ZDNet 검색 페이지

'티오리'통합검색 결과 입니다. (9건)

박세준 티오리 대표 "최고 해커가 'AI해커' 만든 건 세계 처음"

"AI를 활용해서 모의 해킹이나 해킹을 하는 건 국내에서 우리가 최초입니다. 해커들이 만든 솔루션은 아직 없습니다. 이번에 나온 '진트(Xint)'가 유일합니다. 우리는 해킹을 했고, 세계적 대회에서 우승을 했고, 이런 실제 경험을 가진 기업이 만든 'AI 해커'는 진트'가 국내는 물론 해외서도 처음입니다." 오펜시브 사이버보안 전문 기업 티오리의 박세준 대표는 28일 서울 강남에서 열린 '진트 출시 미디어 간담회'에서 이 같이 밝혔다. 박 대표는 "진트는 세계 최고 수준의 티오리 해커를 AI로 복제한 또 다른 AI 해커다. AI가 공격자의 관점에서 보안 취약점을 선제적으로 찾아내고, 보안 담당자가 진트를 통해 빠르게 조치할 수 있도록 대안을 제시한다"고 설명했다. AI 해커 '진트'는 인간해커에 비해 해킹 실력이 어떨까. 이에 대해 박 대표는 "오락가락할 것 같다. AI 성능이 깜짝 놀랄 때도 있고 그렇지 않을 때도 있다"고 전제하며 "우리 회사의 세계최고 수준 해커와 비교하면 30~40% 수준이다. 하지만 우리 고객사에서 말해준건데, 진트가 쥬니어급 해커들의 수준은 넘어선 것으로 보고 있다. AI가 발전하는 속도가 너무 빠르고 또 우리가 계속해 튜닝을 하고 있기 때문에 그 속도는 더 빨라질 것으로 본다"고 말했다. '진트'에 대해 박 대표는 "사람과 비슷한 맥락과 이해력을 바탕으로 공격 시나리오 제안, 대규모 자산을 연속적으로 점검할 수 있다"며 "기존의 보안 체계는 제로데이 취약점 등 새로운 위협에 대해서는 유연한 대응에 한계가 있다. 하지만 진트는 취약점 목록이 아니라 화이트 해커들이 직접 취약점을 찾아낸 방법론을 바탕으로 새로운 공격 시나리오를 스스로 짜고 공격자의 관점에서 발견되지 않은 취약점을 찾아내는 것이 가능하다"고 설명했다. 그는 "특히 모의해킹 과정에서 얻어낸 티오리 화이트해커의 노하우도 진트가 학습했으며, 고객사의 서비스가 어떻게 운영되는지 비즈니스 로직도 이해해 취약점을 찾아낸다"며 "기존 보안 점검에는 평균 10~16주의 시간과 고급 전문인력의 투입, 수천만~수억원에 달하는 비용 등의 현실적 어려움이 뒤따랐지만, 진트는 12시간이면 진단을 끝낼 수 있고 구독형의 합리적 비용에 24시간 상시 방어가 가능한 솔루션"이라고 강조했다. 그는 "앞으로 정부 부처뿐 아니라 기업들도 수만개 이상의 시스템을 갖추게 될 것으로 예상되는 만큼 자동화된 보안 패러다임은 필수가 됐다"며 "이번 공식 론칭 이후에는 내년부터 북미 시장에 진출할 계획"이라고 밝혔다. 이날 기자간담회에서는 실제 '진트'가 어떻게 실행되는지도 영상을 통해 소개됐다. 간단하게 진트에 인터넷 주소(URL)을 입력하는 것 만으로 스캔이 시작됐다. 해당 URL의 세부 서브도메인도 표시가 됐으며, 사용자가 점검을 실행할 범위를 설정하면 본격적인 취약점 분석 등 진트가 스스로 공격 시나리오를 구성해 점검을 실시한다. 로그인이 필요한 웹 페이지 역시도 계정 정보를 입력해 놓으면 점검이 가능하다. 스캔이 생성되고 시작 버튼을 누르니 본격적인 점검이 시작됐다. 시작에 앞서 법적으로 진행해도 문제가 없는지 사용자가 소유 및 관리 권한을 가지고 있는 웹 페이지인지 다시 한 번 확인하는 절차도 거친다. 점검 진행 중에는 실시간으로 얼만큼 진행됐는지 진행도를 확인하는 것도 가능하다. 결과값에서는 발견된 엔드포인트 내역, 스캔 진행 로그, 위협 시나리오의 수, 시나리오의 스캔 결과 등을 조회할 수 있다. 취약점 개수와 취약점을 심각도와 카테고리별로 구분돼 있다. 취약점을 빠르게 확인하고 조치할 수 있도록 지원하기 위함이다. 탐지하기 어려운 버그나 다중 방법을 통해 찾아내야 하는 취약점도 진트는 제한된 탐색 범위와 시간 내에 찾아냈다. 이 외에도 진트는 별도의 설치 없이도 서비스형 소프트웨어(SaaS) 형태로 제공돼 솔루션 도입 시에도 편리함까지 갖췄다. 다음은 진트 관련 질의응답. - 진트가 발견한 취약점에 대해 패치를 적용하는 점에 있어서는 사람의 손길이 필요한지 "진트가 도출한 결과보고서를 보고 취약점을 패치하는 것은 사람의 영역이다. 대신 취약점 탐지 및 발견 과정에서 사람보다 효율적으로 결과를 도출할 수 있다." - 국내 첫, 전 세계 최초 AI 해커 사례로 볼 수 있는지 "AI를 활용해 모의해킹을 하는 시도 자체는 국내에선 최초다. 전 세계 기준으로는 공식적인 런칭 기준으로 하면 최초는 아니다." - 진트를 티오리 내 사람 해커와 비교하면 어느 정도 수준인지 "티오리 내부 기준으로 하면 진트는 30~40% 수준이다. 어느 AI든 사람도 놀랄 정도로 뛰어난 결과값을 도출할 때도 있고, 어떤 때는 어리석은 답변을 내놓을 때도 있다. 이 평균점을 끌어 올리는 작업을 진행 중이다. 하지만 실제 진트를 사용해본 고객사 중 한 곳은 보안컨설팅을 받아온 다른 업체와 견줘도 손색이 없을 정도라는 후기를 남겼다. 오히려 디테이한 보고서가 나오는 등 만족도도 높다는 의견도 나온다. 이미 주니어 해커의 영역을 넘어선 것으로 본다. - 북미 성공 전략은 "티오리는 처음부터 세계 무대에서 경쟁해 온 기업이다. 대회가 모든 것을 증명하지 않지만 세계 최대 보안 대회에서도 우수한 성적을 거뒀고, 이런 기술을 바탕으로 북미 시장에서도 성공할 가능성은 있다고 본다. 현지와의 차원에서 미국의 개발부터 세일즈까지 전 영역에 걸친 팀이 있다. 한국 팀과의 공통적인 성과를 도출하기 위해 노력 중이다." - 진트의 발전 로드맵은 어디까지인지 "현재 웹 환경에서 취약점을 탐지하고 찾아내는 솔루션을 선보인 것이고, 사실 진트는 소스코드에서 취약점을 찾아내는 버전도 있다. 궁극적으로는 코드 개발부터 동적 환경 테스팅, 운영 및 관리 측면에서 공격 표면 관리 쪽으로의 확장을 계획하고 있다." - 서비스형 소프트웨어(SaaS) 형태로 진트가 공급되는데, 가격 정책은 어떻게 되는지. 일회성으로도 사용할 수 있을 것 같은데 이 부분에 대한 구성은? "진트는 월 단위 구독형 모델로 제공된다. 일회성으로 사용하는 모델도 계획돼 있지만 현재는 제공 중이지 않다. 월 단위로 슬롯이 정해져 있고, 점검 슬롯 개수마다 가격대가 다르다. 추가 슬롯을 구매하길 원하면 10개까지도 자산 규모에 따라 선택해 구독할 수 있는 구조다." - 특별히 진트의 수요가 높은 산업계는? "진트가 제공하는 공격자 관점의 보안, 사전에 취약점을 탐지하고 패치하는 오펜시브 보안은 사실 산업군을 불문하고 필요한 영역이다. 특히 IT 자산이 많을 수록 중요도는 더욱 높아진다. 실제로 진트에 관심을 갖는 산업군도 다양하게 분포돼 있다."

