박세준 티오리 대표 인터뷰...“근본적 변화 절실”
“보여주기식 투자보다 공격적 보안 전환 시급”
[보안뉴스 강현주 기자] “보안 투자 확대와 제도 강화가 추진되고 있지만, 근본적 변화가 수반돼야 외양간을 제대로 고칠 수 있습니다. 높아진 경각심이 반짝 관심으로 끝나지 않기를 바랍니다.”
국내 대표 모의해킹 기업 티오리의 박세준 대표는 최근 잇달아 불거진 다수 해킹 사태에 대한 소회를 이같이 밝혔다. 최근 소셜미디어에 올린 ‘딸깍, 대한민국 Off’라는 글을 통해 국내 산업이 마주한 보안 위협의 심각성을 지적해 눈길을 끌기도 했다.
박 대표는 서울 역삼동에 위치한 티오리 국내 본사에서 <보안뉴스>와 인터뷰를 가졌다.
그는 일련의 기업 해킹 사건들을 계기로 국가 전반적으로 보안 경각심이 높아진 지금의 기조가 또 다시 보여주기식 투자에 그쳐선 안된다고 강조했다.
▲박세준 티오리 대표가 <보안뉴스>와 인터뷰를 하고 있다. [자료: 보안뉴스]
“확대될 투자, 근본적 개선과 성장 선순환 이어져야”
최근 SK텔레콤과 예스24, SGI서울보증보험 등 국민 일상과 밀접한 기업들이 잇달아 해킹을 당하면서 정부는 기업의 보안 투자 강화 방안을 추진하고 있다. 보안 투자를 IT 투자 대비 일정 비율 이상으로 의무화하거나 ISMS 등 보안 인증 제도의 실효성을 강화하는 등의 안을 검토 중이다. 국내 주요 통신사들도 큰 폭으로 보안 투자 예산을 늘릴 방침이다.
박 대표는 이 같은 추세를 보안 산업 발전 측면에서 우선 긍정적인 신호로 읽었다. 하지만 분위기를 타고 확대된 자본이 마치 ‘눈먼 돈’처럼 시장에 돌고 그치는 것을 강하게 경계했다.
박 대표는 “정부의 노력으로 기업 보안 투자가 확대돼 보안 산업 성장으로 이어지는 것은 바람직한 일”이라며 “다만 물들어오니 노 저어 한탕하자는 마인드로 ‘연명’하는 회사들보다는, 연구 개발과 인재 양성에 재투자해 더 큰 성장으로 도약하는, 역량과 자세를 갖춘 보안 회사들에게 더 많은 기회가 가야한다”고 말했다. 이를 통해 보안 산업 성장과 국가 보안 강화를 모두 이루는 선순환으로 이어져야 한다는 게 그의 견해다.
박 대표는 최근 소셜미디어를 통해 한국은 공격자가 마음만 먹으면 국가 핵심 기반 시설까지 마비시킬 수 있는 위험한 상황이라고 지적한 바 있다.
그는 “단순히 한두 기업의 문제가 아닌, 사회 전반에 만연한 보안 불감증과 잘못된 관행의 결과”라며 “국제 사이버보안 지수에서 우리나라가 상위권이고 서류상으로는 안전해 보일 수 있으나, 실제 공격을 막아낼 수 있는 실전 능력과는 괴리가 크다”고 말했다.
그동안 우리나라는 체크리스트를 통과하는 ‘컴플라이언스 보안’에 안주해왔고, 이로 인해 실제 공격자들의 놀이터가 되어가고 있다는 게 박 대표의 지적이다.
그는 “해외 선진국들이 실제 위협을 탐지하고 선제적으로 대응하는 ‘공격적 보안(Offensive Security)’으로 패러다임을 전환하고 있는 것과 대조적”이라고 밝혔다.
“CISO 권한 강화하고 공격적 보안 체계로”
박대표는 국내 보안 체계가 근본적 변화에 성공하기 위한 핵심으로 보안 강화에 대한 ‘자율성’확보를 꼽았다. 자율을 위해 책임도 따라야 하는데, 그 이면에는 정보보호최고책임자(CISO)들에게 충분한 권한과 자원이 확보돼야 한다는 설명이다.
박 대표는 “미국은 해킹 사고가 터졌을 때 과징금과 피해보상액이 천문학적이며, 큰 책임을 지우기 때문에 스스로 선제적으로 보안을 강화할 수밖에 없다”고 말했다.
이어 많은 책임을 CISO들에게만 묻고 지원은 부족한 국내 실정을 언급했다.
박 대표는 “CISO들이 권한은 부족하고 책임만 큰 상황에 직면해 있는데, 이는 손발 묶인 채로 침해 당하고 나면 책임지라는 형국”이라며 “충분한 권한과 예산, 인력이 수반돼야 자율과 책임을 보장할 수 있으며, 특히 역량이 충분한 인력들이 필요하다”고 설명했다. 기업들이 해킹을 당하고도 미흡하게 대처한다면, 많은 경우 역량 부족이 요인일 수 있다는 지적이다.
