[보안 리딩기업] AI스페라 "세계 150개국이 인정한 CTI·ASM 전문기업"
"우리는 세계 150개국이 인정한 AI·보안 전문기업입니다. 우리가 보유한 사이버 위협 관련 데이터가 44페타 바이트(44PB)나 됩니다. 국내 최대 규모입니다. 세계적으로도 뒤지지 않습니다." 강병탁 에이아이스페라(AI스페라) 대표는 최근 지디넷코리아와 인터뷰에서 "우리 서비스 사용자 90%가 해외에 있다"며 이 같이 밝혔다. 2017년 10월 31일 설립한 AI스페라는 보안 제품 중 특히 '사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence)'와 '공격 표면 관리(ASM, Attack Surface Management)' 분야 전문기업이다. CTI는 사이버 공격자들의 동향, 해킹 기법, 악성코드 정보, 취약점 등 사이버 위협과 관련한 정보를 수집·분석해 기업이나 조직이 미리 대비하고 방어할 수 있게 도와주는 제품이다. ASM은 외부에 노출된 모든 IT 자산(서버, 애플리케이션, 클라우드 리소스, 도메인 등)을 자동으로 탐지하고 관리준다. AI스페라는 IP주소 기반 보안 플랫폼이자 검색엔진인 '크리미널IP(Criminal IP)'를 자체 개발, 이를 앞세워 국내외 시장에서 입지를 확대하고 있다. 이 회사의 '주특기'인 크리미널 IP 솔루션은 사용자의 IT 자산(IP주소, IoT 장치, C2서버(Command and Control Server, 명령·제어 서버),과 CVE(Common Vulnerabilities and Exposures), 취약점을 실시간으로 관리, 잠재적인 취약점을 분석해 공격 표면을 줄여준다. 2023년 4월 글로벌 시장에 정식 론칭했다. "마이크로소프트(Microsoft), 시스코(Cisco), IBM, 스노우플레이크(Snowflake) 등과 같은 글로벌 보안 기업들과 협력해 더욱 효과적인 사이버 보안 체계를 제공하고 있다"고 강조한 강 대표는 "전 세계 기업들이 직면한 사이버 위협을 사전에 탐지하고 대응할 수 있게 해주는 CTI 솔루션을 제공하고 있다"고 밝혔다. AI스페라는 총 6종의 제품을 시장에 공급하고 있다. 모두 '크리미널 IP'라는 이름을 앞에 붙였다. 캐시카우인 ▲위협 인텔리전스(Criminal IP TI)와 ▲공격표면관리(Criminal IP ASM) 제품을 비롯해 ▲이상거래탐지(Criminal IP FDS) ▲검색엔진(Criminal IP SE) ▲사이버위협인텔리전스 데이터베이스(Criminal IP CTIDB) ▲디지털 저작권 침해 탐지(Criminal IP Brand) ▲다크웹 유출 정보 탐지(Criminal IP DarkWeb) 등을 제공하고 있다. 강 대표는 보안 분야에서 오랜 경험을 쌓은 전문가다. 고려대에서 정보보호 전공으로 석사 학위를 받았고, 넥슨과 엔씨소프트 등에서 보안 팀을 이끌었다. 이런 경험을 바탕으로 AI스페라를 설립했고, 2023년 4월 크리미널IP를 선보였다. 서울 본사 외에 미국과 일본에 법인이 있다. 지난 2022년까지 전략적 투자 목적으로 NHN, 넷마블, 김택진·윤송이 엔씨소프트 이사 등에게서 총 110억 원을 유치했다. 아래는 강 대표와 일문일답. -사용자의 90%가 해외 유저라고? 총 사용자는 몇 명인가 "무료 유저(사용자)까지 합쳐 유저의 90%가 해외에 있다. 유료 사용자도 국내보다 해외에 더 많다. 사용자가 꾸준히 늘고 있다. 총 사용자 수는 공개할 수 없다. 