2025.10.28 13:48김기찬 기자

티오리, 국내 첫 AI해커 '진트' 출시..."12시간이면 진단 끝"

사이버보안 전문기업 티오리(대표 박세준)가 28일 삼성동 오크우드 코엑스에서 기자 간담회를 개최하고 국내 최초 AI 해커라며 '진트(Xint)'를 선보였다. '진트'는 대규모 보안 자산을 단기간에 높은 정확도와 커버리지로 점검하게 해준다. 이날 박세준 대표는 '진트'에 대해 "최고의 해커를 AI로 복제했다"고 설명했다. 최근 통신, 금융 등 산업 전반에서 대형 해킹 사고가 잇따르며 기업들의 보안 위기감이 고조되고 있다. 점검해야 할 보안 자산은 급격히 늘고 있지만 이를 다룰 수 있는 전문 인력은 턱없이 부족하고, 기존의 보안 점검 프로세스는 몇 주 이상이 소요되는 등 대응 속도에서도 제약이 있다. 진트는 이런 문제를 해결하기 위해 개발됐다. 세계적 수준의 화이트햇 해커들이 축적한 공격 시나리오와 방법론을 학습했다. '진트'는 특히 단순한 취약점 스캔을 넘어 AI가 사이트의 전체 구조와 서비스의 실행 맥락을 분석, 기존 솔루션으로는 탐지하기 어려운 비즈니스 로직의 복합적 결함까지 찾아낸다. 발견한 이슈는 단순 보고에 그치지 않는다. 각 취약점마다 재현 가능한 PoC(공격 재현 코드)와 기술적 근거를 함께 제공, 담당자가 즉각 원인을 파악하고 대응할 수 있도록 지원한다. 뿐 만 아니라 기술적 심각도를 반영한 우선순위도 산정해 한정된 인력으로도 효율적인 대응이 가능하다. 도입 편의성과 안전성도 높였다. '진트'는 SaaS 형태로 제공한다. 별도 에이전트 설치나 코드 변경 없이 URL 하나만 입력하면 바로 점검을 시작할 수 있다. 사이트 운영이나 서비스에 영향을 주지 않고 안전하게 점검을 수행하며, 필요 시 프록시 터널링을 통해 내부 자산까지 확장 검증할 수 있다. 티오리의 컨설팅 경험에 기반한 '안전 우선' 비파괴적 점검을 기본으로 설계, 서비스 중단이나 성능 저하, 내부 자산 노출 등의 운영 리스크를 최소화한다고 회사는 밝혔다. 보안 점검 속도도 크게 개선했다. 통상 2주가 소요되던 보안 점검 기간을 평균 12시간 내로 단축했다. 이는 사람 대비 30배 빠른 처리 속도로 추가 인력 충원없이 합리적 비용으로 진단이 가능하다고 회사는 덧붙였다. 또 대규모 자산 감사에 최적화된 병렬 검사 아키텍처로 여러 웹·API·서비스를 동시에 스캔, 각 서비스 내 수백 개 엔드포인트를 점검한다. 박세준 티오리 대표는 “지속적으로 고도화하는 사이버 위협 환경을 맞아 기업들은 더 빠르고 지능적인 대응 체계가 필요하다”며 “진트는 AI를 통해 기존 보안 점검의 한계를 혁신적으로 개선하고, 상시적이고 능동적인 보안 운영이 가능한 환경을 만들어 줄 것”이라고 강조했다. 한편 티오리는 오펜시브 사이버보안 전문 기업이다. 구글, 마이크로소프트, 옥타를 비롯한 국내외 주요 기업에 보안 컨설팅을 제공하고 있다. ▲회원 7만 명 이상의 사이버보안 교육 플랫폼 'Dreamhack(드림핵)' ▲LLM 보안 솔루션 'αprism(알파프리즘)' 등을 운영하며 안전한 보안 생태계 확산을 이어가고 있다.

2025.10.28 10:30방은주 기자

"공격은 최선 방어...AI에 해킹 가르쳐야"

"공격은 최선의 방어라고 한다. 이를 재해석하면, 인공지능(AI)에 해킹을 가르쳐야 해커와의 불리한 싸움 구도에서 벗어날 수 있다는 뜻이 된다." 박세준 티오리 대표는 30일 과학기술정보통신부 공식 AI 주간 'AI페스타 2025'의 부대 행사로 개최된 '대한민국 사이버 보안 컨퍼런스'에서 AI 기술들을 활용해 해킹을 선제적으로 방어한 사례를 공유하면서 이같이 말했다. 해커가 AI를 활발히 악용해 공격 건수와 속도 측면에서 이전보다 압도적인 성능을 발휘하며 우위를 점한 상황에서, 방어자도 해킹 전문 지식을 학습한 AI를 활용하지 않고선 대응이 어려워졌다는 진단이다. 해킹을 방어할 인력부터 크게 부족하다. 당장 부족한 전세계 사이버보안 인력만 480만명이라는 통계를 인용했다. 박세준 대표는 "지금부터 인력을 육성해도 턱없이 모자르다는 뜻"이라며 "해킹에 대한 대응도 수동적이고 제한적이다"고 지적했다. 이런 탓에 신규 취약점이 발견되고 이를 해커가 악용하는 시점과, 이에 대한 방어가 실시되기까지 평균 50일 가량의 시차가 발생한다고도 지적했다. 해커가 방어자에 비 50일을 앞서 움직이고 있다는 뜻이다. 티오리는 이런 사이버보안 한계를 극복하기 위해 AI가 소스코드를 이해하면서 취약점을 발견하고, 해커가 택할 최적의 공격 시나리오와 경로를 증명할 수 있으면서 문제가 된 소스코드에 대한 패치를 자동 생성할 수 있도록 하는 기술 개발에 나섰다. 이같은 취지로 개발한 AI 시스템이 '로보덕'이다. 박 대표는 "저희 목표는 LLM을 활용해 인간 전문가의 전체 업무 흐름을 그대로 재현하는 것"이라며 "이를 위한 첫 단계가 취약점을 파악해 버그 리포트를 생성하는 것"이라고 소개했다. 이어 "어려운 부분은 몇십만 줄, 몇백만 줄 가량의 소스코드 속에서 취약점을 탐색해내게 하는 것이었다"며 "에이전트를 쓰기엔 비효율적인데, 이를 '원샵 프롬프팅(예시를 바탕으로 문제를 해결하도록 하는 기법)'으로 해결하고자 했다"고 설명했다. 이런 기술들로 다수 생성된 버그 리포트 중 유효한 건수를 찾아내는 'LLM 클래시파이어'를 활용했다. 박 대표는 "1만개 정도 리포트를 처리하는 데 10분 정도, 비용은 10달러가 소요됐다"고 덧붙였다. 이를 통해 미 국방부 산하 방위고등연구계획국(DARPA)에서 주최한 AI 사이버 챌린지에 도전한 결과 90여개 참여팀 중 1위를 거두는 성과를 거뒀다. 로보덕은 총 취약점 34건을 발견해 보안 패치 20건을 제공하는 데 성공했다. 박 대표는 에이전틱 AI로 보안 전문가의 업무 흐름을 재현하는 것이 가능하다는 것이 증명됐다는 데 주목했다. 박 대표는 "AI를 이용한 공격 폭증은 피할 수 없는 현실임과 동시에 AI는 수백만줄 코드에서 제로데이 찾아내는 가장 강력한 무기"라며 "공격자들이 AI를 활용해 공격하기 전에 보안 시스템이 이를 예측하고 실시간으로 진화하게 되고, 이는 인간과 AI가 협업하는 모델이 될 것"이라고 전망했다. 박 대표는 "AI 시스템을 개발하는 데 1.5년 정도 기간이 걸렸고, 20만줄에 가까운 코드 수정을 거쳤다"며 "비용도 오픈AI, 엔트로피, 제미나이 등 거대언어모델(LLM) API 사용료와 애저 클라우드 등 인프라 비용을 종합하면 약 3억원이 투입됐다. 다만 비용은 모델을 보유한 기업들의 도움을 받았다"고 밝혔다.

