyung.com
© 매거진한경, 무단전재 및 재배포 금지