대한민국이 보안강국으로 나아가기 위한 전문가 제언 ⑤ 티오리 박세준 대표
 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
국가대표 화이트해커라 불리는 박세준 티오리 대표는 <디지털데일리>와 인터뷰를 통해 '시켜서 하는 보안'이 아닌 '선제적 자율보안' 중요성을 강조하며 이같이 전했다.
최근 연이은 해킹사고로 우리 사회는 충격을 받았다. 대형 기업들이 연속적으로 사이버공격을 당해, 국민들의 소중한 정보가 유출되고 실제 금전 피해까지 일어났다. 박세준 대표는 이러한 사고는 '일회성 이벤트'가 아니라 '일상'이 되고 있다고 경고했다.
사실, 대기업·통신사·금융사 등 주요 기업은 대부분 법에서 정한 보안규제를 준수하고, 수억원을 들여 정보보호관리체계(ISMS) 등 주요 보안 인증을 의무적으로 취득하고 있다. 그럼에도 해커들이 그들을 공격 대상으로 정하면, 침해사고를 피할 수 없는 현실에 처했다.
박 대표는 "현재 정부의 보안 정책은 규제와 인증 중심으로 이뤄지고 있지만, 현장에서는 이것이 실질적인 보안 강화보다는 서류작업과 형식적 절차로 변질되는 경우가 많다"며 "법은 본질적으로 과거의 사고를 기반으로 만들어진 최소한의 가이드라일뿐이다. 신종위협은 기존 법규제 틀로 대응할 수 없다"고 강조했다.
Q. 공격자들은 공공·대기업·금융권 가리지 않고 취약점을 노려 접근하고 있다. 많은 기업·기관은 보안 관련 법·규제를 준수하고 있음에도 해킹에 당하고 있다. 법에서 말하는 '최소한의' 의무적 대응 수준에 그치기 때문이라는 지적도 나오고 있는데, 어떻게 생각하는가?
▲우리 사회가 '시켜서 하는 보안'에 머무르는 근본적인 이유는 보안을 전략적 투자가 아닌 비용으로 여기는 인식의 문제 때문이다.
많은 조직에게 보안의 목표는 해킹을 막는 것이 아니라 감사를 통과하고 법적 의무를 다하는 것이 돼버렸다. 보안사고가 발생하기 전까지는 심각성을 체감하지 못하고 법적 처벌이나 과태료를 피하는 수준의 최소 투자만 집행한다. 실제로 많은 기업의 보안 예산 책정 과정을 보면 '법에서 요구하는 최소한만' 하는 경우가 대부분이다.
선제적인 보안 강화는 당장 눈에 보이는 이익을 가져다주지 않는다. 오히려 그 성과는 '아무 일도 일어나지 않은 상태'로 나타나기에 경영진 입장에서는 법이 요구하는 최소한의 수준을 넘어 투자할 동기를 찾기 어렵다. 반면 법규 준수는 명확한 체크리스트가 있어 단기적 성과로 보고하기 쉽다.
보안 전문 인력은 부족하고 책임 소재는 모호하다. 많은 조직에서 보안 담당자는 IT 부서 내 소수 인원에 불과하며, 이들에게 모든 책임을 전가하는 구조다. 전사적 보안 문화가 정착되지 않은 상태에서는 자율적 보안은 작동할 수 없다. 결국 값비싼 수업료를 치르고 해킹 사고를 직접 겪고 나서야 보안의 중요성을 깨닫지만 얼마 지나지 않아 다시 최소한의 투자로 회귀하는 악순환이 반복된다.
Q. 법과 규제를 넘어 선제적인 자율보안이 필요한 이유는 무엇인가?
▲이유는 단 한 가지, 공격자는 법이나 규제를 전혀 신경쓰지 않기 때문이다.
오늘날 사이버 위협은 규제가 만들어지는 속도보다 훨씬 빠르게 진화한다. 법규는 본질적으로 '과거의 사고'를 기반으로 만들어진 최소한의 가이드라인일 뿐이다. 하지만 공격자는 창의적이고 집요하게 새로운 약점을 파고들며, 이미 다음 세대 공격 기법을 개발하고 있다. 디지털전환이 가속화되면서 조직의 공격표면 또한 기하급수적으로 확대되고 있다. 신종 위협은 기존 규제 틀로 대응할 수 없다. 규제를 넘어서는 방어는 이제 선택이 아닌 필수다.
Q. 법적 보안만을 준수하는 곳과 자율보안으로 나아가는 곳, 실제로 봤을 때 이들 사이 격차는 어떠한가?
▲하늘과 땅 차이라고 단언할 수 있다. 문에 자물쇠 하나만 걸어둔 집과, 최첨단 보안 시스템과 경비 인력이 24시간 순찰하는 요새의 차이와 같다. 조직의 대응 능력·복원력, 사업 연속성 측면에서 완전히 다르다.
법적 보안만 준수하는 곳은 1년에 한 번 정기적인 취약점 점검 보고서를 받고 나서야 문제를 해결한다. 공격자들은 365일 24시간 쉬지 않는데 방어는 특정 시점에만 이뤄지니 공격을 막아낼 수 없다. 이들은 "우리는 규제를 준수하고 있는가?"라고 묻는다.