2025.09.30 21:12김윤희 기자

'보안 올림픽' 4연승 박세준 "K-보안, 글로벌로 가야"

오펜시브 사이버 보안 기업 티오리(theori)의 수장 박세준 대표는 세계 최대 해킹 방어 대회 '데프콘(DEFCON) CTF 33'에서 사상 처음으로 4년 연속 우승이라는 대기록을 썼다. 이번 우승으로 티오리는 통산 9번째 데프콘 우승 트로피를 들어 올렸다. 내로라하는 전 세계 해커들을 물리치고 '해커 중 해커'임을 다시 한번 입증한 것이다. '데프콘 CTF 33'은 올해 33회로 열리는 '데프콘 CTF'라는 뜻이다. 미국 시각 6~8일 라스베이거스 컨벤션센터에서 열렸다. '데프콘'은 세계최대 해킹 컨퍼런스다. 보통 3일간 열린다. 이 중 하이라이트 행사가 '데프콘 CTF'다. '세계해커들의 올림픽'이라 불린다. CTF는 Capture The Flag의 약어다. 원래는 군사 용어다. 적 진영의 깃발을 빼앗는 게임을 뜻한다. 참가자들이 시스템 해킹, 취약점 분석, 암호 해독 등으로 깃발을 찾아 제출 하는 방식이라 이런 이름이 붙여졌다. 참가자들은 공격과 방어를 동시에 한다. 올해는 티오리를 포함해 총 7개 팀이 대결을 펼쳤다. 한 팀당 팀원 구성 수는 제한이 없다. 티오리의 경우 티오리한국과 미국 PPP팀, 캐나다 팀 등 3개 팀이 'MMM(Maple Mallard Magistrates)' 한개 팀을 이뤄 참여했다. 구성원 수는 티오리한국 20여명 해커를 비롯해 총 60여명에 달했다. 참가 팀의 구성원 수가 제한이 없지만, 협업이 중요하므로, 숫자가 많다고 꼭 유리하지는 않다. 매년 달라지기는 하지만 대만(HITCON CTF)과 일본(Code Blue CTF)도 해킹 대회가 있는데, 이들 대회 우승자들은 '데프콘 CTF' 본선에 바로 참여할 수 있다. 이런 '특혜'를 받는 해킹 대회가 우리나라에는 아직 없다. 올해 데프콘 CTF는 3일 중 1,2일차는 7시간, 마지막 날인 3일차에는 2시간동안 진행됐다. 마지막 날은 데프콘 폐막일이라 대결 시간이 짧다. 다른 기념행사도 진행해야 하기 때문이다. 대회는 실시간 공방전으로 진행되며, 상대방의 공격을 막아내면서도 상대방의 시스템을 해킹하는 식이다. 공격 점수와 방어 점수는 따로 집계되며 합산한 점수로 순위를 매긴다. 실시간 공방전 뿐 아니라 라운드마다 특정 문제를 풀어 높은 점수를 유지해야 하는 과제, 해커끼리 일대일로 맞붙어 문제를 빨리 풀어내는 팀이 승리하는 식의 다양한 과제가 주어진다. 하루 대회가 끝날때마다 전략을 보완해야 하기 때문에, 제대로 쉬지 않고 다음 대회를 계속 준비해야 한다. 현장의 실제 대결은 유튜브로 실시간 중계됐다. 순탄하지 않았던 4년 연속 우승…“잠까지 전략적으로 잤다” 대회를 마치고 막 한국에 돌아온 박 대표를 티오리한국 사무실에서 14일 만났다. 박 대표는 “미처 분석되지 않은 프로그램들이나 취약점들이 있는 경우 숙소에 돌아와 팀원들과 패치를 만들고 익스플로잇(취약점 공격) 코드를 짜고, 다음날 대회에서 이를 활용해 다시 공격하는 등 대회 진행 시간 이후에도 할 일이 많다”고 들려줬다. 이어 “MMM(Maple Mallard Magistrates) 팀에만 60여명이 함께하고 있는데, 서로 다른 국가와 배경, 문화를 가진 사람들이 모여 있는 상황에서 이들을 관리 및 협업하게 하는 일이 가장 어렵고 힘들다”며 “수면으로 예를 들면 다 같은 시간에 잠을 자게 되면 다음 대회를 준비하는 데 차질이 생기고, 다 같이 밤을 새우자니 컨디션이 문제가 된다. 이런 것들을 잘 조율하는 것이 가장 어려운 점이자 우승 비결”이라고 말했다. MMM 팀에는 티오리한국 사내 동아리 '더덕' 팀(The Duck) 22~23명을 비롯해 미국 카네기 멜론 대학의 PPP팀, 캐나다 브리티시 컬럼비아 대학의 Maple Bacon과 함께 연합 팀을 구성해 데프콘 CTF를 우승했다. 3개 팀마다 팀리더가 있고, MMM 전체 총괄은 박세준 대표가 맡았다. 박 대표는 4회 연속 우승이 순탄치는 않았다고 토로했다. 4년 연속으로 대회에서 우승하다 보니 타 팀의 견제도 심해졌고, 티오리를 함락시키기 위한 시도들이 거세졌다는 것이다. “매년 데프콘 대회가 어려워지고 있다. 사실 대회에 참가할 때마다 '이번에는 못 이길 수도 있겠다'는 생각을 매번 한다”며 “티오리를 이기기 위해 다른 팀에서도 열심히 준비하고 있기 때문에 난이도가 어려워지고 있다”고 짚었다. 아울러 박 대표는 데프콘 CTF는 단순 해커들과의 실력을 겨루는 '전쟁터'가 아니라고 강조했다. 오히려 데프콘 CTF에 참가한 구글 등 빅테크 기업들과 기술, 정보 등을 공유하는 '학술교류의 장'이라고 설명했다. 그는 “비행기 표부터 식사, 숙소 등 데프콘에 참가하는 것만으로도 적지 않은 비용이 든다. 그럼에도 불구하고 우리가 20명 정도씩 매년 데프콘에 참가하는 이유는 구글, 오픈AI, 메타 등 빅테크 기업에서 참가한 다른 팀과의 교류에 있다”며 “글로벌 기업과의 경쟁뿐 아니라 교류의 경험도 피부로 느끼고 올 수 있기 때문에 국내 보안 기업들도 적극적으로 참여했으면 한다”고 말했다. “K보안, 퀄리티 앞세워 세계로 나아가야” 세계 보안 무대에서 우리나라의 위상을 높이고 있는 박 대표에게 국내 보안 기업의 글로벌화에 대해 질문했다. 박 대표는 “보안 솔루션의 경우 한국 법제도상 해외랑 다른 부분들이 많다. 예컨대 국내에서만 통용되는 제도 때문에 보안 솔루션을 만들었다면, 이는 국내에서만 사용될 뿐 해외에서는 수요조차 발생되지 않는다”고 말했다. 그는 또 “국내에서만 별도로 보안 솔루션들이 채택되고 있는 실정이다 보니, 보안 솔루션을 필요로 하는 업체들 역시 외산 솔루션을 사용할 필요가 없어지면서 국제 무대에서 한국은 점차 폐쇄되고 있다. 국내에서 사용되는 보안 솔루션을 만드는 업체들도 영세한 경우들이 많은데 오히려 공급망 공격에 타깃이 되기도 쉽다”고 지적했다. 박 대표는 K-보안 소프트웨어가 글로벌에서도 통할 수 있다고 긍정 평가하면서 "다만, 보안업계에서 시큐어 코딩(소프트웨어 개발 단계에서 보안 취약점을 제거하여 안전한 소프트웨어를 개발하는 기법)을 강조하고 있지만 잘 지켜지고 있는 지 짚어봐야한다. 품질이 보장돼야 글로벌 시장에서 통한다”며 “특히 한국은 '한국형' 무언가를 구축하길 선호하는데, '한국형'에 대한 프라이드가 높은 것이 오히려 다양성이나 확장성에 방해된다"고 말했다. “보안도 진화한다”…티오리 '진트·알파프리즘', 보안 효율성↑ 티오리는 기업들의 취약점 진단, 모의해킹 등 보안 컨설팅 사업에서 나아가 여러 솔루션을 통해 사업을 확장해 나갈 계획이다. 박 대표는 “'AI 해커'라고 대명사를 붙이는데, 티오리의 SaaS(서비스형 소프트웨어)이자 AI 에이전틱 기반 솔루션 '진트'(Xint)가 있다”며 “해커들이 해킹하는 방식을 모델링해서 공격자의 관점에서 위협 요소를 분석하고 검증하는 솔루션”이라고 설명했다. 사실상 공격자가 시스템에 침입할 때 사용하는 전술을 사전에 파악하고 분석하는 '레드팀'의 업무에 AI가 활용되는 것이다. 박 대표는 “진트가 레드팀 업무의 효율성을 높여주는 도구가 될 것으로 예상한다”며 “향후에는 제일 실력있는 해커들을 뛰어넘는 솔루션을 만드는 것이 목표다. 아직 이 단계까지 성능을 끌어올리지는 못했지만, 현재 단계에서도 주니어 급 해커 이상의 성능을 내고 있다”고 밝혔다. 진트는 현재 베타 테스트 단계로, 일부 고객사에만 사용 후 피드백을 받고 있는 상태다. 박 대표에 따르면 10월께 정식 론칭이 이뤄질 전망이다. 이 외에도 티오리는 보안 컨설팅 등 기존 사업에 더해 '알파프리즘(αprism)'이라는 대형 언어 모델(LLM) 시큐리티 등 사업을 기반으로 보안 시장을 공략해 나갈 계획이다. AI의 민감 정보 유출, 프롬프트 인젝션, 부적절한 출력 등 다양한 위협을 탐지하고 정책 기반으로 차단한다. 알파프리즘은 올해 말이나 내년 초에 선보일 예정이다. 박 대표는 이와 관련해 “기업들이 AI 도입을 서두르고 있는데, 보안 담당자의 입장에서는 AI 도입이 두려운 일”이라며 “AI가 출력하는 데이터 둥 민감정보나 개인정보들이 포함돼 있을 수 있기 때문”이라고 말했다. 그는 “개인정보나 민감 정보들은 알파프리즘이 필터링을 하거나 차단하는 등 가시성을 확보해주는 솔루션”이라며 “LLM 방화벽이라고 생각하면 된다”고 말했다. SK텔레콤 해킹, 두 차례의 예스24 랜섬웨어 공격 등 국내 기업 및 기관에 '보안 경고등'이 켜졌다. 인공지능(AI)의 발달로 사이버 공격이 교묘해지고 빈번해지는 현실이다. 이에 공격자의 관점에서 기업 및 기관의 정보 침해를 막아내는 박 대표의 생각을 물었다. 박 대표는 “잇단 해킹 사고들을 통해 보안에 투자하지 않으면 돈을 아끼는 것이 아니라 훨씬 더 큰 비용을 치르게 된다는 깨달음을 얻었으면 한다”며 “보안 투자가 일회성에 그치지 않고 지속적으로 이뤄져야 한다”고 강조했다.