회원 가입하면 보통 B2C를 생각하고, 또 B2C라고 하면 회원수가 몇 백만 몇 천만을 이야기하는데, 보안 솔루션은 B2C라고 해도 회원 가입자가 기업이다. 넷플릭스와 같은 사용자로 생각하면 안된다." -해외 비중이 높다. 플립(본사를 한국서 외국으로 옮기는 것)까지 생각하고 있나 "생각은 하고 있다. 한국이 본사고 미국과 일본에 법인이 있다." -창업 동기나 배경이 궁금하다 "고려대 김휘광 교수님이 공동창업자다. 김 교수님 밑에서 내가 석사를 했다. 석사 졸업 후 게임업계에서 일했다. 10년 정도 일하던 중 창업 제안을 받았고, 고민 끝에 응했다. 교수님이 특허를 많이 갖고 있다. 해외에서 프로젝트도 많이 했다. 이런 것들을 사업화 해보자고 제안하셨다. 그런데, 다시 창업 하라면 안하겠다.(웃음)" -회사이름 AI스페라는 무슨 뜻인가? "스페라(Spera)는 라틴어로 신뢰, 희망이라는 뜻이다. 시큐리티 프로페셔널이라는 의미도 있다." -주력 솔루션 중 하나가 CTI다. CTI의 중요성을 말해준다면 "CTI 솔루션은 잠재적인 사이버 위협에 조기 경보를 제공, 공격이 발생하기 전에 예방할 수 있게 돕는 제품이다. 이를 통해 사용자는 특정 위협 환경에 맞는 보안 전략을 미리 수립, 재정 손실이나 평판 훼손과 같은 비즈니스 리스크를 줄일 수 있다. 리스크를 줄이는 과정에서도 CTI 정보를 통해 우선순위 수립과 효율적인 리소스 할당이 가능하다. 특히 우리가 개발한 '크리미널 IP'는 세계에서 검증받은 CTI 보안 솔루션이다. 다양한 규모 기업과 기관들이 사이버 보안 위협을 효과적으로 관리할 수 있게 지원하고 있다. 국내 CTI 시장 규모가 작다. 우리나라는 웬만하면 사람이 와서 원클릭으로 설치해 주길 원한다. 그래서 CTI 같은 복잡다단한 것들이 한국에서 자리 잡기 매우 어렵다. 외국은 그렇지 않다." -시장에 공급하는 보안 제품은 총 몇 종류인가 "여섯 종류다. 이중 매출이 제일 많은 건 CTI와 ASM다. 두 제품의 매출 비중이 전체에서 과반수 이상이다. 여섯 종류 제품 모두 공통적으로 '크리미널 IP'라는 이름을 맨 앞에 붙였다. 크리미널IP CTI, 크리미널IP ASM....이런 식이다. 크리미널IP가 뿌리 역할을 하는 거다. 크리미널IP는 데이터 덩어리로 보면 된다." -ASM도 캐시카우인데, 이 제품의 동향은 어떤가 "국내에서도 ASM 기업들이 조금씩 생겨나고 있다. 해외는 엄청 많다. AI스페라는 국내 ASM 시장에서 베스트 기업이다. 시험테스트(PoC)나 입찰 경쟁을 하면 주로 해외 기업과 붙는다. 이 분야 글로벌 선도 기업은 구글이 인수한 맨디언트와 레코디드퓨처라는 외국 기업이다. 아직 세계적으로 아직 절대 강자가 없는 상황이다. 우리도 해볼만하다." -AI스페라 제품은 글로벌 제품과 비교해 어떤 우위를 갖고 있나? "데이터가 가장 정확하고 안정적이다. 외부에서 해커들이 어떤 기업을 침투할 때 가장 먼저 하는게 포트(Port) 스캔인데, ASM은 스캐닝 기반이다. 포트를 스캔하는 과정에서 고객의 서버에 장애를 내기도 한다. 이런 제품이 꽤 많이 있다. 하지만 우리 제품은 이런 일이 절대 발생하지 않는다. 우리가 보유한 서버 수가 1000대 정도다. 국내에서 가장 큰 규모다. 글로벌 벤더랑 비교하면 우리 제품이 탐지 수준이 거의 비슷한 반면 데이터는 우리가 훨씬 더 정확하고 장애도 없다. 가격도 우리가 훨씬 좋다." -해외 유저들이 많은데, UI와 UX 등 외국 사람들이 사용하는데 불편은 없나? "없다. UI와 UX 등 외국인들이 우리제품을 쓰는데 아무 부담이 없다. 