“사이버 보안 투자, 기업활동 방해물 인식부터 개선해야”

사이버보안 업체 티오리 박세준 대표

기업들 해킹 당하고도 모르거나 쉬쉬 문화 만연

보안, 방어 아닌 공격자 관점에서 대응해야

투자 확대 위해선 소비자들 목소리 커질 필요도

박세준 티오리 대표가 17일 서울 강남구 서울사무소에서 진행된 인터뷰에서 사이버 보안에 대한 국내 기업들의 인식 개선을 강조하고 있다. 성형주 기자

“한국 기업들은 사이버 보안을 투자가 아닌 불필요한 지출로 인식합니다. 성장을 위한 투자에 방해되는 걸림돌로 보기 때문에 긴축 경영 과정에서 구조조정 대상 1순위에 오르죠. 해킹에 쉽게 노출되는 이유입니다.”

박세준 티오리 대표는 17일 서울경제신문과의 인터뷰에서 SK텔레콤 해킹 사고와 SGI서울보증 전산망 마비 등 최근 고객 개인정보가 대량으로 유출된 국내 기업들의 사이버 침해 사고를 두고 “한국은 제3국 해커들이나 조직적으로 움직이는 북한·중국 등 해킹 그룹의 주요 타깃”이라며 “그동안 이러한 위험에 노출돼 있다는 사실을 알고도 너무 안일하게 대처해온 결과”라고 지적했다.

미국에 본사를 둔 티오리는 박 대표가 2016년 세운 사이버 보안 기업으로, 세계 최고 해킹 방어 대회인 해커 월드컵 ‘데프콘 CTF(Capture The Flag)’에서 여덟 차례 우승을 차지할 정도로 실력파로 구성됐다. 박 대표는 “소속 화이트햇 해커 60명이 구글, 마이크로소프트(MS), 이더리움파운데이션, 삼성전자, 네이버 등 국내외 다양한 기업과 협력하며 정보 보안 컨설팅과 다양한 사이버 침해 대응 활동을 수행하고 있다”며 “현재 담당하는 보안 자산 규모만 수백조 원에 달한다”고 설명했다.

화이트햇 해커인 박 대표는 국내 사이버 보안 현실에 대해 ‘보안 불감증’의 세상에서 살고 있다고 평가했다. 그는 “국내 기업들 사이에서 사이버 보안 점검은 연말에 남은 예산을 소진하는 차원에서 치러지는 연례행사”라며 “이러한 기업 문화 때문에 보안 업계는 새로운 투자가 이뤄지는 1분기를 ‘보릿고개’라고 부른다”고 꼬집었다. 그는 해킹 피해의 위험성을 암에 비유하며 “예방이 가장 중요하고, 발생 시에는 전이를 막기 위해 정밀한 진단과 완벽한 처방이 필요하다”고 강조했다. 이어 “한 번 해킹을 당하면 암처럼 어디까지 전이됐는지부터 확인해야 한다”며 “성급히 판단해 추가 피해가 나면 복구가 불가능해질 수 있다”고 설명했다.

박세준 티오리 대표가 서울 강남구 티오리 본사에 전시된 해킹 방어 대회 상장을 배경으로 환하게 웃고 있다. 성형주 기자

박 대표는 정부와 기업을 상대로 한 해킹 공격에 대해 지금까지 밝혀진 것은 빙산의 일각에 불과하다고 진단했다. 최근 몇몇 대형 해킹 사고가 알려지면서 심각성이 드러났을 뿐 이미 오래전부터 한국 기업을 대상으로 빈번하게 발생해왔다는 것이다. 그는 “그동안 해킹을 당하고도 당사자가 모르거나 공론화되지 않은 경우가 많았다”며 “심지어 해킹 피해를 인지하고도 신고하지 않는 기업들 또한 상당수”라고 전했다. 앞서 과학기술정보통신부 민관합동조사단의 조사 결과 SK텔레콤은 2022년 2월 악성코드 감염 서버를 발견하고도 신고하지 않았던 것으로 드러났다. SK그룹 정보보호혁신특별위원회 자문위원이기도 한 박 대표는 “SK텔레콤 해킹 사태를 계기로 기업들이 사이버 보안이 심각한 경영 리스크라는 사실을 깨달았으면 좋겠다”고 말했다.

박 대표는 “기존에는 방어를 중심으로 최소한의 대응을 해왔지만 진화하는 사이버 위협을 막기에는 역부족”이라며 기업들의 적극적인 대응을 주문했다. 그는 “보안 분야에 대한 선제적인 투자가 절실하다”며 “‘오펜시브 시큐리티(Offensive Security)’, 즉 공격자 관점에서의 접근이 필요하다”고 말했다. 오펜시브 시큐리티는 해커를 능가하는 보안 시스템을 마련하기 위해 해커들의 전술을 공부하고 이해하는 공격적 보안을 의미한다. 박 대표는 정부 차원에서 보안 전문가 양성에 보다 적극적으로 나서야 한다고 강조했다. 그는 “전 세계적으로 보안 인력이 부족한 상황이지만 특히 한국은 투자가 부족하다 보니 역량 있는 인재들을 확보하기 어렵고 결국 국가의 보안 수준이 떨어지는 악순환이 반복되고 있다”고 지적했다.

박 대표는 정부와 기업이 사이버 보안에 대한 투자를 확대하기 위해서는 사회적 인식 개선이 필요하다고 강조했다. 그는 “기업이 사이버 보안 위협에 안이하게 대처하는 원인 중 하나는 개인정보가 유출되는 일이 생겨도 피해를 본 당사자들이 대수롭지 않게 넘기는 문화가 만연한 것”이라며 “기업과 공공기관이 해킹을 당하면 내 삶에 직접적으로 피해를 받는다는 생각으로 보안 시스템 개선과 보상에 대한 요구가 있어야 사이버 보안에 더 신경 쓰려는 노력이 생길 것”이라고 말했다.

티오리는 기업들을 위해 프로그래밍된 가상의 해커를 통해 지속적으로 모의 해킹 테스트를 할 수 있는 인공지능(AI) 기반의 보안 프로그램 ‘즌트(Xint)’ 출시를 앞두고 있다. 즌트를 이용해 주기적으로 보안 시스템을 점검해서 해킹에 대한 취약점을 찾아내는 일종의 사전 진단 프로그램을 통해 비용 부담이 큰 중소기업들이 보안 시스템을 도입할 수 있도록 진입장벽을 낮출 계획이다. 박 대표는 “해커들의 공격으로부터 세상을 안전하게 지키려면 사이버 보안의 문턱부터 낮춰야 한다고 생각한다”면서 “보안 시장이 성장하고 티오리를 포함한 관련 기업들과 화이트햇 해커들이 늘어나 해킹으로 인한 피해를 줄이는 선순환이 이어지기를 기대한다”고 말했다.