2025.08.15 11:03김기찬 기자

티오리, '보안 올림픽' 4년 연속 우승...역대 최다 9회 1위

사이버 보안 전문 기업 티오리한국(대표 박세준)은 세계 최고 권위의 해킹 대회 '데프콘 CTF 33(DEF CON CTF 33)'에서 우승하며 4년 연속 우승이라는 대기록을 세웠다고 11일 밝혔다. 이번이 아홉번째 우승으로, 역대 최다 우승이라는 기록도 세웠다. 데프콘 CTF는 1993년부터 시작된 동명의 세계 최대 해킹 컨퍼런스에서 열리는 해킹방어대회로, '해커들의 올림픽'이라 불리며 세계적인 명성을 자랑한다. 올해 본선은 현지 시간 8월 8일부터 10일까지 미국 라스베이거스에서 3일간 개최됐다. 티오리는 사내 소속의 더덕팀(The Duck)을 중심으로 미국 카네기 멜론 대학의 PPP팀, 그리고 캐나다 브리티시 컬럼비아 대학의 Maple Bacon과 연합해 'MMM(Maple Mallard Magistrates)'팀으로 참가했다. MMM 팀은 전 세계 예선을 통과한 12개 팀과 48시간 동안 실시간 공격·방어전을 펼친 끝에 최종 우승을 차지한 것으로 전해졌다. 2위와 3위는 각각 Blue Water팀과 SuperDiceCode팀이 차지했다. 이에 티오리는 "통산 9번째 데프콘 우승 트로피를 들어 올리며 세계 최강의 사이버보안 기술력을 다시 한 번 입증했다"며 "4년 연속 우승이라는 전무후무한 대기록을 세웠다"고 밝혔다. MMM 연합팀을 총괄한 티오리의 박세준 대표는 "매년 진화하는 기술 환경 속에서 4년 연속 세계 최고 자리를 지켜낸 팀원들의 탁월한 역량과 식지 않는 열정에 무한한 자부심과 감사를 느낀다"고 소감을 밝혔다. 또 박 대표는 "데프콘 우승은 단순한 기록이 아니라, 우리의 기술력이 현실 세계의 보안 위협을 해결할 수 있다는 실증"이라며 "여기에 안주하지 않고 실전 경험을 바탕으로 더욱 안전한 디지털 세상을 만드는 데 기여하며 글로벌 보안 시장을 선도하는 기업으로 성장해 나가겠다"고 다짐했다.

2025.08.11 14:52김기찬 기자

[보안 리딩기업] 티오리 "국내 최고요? 세계최고 해커들이 모여있습니다"

