[보안 리딩기업] 티오리 "국내 최고요? 세계최고 해커들이 모여있습니다"
"국내 최고요? 세계 최고 해커들이 모여있습니다." 티오리(Theori) 박세준 대표는 최근 지디넷코리아와 인터뷰에서 "세계 최고 수준 화이트햇 해커들로 구성된 티오리한국 기술진은 데프콘(DEF CON)을 포함해 각종 국제 해킹방어 대회에서 70회 이상 우승했다"며 이 같이 밝혔다. 티오리는 박 대표가 2016년 1월 미국 오스틴에 설립한 보안전문 회사다. 다양한 사이버 보안 난제를 해결해 더욱 안전한 세상을 만들겠다는 목표로 탄생한 '오펜시브 사이버 보안' 전문 기업이다. '오펜시브 사이버 보안'은 전통적인 보안 접근 방식에서 한발 더 나아가 공격자(해커) 관점에서 고객 취약점을 분석해 최적의 솔루션을 제공하는 걸 말한다. 회사 이름 '티오리(Theori')는 이론(Theory)에서 시작해 혁신(Innovation)을 만들겠다는 뜻을 담고 있다. 박세준 대표가 미국 카네기멜런 대학교 동문인 앤드류 웨시 최고기술책임자(CTO)와 공동으로 창업했다. 한국법인(티오리한국)은 2017년 9월 세웠다. 서울 강남역 인근에 위치해 있다. 티오리 전체 직원 수는 올 1월 기준 100명이다. 한국에 90명, 미국에 10명이 근무하고 있다. 티오리한국이 받은 누적 투자 유치액은 230억 원에 달한다. 2018년 네이버 D2 스타트업 팩토리에서 처음으로 전략 투자를 받았고, 2022년도에는 아시아2G 캐피탈, 두나무 등이 투자했다. 박 대표는 "티오리한국은 전 세계 100여 개 기업 및 기관에 최상의 보안 컨설팅을 제공하며 글로벌 시장에서 기술력을 인정받고 있다"고 강조한 박 대표는 "미국 마이크로소프트(MS) 윈도 운영체계(OS)의 최종 보안 기술 검증을 수행했다. 또 구글 크롬 브라우저의 치명적인 취약점을 발견하고 해결책을 제시하는 등 세계 최고 수준의 IT 기업들과 어깨를 나란히 하고 있다"고 말했다. 이어 삼성전자, 네이버, 두나무, 토스 등 대한민국을 대표하는 기업들이 티오리한국과 함께 비즈니스 보안을 강화하고 있다면서 "대한민국 국방부와 미국 국방연구소와 같은 국가 핵심 기관 역시 티오리한국의 전문성을 신뢰하고 있다"고 밝혔다. 보안 컨설팅에서 시작한 티오리는 보안 솔루션 쪽으로 행보를 옮기고 있다. 수익성이 더 좋기 때문이다. 시장에 현재 제공하고 있는 서비스와 솔루션은 크게 세 종류로 ▲웹2와 웹3를 아우르는 보안 컨설팅 ▲6만명 이상 회원수를 보유한 보안 교육 플랫폼 드림핵(Dreamhack) ▲AI 기반 애플리케이션 보안 점검 솔루션 '진트(Xint)' 등이다. 올해말이나 연초에 LLM 취약점을 찾아주는 '알파프리즘(αprism)' 서비스를 선보일 예정이다. 박 대표(영어명 브라이언, Brian)는 한국에서 중학교를 마치고 미국으로 건너갔다. 미국 공립고등학교를 카네기멜론대학(Carnegie Mellon University)에 들어가 컴퓨터 과학(Computer Science)으로 학사와 석사 학위를 받았다. 대학 재학중 해킹 동아리 'PPP'를 설립, 여러 글로벌 해킹 대회에서 우승을 차지하기도 했다. 미국 방산업체 록히드마틴(Lockheed Martin)과 인연이 깊다. 대학 3학년때 인턴으로 있으며 우수 프로젝트 상을 받았다. 30년 이상 근무해도 받지 못하는 상을 인턴이 받아 당시 화제가 됐다. 티오리는 박 대표가 두번째로 창업한 회사다. 앞서 모바일용 디바이스 회사인 카프리카 시큐리티(Kaprica Security)를 설립, 공동 창업자 겸 개발자로 일했다. 