'보안 올림픽' 4연승 박세준 "K-보안, 글로벌로 가야"
오펜시브 사이버 보안 기업 티오리(theori)의 수장 박세준 대표는 세계 최대 해킹 방어 대회 '데프콘(DEFCON) CTF 33'에서 사상 처음으로 4년 연속 우승이라는 대기록을 썼다. 이번 우승으로 티오리는 통산 9번째 데프콘 우승 트로피를 들어 올렸다. 내로라하는 전 세계 해커들을 물리치고 '해커 중 해커'임을 다시 한번 입증한 것이다. '데프콘 CTF 33'은 올해 33회로 열리는 '데프콘 CTF'라는 뜻이다. 미국 시각 6~8일 라스베이거스 컨벤션센터에서 열렸다. '데프콘'은 세계최대 해킹 컨퍼런스다. 보통 3일간 열린다. 이 중 하이라이트 행사가 '데프콘 CTF'다. '세계해커들의 올림픽'이라 불린다. CTF는 Capture The Flag의 약어다. 원래는 군사 용어다. 적 진영의 깃발을 빼앗는 게임을 뜻한다. 참가자들이 시스템 해킹, 취약점 분석, 암호 해독 등으로 깃발을 찾아 제출 하는 방식이라 이런 이름이 붙여졌다. 참가자들은 공격과 방어를 동시에 한다. 올해는 티오리를 포함해 총 7개 팀이 대결을 펼쳤다. 한 팀당 팀원 구성 수는 제한이 없다. 티오리의 경우 티오리한국과 미국 PPP팀, 캐나다 팀 등 3개 팀이 'MMM(Maple Mallard Magistrates)'이라는 한 개 팀을 이뤄 참여했다. 구성원 수는 티오리한국 20여명 해커를 비롯해 총 60여명에 달했다. 참가 팀의 구성원 수가 제한이 없지만, 협업이 중요하므로, 숫자가 많다고 꼭 유리하지는 않다. 매년 달라지기는 하지만 대만(HITCON CTF)과 일본(Code Blue CTF)도 해킹 대회가 있는데, 이들 대회 우승자들은 '데프콘 CTF' 본선에 바로 참여할 수 있다. 이런 '특혜'를 받는 해킹 대회가 우리나라에는 아직 없다. 올해 데프콘 CTF는 3일 중 1,2일차는 7시간, 마지막 날인 3일차에는 2시간동안 진행됐다. 마지막 날은 데프콘 폐막일이라 다른 행사도 열려 CTF 대결 시간이 2시간으로 짧았다. 대회는 실시간 공방전으로 진행되며, 상대방의 공격을 막아내면서도 상대방의 시스템을 해킹하는 식이다. 공격 점수와 방어 점수는 따로 집계되며 합산한 점수로 순위를 매긴다. 실시간 공방전 뿐 아니라 라운드마다 특정 문제를 풀어 높은 점수를 유지해야 하는 과제, 해커끼리 일대일로 맞붙어 문제를 빨리 풀어내는 팀이 승리하는 식의 다양한 과제가 주어진다. 이에 각 대회 등에 따라 전략을 보완해야 하기 때문에, 대회가 3일이라, 하루 대회가 끝나도 쉬지 않고, 다음 대회를 계속 준비해야 한다. 현장에서 실제 대결은 유튜브로 실시간 중계됐다. 순탄하지 않았던 4년 연속 우승…“잠까지 전략적으로 잤다” 대회를 마치고 막 한국에 돌아온 박 대표를 티오리한국 사무실에서 14일 만났다. 박 대표는 “미처 분석되지 않은 프로그램들이나 취약점들이 있는 경우 숙소에 돌아와 팀원들과 패치를 만들고 익스플로잇(취약점 공격) 코드를 짜고, 다음날 대회에서 이를 활용해 다시 공격하는 등 대회 진행 시간 이후에도 할 일이 많다”고 들려줬다. 이어 “MMM(Maple Mallard Magistrates) 팀에만 60여명이 함께하고 있는데, 서로 다른 국가와 배경, 문화를 가진 사람들이 모여 있는 상황에서 이들을 관리 및 협업하게 하는 일이 가장 어렵고 힘들다”며 “수면으로 예를 들면 다 같은 시간에 잠을 자게 되면 다음 대회를 준비하는 데 차질이 생기고, 다 같이 밤을 새우자니 컨디션이 문제가 된다. 이런 것들을 잘 조율하는 것이 가장 어려운 점이자 우승 비결”이라고 말했다. MMM 팀에는 티오리한국 사내 동아리 '더덕' 팀(The Duck) 22~23명을 비롯해 미국 카네기 멜론 대학의 PPP팀, 캐나다 브리티시 컬럼비아 대학의 Maple Bacon과 함께 연합 팀을 구성해 데프콘 CTF를 우승했다. 3개 팀마다 팀리더가 있고, MMM 전체 총괄은 박세준 대표가 맡았다. 박 대표는 4회 연속 우승이 순탄치는 않았다고 토로했다. 4년 연속으로 대회에서 우승하다 보니 타 팀의 견제도 심해졌고, 티오리를 함락시키기 위한 시도들이 거세졌다는 것이다. “매년 데프콘 대회가 어려워지고 있다. 사실 대회에 참가할 때마다 '이번에는 못 이길 수도 있겠다'는 생각을 매번 한다”며 “티오리를 이기기 위해 다른 팀에서도 열심히 준비하고 있기 때문에 난이도가 어려워지고 있다”고 짚었다. 