"국내 최고요? 세계 최고 해커들이 모여있습니다." 티오리(Theori) 박세준 대표는 최근 지디넷코리아와 인터뷰에서 "세계 최고 수준 화이트햇 해커들로 구성된 티오리한국 기술진은 데프콘(DEF CON)을 포함해 각종 국제 해킹방어 대회에서 70회 이상 우승했다"며 이 같이 밝혔다. 티오리는 박 대표가 2016년 1월 미국 오스틴에 설립한 보안전문 회사다. 다양한 사이버 보안 난제를 해결해 더욱 안전한 세상을 만들겠다는 목표로 탄생한 '오펜시브 사이버 보안' 전문 기업이다. '오펜시브 사이버 보안'은 전통적인 보안 접근 방식에서 한발 더 나아가 공격자(해커) 관점에서 고객 취약점을 분석해 최적의 솔루션을 제공하는 걸 말한다. 회사 이름 '티오리(Theori')는 이론(Theory)에서 시작해 혁신(Innovation)을 만들겠다는 뜻을 담고 있다. 박세준 대표가 미국 카네기멜런 대학교 동문인 앤드류 웨시 최고기술책임자(CTO)와 공동으로 창업했다. 한국법인(티오리한국)은 2017년 9월 세웠다. 서울 강남역 인근에 위치해 있다. 티오리 전체 직원 수는 올 1월 기준 100명이다. 한국에 90명, 미국에 10명이 근무하고 있다. 티오리한국이 받은 누적 투자 유치액은 230억 원에 달한다. 2018년 네이버 D2 스타트업 팩토리에서 처음으로 전략 투자를 받았고, 2022년 아시아2G 캐피탈, 두나무 등에서 투자를 유치했다. "티오리한국은 전 세계 100여 개 기업 및 기관에 최상의 보안 컨설팅을 제공하며 글로벌 시장에서 기술력을 인정받고 있다"고 강조한 박 대표는 "미국 마이크로소프트(MS) 윈도 운영체계(OS)의 최종 보안 기술 검증을 수행했다. 또 구글 크롬 브라우저의 치명적인 취약점을 발견하고 해결책을 제시하는 등 세계 최고 수준의 IT 기업들과 어깨를 나란히 하고 있다"고 말했다. 이어 삼성전자, 네이버, 두나무, 토스 등 대한민국을 대표하는 기업들이 티오리한국과 함께 비즈니스 보안을 강화하고 있다면서 "대한민국 국방부와 미국 국방연구소와 같은 국가 핵심 기관 역시 티오리한국의 전문성을 신뢰하고 있다"고 밝혔다. 보안 컨설팅에서 시작한 티오리는 보안 솔루션 쪽으로 행보를 옮기고 있다. 수익성이 더 좋기 때문이다. 시장에 현재 제공하고 있는 서비스와 솔루션은 크게 세 종류로 ▲웹2와 웹3를 아우르는 보안 컨설팅 ▲6만명 이상 회원수를 보유한 보안 교육 플랫폼 드림핵(Dreamhack) ▲AI 기반 애플리케이션 보안 점검 솔루션 '진트(Xint)' 등이다. 올해말이나 연초에 LLM 취약점을 찾아주는 '알파프리즘(αprism)' 서비스를 선보일 예정이다. 박 대표(영어명 브라이언, Brian)는 한국에서 중학교를 마치고 미국으로 건너갔다. 미국 공립고등학교를 졸업하고 카네기멜론대학교(Carnegie Mellon University)에 들어가 컴퓨터 과학(Computer Science)으로 학사와 석사 학위를 받았다. 대학 재학중 해킹 동아리 'PPP'를 설립, 여러 글로벌 해킹 대회에서 우승을 차지 했다. 미국 방산업체 록히드마틴(Lockheed Martin)과 인연이 깊다. 대학 3학년때 인턴으로 있으며 우수 프로젝트 상을 받았다. 30년 이상 근무해도 받지 못하는 상을 당시 인턴이 받아 화제였다. 티오리는 박 대표가 두번째로 창업한 회사다. 앞서 모바일용 디바이스 회사인 카프리카 시큐리티(Kaprica Security)를 설립, 공동 창업자 겸 개발자로 일했다. 그는 글로벌적으로 유명한 해커이기도 하다. 국내외 해킹대회에서 70회 이상 우승했다. 세계최고 해킹대회인 데프콘(DEF CON)에서 8회 우승하고 5회 준우승, 최다 우승 기록을 보유하고 있다. 박 대표를 '해커 중 해커'라 부르는 이유다. 해킹 올림픽이라 불리는 '코드게이트 CTF(CODEGATE CTF)'에서도 5회 우승, 역시 이 대회 최다 우승 기록을 갖고 있다. 티오리는 오는 7일 미국 라스베이가스에서 개막하는 '2025년 데프콘'에도 출전, 또 한번의 우승을 노린다. 올해도 우승하면 4년 연속 우승이라는 기록을 세운다. 아래는 박대표와 일문일답. -국보급 화이트해커라 불린다. 부담스럽지 않나? "당연히 부담스럽다. 나도 계속 배우는 사람이다. 보안은 기술이 계속 진화하고 바뀐다. 선도하기 위해선 이것들을 계속 따라가고 공부해야 한다. 공부를 매일 해야 되는 포지션이다." -10여년전 국내 언론이 3대 천재 해커로 박찬암 스틸리언 대표, 홍민표, 구사무엘을 뽑았었는데.... "그때 나는 미국에 있었다. 홍민표 대표님은 잘 안다. 현재 미국에서 여러 사업을 하고 있다. 민표 형은 나보다 사업가 마인드가 훨씬 확실하다.(웃음)" -한국에서 중학교를 마치고 미국으로 갔다. 혼자 간건가? 가족은? 한국의 입시 경쟁이 치열해 서 도미한 건가? 아님 선진 미국에서 공부하고 싶었나? "반반이다. 입시 스트레스가 싫은 것도 있었고, 새로운 것, 도전하는 걸 좋아하는 성격도 한몫했다. 가족없이 나 혼자 갔다. 선덕중학교를 졸업하고 미국 뉴저지주 웨스트 오렌지에 있는 공립고등학교에 들어갔다. 친척이 거기 살고 있었고, 거기서 홈스테이를 했다." -미국 고등학교 시절은 어땠나? 혼자가서 힘들었을 듯 하다 "당연히 힘들었다. 내가 간 미국 공립고등학교가 전교생이 2천 명 정도 된다. 그런데 한국말을 할 줄 아는 한국인은 나 하나밖에 없었다. 덕분에 영어가 빨리 늘었다 (웃음). 원래는 1년 늦춰 고등학교에 진학, 친구를 사귀고 영어를 더 배우려 했다. 그런데 미국 교육청에서 한국에서 중학교를 졸업했다며 바로 고등학교로 가라고 하더라. 힘들고 어려웠지만 자유를 얻었다는 점에선 매우 좋았다. 부모님이 안계시니 컴퓨터와 게임을 마음껏 할 수 있었다. 한국에서는 하루에 1시간 밖에 못했다. 말이 잘 안통하다보니 컴퓨터에 더 집중했던 것 같다. 지금도 그렇지만, 그때도 인복이 있었다. 미국 친구들이 잘 챙겨줬다. 동양인이라고 인종차별하지 않았다. 동네에 남미계열 사람들이 꽤 있어 그런 것 같다. 동아리 활동도 컴퓨터쪽으로 했다. 축구를 좋아해 원래는 축구 동아리를 하려했는데, 남미에서 온 얘들이 다 '메시'더라(웃음). 다들 체격도 좋고. 시험봐서 떨어졌다. 그래서 축구 대신 컴퓨터쪽 동아리 활동을 했다." -고등학교 때도 보안과 해킹에 관심이 있었나? "관심이 있었지만, 그때는 원리를 이해하지 못하고 했다. 대학교에서 원리를 배우고 이해하니 컴퓨터가 훨씬 재미있더라." -대학은 카네기멜론으로 갔다. 여기서 컴퓨터 동아리를 만들었다던데... "피츠버그에 있는 카네기멜론대학에 들어갔다. 컴퓨터를 좋아해서 이 쪽을 계속 팠다. 대학교 2학년때 해킹 동아리를 만들었다. 이름이 PPP(Plaid Parliament of Pwning)다. 첫번째 P는 Plaid로, 격자무늬를 뜻하는데, 카네기멜론의 학교 무늬다. 가운데 P는 Parliament로, 의회라는 말도 있지만, 어원을 찾아보면 잠 안자는 부엉이라는 뜻도 있다. 마지막 P는 Pwning인데, 은어로 차지한다, 소유한다는 Pwn에 ing를 붙인 거다. 'PPP' 시작은 5~6명으로 했다. 현재 KAIST에서 사이버보안센터장을 맡고 있는 차상길 교수님과 가천대서 금융보안 하시는 이종협 교수님도 PPP 멤버였다. PPP는 데프콘 등 여러 해킹대회에 나가 좋은 성적을 거뒀다. 뉴욕에서 열린 해킹대회는 첫 출전때부터 1등했다." -성격이 외향적인가? "회사 하면서 나중에 알게 된 거지만, 내향형이지만 뭔가 일을 벌리는 걸 좋아한다. 사람들을 모아 혼자 할 수 없는 일을 메이드해내는, 이런 걸 즐기는 스타일이다. PPP보다 앞서, 고등학교때 미국은 물론 전세계서 유학하고 있는 한국인들을 위한 온라인 커뮤니티를 만들기도 했다. SNS 플랫폼 이름이 '버디버디'였다. 당시 전세계에서 꽤 많은 한국인 유학생들이 참여했다. 한국에서 오프라인 모임을 갖기도 했다." -카네기멜론대학 석사를 1년만에 마쳤다고? "빡세게 연구해서 1년만에 석사 과정을 마쳤다. 방학때도 연구했다. 논문을 써야 해서 학교 공부보다도 연구한 시간이 훨씬 많다." -미국 방산기업 록히드 마틴에서 인턴 생활을 한 게 오늘날의 티오리로 이어졌다. 인턴이였지만 록히드 마틴에서 큰 상을 받았다던데 "대학교 3학년 때 록히드 마틴에서 인턴 생활을 했다. 몇 명이 같이 했다. 보안프로젝트를 맡았다. 일을 잘하니 회사에서 학교 근처에 사무실을 통채로 얻어줬다. 학교 다니면서 일하라고. 이 프로젝트로 30년 근속한 사람도 못받는 상을 인턴인 우리들이 받았다." -창업과 록히드 마틴과는 어떤 인연이 있나? "인턴으로 일하면서 록히드 마틴에 큰 도움을 줬다. 당연히 우리에게도 큰 보상이 올 것으로 생각했다. 웬걸? 우리한테는 쥐꼬리만한 보상이 주어졌다. 1인당 2천달러만 주더라. 