이는 내가 외국에서 몇 년 회사를 다닌 경험이 큰 도움이 됐다. 외산 벤더 솔루션은 우리나라 사람들이 쓰기에 큰 거부감이 있는 게 사실이다. 반대로 국산 보안 솔루션은 미국인들이 쓸 때 굉장히 거부감이 심하다. 하지만 우리는 이런 게 없다." -국내 게임회사에서 근무한 경험이 AI스페라의 해외 진출에 큰 도움이 됐다는데 "그렇다. 국내 한 게임회사의 미국 법인에서 4~5년 정도 근무했다. 당시 미국 법인 직원이 200명 정도 였는데, 한국인은 나를 포함해 몇 명 안됐다. 사용하는 전산 시스템이나 보안 솔루션도 모두 글로벌 제품이였다. 이 때 근무 경험이 우리 제품을 글로벌화하는데 많은 도움이 됐다." -제품을 SaaS로 공급하고 있다. 처음 서비스할 때 국내에서 미국회사인줄 알았다고? "글로벌 시장을 겨냥해 크리미널IP 서비스를 처음부터 영어로만 제공했다. 이 때문에 한국 사람들이 우리 서비스를 보고 미국 회사인줄 알았다고 하더라.(웃음). 처음부터 미국 시장이 타깃이였다. 그래서 한국어 서비스를 하지 않은 거다. 한국 사용자들이 많아지면서 왜 한국어로 서비스 하지 않냐는 컴플레인을 받기도 했다. 우리 제품은 사용하기 쉽다. SaaS로 제공하기 때문에 우리가 권한만 넣어주면 바로 고객이 사용할 수 있다." -위협 데이터 크기가 국내 최고라고? "그렇다. 위협 데이터로는 우리가 국내 톱이라고 확실히 말할 수 있다. 44페타 바이트의 위협 데이터를 갖고 있다. 운영 서버는 천 대 정도 된다. 운영 서버가 천대라고 하면 다른 국내기업들이 대부분 다 깜짝 놀란다. 무엇보다 데이터 규모로만 보면 우리가 국내 정상이고, 글로벌 기업들 한테도 밀리지 않는다. 이것만 해도 우리가 엄청난 경쟁력이 있는 거다. 해외 전시에 나가면 백인들이 많이 우리 부스에 와 "크리미널IP를 써봤다"고 말하곤 한다." -매출과 고객사는 얼마나 "매출은 공공하고 민간이 거의 비슷하다. 국내가 80%고 해외가 20% 정도다. 특정 고객에 몰려있지 않는게 장점이다. 고객 실명을 공개하는 건 어렵다. 국내 다양한 공공기관과 대기업이 우리 제품을 사용하고 있다. 금융이나 국방 등 보수적인 영역에서도 다수가 사용 중이다. 해외 주요 기관과 대기업도 크리미널 IP(Criminal IP)를 사용한다. 중소기업은 아직 없다." -올해 나올 신제품이나 업그레이드 계획은? "다음달 중순경 신제품을 내놓을 예정이다. AI 기능을 더 많이 적용했다. 미국이랑 유럽 시장을 자주 둘러본다. AI트렌드가 급변하고 있다. 작년까지만 해도 보안에서 AI라고 하면 탐지를 AI로 하는 거였다. 올해는 아니다. 운영 자체를 AI가 해주는 걸 고객이 선호한다." -수출 현황과 계획은 "우리 유료 고객이 50개국에 걸쳐 있다. 올해는 50개국에서 나오는 매출을 두 배로 확대하는 게 목표다." -기업 문화나 복지는 어떤가 "아침부터 점심, 저녁 세끼를 제공한다.단, 본인 부담금이 있다. 2000원이다. 또 다른 기업이 없애는 추세인 재택근무와 자율 근무제를 여전히 운영하고 있다. 코로나 이전부터 이 제도를 운영하고 있다. 1년째 얼굴을 못 본 직원도 있다(웃음). 우리는 보통 보안회사랑 달리 클라우드 기반의 개발을 하고 있기 때문에, 서버가 천 대 정도 되는데, 클라우드와 관련한 모든 최신 기술을 다 사용해 볼 수 있는 게 장점이다. 내가 미국에서 근무할 때 매니저 교육을 매우 세게 받았다. 미국의 장점과 한국의 장점을 잘 융합한 기업 문화를 만들어 가고 있다." -프라이빗 기업이다. 