자율보안으로 나아가는 곳은 스스로를 끊임없이 공격하고 위협을 사냥한다. 개발 초기 단계부터 보안을 내재화(DevSecOps)하고, 조직 내부에 전문적인 공격팀(레드팀)을 두거나 버그바운티를 운영하며 알려지지 않은 약점까지 찾아내 제거한다. 이들은 "우리는 안전한가?"라고 묻는다.
실제 사례를 들면, 국내 한 고객사는 자체적으로 레드팀과 블루팀을 운영하며 분기마다 실전 같은 모의 침투 훈련을 실시하고 있다. 최근 새로운 제로데이 취약점이 공개되자 이곳은 24시간 내 전체 시스템 점검과 패치를 완료했다. 반면, 최소 보안만 유지한 어떤 기업은 랜섬웨어 공격을 받아 며칠간 운영을 멈춰야 했다. 법적으로 요구되는 백업 시스템은 갖췄지만, 정기적인 복구 테스트를 하지 않아 백업 데이터마저 바로 사용할 수 없었다.
Q. 조직 내에서 자율보안이 바람직하게 이뤄지기 위해 어떤 방식이 필요할까?
▲조직 내에서 자율보안이 이뤄지려면 최고 경영진 의지와 리더십, 공격자의 관점 내재화, 보안 문화 구축, 실전 같은 훈련과 검증이 필요하다.
우선, 최고경영자(CEO)가 직접 챙기는 보안 위원회를 설립하고 분기별 보안 현황을 이사회에 보고하는 체계를 만들어야 한다. 보안을 IT 부서만의 문제가 아닌 전사적 경영 이슈로 격상시켜야 한다.
이어 방어벽을 세우는 데 그치지 않고, 스스로를 공격해 조직의 가장 약한 고리를 찾아내는 ‘오펜시브 시큐리티’를 도입해야 한다. 실제 상황에서 대응능력을 검증하고 개선하며 위기 상황을 대비한 플레이북도 준비해야 한다. 모든 업무 프로세스에 보안을 자연스럽게 녹여내는 한편, 임직원 인식 개선도 필요하다.
가장 중요한 것은 '실패를 학습의 기회'로 삼는 문화다. 보안 사고나 훈련에서 발견된 문제점을 숨기지 않고 공유하며, 이를 개선하는 선순환 구조를 만들어야 한다.
Q. 정부가 발표하는 보안 가이드라인이나 인증 제도 등이 현장에서는 형식적으로 소화되는 경우도 많다. 정부와 기관이 어떻게 지원해야 실질적으로 도움이 된다고 보는가?
▲정부 역할은 '규제 준수 여부'를 확인하는 것에서 '실질적인 방어 역량'을 키워주는 방향으로 전환돼야 한다. 현재 정부의 보안 정책은 규제와 인증 중심으로 이뤄지고 있지만 현장에서는 이것이 실질적인 보안 강화보다는 서류 작업과 형식적 절차로 변질되는 경우가 많다.
예를 들어, "방화벽이 있는가?"를 묻는 대신 "실제 사이버 공격을 탐지하고 대응하는 데 몇 분이 걸리는가?"를 평가하는 실전적인 방식으로 인증 제도가 바뀌어야 한다. 역량 중심 평가 체계 도입이 필요하다. 처벌만으로 자발적 참여를 이끌어내기 어려우니 보안 투자를 많이 하는 기업에 대상으로 세제 혜택이나 정부 입찰 때 가산점 부여 등 긍정적 인센티브를 강화해야 한다. 중소기업은 예산과 인력이 부족한 만큼 보안점검 컨설팅 솔루션 지원을 확대해야 한다. 공급망 보안을 위해 대기업 협력사에 대한 집중 지원이 이뤄져야 한다.
최고 수준의 인재 양성도 중요하다. 자격증 중심 교육에서 벗어나, 실제 공격과 방어 시나리오를 훈련하는 실전형 사이버보안 인재를 양성하는 데 국가적인 투자를 아끼지 말아야 한다. 무엇보다 중요한 건 정부가 '규제자'가 아닌 '협력자' 역할을 해야 한다. 기업이 보안 사고를 숨기지 않고 공유할 수 있는 문화, 실패해도 함께 개선할 수 있는 환경을 만드는 것이 진정한 보안 강화의 첫 걸음이다.
Q. 아직도 많은 조직들이 선제적 보안은 커녕 사후약방문에만 급급하다. 보안이 경영상 주요 전략 자산으로 재인식되기 위해, 어떤 변화가 가장 시급하다고 진단하나?
▲가장 시급한 변화는 보안을 '비즈니스와 리스크' 언어로 소통하는 것이다. "방화벽 룰셋 업데이트"가 아니라 "연간 500억원 규모의 잠재적 사업 중단 리스크를 제거했다"고 말할 수 있어야 한다. "서버에 버퍼 오버플로우 취약점이 있다"고 말하는 대신 "이 취약점을 방치하면 핵심 고객 데이터가 유출돼 수십억원 과징금과 브랜드 신뢰도 하락으로 이어질 수 있다"고 설명해야 한다.