일은 우리가 다 했는데. 불공평하다고 생각하고 있었는데, 우리 프로젝트를 관할한 록히드 마틴 상사가 "같이 창업하자"고 제안했다. 그래서 창업에 뛰어들었고, 티오리 전의 첫번째 회사를 만들었다. 창업을 하면 우리가 원하는 구조로 끌고 갈 수 있겠다 싶었다. 당시엔 철이 없었다(웃음). " -보안 전문가가 되겠다고 한 특별한 계기가 있나? "특별한 계기는 없다. 뭔가 계획한 건 아니고, 자연스럽게 그렇게 된 것 같다. 대학에 들어가 해킹 원리를 배우니 너무 재미있었고, 여러 해킹 대회에 나가 좋은 성적을 거뒀다. 해킹은 완전한 이해가 필요하다. 만든 사람보다도 더 잘 이해하고 의도를 알아야 한다. 만든 사람, 설계한 사람보다 더 잘 알아야 한다. 이 과정에서의 배움이 매우 재미있었다. 몰랐던 걸 이해했을 때의 성취감이 크다. 희열이 있다. 보안도 양날의 검이다. 어떻게 휘두르냐에 따라 사람을 살릴 수도 죽일 수도 있다." -티오리가 두번째 창업이다. 첫번째 창업은 어땠나? "첫 번째 회사는 2012년 창업해 3년후인 2015년에 엑시트(Exit) 했다. 모바일과 관련한 하드웨어 보안 회사였다. 엑시트까지 우여곡절이 많았다(웃음). 나를 비롯한 공동창업자들이 컴퓨터를 잘 알아 컴퓨터나 핸드폰의 운용체계(OS)를 꿰고 있다. 보안을 잘하려면 펌웨어나 시스템을 잘 알아야 한다. 시스템 검사는 앱 단위에서는 못한다. 외부 하드웨어가 필요하다. 당시 모바일 백신이 우후죽순으로 나오던 시절인데, 모바일 백신이나 MDM(Mobile Device Management)은 결국 앱이기 때문에 OS를 잠식하면 다 속일 수 있다. 이를 막을 수 있는 하드웨어 칩을 우리가 만들었다. 이걸 들고 삼성전자에 갔는데, 당시 삼성은 이미 다른 방식으로 보안을 하고 있었다. 그래서 발길을 삼성 경쟁사로 돌렸다. 이들은 매우 좋아했다. 그런데 이 회사가 실적이 안좋아지면서 딜이 성사 일보 직전에 깨졌다. 성사 됐으면 백만장자가 될 수 있었다.(웃음). 딜이 깨지고 난 후 투자금을 갚느라 1년반 동안 죽어라 일했다. 미국 정부 과제를 미친 듯이 했다. 미국 정부 과제는 한국과 다르다. 규모가 매우 크다. 1년반 열심히 일해 투자금을 다 갚았다. 메타가 우리를 인수하려 한 적도 있다. 당시 스타트업이라는 게, 인생이라는 게 뜻대로 되지 않는구나, 하는 생각을 했다." -4명이 공동으로 티오리를 창업했다. 본사가 오스틴인데... "첫 번째 창업회사에서 같이 일한 4명이 공동으로 티오리를 세웠다. 2016년 1월 법인으로 등록했다. 현재는 4명 중 2명이 떠나고 2명만 있다. 나와 미국인 CTO 앤드류다. 앤드류와는 대학 동문이다. PPP 동아리 활동도 같이 했고, 록히드 마틴 인턴 생활도 같이 했다. 본사를 오스틴으로 한 건, 첫번째 창업지인 워싱턴DC는 깔끔하고 좋았지만, 당시 20대인 우리들에겐 다소 따분했다. 시애틀, 뉴욕, 샌프란시스코, 마이애미 등을 놓고 고르다 오스틴으로 낙점했다. -누적 230억 투자를 받았다. 다음 투자 유치는 언제? "다음 라운드는 내년 상반기말 정도로 보고 있다. 그때 상황을 봐야 한다. 우리가 지금 돈이 필요한 상황이 아니다. 솔루션 개발을 하다보니 올해는 투자를 더 많이 하고 있는 중이다. 스케일업을 하려면 솔루션 사업을 해야한다. 투자자들이 간섭하는 건 없다. 알아서 하라고 한다." -현재하고 있는 비즈니스는? "크게 세 종류다. 첫째, 우리가 오랫동안 하고 있는 '드림핵(Dreamhack)' 이라고 하는 교육 플랫폼 서비스다. 유료다. 원래 개인한테는 무료였는데 최근 부분 유료로 바뀌었다. 구독형이다. 엔터프라이즈 솔루션은 따로 있다. '드림핵'은 보안이론을 공부하고 실습할 수 있는 공간이기도 하다. 보안 실력을 기르고 지식을 공유하는 하나의 플랫폼이다. 모의 해킹을 할 수 있는 서비스인 '진트(Xint)'도 있다. 모의해킹을 AI 기반으로 할 수 있게 고도화하고 있다. 각 도메인에서 모의 해킹을 하려면 우리같은 기업에 비싼 돈을 주고 시행해야 하는데, '진트'를 이용하면 자체적으로 URL만 넣으면 할 수 있다. 보고서까지 만들어준다. 세계적으로 이런 서비스를 하는 곳이 몇 곳 안된다." -'드림핵'과 '진트'의 성과를 말해준다면 "드림핵은 2020년 론칭한 국내 최대 보안 교육 플랫폼이다. 현재 회원 수는 약 7만명 이상이다. LG전자를 포함해 40여 개 기업 고객을 보유하고 있다. '진트'는 작년 RSAC에서 베타 론칭한 것으로, 약 50개 사이트를 대상으로 자동 모의해킹을 수행, 취약점을 150개 이상 발견했다." -티오리 서비스는 외국 경쟁사와 비교해 어떤 장점이나 비교우위가? "우리는 세계 최고 수준 해커들을 보유하고 있다. 해킹에 기반한 제품과 서비스를 제공하고 있다. 엄청나게 많은 기업들을 대상으로 취약점을 점검하고 경험을 쌓았다. 어떤 산업에 어떤 취약점이 있는 지를 잘 알고 있다. 이런 경험을 AI에 학습시켰다. AI를 활용해 단순히 자동화 도구를 업그레이드한 게 아니다. AI를 사용한다는 점에서는 비슷하지만 접근 방식이나 푸는 문제가 우리와 다르다. 우리는 진짜 사람이 해킹한 노하우를 자동화했다. 이에, 우리가 훨씬 더 정교하고 취약점을 찾아낼 확률이 훨씬 더 높다. 버그바운티에 많이 참여한 수준이 아니다. 데프콘에서 우승한 해커들이 만든 툴이고, 기업에 특화한 것들을 처음부터 만들었다는 점에서 차별성이 있다. 티오리 해커들은 데프콘같은 세계적 해킹 대회에서 매년 우수한 성적을 거둔다." -앞으로 나올 서비스나 솔루션은? "Security for AI, 즉 AI 시대를 위한 보안을 책임지는 제품을 내놓을 예정이다. 파운데이션 모델의 취약점을 찾아주는 AI Red Teaming을 통해 발견한 공격을 차단하고, 임직원들이 다양한 AI와 LLM 서비스를 사용할 때 민감 및 기밀 정보나 개인정보가 유출되지 않도록 가시성을 확보해주고 차단해주는 서비스다. LLM의 DLP(Data Loss Prevention, 데이터 유출 방지)로 보면 된다. 서비스 이름이 '알파 프리즘'이다. 상용화는 연말이나 내년초쯤으로 예상하고 있다." -매출과 이익은 얼마인가? "한국 매출은 작년에 90억쯤 한 것 같다. 솔루션을 만드느라 작년에 한국법인 설립 이후 처음으로 손실을 냈다. 미국과 연결한 매출은 130억 이상이다. 이익은 매년 20억~30억 정도를 내고 있다." -해커는 몇 명이나? "50명쯤 된다. 해외 데프콘과 국내 코드게이트 등에서 우승한 친구들이 많다. 국내외 해킹 대회에서 항상 톱수준(톱티어)에 있는 친구들이다. 실무적으로도 경험이 세계 최고 수준이다. 이쪽으로 뜻을 갖고 있거나, 실력이 있는 친구들이라면 우리 회사에 들어와도 좋을 것 같다. 우리는 국내 뿐 아니라 세계 무대에서 인정받고 있고, 또 세상을 더 안전하게 만들어가는 의미 있는 일을 하고 있다. 이런 사람들이 모여있는 '어벤져스' 회사다. 조인하고 싶은 사람들은 적극적으로 문을 두드려 달라." -올해 데프콘에도 본선에 진출했다. 올해도 우승하면 4연 연속 우승인데.... "예선전은 작년 데프콘때 이미 했다. 90여 개 팀이 지원을 했고 이중 40여 개 팀이 예선 진출을 했다. 우리가 예선전에서 1등했다. 이중 7개 팀이 본선에 진출, 자웅을 겨룬다. 예선과 본선은 경연 정도가 다르다. 예선때는 새로운 코드를 주고, 이 코드의 취약점만 찾아내면 된다. 본선은 아니다. 코드 몇백만줄 짜리를 그냥 던져주고 (취약점을) 찾으라고 한다. 이게 진짜 테스트다." -기업문화는 어떤가? "자율 출퇴근제에 무제한 휴가제를 운영하고 있다. 또 근속 3.5년마다 1개월 리프레시 휴가를 준다. 꼭 나인 투 식스(9 to 6)도 아니다. 자유롭게 일한다. 정해진 출퇴근 시간도 없다. 개발 장소도 마찬가지다. 재택 하는 직원도 많다. 그런데 집에서 혼자 하면 심심하다며 사람들하고 같이 얘기하고 싶다며 사무실에 나오는 사람들이 많다.(웃음)." -SK텔레콤과 예스24, SGI서울보증보험 등 국내서 보안 사고가 잇달으고 있는데... "정부 노력으로 기업 보안 투자가 확대돼 보안 산업 성장으로 이어지는 것은 바람직한 일이다. 하지만 한탕하자는 마인드는 곤란하다. 연구 개발과 인재 양성에 재투자해 더 큰 성장으로 도약하는, 역량과 자세를 갖춘 보안 회사들에게 더 많은 기회가 주어져야 한다. 국제 사이버보안 지수에서 우리나라가 상위권이지만 실제 공격을 막아낼 수 있는 실전 능력과는 거리가 있다. 해외 선진국은 실제 위협을 탐지하고 선제적으로 대응하는 '공격적 보안(Offensive Security)'으로 패러다임을 전환하고 있다. 미국은 해킹 사고가 터지면 과징금과 피해보상액이 천문학적이다. 큰 책임을 묻기 때문에 선제적으로 스스로 보안을 강화한다."

