'국가 대표 화이트해커' 박세준 티오리 대표 인터뷰
 |
하지만 보안 전문가들은 이러한 농담을 경계해야 한다고 경고한다. 기업과 사용자가 지금의 사후약방문식(사고가 난 후에야 수습을 하는 방식) 인식을 바꾸지 않는다면, 지금보다 진화된 보안 사고가 발생할 가능성을 배제할 수 없기 때문이다. 오늘날 우리가 살고 있는 세상이 해커의 놀이터가 됐다는 평가도 나온다.
<디지털데일리>는 국가 대표 화이트해커라 불리는 박세준 티오리 대표를 만나 이러한 국내 현주소를 살펴봤다. 박 대표는 사이버작전사령부 자문위원회 자문위원, SK그룹 정보보호혁신특별위원회 자문위원을 거치며 분야를 가리지 않는 '보안 멘토'로 활약 중인 인물이다.
박 대표가 이끄는 티오리는 인공지능(AI) 기반 애플리케이션 보안 점검 솔루션 '진트(Xint)'를 필두로 모의해킹 자동화 기술 분야에서 활약하고 있다. 사업뿐만 아니라 국제 해킹대회에도 매해 이름을 올리고 있다. 2011년부터 2020년까지 코드게이트 대회에서 5회 우승했고, 2012년부터 2024년까지 데프콘에서 8회 우승과 5회 준우승 성적을 냈다.
다음은 박세준 티오리 대표와의 일문일답.
Q. 최근 발생한 대규모 해킹을 바라볼 때, 기업이 무엇을 간과했다고 생각하나.
A. 화이트해커이자 보안을 연구하는 사람의 시각으로 보자면, 조직들이 가장 간과한 부분 중 하나는 '공격자의 관점'이다. 큰 조직일수록 값비싼 보안 솔루션을 도입하고 규제 준수 요건을 채우면 안전할 것이라고 생각하는 경향이 있다. 그러나 (이러한 접근법은) 방어벽을 잘 쌓는 작업이지, '만약 악의적인 공격자라면 어떻게 우리 시스템을 뚫고 들어올까?'에 대한 답을 적극적으로 알고자 하는 시도는 많이 없었다. 실제 위협들은 조직이 간과한 지점에서 발생하고 있고, 있는지도 몰랐던 위협에서 일어나고 있다.
Q. 일부 기업들은 법이 정한 규제를 따랐으니 보안 의무를 다했다고 말한다. 규제 기반 보안은 의미가 있나.
A. 규제의 경우 최소한의 보안을 했는지 여부를 보는 체크리스트(Checklist)와 같다. 체크리스트는 최소한의 조치를 했는지를 보는 작업에 가깝지, '(보안을) 잘했다'고 평가하기에는 거리가 멀다.
공격자는 큰 목표물(타깃)일수록 더 적극적으로 공격을 하고 있다. 최근 대규모 해킹 사고에서 가장 안타까운 점은, 조직들이 여전히 사후대응에 초점을 두고 있다는 것이다. 사고가 나면 피해가 발생하기 때문에 사후대응에 집중하는 것이 어쩔 수 없는 현상이지만, 사고가 발생하기 전 능동적이고 선제적으로 취약점을 찾아내는 것이 기본 프로세스(process)에 담겨야 한다. 보안은 단순 기술의 문제를 넘어, 조직 문화와 프로세스 전반의 문제에 더 가깝다는 점을 이해할 필요가 있다.
Q. 종종 '제로데이(알려지지 않은 취약점) 공격이라, 사전에 대응책을 마련하거나 막기 어려웠다'는 변명이 나오기도 한다. 제로데이 취약점 현주소는 어떠한가.
A. 제로데이 공격은 꼭 브라우저나 운영제체 공격만을 의미하지 않는다. 대고객 서비스, 인프라 시스템에도 우리가 미처 알지 못하는 취약점이 존재하고 이들은 모두 제로데이 취약점이라 이야기할 수 있다. 문제는, 이러한 취약점을 공격자가 먼저 찾느냐 혹은 우리(방어자)가 먼저 찾느냐의 게임이라는 점이다. 취약점을 선제적으로 찾아내 제로데이 공격에 쓰일 재료를 없애는 것이 중요해졌다는 의미다.
그러나 세상에 완전한 보안은 없다. 공격자가 많은 취약점 중 하나를 찾는 것이 필연적이라고 본다면, 공격에 따른 파급력을 제압하기 위해 어떤 장치를 갖출 수 있을까에 대한 중장기적 고민이 필요하다. 최근 제로트러스트('누구도 믿지 말고 경계하라'는 보안 접근법)와 같은 콘셉트를 중첩해야 한다는 이야기가 나오는 이유이기도 하다.
Q. 전문가는 어떤 보안 조치가 필요한지 쉽게 파악할 수 있지만, 일반 기업은 그렇지 않다. 이들에게 제언하자면.
A. 맞다. 보안 콘셉트를 한 번에 적용하는 것은 현실적으로 어렵고, 특히 큰 기업일수록 복잡도가 상상을 초월한다. 그러다 보니 내부에 어떤 자산을 갖고 있는지, 외부에 (어떤 자산이) 나가 있는지, 누가 권한이 있고 없는지 등 전제 조건에 대한 검증이 결여될 수밖에 없다. 최근 대규모 해킹이 발생한 기업뿐만 아니라, 대부분 회사들이 이러한 환경에 있다.
아무래도 비즈니스 중점적으로 (보안을) 바라보다 보니, 표면적인 것에 집중하는 모습도 보이고 있다. 결국에는 안전한 시스템을 가지고 있는지, 뚫고 들어왔을 때 파급력은 어느 정도인지에 대한 검증을 하고 넘어가는 프로세스가 있어야 한다.
