“블록체인, 만병통치약 아냐! 응용 구현체가 보안 홀”

[인터뷰] 글로벌 보안 스타트업 ‘티오리(Theori)’ 박세준 대표
2018년 보안위협 : 가상화폐와 IoT 공격, 블록체인 기술 구현과정에서의 취약점
“해커 드림팀 꾸려 ‘이건 티오리 말고는 못할 껄’이라는 얘기 듣고 싶어”

[보안뉴스 김경애 기자] 미국 오스틴 다운타운에 본사를 두고 있는 티오리(Theori)는 사이버보안 R&D 스타트업이다. 2016년 1월에 설립됐으며, 정부와 기업 등에 일반적인 보안 컨설팅부터 보안 난제급 연구와 개발 프로젝트 등 연구 기반 서비스를 제공하고 있다. PPP팀 창립멤버로 신호탄을 쏘아 올린 티오리는 최근 서울 강남역으로 한국지사를 확장 이전하면서 국내의 뛰어난 보안인재들을 다수 영입했다.

▲티오리 박세준 대표[사진=보안뉴스]

이렇듯 우수 보안인재를 영입한 티오리의 대표는 다름 아닌 전 세계적으로 명성이 높은 데프콘(DEFCON) 해킹대회 본선 4회 우승과 국내외 대회에서 총 40회 이상 우승한 카네기멜론 대학의 PPP팀 출신인 박세준 대표다. 그가 세운 티오리는 과연 어떤 보안회사일까? 그가 쌓아올린 명성 만큼이나 그가 설립한 회사에도 관심이 쏠렸다. 이에 기자는 보안분야 신년 인터뷰 첫 주자로 젊음과 열정 패기가 돋보이는 보안 스타트업 티오리의 박세준 대표를 만났다.

Q. 티오리는 어떤 회사인가
앞으로 나타날 수 있는 보안위협이나 취약점 등을 발굴·연구하고 컨설팅 업무를 주로 수행하는 회사다. 스타트업이라 인원은 한국지사까지 모두 10명 정도다. 한국지사 설립으로 최근 인원이 꽤 늘었다. 처음엔 4명으로 시작했다. 그러다보니 영업이나 마케팅을 별도로 하지 않는다. 순수 기술을 분석·연구하는 업무를 주로 하다 보니 취약점 기술을 정리해놓은 기술 블로그를 보고 연락을 해오곤 한다.

마이크로소프트(MS)의 경우도 그렇다. 알려진 취약점에 대해 어떤 보안위협이 있는지 공격 기법과 영향력에 대해 정리해 놓은 블로그를 보고 연락을 해왔다. 블로그에는 알려진 취약점에 대해 어떤 공격이 가능한지를 패치된 버그 분석을 통해 서술한다. 특히, 취약점은 매번 달라지는 반면, 공격기법은 비슷하기 때문에 이 부분에 초점을 맞춘다. 의뢰받은 업무는 윈도우 10 운영체제에서 지원하는 최신 보안기법 중 하나에 대한 안정성 및 보안성을 분석해 달라는 연구과제였다.

Q. 창업하게 된 계기는
마음 맞는 사람들과 같이 팀을 이루고 싶어 시작했다. 각자 좋아하는 일을 하며 즐겁고 행복한 삶을 살고 싶었기 때문이다. 물론 그러기 위해선 현실적인 부분을 고려해야 하기 때문에 창업은 어느 정도 희생할 각오가 필요하다. 부자가 되기 위해서 창업한다면 행복하기 힘들다고 본다. 왜냐하면 스타트업의 성공확률이 기본적으로 높지 않기 때문에 돈을 궁극적인 목표로 한다면 실망과 좌절을 더 많이 할 수 밖에 없기 때문이다. 창업 목표는 다 같이 잘 먹고 잘 살자다. 팀워크가 좋고, 실력이 좋으면 돈은 자연스럽게 따라오게 돼 있다고 믿는다. 지금은 부자 욕심보다는 능력있는 팀원들을 하나하나 드래곤볼 모으듯 팀을 꾸리는데 집중하고 있다. 드래곤볼이 다 모이면 ‘신룡’을 소환해 소원을 빌면 된다(웃음).