상장 계획은? "상장은 해외도 생각하고 있다. 해외 투자자들이 계속 우리를 찌르고 있다(웃음). 미팅도 이미 몇 개 했다. 기존 투자자들 입장과 세금 문제 등 생각해야 할 게 많다. AI스페로가 글로벌로 이름이 나면서 내 링크드인으로 채용 문의도 많이 올라온다. 현재까지 투자 라운드는 네 번 진행했다. 마지막 투자유치 규모는 120억 원이다." -AI스페라의 차별성을 다시 한번 말해달라 "우리 주력 엔진 크리미널IP는 사이버 공격 표면 관리를 포함한 보안 위협을 사전에 탐지하고 관리하는 데 중점을 둔다. 실시간 IP 주소 스캐닝과 AI 기반 취약점을 자동 분석해 사용자들이 보안 위험을 미리 파악할 수 있게 해준다. 특히 기업 고객은 대규모 사이버 공격에 대비하는 것은 물론, 보안에 필요한 각종 비용과 시간을 절감하는 효과를 얻을 수 있다. 또 크리미널 IP는 글로벌 보안 파트너들과 협력해 멀티 클라우드와 온프레미스 환경 모두에서 동작할 수 있다. 이를 통해 사용자는 비용 절감 뿐 아니라 환경에 구애받지 않고 보안 위협을 효과적으로 관리할 수 있다. 우리는 국내 보안 기업 중 이례적으로 해외에서 더 많이 매출을 내고, 또 더 높은 인지도를 가진 기업이다. 글로벌 스탠더드를 충족하는 제품과 ASM, TI 기술력이 뛰어나기에 가능한 일이다" -우리나라에 글로벌 보안 기업이 없다. 어떻게 해야 할까? "글로벌 보안기업 탄생과 관련해 공공기관들을 만나면 꼭 제언하는 게 있다. 벤처 투자 규모다. 한국은 보통 시드 투자가 5억, 많으면 10억이다. 그런데 미국과 이스라엘은 시드 투자가 200억, 300억 원이다. 한국 회사보다 훨씬 후진데 천 억씩 받고 시작하곤 한다. 이러니 우리가 이길 수 없다. 정부 차원에서 미국이나 이스라엘 사례를 직접 조사해보고 생각을 다시 해봤으면 좋겠다." -향후 계획은? "글로벌 시장 확장을 목표로 크리미널 IP 기술력을 더욱 강화하겠다. 특히 미국, 유럽 등 주요 보안 시장 진출을 위해 글로벌 마케팅 및 세일즈 팀을 강화하고, 다양한 산업에 맞춘 맞춤형 보안 솔루션을 제공할 예정이다. 또 AI 기반 보안 솔루션을 지속적으로 발전시키고, 여러 산업계에 존재하는 사이버 보안 위협에 대한 사전 대응 능력을 강화하겠다. 특히, AI와 머신러닝 기술을 접목한 보안 체계를 더욱 확대, 시장 경쟁력을 높이겠다." ◆ CEO 10문10답 -좌우명이나 애송하는 말, 힘이 되는 말은 "반면교사라는 말이다. 누군가의 잘못된 행동이나 실패한 사례를 보며 '나는 저렇게 하지 말아야지'라고 다짐하곤 한다. 세상의 부정적인 사례들조차도 내게는 가장 강력한 교훈이다. 늘 타인의 실수를 나의 자산으로 삼으며 앞으로 나아가고 있다." -스트레스 해소법은 "맥주 한 캔 비우며 가볍게 코딩하는 거다. 라이브 서비스용 코드가 아닌, 기분전환용으로 이것저것 만드는 실험 코드들이다. 버그 없이 만들고 싶은 코드를 짜보고 새로운 보안시스템이나 오픈소스를 서버 통째로 구축해 볼 때 마음이 편안하다. 소위 말하는 '덕업일치'다(웃음). 대표를 하다보니, 코딩 할 시간이 별로 없다. 그래서 더 소중한 스트레스 해소법이다." -나를 바꾼 책이나 영화는? 혹은 감명 깊게 본 책이나 영화는? "단연 스타워즈와 삼국지다. 스타워즈 전 시리즈는 100번 이상 봤을 정도로 빠졌다. 지금 회사 회의실 이름도 타투인, 대고바, 얼데란 등 전부 스타워즈 행성 이름으로 지었다. 삼국지 역시 수백 번 넘게 읽었다. 