천재해커의 조언 "사소한 지점에서 터진다…공격자 시각으로 보라"

박세준 티오리 대표 "보안 사고, 기본을 다시 생각할 때"제언 신제품 '진트', 비즈니스 로직 이해…"두드려 보고 확인한다" 내년부터 북미시장 공략 본격화…7년 내 나스닥 상장 기대도

박세준 티오리 대표가 28일 서울 삼성동 오크우드 코엑스에서 열린 신제품 '진트' 발표 기자간담회에서 발표하고 있다(사진=티오리 제공) *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = "사소한 것들을 간과했을 때 보안 사고가 터집니다. 이제부터라도 공격자의 시각에서 보안을 점검해야 합니다."

박세준 티오리 대표가 28일 서울 삼성동 오크우드 코엑스에서 열린 신제품 '진트' 발표 기자간담회에서 최근 잇따른 보안 사고와 관련해 이같이 강조했다.

박세준 대표는 세계 최대 해킹 대회 데프콘(DEFCON)에서 9회 우승, 국내 해킹 대회 코드게이트(CodeGate) 최다 우승자라는 경력을 보유한 국제적으로 알려진 화이트 해커다. 전 세계 70여개 이상의 해킹 대회에서 우승한 경험을 갖고 있으며 2010년대 미국 카네기멜론대학교에서 해킹 동아리 'PPP'를 창립해 국제 보안 커뮤니티에도 널리 알려져 있다.

현재는 SK그룹 정보보호 혁신 특별위원회 자문위원 등 다양한 기관과 기업에서 보안 자문 역할을 맡고 있다.

박 대표가 이끄는 사이버 보안 전문 기업 티오리는 최근 KT로부터 의뢰를 받아 침해 흔적 여부를 점검하는 보안 진단을 수행했다. 티오리는 공격자의 시각에서 먼저 취약점을 파악하고 대응하는 '오펜시브 보안(Offensive Security)'을 지향한다. 단순히 방어벽을 쌓는 수비적 보안에서 벗어나 공격보다 한발 앞선 선제적 대응 전략을 구현하는 것이 특징이다.

세계 최고 수준의 화이트 해커들로 구성된 티오리는 지금까지 국내외 100여개 기업과 기관에 보안 컨설팅 서비스를 제공해왔다. 삼성전자, 네이버, 두나무 등 국내 대표 기업은 물론, 구글, 마이크로소프트, 메타, 옥타 등 글로벌 빅테크 기업들도 티오리의 고객사로 이름을 올리고 있다.

박세준 대표는 "현재 기업들이 사이버 사고를 겪는 주요 원인 중 하나는 보안의 기본이 지켜지지 않기 때문"이라며 "정말 사소한 부분에서 보안 문제가 발생하는 경우가 많은데, 예를 들어 로그인 여부는 확인했지만 로그인한 사용자가 실제로 해당 데이터를 볼 권한이 있는 지를 검증하지 않아 데이터가 유출되는 식"이라고 말했다.

이어 "실제로 많은 공격자들이 정교한 해킹을 하기보다는, 일단 가볍게 찔러보고 뚫리면 들어오는 방식을 사용한다"면서 "따라서 기업의 위협 노출 수준은 기본 보안 수준, 즉 '보안 하이진(Security Hygiene)'의 정도에 따라 크게 달라진다"고 설명했다.

박세준 대표는 기존 보안이 주로 방어적이고 수비적인 관점에 머물러 있었지만 이제는 공격자의 시각에서 먼저 움직여야 할 때라고 강조했다.

박 대표는 "공세적 보안은 세계적으로도 주목받고 있는 패러다임이며, 정부 부처에서도 관심을 가지기 시작한 영역"이라며 "우리가 해커보다 먼저 취약점을 찾아서 고치는 것, 그것이 앞으로의 보안 전략이 돼야 한다"라고 설명했다.

◆세계 수준 화이트해커 노하우 배운 'AI해커'

이날 티오리가 공개한 '진트'는 AI 기반 자동 보안 점검 솔루션으로, 세계 최고 수준의 화이트 해커들이 축적한 공격 시나리오와 기법을 AI에 학습시킨 일종의 'AI 해커'다.

기존의 취약점 진단 솔루션들이 대부분 공개된 취약점 데이터베이스(CVE 등)에 기반해 이미 알려진 위협을 탐지하는 데 그쳤다면 진트는 화이트 해커들이 현장에서 직접 경험하며 쌓아온 공격 방식과 사고 구조, 실전 노하우를 기반으로 작동한다는 점에서 차별성을 가진다.

아울러 진트는 단순히 코드상의 취약점을 찾는 데 그치지 않고 서비스의 비즈니스 로직과 운영 흐름을 이해하고 점검하는 능력을 갖췄다. 시스템이 어떤 규칙에 따라 작동하는지 그 규칙이 실제로 잘 지켜지고 있는 지까지 분석해 보다 정교한 보안 점검을 가능하게 한다.

박세준 대표는 "사람이 서비스를 이용할 때 거치는 흐름과 비슷하게 AI가 직접 돌아다닌다"면서 "실제로 버튼도 눌러보고, 어떤 내용들이 있는지 읽어보기도 하고, 실제 기능을 사용해 보기도 한다"고 말했다. 이어 "이런 여러 계정들을 또 활용해서 동일 자원에 대해서 권한을 바꿔가면서 시도도 한다"면서 "그래서 기존에 그냥 우리가 단순한 툴을 돌려서 무작위로 테스트한 것과는 좀 차원이 다른 그런 결과를 내게 된다"고 강조했다.

◆내년부터 북미 진출 본격화…7년 내 나스닥 상장 기대

박세준 대표는 최근 정부가 발표한 범부처 정보보호 종합대책에 따라 공공기관뿐 아니라 민간 기업들 역시 수천 개에서 수만 개에 이르는 시스템에 대해 전수조사를 시행하는 상황에서, 진트와 같은 새로운 방식의 자동화된 취약점 점검 프로그램이 새로운 표준으로 자리 잡을 것이라고 전망했다.

아울러 티오리는 진트를 앞세워 북미 시장 공략에도 속도를 낼 계획이다.

박세준 대표는 "글로벌 시장에서도 우리와 같은 비전과 기술 성능을 동시에 갖춘 기업은 손에 꼽을 정도"라며 "이 시장은 아직 절대 강자가 없는 개척 초기 단계인 만큼 티오리에겐 분명한 기회가 될 것"이라고 강조했다.

현재 티오리는 미국 현지에 제품 개발팀과 세일즈 팀을 모두 확보해 본격적인 진출을 준비 중이며, 내년부터는 북미 시장에서의 본격적인 사업 전개를 계획하고 있다.