금융·증권
부동산
산업·IT
경제
정치
사회
국제
라이프
오피니언
기획·연재
fnEdition
IT IT일반

"사이버 보안 벽 높이는 ‘AI 해커’… 인력·비용 절감까지" [AI 혁신가를 만나다]

박성현 기자

파이낸셜뉴스

입력 2025.12.01 18:20

수정 2025.12.01 18:35
박세준 티오리 대표
구글·MS 등에 보안 컨설팅 제공
AI해커 ‘진트’로 점검 정확도 높여
알려지지 않은 공격법·취약점 탐지
국내 정보유출 사고 관련해선
"기본 보안과제 미뤄온 탓" 비판
박세준 티오리 대표가 1일 서울 강남구 티오리한국 본사에서 포즈를 취하고 있다. 사진=박범준 기자
박세준 티오리 대표가 1일 서울 강남구 티오리한국 본사에서 포즈를 취하고 있다. 사진=박범준 기자

"애초에 투자 유치 후 7~10년 내 나스닥 상장이 목표였다. 이제 투자받은 지 3년이 지났으니 앞으로 남은 기간 동안 상장에 필요한 지표들을 차곡차곡 더 쌓을 것이다." 박세준 티오리 대표는 1일 서울 강남구 티오리한국 본사에서 기자와 만나 "평행우주를 그렸을 때 내가 있는 세상이 그렇지 않은 곳보다 더 안전했다는 말을 들을 수 있을 정도의 변화를 남기고 싶다. 티오리의 비전은 '기술로 세상을 더 안전하게 만들기'"라며 이같이 말했다.

티오리는 2016년 미국 카네기멜론대학교 동문인 박 대표와 앤드류 웨시 최고기술책임자(CTO)가 공동 설립한 사이버보안 전문 기업이다.

데프콘을 포함한 국제 해킹대회에서 우수한 성적을 거둔 화이트해커들이 주축을 이루고 있으며 구글·마이크로소프트(MS)·네이버·삼성전자 등 글로벌 기업에 보안 컨설팅을 제공하고 있다. 또 230억원 규모의 누적 투자를 유치했으며 인공지능(AI) 기반의 공격자 관점 보안 분야에서 기술력을 인정받고 있다.

■견고한 방어벽 뚫어 취약점 찾아내

박 대표는 "미국에서 한 글로벌 기업의 차세대 보안 기법을 검증하는 프로젝트가 티오리의 전환점"이었다며 "새로운 보안 기법이 실제로 뚫리는지 공격해 달라는 요청이었는데, 처음엔 너무 견고해 매번 실패했다. 그러나 결국 오기와 집념으로 우회 방법을 찾아내면서 '우리 팀이면 세계 최고 기술도 검증할 수 있다'는 확신을 얻었다"고 말했다.

티오리 창업은 박 대표의 '보상 구조에 대한 문제의식'에서 출발했다. 그는 대학 시절 미국 방위산업체 록히드마틴에서 대형 보안 프로젝트를 성공적으로 수행했지만, 돌아온 보상은 상장 한 장과 통상 임금뿐이었다. 박 대표는 "핵심 기여를 해도 인턴이라는 이유로 정당한 보상을 기대하기 어렵다는 걸 느꼈다"며 "성과에 대한 보상이 팀원에게 투명하게 돌아가는 회사를 만들고 싶다는 생각이 자연스럽게 창업으로 이어졌다"고 회상했다.

■‘AI 화이트 해커’ 쓰면 인력·비용 절감

티오리가 최근 가장 집중하는 분야는 인공지능(AI) 해커 '진트(Xint)'다. 진트는 화이트해커들이 축적한 공격 시나리오·기법을 학습한 AI 기반 보안 솔루션으로, 대규모 시스템을 짧은 시간 안에 높은 정확도로 점검하는 것이 강점이다.

박 대표는 "코드가 바뀌고 시스템이 노후화될 때마다 계속 취약점을 찾고 고쳐야 안전해지는데, 기존 인력과 예산만으론 한계"라며 "AI를 활용한 해킹이 만연한 오늘날 진트는 알려지지 않은 공격 방법과 취약점까지 선제 탐지한다"고 강조했다. 그는 "진트는 여러 에이전트가 서로 결과를 교차 검증하고 실제 취약점 재현 코드를 직접 실행해 확인하기 때문에 오탐지와 환각 현상이 크게 줄었다"고 전했다.

■韓 해킹 사고, 기본기 무시가 원인

최근 이어지는 국내 해킹 사고에 대해 박 대표는 "절대적 사고 건수가 갑자기 폭증했다기보다 국민 생활과 직결된 서비스에서 사고가 발생하면서 가시성이 높아진 것"이라고 진단했다. 그는 "전산화·원격근무가 가속화하며 공격 표면이 넓어졌다"며 "이제는 기업이 사용하는 외부 솔루션이나 서비스 업체를 해킹해 여러 곳을 한 번에 타격하는 방식이 흔해졌다"고 했다. 특히 박 대표는 "최근 사고 상당수는 알고도 미뤄온 기본 보안 과제들이 한꺼번에 '이자까지 붙은 부채처럼' 돌아온 데 가깝다"고 비판했다.

박 대표는 "미국은 사고가 나면 징벌적 과징금과 집단소송, 주가 충격까지 감안해야 한다. 그래서 보안이 자연스럽게 경영 리스크 관리의 중심에 놓인다"며 "반면 한국은 전반적으로 과징금 수준이 낮아 '언젠가 한 번 맞을 벌금' 정도로 보는 것이 오히려 합리적인 환경이었다. 예산을 줄일 때 가장 먼저 잘리는 부분이 보안이었다"고 지적했다.

■정부 보안 대책, 구체성 더 갖춰야

박 대표는 정부의 사이버보안 종합대책 방향성에 공감하면서도 "현실적 설계가 뒤따르지 않으면 숫자 맞추기식 정책으로 끝날 수 있다"고 제언했다.
특히 연 500명 화이트해커 양성 목표에 대해 "어떤 수준의 인재를 말하는지, 이들을 가르칠 실제 멘토는 얼마나 되는지부터 고려해야 한다"고 했다. 이어 그는 "현업에서 실제 공격을 수행해 본 전문가 자체가 적은데다 처우가 낮아 '탈보안'이 반복된다"며 "적정한 보상과 커리어 패스 설계도 병행돼야 한다"고 말했다.


또 정보통신망법 개정을 시급한 과제로 꼽으며 "원래 취지는 훌륭했지만 지금은 족쇄가 되고 있다"며 "선의의 취약점 제보에도 법적 책임을 묻는 문화에서는 버그바운티나 취약점 공개 프로그램이 성장하기 어렵고, 현업에서 부딪히며 클 무대가 사라진다"고 강조했다.

psh@fnnews.com 박성현 기자

※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지