그는 글로벌적으로 유명한 해커이기도 하다. 국내외 해킹대회에서 70회 이상 우승했다. 세계최고 해킹대회인 데프콘(DEF CON)에서 8회 우승하고 5회 준우승, 최다 우승 기록을 보유하고 있다. 박 대표를 '국보급 화이트해커'라 부르는 이유다. 해킹 올림픽이라 불리는 '코드게이트 CTF(CODEGATE CTF)'에서도 5회 우승, 역시 이 대회 최다 우승 기록을 갖고 있다. 티오리는 오는 7일 미국 라스베이가스에서 개막하는 '2025년 데프콘'에도 출전, 또 한번의 우승을 노린다. 올해도 우승하면 4년 연속 우승이라는 기록을 세운다. 아래는 박대표와 일문일답. -국보급 화이트해커라 불린다. 부담스럽지 않나? "당연히 부담스럽다. 나도 계속 배우는 사람이다. 보안은 기술이 계속 진화하고 바뀐다. 선도하기 위해선 이것들을 계속 따라가고 공부해야 한다. 공부를 매일 해야 되는 포지션이다." -10여년전 국내 언론이 3대 천재 해커로 박찬암 스틸리언 대표, 홍민표, 구사무엘을 뽑았었는데.... "그때 나는 미국에 있었다. 홍민표 대표님은 잘 안다. 현재 미국에서 여러 사업을 하고 있다. 민표 형은 나보다 사업가 마인드가 훨씬 확실하다.(웃음)" -한국에서 중학교를 마치고 미국으로 갔다. 혼자 간건가? 가족은? 한국의 입시 경쟁이 치열해 서 도미한 건가? 아님 선진 미국에서 공부하고 싶었나? "반반이다. 입시 스트레스가 싫은 것도 있었고, 새로운 것, 도전하는 걸 좋아하는 성격도 한몫했다. 가족없이 나 혼자 갔다. 선덕중학교를 졸업하고 미국 뉴저지주 웨스트 오렌지에 있는 공립고등학교에 들어갔다. 친척이 거기 살고 있었고, 거기서 홈스테이를 했다." -미국 고등학교 시절은 어땠나? 혼자가서 힘들었을 듯 하다 "당연히 힘들었다. 내가 간 미국 공립고등학교가 전교생이 2천 명 정도 된다. 그런데 한국말을 할 줄 아는 한국인은 나 하나밖에 없었다. 덕분에 영어가 빨리 늘었다 (웃음). 원래는 1년 늦춰 고등학교에 진학, 친구를 사귀고 영어를 더 배우려 했다. 그런데 미국 교육청에서 한국에서 중학교를 졸업했다며 바로 고등학교로 가라고 하더라. 힘들고 어려웠지만 자유를 얻었다는 점에선 매우 좋았다. 부모님이 안계시니 컴퓨터와 게임을 마음껏 할 수 있었다. 한국에서는 하루에 1시간 밖에 못했다. 말이 잘 안통하다보니 컴퓨터에 더 집중했던 것 같다. 지금도 그렇지만, 그때도 인복이 있었다. 미국 친구들이 잘 챙겨줬다. 동양인이라고 인종차별하지 않았다. 동네에 남미계열 사람들이 꽤 있어 그런 것 같다. 동아리 활동도 컴퓨터쪽으로 했다. 축구를 좋아해 원래는 축구 동아리를 하려했는데, 남미에서 온 얘들이 다 '메시'더라(웃음). 다들 체격도 좋고. 시험봐서 떨어졌다. 그래서 축구 대신 컴퓨터쪽 동아리 활동을 했다." -고등학교 때도 보안과 해킹에 관심이 있었나? "관심이 있었지만, 그때는 원리를 이해하지 못하고 했다. 대학교에서 원리를 배우고 이해하니 컴퓨터가 훨씬 재미있더라." -대학은 카네기멜론으로 갔다. 여기서 컴퓨터 동아리를 만들었다던데... "피츠버그에 있는 카네기멜론대학에 들어갔다. 컴퓨터를 좋아해서 이 쪽을 계속 팠다. 대학교 2학년때 해킹 동아리를 만들었다. 이름이 PPP(Plaid Parliament of Pwning)다. 첫번째 P는 Plaid로, 격자무늬를 뜻하는데, 카네기멜론의 학교 무늬다. 가운데 P는 Parliament로, 의회라는 말도 있지만, 어원을 찾아보면 잠 안자는 부엉이라는 뜻도 있다. 