아울러 박 대표는 데프콘 CTF는 단순 해커들과의 실력을 겨루는 '전쟁터'가 아니라고 강조했다. 오히려 데프콘 CTF에 참가한 구글 등 빅테크 기업들과 기술, 정보 등을 공유하는 '학술교류의 장'이라고 설명했다. 그는 “비행기 표부터 식사, 숙소 등 데프콘에 참가하는 것만으로도 적지 않은 비용이 든다. 그럼에도 불구하고 우리가 20명 정도씩 매년 데프콘에 참가하는 이유는 구글, 오픈AI, 메타 등 빅테크 기업에서 참가한 다른 팀과의 교류에 있다”며 “글로벌 기업과의 경쟁뿐 아니라 교류의 경험도 피부로 느끼고 올 수 있기 때문에 국내 보안 기업들도 적극적으로 참여했으면 한다”고 말했다. “K보안, 퀄리티 앞세워 세계로 나아가야” 세계 보안 무대에서 우리나라의 위상을 높이고 있는 박 대표에게 국내 보안 기업의 글로벌화에 대해 질문했다. 박 대표는 “보안 솔루션의 경우 한국 법제도상 해외랑 다른 부분들이 많다. 예컨대 국내에서만 통용되는 제도 때문에 보안 솔루션을 만들었다면, 이는 국내에서만 사용될 뿐 해외에서는 수요조차 발생되지 않는다”고 말했다. 그는 또 “국내에서만 별도로 보안 솔루션들이 채택되고 있는 실정이다 보니, 보안 솔루션을 필요로 하는 업체들 역시 외산 솔루션을 사용할 필요가 없어지면서 국제 무대에서 한국은 점차 폐쇄되고 있다. 국내에서 사용되는 보안 솔루션을 만드는 업체들도 영세한 경우들이 많은데 오히려 공급망 공격에 타깃이 되기도 쉽다”고 지적했다. 박 대표는 K-보안 소프트웨어가 글로벌에서도 통할 수 있다고 긍정 평가하면서 "다만, 보안업계에서 시큐어 코딩(소프트웨어 개발 단계에서 보안 취약점을 제거하여 안전한 소프트웨어를 개발하는 기법)을 강조하고 있지만 잘 지켜지고 있는 지 짚어봐야한다. 품질이 보장돼야 글로벌 시장에서 통한다”며 “특히 한국은 '한국형' 무언가를 구축하길 선호하는데, '한국형'에 대한 프라이드가 높은 것이 오히려 다양성이나 확장성에 방해된다"고 말했다. “보안도 진화한다”…티오리 '진트·알파프리즘', 보안 효율성↑ 티오리는 기업들의 취약점 진단, 모의해킹 등 보안 컨설팅 사업에서 나아가 여러 솔루션을 통해 사업을 확장해 나갈 계획이다. 박 대표는 “'AI 해커'라고 대명사를 붙이는데, 티오리의 SaaS(서비스형 소프트웨어)이자 AI 에이전틱 기반 솔루션 '진트'(Xint)가 있다”며 “해커들이 해킹하는 방식을 모델링해서 공격자의 관점에서 위협 요소를 분석하고 검증하는 솔루션”이라고 설명했다. 사실상 공격자가 시스템에 침입할 때 사용하는 전술을 사전에 파악하고 분석하는 '레드팀'의 업무에 AI가 활용되는 것이다. 박 대표는 “진트가 레드팀 업무의 효율성을 높여주는 도구가 될 것으로 예상한다”며 “향후에는 제일 실력있는 해커들을 뛰어넘는 솔루션을 만드는 것이 목표다. 아직 이 단계까지 성능을 끌어올리지는 못했지만, 현재 단계에서도 주니어 급 해커 이상의 성능을 내고 있다”고 밝혔다. 진트는 현재 베타 테스트 단계로, 일부 고객사에만 사용 후 피드백을 받고 있는 상태다. 박 대표에 따르면 10월께 정식 론칭이 이뤄질 전망이다. 이 외에도 티오리는 보안 컨설팅 등 기존 사업에 더해 '알파프리즘(αprism)'이라는 대형 언어 모델(LLM) 시큐리티 등 사업을 기반으로 보안 시장을 공략해 나갈 계획이다. AI의 민감 정보 유출, 프롬프트 인젝션, 부적절한 출력 등 다양한 위협을 탐지하고 정책 기반으로 차단한다. 알파프리즘은 올해 말이나 내년 초에 선보일 예정이다. 박 대표는 이와 관련해 “기업들이 AI 도입을 서두르고 있는데, 보안 담당자의 입장에서는 AI 도입이 두려운 일”이라며 “AI가 출력하는 데이터 둥 민감정보나 개인정보들이 포함돼 있을 수 있기 때문”이라고 말했다. 그는 “개인정보나 민감 정보들은 알파프리즘이 필터링을 하거나 차단하는 등 가시성을 확보해주는 솔루션”이라며 “LLM 방화벽이라고 생각하면 된다”고 말했다. SK텔레콤 해킹, 두 차례의 예스24 랜섬웨어 공격 등 국내 기업 및 기관에 '보안 경고등'이 켜졌다. 인공지능(AI)의 발달로 사이버 공격이 교묘해지고 빈번해지는 현실이다. 이에 공격자의 관점에서 기업 및 기관의 정보 침해를 막아내는 박 대표의 생각을 물었다. 박 대표는 “잇단 해킹 사고들을 통해 보안에 투자하지 않으면 돈을 아끼는 것이 아니라 훨씬 더 큰 비용을 치르게 된다는 깨달음을 얻었으면 한다”며 “보안 투자가 일회성에 그치지 않고 지속적으로 이뤄져야 한다”고 강조했다.