보안의 가치를 측정할 수 없다는 인식을 바꾸기 위해, 그 효과를 숫자로 보여줘야 한다. 경영진이 사이버 리스크를 재무·시장 리스크처럼 명확하게 인식하고 정량적으로 이해할 수 있을 때, 비로소 보안은 비용이 아닌 핵심적인 전략 자산으로 자리 잡을 것이다. 보안사고 후 수습하는 비용이 사전에 예방하는 비용보다 훨씬 크다. 강력한 보안 체계는 고객신뢰를 높이고 글로벌 경쟁력을 강화하는 핵심 자산이다. 글로벌 시장에서는 보안 인증이 필수 요건이 경우가 많다.
Q. 대한민국이 보안강국으로 나아갈 수 있을까?
▲대한민국은 보안강국이 될 수 있는 가장 강력한 자산을 이미 가지고 있다. 바로 세계 최고 수준의 해커, 즉 인재다. 매년 데프콘(DEF CON)과 같은 세계 최고 권위의 해킹 대회에서 우리 청년들이 우승을 휩쓰는 것이 그 증거다.
현재 많은 보안 전문가들이 열악한 처우와 과중한 업무로 인해 이직하거나 해외로 나가고 있다. 이들을 붙잡고, 더 많은 인재를 육성하는 것이 시급하다. 아무리 좋은 솔루션을 도입해도 이를 운영할 전문 인력이 없으면 무용지물이다. 보안 전문가를 양성하고 우대하는 시스템을 만들어야 한다. 뛰어난 인재들을 국가적 자산으로 품고, 최고의 환경에서 역량을 발휘하며 국가와 사회에 기여할 수 있는 길을 열어줘야 한다. 이들이 바로 대한민국 디지털 영토를 지킬 최정예 군대다.
보안강국으로 가는 길은 해외의 좋은 솔루션을 빠르게 도입하는 '빠른 추격자(Fast Follower)' 전략만으로는 불가능하다. 우리 인재들이 주역이 돼 세상에 없던 새로운 기술과 플랫폼을 만들어내는 '시장 선도자(First Mover)'가 돼야 한다.
아울러, "지금 당장 시작하자"고 당부하고 싶다. 여러분의 조직에서 오늘 당장 할 수 있는 것부터 시작해보자. 보안 점검을 실시하고 임직원 교육을 강화하고 취약점을 찾아 개선해보자. 지금 이 순간부터 선제적으로 움직여 보자.
정부는 보안을 국가 안보와 경제의 핵심 아젠다로 삼자. 장기적인 비전 아래 과감하게 투자해야 한다. 이 때 대한민국은 반도체와 조선을 넘어 세계를 선도하는 진정한 보안강국으로 우뚝 설 수 있다. 보안강국 대한민국, 결코 불가능한 목표가 아니다. 우리 모두가 함께 노력한다면 반드시 이룰 수 있다.
◆ 티오리 박세준 대표는?
박세준 대표는 '천재 해커' '국가대표 화이트해커'로 불리는 인물이다. 박 대표는 국내외 해킹대회에서 70회 이상 우승한 이력이 있다. 심지어, 해커들의 올림픽으로 불리는 세계 최고 권위의 해킹대회 '데프콘(DEF CON)'에서 9회 우승, 5회 준우승을 차지했다. 최다 우승 기록을 보유한 자다. 코드게이트(CODEGATE)에서도 5회 우승하며, 역시 최다 우승을 기록했다.
박 대표는 미국 카네기멜론대학교에서 컴퓨터과학 전공으로 학사와 석사 졸업했다. 세계 해킹대회를 휩쓴 'PPP'는 미국 카네기멜론대 해킹 동아리인데, 이를 설립하고 회장직을 맡았던 이가 박 대표다. 그는 록히드마틴에서 연구원, 카프리카시큐리티 공동창업자를 거쳐 2016년 티오리를 설립했다. 티오리Inc(Theori Inc.)와 티오리한국 대표를 맡은 박 대표는 한국과 미국을 오가며 회사를 이끌고 있다. 티오리는 '오펜시브 사이버 시큐리티 기업'을 내세우며, 모의해킹 컨설팅뿐 아니라 인공지능(AI) 기반 보안 솔루션으로 영역을 확장하고 있다.
현재 박 대표는 SK그룹 정보보호혁신특별위원회 자문위원을 맡고 있다. 앞서, 박 대표는 2021년부터 2023년까지 사이버작전사령부 제5기 자문위원으로 활동했다. 인재 양성을 중요하게 여기는 만큼, 2014년부터 올해까지 차세대 보안리더 양성 프로그램 'Best of the Best(BoB)' 책임 멘토로 활동했다. 또, 과학정보통신의날 대통령 표창(2024년), 국가정보원 '정보보안교육 감사패'(2023년) K-사이버보안 우수기업 외교부장관상(2022년)을 수상했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