마지막 P는 Pwning인데, 은어로 차지한다, 소유한다는 Pwn에 ing를 붙인 거다. 'PPP' 시작은 5~6명으로 했다. 현재 KAIST에서 사이버보안센터장을 맡고 있는 차상길 교수님과 가천대서 금융보안 하시는 이종협 교수님도 PPP 멤버였다. PPP는 데프콘 등 여러 해킹대회에 나가 좋은 성적을 거뒀다. 뉴욕에서 열린 해킹대회는 첫 출전때부터 1등했다." -성격이 외향적인가? "회사 하면서 나중에 알게 된 거지만, 내향형이지만 뭔가 일을 벌리는 걸 좋아한다. 사람들을 모아 혼자 할 수 없는 일을 메이드해내는, 이런 걸 즐기는 스타일이다. PPP보다 앞서, 고등학교때 미국은 물론 전세계서 유학하고 있는 한국인들을 위한 온라인 커뮤니티를 만들기도 했다. SNS 플랫폼 이름이 '버디버디'였다. 당시 전세계에서 꽤 많은 한국인 유학생들이 참여했다. 한국에서 오프라인 모임을 갖기도 했다." -카네기멜론대학 석사를 1년만에 마쳤다고? "빡세게 연구해서 1년만에 석사 과정을 마쳤다. 방학때도 연구했다. 논문을 써야 해서 학교 공부보다도 연구한 시간이 훨씬 많다." -미국 방산기업 록히드 마틴에서 인턴 생활을 한 게 오늘날의 티오리로 이어졌다. 인턴이였지만 록히드 마틴에서 큰 상을 받았다던데 "대학교 3학년 때 록히드 마틴에서 인턴 생활을 했다. 몇 명이 같이 했다. 보안프로젝트를 맡았다. 일을 잘하니 회사에서 학교 근처에 사무실을 통채로 얻어줬다. 학교 다니면서 일하라고. 이 프로젝트로 30년 근속한 사람도 못받는 상을 인턴인 우리들이 받았다." -창업과 록히드 마틴과는 어떤 인연이 있나? "인턴으로 일하면서 록히드 마틴에 큰 도움을 줬다. 당연히 우리에게도 큰 보상이 올 것으로 생각했다. 웬걸? 우리한테는 쥐꼬리만한 보상이 주어졌다. 1인당 2천달러만 주더라. 일은 우리가 다 했는데. 불공평하다고 생각하고 있었는데, 우리 프로젝트를 관할한 록히드 마틴 상사가 "같이 창업하자"고 제안했다. 그래서 창업에 뛰어들었고, 티오리 전의 첫번째 회사를 만들었다. 창업을 하면 우리가 원하는 구조로 끌고 갈 수 있겠다 싶었다. 당시엔 철이 없었다(웃음). " -보안 전문가가 되겠다고 한 특별한 계기가 있나? "특별한 계기는 없다. 뭔가 계획한 건 아니고, 자연스럽게 그렇게 된 것 같다. 대학에 들어가 해킹 원리를 배우니 너무 재미있었고, 여러 해킹 대회에 나가 좋은 성적을 거뒀다. 해킹은 완전한 이해가 필요하다. 만든 사람보다도 더 잘 이해하고 의도를 알아야 한다. 만든 사람, 설계한 사람보다 더 잘 알아야 한다. 이 과정에서의 배움이 매우 재미있었다. 몰랐던 걸 이해했을 때의 성취감이 크다. 희열이 있다. 보안도 양날의 검이다. 어떻게 휘두르냐에 따라 사람을 살릴 수도 죽일 수도 있다." -티오리가 두번째 창업이다. 첫번째 창업은 어땠나? "첫 번째 회사는 2012년 창업해 3년후인 2015년에 엑시트(Exit) 했다. 모바일과 관련한 하드웨어 보안 회사였다. 엑시트까지 우여곡절이 많았다(웃음). 나를 비롯한 공동창업자들이 컴퓨터를 잘 알아 컴퓨터나 핸드폰의 운용체계(OS)를 꿰고 있다. 보안을 잘하려면 펌웨어나 시스템을 잘 알아야 한다. 시스템 검사는 앱 단위에서는 못한다. 외부 하드웨어가 필요하다. 당시 모바일 백신이 우후죽순으로 나오던 시절인데, 모바일 백신이나 MDM(Mobile Device Management)은 결국 앱이기 때문에 OS를 잠식하면 다 속일 수 있다. 이를 막을 수 있는 하드웨어 칩을 우리가 만들었다. 