Y컴비네이터(Y Combinator) 2025년 겨울 배치(W25) 출신의 서브이미지(SubImage)가 420만 달러 규모의 투자 유치에 성공했다고 발표했다. 회사는 데모데이 이전에 조용히 투자 라운드를 마무리한 뒤 지난 7개월간 초기 고객들과 함께 제품 개발에 집중해왔다.

서브이미지는 클라우드 인프라를 한눈에 볼 수 있도록 지도처럼 시각화해주는 보안 플랫폼이다. 회사는 스스로를 클라우드 보안 분야의 강자인 위즈(Wiz)의 ‘오픈코어 대안’으로 소개하고 있다. 위즈는 최근 구글에 320억 달러에 인수되면서 업계의 이목을 집중시킨 바 있다.

해커의 관점으로 보안 취약점 발견

서브이미지의 핵심 아이디어는 간단하다. 해커가 시스템을 공격할 때와 똑같은 방식으로 인프라를 바라보는 것이다. 공격자는 여러 단계를 거쳐 최종 목표에 도달하는 ‘공격 경로’를 찾는다. 서브이미지는 이러한 공격 경로를 미리 파악해 보안팀이 선제적으로 차단할 수 있도록 돕는다.

예를 들어 인터넷에 노출된 서버가 있고, 그 서버에 취약점이 있으며, 해당 서버가 민감한 고객 데이터베이스에 접근할 수 있다면 이는 심각한 보안 위험이다. 서브이미지는 이처럼 연결된 위험 요소들을 그래프 형태로 시각화해 “어떤 경로를 통해 해커가 중요 데이터에 도달할 수 있는지”를 명확히 보여준다.

회사가 제공하는 플랫폼은 AWS, 애저(Azure), 구글 클라우드(GCP) 등 주요 클라우드 환경을 자동으로 스캔하고, 서버·컨테이너·데이터베이스·접근 권한 등 모든 자산 간의 관계를 지도로 만든다. 이를 통해 보안팀은 “누가 어떤 데이터에 접근할 수 있는가”, “인터넷에 노출된 시스템 중 취약점이 있는 것은 무엇인가” 같은 질문에 즉시 답할 수 있다.

리프트 출신 보안 전문가들이 만든 검증된 기술

서브이미지의 기술력은 이미 검증됐다. 회사의 핵심 기술인 카토그래피(Cartography)는 공동창업자들이 2019년 리프트(Lyft)에서 개발한 오픈소스 프로젝트다. 현재 70개 이상의 기업이 실제 업무 환경에서 카토그래피를 사용하고 있으며, 지난해에는 클라우드 네이티브 컴퓨팅 재단(CNCF)에 기증되어 샌드박스 프로젝트로 인정받았다.

서브이미지는 이 검증된 오픈소스 기술을 기반으로 완전관리형 상용 서비스를 제공한다. 오픈소스 버전을 사용하려면 직접 데이터베이스를 설정하고 동기화 작업을 관리해야 하지만, 서브이미지는 이 모든 과정을 자동으로 처리해준다. 기업들은 복잡한 설정 없이 바로 사용할 수 있는 것이다.

공동창업자인 알렉스 찬타비(Alex Chantavy)는 마이크로소프트 레드팀에서 침투 테스트를 이끌었고 미국 국가안보국(NSA)에서 근무한 경력을 보유하고 있다. 그는 2016년 마이크로소프트 애저 레드팀에서 공격 대상을 침투하는 최단 경로를 찾는 인프라 매핑 서비스를 구축했는데, 이 기술이 너무 효과적이어서 방어팀(블루팀)도 사용하기를 원했다고 한다.

또 다른 공동창업자 쿠날 시카(Kunaal Sikka)는 리프트에서 신입부터 스태프 엔지니어까지 4년 만에 승진하며 최고정보보호책임자(CISO)에게 직접 보고하는 위치에서 일했다. 이후 AI 기업 앤스로픽(Anthropic)에서도 근무했다.

AI로 정말 중요한 문제만 골라내기

서브이미지의 차별점은 AI를 활용한 우선순위 설정에 있다. 대부분의 보안 도구는 수많은 경고를 쏟아내지만, 그중 실제로 위험한 것이 무엇인지 구분하기 어렵다. 모든 회사를 똑같이 취급하며 수백만 건의 발견사항으로 보안팀을 압도한다.

서브이미지는 각 조직의 고유한 환경과 맥락을 AI로 학습한다. 어떤 데이터가 정말 중요한지, 어떤 시스템이 핵심 업무에 사용되는지를 파악해 해당 조직에 실제로 위험한 문제만 우선적으로 알려준다. 이를 통해 보안팀은 무엇을 먼저 해결해야 할지 명확히 알 수 있다.

현재 클라우드 환경은 AI, 임시 컴퓨팅, 서버리스 아키텍처의 확산으로 그 어느 때보다 복잡해지고 있다. 공격 표면은 보안팀이 대응할 수 있는 속도보다 빠르게 변화한다. 많은 기업이 여전히 엑셀 스프레드시트로 자산을 관리하거나, 데이터를 API 뒤에 가두고 자동화를 제한하는 독점 도구에 의존하고 있다.

서브이미지는 보안 플랫폼의 미래는 개방적이고 상호운용 가능하며 그래프 기반이어야 한다고 믿는다. 오픈소스는 단순히 “공짜”를 의미하는 것이 아니라, 팀이 필요에 따라 플랫폼을 확장하고 자체적으로 데이터를 분석하며 벤더 지원을 기다리지 않고 즉시 문제를 해결할 수 있다는 의미다.

회사는 “카토그래피 스타일의 인프라 표현이 업계 표준이 되는 세상”을 목표로 하며, 보안 커뮤니티와 함께 이를 만들어가고 있다고 밝혔다.