Q. 스타트업으로 시작할 때 고려해야 할 점은
처음엔 억압되지 않은 환경이 좋아 보일지 모르나 얼마 가지 못해 현실의 벽에 부딪친다. 스타트업의 경우 작은 팀으로 이뤄지는 경우가 대부분이기 때문에 자신의 역량을 제대로 발휘하지 못하면 쉽게 무너질 수 있어 각자 맡은 바에 최선을 다해야 한다. 장시간 한 공간에서 업무를 하다 보면 이견이 생기거나 사람 관계에서 문제가 발생하기도 한다. 이에 소통이 잘 되어야 하는 것도 필수다. 또한, 성공하지 못하면 회사가 망하는 냉혹한 현실을 인지하고 철저히 준비해야 한다. 특히, 한국의 경우 정부 지원이 많은 편인데, 그것에만 의존하거나 안주하게 되면 결국 스타트업은 자생력을 갖추지 못해 해당 회사는 오래 가지 못할 확률이 크다.

Q. 사업체를 운영하면서 겪는 애로사항은
가급적 직원들에게 자율적으로 업무를 맡기지만 아무래도 사업은 현실적인 문제다보니 맡은 프로젝트 마감을 지켜야 하는 일이 쉽지 않다. 창의적으로 답을 찾는데 그 부분이 사실상 제일 어렵다.

Q. 본인도 국제해킹대회 우승자여서 그런지 그런 인재가 많은 것 같다. 직원 선발 기준은?
학력과 나이를 떠나 실력, 인성, 포텐셜, 성향 등을 위주로 본다. 사이버공격 변화는 매우 빠르기 때문에 빠른 변화에 발맞춰 어떤 문제에 맞닥뜨려도 풀어낼 수 있는 문제해결 능력을 갖추는 것이 중요하다. 특히, 창의적으로 생각하는 능력을 중시하며, 5~10년이 지나도 어김없이 현역에서 뛸 수 있어야 한다.

일례로 해킹대회에서 좋은 성적을 거두고, 잘하는 친구들 보면 대체적으로 호기심과 창의력이 풍부하다. 실무경험은 많지 않아도 새로운 것에 흥미를 느끼고, 알아가는 것을 즐길 줄 안다. 포기할 법한 문제들이 나와도, 그리고 여러 번 실패해도 결국 될 때까지 다양한 접근방식으로 도전하는 근성과 잠재력이 있다.

컴퓨터 보안은 컴퓨터과학의 틀 위에 쌓아진 응용학문이다. 컴퓨터에 대해 잘 이해하고, 때론 분석할 대상을 개발자보다 더 잘 이해해야 한다. 그러기 위해선 기본기가 탄탄해야 한다. 기초를 알게 되면 틀을 바꿔도 창의적으로 생각할 수 있고, 지속적인 성장이 가능하다.

모든 보안교육이 그렇진 않지만 일부 보안교육 자료를 보면 깊이 측면에서 아쉬움을 느낄 때가 있다. 보안은 이미 알려진 정보를 공식처럼 외우는 것보단 왜 그렇게 설계·구현됐는지 원리와 새로운 접근방식에 대한 고민이 필요하고, 기존 틀에서 벗어나 생각할 수 있어야 한다.

현재 회사 직원들도 업무와 자기계발을 병행하고 있다. 자신이 잘하는 부분을 업무에 적용시켜 일을 해결하고, 여유가 나면 기본기나 새로운 기술 등 자신이 부족한 부분을 채워나가고 있다.