이걸 들고 삼성전자에 갔는데, 당시 삼성은 이미 다른 방식으로 보안을 하고 있었다. 그래서 발길을 삼성 경쟁사로 돌렸다. 이들은 매우 좋아했다. 그런데 이 회사가 실적이 안좋아지면서 딜이 성사 일보 직전에 깨졌다. 성사 됐으면 백만장자가 될 수 있었다.(웃음). 딜이 깨지고 난 후 투자금을 갚느라 1년반 동안 죽어라 일했다. 미국 정부 과제를 미친 듯이 했다. 미국 정부 과제는 한국과 다르다. 규모가 매우 크다. 1년반 열심히 일해 투자금을 다 갚았다. 메타가 우리를 인수하려 한 적도 있다. 당시 스타트업이라는 게, 인생이라는 게 뜻대로 되지 않는구나, 하는 생각을 했다." -4명이 공동으로 티오리를 창업했다. 본사가 오스틴인데... "첫 번째 창업회사에서 같이 일한 4명이 공동으로 티오리를 세웠다. 2016년 1월 법인으로 등록했다. 현재는 4명 중 2명이 떠나고 2명만 있다. 나와 미국인 CTO 앤드류다. 앤드류와는 대학 동문이다. PPP 동아리 활동도 같이 했고, 록히드 마틴 인턴 생활도 같이 했다. 본사를 오스틴으로 한 건, 첫번째 창업지인 워싱턴DC는 깔끔하고 좋았지만, 당시 20대인 우리들에겐 다소 따분했다. 시애틀, 뉴욕, 샌프란시스코, 마이애미 등을 놓고 고르다 오스틴으로 낙점했다. -누적 230억 투자를 받았다. 다음 투자 유치는 언제? "다음 라운드는 내년 상반기말 정도로 보고 있다. 그때 상황을 봐야 한다. 우리가 지금 돈이 필요한 상황이 아니다. 솔루션 개발을 하다보니 올해는 투자를 더 많이 하고 있는 중이다. 스케일업을 하려면 솔루션 사업을 해야한다. 투자자들이 간섭하는 건 없다. 알아서 하라고 한다." -현재하고 있는 비즈니스는? "크게 세 종류다. 첫째, 우리가 오랫동안 하고 있는 '드림핵(Dreamhack)' 이라고 하는 교육 플랫폼 서비스다. 유료다. 원래 개인한테는 무료였는데 최근 부분 유료로 바뀌었다. 구독형이다. 엔터프라이즈 솔루션은 따로 있다. '드림핵'은 보안이론을 공부하고 실습할 수 있는 공간이기도 하다. 보안 실력을 기르고 지식을 공유하는 하나의 플랫폼이다. 모의 해킹을 할 수 있는 서비스인 '진트(Xint)'도 있다. 모의해킹을 AI 기반으로 할 수 있게 고도화하고 있다. 각 도메인에서 모의 해킹을 하려면 우리같은 기업에 비싼 돈을 주고 시행해야 하는데, '진트'를 이용하면 자체적으로 URL만 넣으면 할 수 있다. 보고서까지 만들어준다. 세계적으로 이런 서비스를 하는 곳이 몇 곳 안된다." -'드림핵'과 '진트'의 성과를 말해준다면 "드림핵은 2020년 론칭한 국내 최대 보안 교육 플랫폼이다. 현재 회원 수는 약 7만명 이상이다. LG전자를 포함해 40여 개 기업 고객을 보유하고 있다. '진트'는 작년 RSAC에서 베타 론칭한 것으로, 약 50개 사이트를 대상으로 자동 모의해킹을 수행, 취약점을 150개 이상 발견했다." -티오리 서비스는 외국 경쟁사와 비교해 어떤 장점이나 비교우위가? "우리는 세계 최고 수준 해커들을 보유하고 있다. 해킹에 기반한 제품과 서비스를 제공하고 있다. 엄청나게 많은 기업들을 대상으로 취약점을 점검하고 경험을 쌓았다. 어떤 산업에 어떤 취약점이 있는 지를 잘 알고 있다. 이런 경험을 AI에 학습시켰다. AI를 활용해 단순히 자동화 도구를 업그레이드한 게 아니다. AI를 사용한다는 점에서는 비슷하지만 접근 방식이나 푸는 문제가 우리와 다르다. 우리는 진짜 사람이 해킹한 노하우를 자동화했다. 이에, 우리가 훨씬 더 정교하고 취약점을 찾아낼 확률이 훨씬 더 높다. 