2025.08.04 19:59방은주 기자

K-해커, '세계 보안 올림픽'서 올해도 우승 노린다

'세계 보안 올림픽'으로 불리는 '데프콘(DEFCON CTF 33)'에서 우수한 성적을 거뒀던 국내 해킹 팀들이 다시 한 번 세계 최고 자리를 두고 경쟁한다. 4일 보안 업계에 따르면 세계 최고 권위의 해킹 방어 대회 '데프콘' 본선이 이달 7~10일 개최된다. 올해로 33회를 맞는 데프콘은 매년 미국 라스베가스에서 열린다. 세계 최대 규모의 해킹 방어 대회이자 사이버 보안 컨퍼런스로, CTF 대회는 '보안 올림픽'으로 불릴 만큼 세계 최고 수준의 해커들이 출전한다. 올해 데프콘 본선은 예선을 통과한 팀이나 '시드권'(전년도 우승팀 혹은 주요 CTF 대회 우승팀에게 주어지는 본선 티켓)을 보유하고 있는 팀이 출전할 수 있다. 여기에 초청받은 팀을 포함해 7개 팀이 본선에 참가한다. 예선전 결과를 보면 한국인이 포함된 해커 팀들이 상위권에 이름을 올리며 본선행 티켓을 거머쥐었다. 우선 사이버 보안 전문 기업 티오리를 주축으로 한 'MMM(Maple Mallard Magistrates)' 팀이 예선에서 1위를 기록했다. MMM은 티오리는 사내 해킹대회 동아리 '더덕(The Duck)'을 중심으로 미국 카네기 멜론 대학의 'PPP', 캐나다 브리티시 컬럼비아 대학의 'Maple Bacon'과 함께 구성된 연합팀이다. MMM팀 리더는 티오리 박세준 대표가 맡고 있는 것으로 알려졌다. 티오리는 데프콘에서 누적 8회 우승해 최다 우승 기록을 갖고 있으며, 최근 3년간 3연승이라는 독보적인 기록도 세운 바 있다. 만약 올해에도 MMM팀이 1위의 예선 기록을 본선에서도 유지한다면 4회 연속 데프콘 우승이라는 대기록을 세우게 된다. 티오리 관계자는 "이번 데프콘에서도 우승을 목표로 참여할 계획"이라며 "이번 주말 4번 연속, 누적 9번 우승 달성 소식을 전달하기 위해 노력하겠다"고 말했다. 국내 정보보호 전문그룹 '코드레드'(CodeRed)를 비롯해 보안 컨설팅 전문 기업 핵사스랩·데이터 분석 기업 S2W, 엔키화이트햇 등 유수 국내 기업 보안인들이 소속돼 있는 '슈퍼다이스코드'(SuperDiceCode) 팀은 예선전 성적 2위에 올랐다. 슈퍼다이스코드 팀은 김지섭·최정수 멘토가 팀을 이끌 예정이다. 김지섭 멘토는 금융보안원 레드팀(RED Team) 소속 책임으로 과거 데프콘 대회에서도 입상하는 등 성과를 올린 바 있다. 최정수 멘토는 라온화이트햇 소속 해커로, 데프콘에서 우수한 성적을 거둔 실력자다. 이 외에도 한국정보기술연구원의 차세대 보안 리더 양성 프로그램인 BoB(Best of the Best)와 WHS(Whitehat School)의 멘토와 수료생으로 구성된 한국 연합팀 '콜드 퓨전'(Cold Fusion) 팀도 8위에 올랐다. 콜드 퓨전 팀은 하임시큐리티 연구원들을 비롯해 국내·외 화이트 해커들이 참여하고 있는 연합팀이다. 하임시큐리티 측은 "밤낮없이 쏟아부은 열정과 빛나는 팀워크를 바탕으로 데프콘 본선 무대를 향해 나아가게 됐다"며 "값진 기회를 얻은 만큼 최선을 다해 준비해 좋은 모습을 보여드릴 수 있도록 노력하겠다"고 밝혔다. 9위에는 엔키화이트햇 등 팀원이 속해 있는 '하입보이'(Hypeboy) 팀이 이름을 올렸다. 한편 지난달 한국정보기술연구원(KITRI)은 지난달 서울 금천구 BoB센터에서 '2025년 데프콘 출정식'을 개최하고, 본선 대회에 출전하는 국내 멘토와 수료생 격려에 나선 바 있다. 출정식 현장에서 류제명 과학기술정보통신부 제2차관은 격려사를 통해 "데프콘 CTF는 세계적인 무대이며, 단순히 경쟁하는 자리가 아니라 보안 인재들이 성장하고 교류할 수 있는 기회"라며 "자신감을 갖고 당당하게 도전해서, 우리나라 사이버 보안 인재들이 세계에서도 가장 우수한 인재라는 사실을 다시 한번 보여주고 오길 바란다"고 말했다.