이문열 버전보다 월탄 삼국지를 더 좋아한다. 내 삶의 습관이나 사고방식 대부분이 이 두 세계관의 영향 아래 있다고 해도 과언이 아니다. 주변에서도 '스타워즈와 삼국지에 영향을 많이 받은 사람'이라는 얘기를 자주 듣는다(웃음)." -인생의 겨울은? 그리고 어떻게 극복을? "스타트업이라면 누구나 겪는다는 '데스밸리'가 나와는 거리가 먼 이야기일 거라 생각했던, 어찌보면 건방진 시절이 있었다. 하지만 결국 그 시기가 찾아왔고, 생각보다 훨씬 더 힘들었다. 다행히도 우리 회사의 핵심 인력들이 단 한 명의 이탈없이 끝까지 함께 해줬고, 모두가 각자의 자리에서 최선을 다해준 덕분에 그 겨울을 잘 견디고 이겨냈다. 지금 돌이켜보면, 그 시기가 우리 팀을 더 단단하게 만든 시간이었다고 생각한다." -다시 태어나도 창업을? "다시 태어난다면 창업은 하지 않겠다. 스타트업 대표는 주 80시간도 부족하다고 느낄 만큼, 사실상 주 100시간을 일해야 한다고 생각한다. 그런데 그 고됨이 혼자만의 문제가 아니라는 게 더 큰 부담이다. 함께해 준 동료들과 그 가족들까지도 고통을 함께 나누게 되고, 무엇보다 '내 사람을 지켜야 한다'는 책임감이 가장 큰 압박으로 다가온다. 그래서 다시 선택할 수 있다면, 창업은 하지 않겠다." -예비 창업자나 후배 보안인에게 한마디 한다면... "요즘 보안 업계는 점점 더 전문화하고 세분화하면서 각자의 전문 분야에만 집중하는 경향이 커지고 있다. 그만큼 본인이 다루지 않는 다른 분야에는 상대적으로 약한 경우가 많다. 나는 예비 보안인들에게 하나의 전문 영역을 깊게 파되, 그 외의 주요 보안 분야들, 예를 들어 네트워크 보안, 웹 보안, 침해사고 대응, 개발 보안 등도 중상 이상의 수준으로 두루 익히길 권한다. 의사 세계에 트리플 보드(주: 한 명의 의사가 3개의 전문 분야에 걸쳐 보드 인증을 받는 것)가 있듯, 보안 업계에도 '풀스택 보안인'이 더 많이 등장하길 기대한다." -최애 맛집은? "딱히 없다. 음식으로 즐거움을 느끼질 않아서....." -경영은, 사장(대표)은 무엇이라고 생각하나 "대표라는 자리는 겉으로 보기엔 최고 결정권자지만, 실제로는 '최고의 말단사원이자 최고의 멀티플레이어'라고 생각한다. 누구보다 먼저 움직이고, 어떤 일이든 빈틈을 메우며, 필요하면 직접 커피도 타고 서버도 고치는 사람이다. 모든 역할을 이해하고 대신할 수 있어야 조직이 흔들릴 때 중심을 잡을 수 있다고 믿는다. 경영은 결국, 가장 낮은 자리에서 가장 많은 책임을 지는 일이다." -인생 롤모델과 이유는 "삼국지의 조자룡이다. 그는 단순한 무장이 아니다. 지략과 용맹을 겸비한, 진정한 지장이자 용장이었다. 나 역시 사회 초년생때는 보안 솔루션 개발부터 리버싱을 했고, 중년부터는 웹보안과 침해사고 대응, 미국에서 근무할때는 네트워크 보안, 컴플라이언스를, 그리고 한국에 돌아와서는 인프라 총괄을 거쳐 현재는 대표이사까지 다양한 전장을 누비며 커리어를 쌓아왔다. 상황에 따라 머리를 쓰고, 또 몸으로 부딪쳐야 하는 창업자의 길에서 조자룡은 늘 나의 이상적인 롤모델이다." -무인도에 간다면 가지고 갈 세 가지는? "영화 캐스트 어웨이를 감명 깊게 봤다. 만약 무인도에 단기 체류해야 하는 상황이 온다면 먹을 것과 텐트, 난방용 장비 정도를 가져갈 것 같다. 하지만 내 의지와 상관없이 가게 된 거라면… 차라리 캐스트 어웨이처럼 택배 화물선과 함께 침몰되면 좋겠다. 물자 박스 안에 필요한 모든 게 들어 있을 테니까(웃음)."