그 다음은 성향인데, 스타트업의 경우 보통 하나부터 열까지 본인 스스로 알아서 해야 한다. 이 부분은 실력 문제라기보단 개인적인 성향이나 성격적인 측면이라 체계적인 관리를 원하는 사람은 대기업 등 효율적인 관리가 가능한 곳이 효율적일 수 있다. 또한, 스타트업과 보안 분야에서 인성, 특히 도덕성 및 윤리는 매우 중요하다. 적은 인원으로 운영되기 때문에 팀플레이를 할 수 있느냐가 중요하고, 개인 구성원 한명 한명의 영향력이 크다. 그런 측면에서 함께 팀을 이루고 다 같이 잘 되려면 인성이 매우 중요하다.

Q. 지난 2007년의 주요 성과를 설명한다면
지난해의 경우 미국 본사는 2년차, 한국지사는 1년차인 시점이었다. 이렇듯 창업 새내기인 스타트업임에도 불구하고 많은 대기업 고객사들의 의뢰를 받아 취약점 진단, 보안설계 컨설팅, 시스템 및 자동차 보안 트레이닝, 커스텀 솔루션 제공 등을 통해 정신없는 한해를 보냈다.

공개적으로 이야기할 수 있는 성과중 개인적으로 가장 만족스러운 것은 MS와 함께 진행한 연구과제였다. 이를 통해 기존 설계된 방어기법에 대한 획기적인 우회 공격기법을 발견해 차단했다는 것이다. 이는 전세계적으로 수많은 이용자를 안전하게 보호하는데 도움이 됐다. 요즘에는 많은 사람들에게 관심을 받고 있는 암호화폐 거래를 중개해주는 국내 암호화폐 거래소의 보안 컨설팅을 맡았는데, 서비스 이전부터 보다 안전한 거래와 서버 관리를 위해 신경썼고 별 문제 없이 운영되고 있다. 서비스에 만족한다는 고객사의 피드백도 있었다.

▲티오리 박세준 대표[사진=보안뉴스]

Q. 지난해 가장 기억에 남는 보안위협은
아무래도 파급력과 영향력이 막대했던 ‘워너크라이’와 같은 랜섬웨어 공격, 소프트웨어 개발사의 개발자나 빌드 또는 배포 서버를 장악해 악성코드를 삽입하는 형태의 전략적인 공급망(Supply Chain) 공격, 그리고 천문학적 금전 피해로 이어진 각종 가상화폐 거래소 및 채굴(마이너) 해킹 등을 생각해볼 수 있다.

Q. 최근 관심 있게 보고 있는 보안위협은
블록체인 기반 기술에 대해 관심있게 보고 있다. 블록체인 응용은 현재 가상화폐 투기 과열로 묻혀 있는 분위기다. 블록체인 기반으로 다양하게 응용할 수 있고 적용 가능성도 무궁무진하다. 블록체인 자체의 장점이 많아 관심있게 보고 있는데, 굳이 필요하지 않은 곳에서까지 억지로 사용하려는 모습을 보면 조금 걱정되기는 한다. 또한, 사이버 보안 관점에서 블록체인 기술 자체는 안전하지만, 응용해서 사용하는 구현체들은 버그나 취약점 등이 발생할 수 있어 관심있게 보고 있다. 블록체인은 만병통치약이 아니다. 용도에 맞게 올바르게 써야 블록체인 기반 시스템도 안전한 것이다.

Q. 기업에서 보안에 대해 간과하고 있는 사항은
기관 및 기업에서 생각하는 보안의 가치가 보안은 ROI(투자자본수익률)가 한없이 낮은, 때로는 손해라고 생각하는 경우가 많다. 상품이나 서비스는 가시적인 효과들이 보이는 것이 긍정적인 방향이지만 보안은 오히려 가시적이지 않고 무탈(無頉)한 것이 좋은 거다. 사건사고를 미리 막기 위한 보험이라고 생각하고 투자해야 한다. 물론 의미 없는 투자를 피하기 위해서는 통찰력이 깊은 보안 전문가들이 내외부적으로도 존재해 각 기업 상황에 알맞은 조언과 보완책을 제시할 필요가 있다.

