지난 5일부터 사흘간 국방부, 환경부, 전국 법원, 합동참모본부 등 주요 정부 기관 및 부처 홈페이지가 잇따라 외부 해커들의 대규모 분산 서비스거부(DDoS, 디도스) 공격을 받았다. 특히 전국 법원에 대한 공격은 올해 일어난 디도스 공격 중 규모가 가장 컸다. 과학기술정보통신부에서는 러시아 해커들의 소행으로 추정했다.

그런데 이를 사전에 감지해 경고한 국내 신생기업(스타트업)이 있다. 인공지능(AI)을 이용한 사이버 보안업체 에스투더블유(S2W)다. 이들은 지난달 말 공개한 보고서를 통해 우크라이나와 전쟁을 벌이는 러시아의 해커들이 한국 정부의 우크라이나 지원을 빌미로 ‘한국작전'(#OpSouthKorea)이라는 대규모 해킹 공격을 펼치고 있다고 분석했다. 친러시아 해커 조직 사이버드래건이 주도한 한국작전은 국내 금융기관 및 정부 기관을 겨냥했다. S2W는 이들의 디도스 공격이 당분간 지속될 것이라고 경고했다.

이들은 한국작전을 어떻게 알았을까. 비결은 다크웹을 통한 정보 수집이다. 다크웹은 인터넷에서 공개된 공간과 달리 노출되지 않은 채 각종 범죄 모의와 관련 정보를 주고받는 어둠의 경로다. S2W는 국내외에서 다크웹 정보 수집에 뛰어난 보안업체로 꼽힌다. 덕분에 이들은 국내 정보기관 및 수사기관은 물론이고 국제형사경찰기구(인터폴)와 공조해 각종 사이버 범죄를 해결했다. 서울 세종대로 한국일보사에서 서상덕(49) S2W 대표를 만나 활동 비결을 들어봤다.

S2W는 인터넷에서 일어나는 각종 사이버 범죄 징후를 사전에 탐지하는 것을 목표로 한 보안업체다. 이 업체는 국내 유일하게 2020년 인터폴과 공식 협력 계약을 체결해 다양한 사이버 범죄 조직 분석 및 검거 작전을 공조하고 있다. “다크웹 등 사이버 우범지대에서 정보를 수집해 정부나 기업에 제공해요.”

서 대표가 모델로 삼은 곳은 미국 보안업체 팔란티어 테크놀로지스다. 미국을 위협하는 테러 정보 수집을 목적으로 설립된 팔란티어는 뉴욕거래소에 상장된 시가총액 185조 원의 공개기업이면서 은밀하게 활동하는 이중적인 회사다. 전자결제업체 페이팔의 창립자 피터 틸이 만든 이 업체에 미 중앙정보국(CIA)에서 운영하는 펀드 인큐텔이 투자했다. 이들은 보스턴국제마라톤대회를 겨냥한 테러 징후를 사전에 탐지해 유명해졌고 9·11 테러를 지시한 오사마 빈 라덴을 사살한 ‘넵튠 스피어’ 작전에 관여해 그의 위치를 확인하는 데 결정적 기여를 했다. “팔란티어는 인터넷의 여러 정보와 테러리스트들의 폐쇄적 사회관계망서비스(SNS)를 분석해 정보를 제공해요. 우리는 아시아의 팔란티어가 되는 것이 목표입니다.”

팔란티어는 이 같은 정보력을 최근 민간 분야로 확장하고 있다. “팔란티어는 IBM 등 세계적 기업들과 손잡고 방대한 자료를 분석해 금융 사고나 보험사기 예방 등으로 영역을 넓히고 있어요. 우리도 팔란티어처럼 정보 수집 및 분석 능력을 각종 산업으로 확장할 계획입니다.”

코로나19 감염된 피까지 거래하는 다크웹 분석 AI 개발

S2W의 숨은 병기는 ‘다크버트’와 ‘사이버튠’이라는 AI다. 다크버트는 전 세계 최초로 다크웹을 전문으로 학습한 AI이며 사이버튠은 보안 관련 문서나 코드 등을 이해한다. “다크버트와 사이버튠은 보안업계에서 수년간 경험을 쌓은 전문가 수준의 AI입니다. 다크버트는 다크웹 용어들을 분석해 범죄 종류를 가려내요. 이후 단순 잡담인지, 정부 기관에 보고해야 할 수준인지 중요도를 파악하죠.”

다크웹은 공간이 무한증식해 정보 수집이 어렵다. 중앙 서버나 공간을 통제하는 서버가 필요 없는 분산 기술이 적용돼 이용자가 늘어나면 공간이 자동 확장된다. 여기에 일반 AI가 알기 힘든 은어를 사용한다. 다크버트는 다크웹에서 쓰는 은어에 특화됐다. “다크웹은 러시아어를 많이 써요. 또 일부러 은어와 문법을 파괴한 문장을 사용하기 때문에 일반 AI로 분석이 어려워요.”

다크웹에 떠도는 범죄 정보는 상상을 초월한다. 해킹 모의부터 마약 및 총기 거래 등 온갖 불법 정보는 물론이고 각종 해킹 도구와 신종 코로나바이러스 감염증(코로나19)에 감염된 피를 거래하는 암시장까지 존재한다. 해커를 고용하는 인력 시장도 열린다.

최근 다크웹에서 심각한 문제로 부상한 것이 북한 해커의 구직 활동이다. “북한 해커들이 다크웹에서 신분을 숨긴 채 아르바이트로 가상자산 거래소와 암호화폐를 해킹하거나 소프트웨어를 개발하면서 악성코드를 심기도 해요. 이런 활동으로 북한이 조 단위의 돈을 벌죠. 이 같은 해커 정보도 파악되면 공유해요.”