2025.08.04 16:46김기찬 기자

[보안리더] 조현숙 이사장 "코드게이트, 데프콘처럼 키우고 싶어"

코드게이트는 대한민국을 대표하는 국제 해킹 방어 대회이자 세계적인 정보 보안 행사입니다. 단순한 대회를 넘어 보안 인재를 발굴하고 국내외 보안 산업 발전에 기여하고 있습니다. 조현숙 코드게이트보안포럼 이사장은 최근 경기 성남시 코드게이트보안포럼 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 2008년 김상철 한컴그룹 회장이 세계적인 보안 인재를 양성하겠다는 목표로 코드게이트를 만들었다. 현재 과학기술정보통신부가 주최하고, 코드게이트보안포럼이 주관한다. 조 이사장은 “코드게이트는 세계 3대 해킹 방어 대회”라며 “미국 정부가 지원하는 '데프콘'처럼 키우고 싶다”고 말했다. 올해 17회를 맞은 코드게이트는 오는 7월 10일부터 이틀 동안 서울 삼성동 코엑스에서 열린다. 온라인 예선전에 66개국 2778명이 참가했다. 일반부와 주니어(학생)부 각각 15시간 경합해 40개팀이 본선에 진출했다. 조 이사장은 “일반부에서 한국·중국·베트남·일본 등 아시아가 강했다”며 “상위권 간 점수가 비슷해 본선에서 더 치열하게 경쟁할 것 같다”고 예상했다. 그는 “매년 세계 50개국 이상에서 뛰어난 화이트 해커(white hacker)가 코드게이트에서 실력을 겨룬다”며 “정보 보안 전문가, 기업, 정부, 학계도 지식을 공유해 보안 산업에 긍정적인 영향을 주고 있다”고 설명했다. 화이트 해커는 착한 해커다. 서버 취약점을 연구해 해킹을 막을 법을 찾는다. 나쁜 의도로 해킹해 돈을 요구하는 블랙 해커(black hacker)와 반대된다. 특히 조 이사장은 “세계에서 처음으로 국제 주니어 해킹 방어 대회를 만들었다”며 “코드게이트에서 인정받은 참가자가 국내 사이버 보안 스타트업을 설립하는 하면 여러 기관에서 활약하고 있다”고 강조했다. 그러면서 박찬암 코드게이트 우승자가 스틸리언을, 박세준 코드게이트 최다 우승자가 티오리를 창업했고 신정훈은 신기랩스 대표로 활동한다고 전했다. 2022년 코드게이트 주니어부 우승자는 한국과학기술원(KAIST) 특기자 전형으로 합격했다. 코드게이트 주니어부에는 만 19세 미만이 출전할 수 있다. 올해는 실습 프로그램이 새로 생겼다. 이 가운데 '안드로이드 유저랜드 및 커널 퍼징과 익스플로잇' 과정은 보안 취약점을 어떻게 발견하고 공격에 활용할 수 있는지 배우는 시간이다. 참가자는 '퍼징'이라는 자동화 기법으로 취약점 원리를 이해하고, 여러 취약점을 조합해 실제 공격 흐름을 만들어 볼 수 있다. 침해 사고에 쓰인 악성 코드나 공격 도구를 분석하는 기법도 배울 수 있다. 조 이사장은 “산업계, 학계, 연구계가 코드게이트에서 만나 기술을 교류한다”며 “코드게이트는 국내 보안 소프트웨어 산업이 성장하도록 토대를 다지는 데 기여했다”고 자평했다. 이어 “전문가 뿐 아니라 일반인도 해킹 방어 대회와 해킹 체험 프로그램, 어린이 학교 등에 참여한다”며 “앞으로도 인재 양성에 힘써 사회가 보안에 관심 가지도록 최선을 다하겠다”고 덧붙였다. 아래는 조현숙 이사장 약력 1979 전남대 수학교육 학사 1989 충북대 컴퓨터 석사 2001 충북대 컴퓨터 박사 한국전자통신연구원(ETRI) 사이버보안연구본부장 국가보안기술연구소장

2025.05.18 13:07유혜진 기자

두나무, 업사이드 아카데미 2기 발대식 개최

블록체인 및 핀테크 전문기업 두나무(대표 이석우)는 지난 3일 서울 강남구 업비트 라운지에서 '업사이드 아카데미' 2기 발대식을 개최했다고 4일 밝혔다. 업사이드 아카데미는 두나무와 티오리가 함께 진행하는 웹3 보안 인재 양성 프로그램이다. 글로벌 경쟁력을 갖춘 최정예 보안 전문가를 육성하는 것을 목표로 ▲사이버 보안 교육 ▲웹3 및 블록체인 보안 교육 ▲1대1 밀착 멘토링 ▲실무 연계 교육 등의 커리큘럼을 제공한다. 업사이드 아카데미 2기에는 이제 막 고등학교를 졸업한 학생을 포함해 대학(원)생, 직장인, 경찰 등 다양한 직군이 지원한 것으로 나타났다. 두나무는 약 2개월 간의 서류 및 실기 평가, 면접 전형 등을 통해 최종 20명을 선발했다. 이들은 앞으로 4개월간 두나무와 티오리가 제공하는 단계별(기본·심화·실전) 커리큘럼에 맞춰 학습하게 된다. 두나무는 참가자 전원에게 최신 사양의 노트북과 개인 전용 학습공간 등을 제공한다. 또 교육 지원금과 팀 활동비, 산재보험, 간식 등도 지원한다. 두나무와 티오리는 업사이드 아카데미를 통해 국내 최고 웹3 보안 전문가를 양성하고, 이를 통해 더 안전한 웹3 생태계를 조성한다는 계획이다. 2기 교육생으로 선발된 조영국 학생은 "학교에서 배울 수 없는 보안 실무 경험을 쌓을 수 있다는 게 업사이드 아카데미의 특징"이라며 "교육에 참여하기 위해 휴학을 결정한 만큼 웹3 보안에 제대로 몰입해 보겠다"고 포부를 밝혔다. 정재용 두나무 최고정보보호책임자(CISO)는 "업사이드 아카데미는 두나무 ESG(환경·사회·지배구조) 경영철학에 맞춘 청년 인재 양성을 목표로 한다"며 "참가자들이 날로 고도화되는 사이버 위협에 대응할 수 있는 톱티어 전문가로 성장할 수 있도록 적극적으로 지원하겠다"고 말했다. 박세준 티오리 대표는 "티오리의 웹3 전문부서인 체인라이트(ChainLight) 팀의 수준 높은 실력과 현업 노하우를 적극 활용해 실무형 보안 인재 육성에 최선을 다하겠다"며 "안전한 웹3 생태계를 만드는 데 주력하겠다"고 전했다.

2025.02.04 16:52김한준 기자

지금 뜨는 기사

이시각 헤드라인

[AI는 지금] "인류 통제 벗어날 수도"…세계 석학들이 보낸 적색 경보

"또 실패는 없다"…구글이 AI 글래스 '킬러앱'에 카톡 찜한 이유

"피지컬 GPT, 한국이 선도할 수 있다"

저평가주 외인 매수세에...SK텔레콤 주가 고공행진

ZDNet Power Center