Q. 기업에서 가장 개선되지 않는 보안 문제는
보안업계에서는 ‘사람이 보안에서 가장 약한 연결고리(Humans are the weakest link in cybersecurity)’라는 명언이 있다. 분명히 정해진 정책이나 기법들이 존재함에도 불편을 이유로, 또는 유혹과 이기심 때문에 규칙을 어기고 보안 취약점을 노출하게 된다. 이 부분은 최대한 시행할 수 있는 방법들을 통해 어느 정도 강제성을 부여하되, 정책 수립 측면에서 그에 따른 불편함을 최소화해 궁극적으로 시행 가능한 보안으로 나아가야 한다.

Q. 2018년 예상되는 보안위협 3가지는
천정부지로 치솟고 있는 가상화폐에 대한 공격이 끊임없이 이루어질 것으로 보이며, 인터넷에 연결되는 IoT 기기들이 점점 늘어남에 따라 미라이 봇넷과 같은 종류의 공격이 다양해질 것으로 예상된다. 가상화폐와는 별개로 블록체인 기술이 적용된 사례들이 늘어날텐데 구현이나 설계상의 실수로 인한 취약점을 노린 공격이 나타나지 않을까 생각된다.

Q. 국가안보 차원에서의 사이버보안에 있어 가장 필요한 것은
사이버전에 대한 관심이 커질 것으로 예상한다. 사이버전 무기체계에 있어서도 자동화 공격은 많은 반면, 자동화 방어체계는 많지 않다. 이러한 자동화 공격에 사람이 일일이 대응하기 어렵기 때문에 국가안보를 지킬 정밀한 보안제품을 잘 만들 사람이 필요하다. 현재 보안체계의 패러다임을 바꾸고 솔루션도 빠른 공격 추세에 맞춰 최신으로 교체돼야 한다.

하지만 무엇보다 중요한 것은 보안 문제를 제대로 파악하고, 해결할 수 있는 인재를 양성하는 것이다. 미국의 경우도 사이버인력 양성이 급선무다. 민간업체에 의뢰해 엘리트와 협력하기도 하고, 막대한 예산을 쏟아 인재 양성에도 노력한다. 미국과 중국의 경우 사이버전을 위해 할 수 있는 건 최대한 시도하고 있다. 사이버전은 눈에 보이지 않기 때문에 본질을 더욱 잘 이해하고 파악할 수 있는 이론뿐만 아니라 실제 기술력을 갖춘 사람이 필요하다.

Q. 보안을 배우는 학생들에게 어떤 질문을 가장 많이 받나
기술, 진로, 사람관계 등에 관한 질문을 가장 많이 받는다. 해커의 가장 기본적인 소양은 ‘오픈마인드’, 즉 열린 마음이다. 항상 배우려는 의지가 있어야 하는데 간혹 포인트를 짚어주면 스스로 찾아보고 답 혹은 다음 단계를 물어보는 친구들이 있다. 그런 친구들은 하나라도 더 알려주고 싶어진다. 기술적인 질문의 경우 여러 방안과 방향 제시, 각각에 따른 장단점 등을 제시한다. 인간관계에 대해서는 돋보이려고 하기 보단 한 발짝 물러나 양보하고 팀 플레이어가 될 것을 당부한다. 보안은 신뢰로 굳건해져야 때문에 협업이 중요하고 같이 성장해야 한다고 조언한다.

Q. 앞으로의 계획은
회사 인원이 최근 많이 늘었고, 올해 상반기까지 계속 늘어날 것으로 보인다. 제 꿈이자 목표는 세상에서 해킹을 제일 잘하고, 유쾌한 팀원들과 함께 세계 곳곳에서 어려워하는 난제급 사이버 보안 문제를 하나씩 해결해 나가는 해커 드림팀을 꾸리는 것이다. 이러한 계획을 위해 앞으로도 계속 공부하고 발전해 “이런건 누가 해결해. 아무도 못할 껄, 티오리 말고는”이라는 말이 당연해지도록 정진할 생각이다. 앞으로도 지켜봐 주세요!
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)