사업을 기획할 때 시장 분석부터 설계, 구현 등 단계를 밟듯이 배포를 하고 실제 서비스를 시작할 때에도 중간중간 보안을 도입하고 점검하는 작업이 필요하다. 결국 라이프사이클(Lifecycle) 안에 보안이 포함되는 것이 중요하다. 쉽지 않지만, 최소 권한의 원칙을 지키고 있는지 등 간단한 것부터 시작하는 것이 필요하다.
Q. 보안 인식을 높여야 한다는 말이 말처럼 쉽지 않다. 아직 저조한 인식을 가진 이들에게 전할 말은.
A. 보안은 비용이 아니라 투자라는 인식이 필수적이다. 말로만 하는 게 아니라, 행동으로 이어지지 않으면 계속해서 이런 사고는 일어날 수밖에 없다. 사고가 발생한 후에 수습하는 비용이, 사전 예방 비용보다 수십 배에서 수백 배 클 수 있다는 점을 인지해야 한다.
(과징금을 지불하는 것이 보안 조치를 강화하는 것보다 저렴하다고 보는 시각도 있는데) 금전적으로 비용을 내고 끝냈을지 모르지만, 사업적 리스크는 계속 열려 있다고 볼 수 있다. 제대로 조치를 취했는지 여부를 다시 한번 짚고 넘어가야 하는 비용도 있고, 고객과 개인에게 전가된 2·3차 피해에 대한 고민도 필요하다.
'보안'을 정보기술(IT) 부서만의 책임으로 바라보곤 하는데, 사실 전 임직원이 함께해야 한다. 보안은 함께 만들어 가는 문화다. 일부 기업의 경우 보안 수칙을 사무실 벽에 붙여 경각심을 높이려 하지만, 실제로는 내용을 읽지 않고 지나가는 경우가 허다하다. 경영진부터 임직원까지 보안 중요성을 인식할 수 있도록 적극적인 움직임이 필요하다.
Q. 새 정부가 'AI 투자 100조 시대'를 강조하고 있다. 한국의 사이버보안 역량을 높이겠다는 점도 이야기했는데.
A. 앞으로는 정부와 민간 사이 더 많은 교류가 있어야 한다고 본다. 실제 기업이 담당자와 실무자와 소통을 하다 보면, (정부가 알기 어려운) 인사이트를 얻게 된다. 단순히 문제점을 지적하는 것을 넘어, 중장기적으로 추진이 가능한 방향성을 세우는 것이 중요하다고 생각한다.
Q. 전 정부가 사이버보안 인재 10만 양성을 공언하기도 했는데. 수치적 목표를 제시하는 것은 어떠한가.
A. '숫자'에 집중한 정책이 과연 옳은 방향인지 점검해 봐야 한다. 보안 인력 수를 늘리는 것을 넘어 네트워크, 포렌식, 웹3, 블록체인, AI 등 전문성이 요구되는 최상의 인재를 양성하는 것이 중요하다.
보안 강국인 미국과 비교해보면, 오히려 지원 체계와 정부 지원 사업의 경우 한국이 더 잘 돼 있다고 본다. 그러나 미국은 사람(인재) 수가 많고, 세계 각국의 엘리트가 가고 싶어 하는 환경을 갖추고 있다. 미국의 경우 전 세계에서 똑똑한 사람이 모이다 보니 인재 풀의 양과 질의 밀도가 남다르다. 게다가 미국은 보안의 기본인 컴퓨터 사이언스(Computer Science)와 컴퓨터 엔지니어링(Computer Engineering)에 대한 교육 과정이 강하다. 보안을 잘하는 인력들이 국내보다 많이 나올 수밖에 없는 환경이라는 의미다.
그러나 화이트해커와 같은 보안 인력은 시장에서 100명 이상의 역할을 하는 '일당백'과 같다. 결국 깊이 있고 체계적인 사이버보안 커리큘럼, 연구 중심의 교육 프로그램을 확대할 필요가 있다.
Q. 보안 공격이 거세지고 있고, 새 정부와 함께 시장 변동도 예상된다. 변화의 물결 속, 티오리는 어떤 보안기업으로 기억에 남고 싶나.
A. 디지털 면역 체계의 'T세포' 같은 존재가 되고 싶다. T세포는 바이러스에 감염된 세포와 종양·암과 같은 위협을 정밀하게 식별하고 파괴하는 역할을 한다. 티오리는 공격 방식을 먼저 알아내고, 이를 파괴해 실질적으로 신체에 영향이 없도록 하고 있다. 방어벽을 넘어, 치명적인 위협을 찾아내는 지능형 정예부대가 되겠다.
티오리는 위협이 발생할 수 있는 사이트에서 웹 페이지부터 기능까지 모두 분석한 다음 위협 시나리오를 만들 수 있다. 이후 비즈니스 로직을 섞어 발생할 수 있는 위협 시나리오를 만들고, 발생할 수 있는 취약점을 파악할 수 있다. 이후 이를 테스트하는 코드를 자동으로 만들고, 실제 테스트까지 수행한다. 정확도와 정밀도 측면에서, 타 기업과 차별화된다고 자신할 수 있다. 자동화된 솔루션을 기반으로 지속적인 보안도 구현할 수 있다.
옥타, 마이크로소프트(MS), 구글 등 주요 기업과의 파트너십을 넘어 최근에는 포춘100에 포함된 기업과도 논의를 진행하고 있다. 올해 티오리의 경쟁력을 입증할 수 있는 소식을 더 이야기할 수 있을 것으로 보고 있다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.