버그바운티에 많이 참여한 수준이 아니다. 데프콘에서 우승한 해커들이 만든 툴이고, 기업에 특화한 것들을 처음부터 만들었다는 점에서 차별성이 있다. 티오리 해커들은 데프콘같은 세계적 해킹 대회에서 매년 우수한 성적을 거둔다." -앞으로 나올 서비스나 솔루션은? "Security for AI, 즉 AI 시대를 위한 보안을 책임지는 제품을 내놓을 예정이다. 파운데이션 모델의 취약점을 찾아주는 AI Red Teaming을 통해 발견한 공격을 차단하고, 임직원들이 다양한 AI와 LLM 서비스를 사용할 때 민감 및 기밀 정보나 개인정보가 유출되지 않도록 가시성을 확보해주고 차단해주는 서비스다. LLM의 DLP(Data Loss Prevention, 데이터 유출 방지)로 보면 된다. 서비스 이름이 '알파 프리즘'이다. 상용화는 연말이나 내년초쯤으로 예상하고 있다." -매출과 이익은 얼마인가? "한국 매출은 작년에 90억쯤 한 것 같다. 솔루션을 만드느라 작년에 한국법인 설립 이후 처음으로 손실을 냈다. 미국과 연결한 매출은 130억 이상이다. 이익은 매년 20억~30억 정도를 내고 있다." -해커는 몇 명이나? "50명쯤 된다. 해외 데프콘과 국내 코드게이트 등에서 우승한 친구들이 많다. 국내외 해킹 대회에서 항상 톱수준(톱티어)에 있는 친구들이다. 실무적으로도 경험이 세계 최고 수준이다. 이쪽으로 뜻을 갖고 있거나, 실력이 있는 친구들이라면 우리 회사에 들어와도 좋을 것 같다. 우리는 국내 뿐 아니라 세계 무대에서 인정받고 있고, 또 세상을 더 안전하게 만들어가는 의미 있는 일을 하고 있다. 이런 사람들이 모여있는 '어벤져스' 회사다. 조인하고 싶은 사람들은 적극적으로 문을 두드려 달라." -올해 데프콘에도 본선에 진출했다. 올해도 우승하면 4연 연속 우승인데.... "예선전은 작년 데프콘때 이미 했다. 90여 개 팀이 지원을 했고 이중 40여 개 팀이 예선 진출을 했다. 우리가 예선전에서 1등했다. 이중 7개 팀이 본선에 진출, 자웅을 겨룬다. 예선과 본선은 경연 정도가 다르다. 예선때는 새로운 코드를 주고, 이 코드의 취약점만 찾아내면 된다. 본선은 아니다. 코드 몇백만줄 짜리를 그냥 던져주고 (취약점을) 찾으라고 한다. 이게 진짜 테스트다." -기업문화는 어떤가? "자율 출퇴근제에 무제한 휴가제를 운영하고 있다. 또 근속 3.5년마다 1개월 리프레시 휴가를 준다. 꼭 나인 투 식스(9 to 6)도 아니다. 자유롭게 일한다. 정해진 출퇴근 시간도 없다. 개발 장소도 마찬가지다. 재택 하는 직원도 많다. 그런데 집에서 혼자 하면 심심하다며 사람들하고 같이 얘기하고 싶다며 사무실에 나오는 사람들이 많다.(웃음)." -SK텔레콤과 예스24, SGI서울보증보험 등 국내서 보안 사고가 잇달으고 있는데... "정부 노력으로 기업 보안 투자가 확대돼 보안 산업 성장으로 이어지는 것은 바람직한 일이다. 하지만 한탕하자는 마인드는 곤란하다. 연구 개발과 인재 양성에 재투자해 더 큰 성장으로 도약하는, 역량과 자세를 갖춘 보안 회사들에게 더 많은 기회가 주어져야 한다. 국제 사이버보안 지수에서 우리나라가 상위권이지만 실제 공격을 막아낼 수 있는 실전 능력과는 거리가 있다. 해외 선진국은 실제 위협을 탐지하고 선제적으로 대응하는 '공격적 보안(Offensive Security)'으로 패러다임을 전환하고 있다. 미국은 해킹 사고가 터지면 과징금과 피해보상액이 천문학적이다. 큰 책임을 묻기 때문에 선제적으로 스스로 보안을 강화한다."