박 대표는 특히 정부의 보안 투자 강화 정책 기조에 대해 보여주기식 보안 솔루션 도입보다는 ‘공격적 보안’에 초점이 맞춰져야 한다고 강조했다.
그는 “정부와 공공기관이 먼저 나서서, 예산을 투입해 자신들의 시스템을 적극적으로 해킹해보고 취약점을 찾는 공격적 보안 활동을 선도해야 한다”며 “이를 통해 보안의 중요성에 대한 인식을 제고하고, 산업 성장도 견인할 수 있다”고 말했다.
티오리를 이끄는 박세준 대표는 카네기멜론대학교에서 컴퓨터과학을 전공하고 록히드마틴 연구원을 지냈다. 카프리카시큐리티를 공동 창업했으며, 2016년부터 티오리한국과 티오리Inc.(미국) 대표를 맡고 있다. SK그룹 정보보호혁신특별위원회 자문위원으로도 활동 중이다.
[강현주 기자(jjoo@boannews.com)]
“보여주기식 투자보다 공격적 보안 전환 시급”
[보안뉴스 강현주 기자] “보안 투자 확대와 제도 강화가 추진되고 있지만, 근본적 변화가 수반돼야 외양간을 제대로 고칠 수 있습니다. 높아진 경각심이 반짝 관심으로 끝나지 않기를 바랍니다.”
국내 대표 모의해킹 기업 티오리의 박세준 대표는 최근 잇달아 불거진 다수 해킹 사태에 대한 소회를 이같이 밝혔다. 최근 소셜미디어에 올린 ‘딸깍, 대한민국 Off’라는 글을 통해 국내 산업이 마주한 보안 위협의 심각성을 지적해 눈길을 끌기도 했다.
박 대표는 서울 역삼동에 위치한 티오리 국내 본사에서 <보안뉴스>와 인터뷰를 가졌다.
그는 일련의 기업 해킹 사건들을 계기로 국가 전반적으로 보안 경각심이 높아진 지금의 기조가 또 다시 보여주기식 투자에 그쳐선 안된다고 강조했다.
▲박세준 티오리 대표가 <보안뉴스>와 인터뷰를 하고 있다. [자료: 보안뉴스]
“확대될 투자, 근본적 개선과 성장 선순환 이어져야”
최근 SK텔레콤과 예스24, SGI서울보증보험 등 국민 일상과 밀접한 기업들이 잇달아 해킹을 당하면서 정부는 기업의 보안 투자 강화 방안을 추진하고 있다. 보안 투자를 IT 투자 대비 일정 비율 이상으로 의무화하거나 ISMS 등 보안 인증 제도의 실효성을 강화하는 등의 안을 검토 중이다. 국내 주요 통신사들도 큰 폭으로 보안 투자 예산을 늘릴 방침이다.
박 대표는 이 같은 추세를 보안 산업 발전 측면에서 우선 긍정적인 신호로 읽었다. 하지만 분위기를 타고 확대된 자본이 마치 ‘눈먼 돈’처럼 시장에 돌고 그치는 것을 강하게 경계했다.
박 대표는 “정부의 노력으로 기업 보안 투자가 확대돼 보안 산업 성장으로 이어지는 것은 바람직한 일”이라며 “다만 물들어오니 노 저어 한탕하자는 마인드로 ‘연명’하는 회사들보다는, 연구 개발과 인재 양성에 재투자해 더 큰 성장으로 도약하는, 역량과 자세를 갖춘 보안 회사들에게 더 많은 기회가 가야한다”고 말했다. 이를 통해 보안 산업 성장과 국가 보안 강화를 모두 이루는 선순환으로 이어져야 한다는 게 그의 견해다.
박 대표는 최근 소셜미디어를 통해 한국은 공격자가 마음만 먹으면 국가 핵심 기반 시설까지 마비시킬 수 있는 위험한 상황이라고 지적한 바 있다.
그는 “단순히 한두 기업의 문제가 아닌, 사회 전반에 만연한 보안 불감증과 잘못된 관행의 결과”라며 “국제 사이버보안 지수에서 우리나라가 상위권이고 서류상으로는 안전해 보일 수 있으나, 실제 공격을 막아낼 수 있는 실전 능력과는 괴리가 크다”고 말했다.
그동안 우리나라는 체크리스트를 통과하는 ‘컴플라이언스 보안’에 안주해왔고, 이로 인해 실제 공격자들의 놀이터가 되어가고 있다는 게 박 대표의 지적이다.
그는 “해외 선진국들이 실제 위협을 탐지하고 선제적으로 대응하는 ‘공격적 보안(Offensive Security)’으로 패러다임을 전환하고 있는 것과 대조적”이라고 밝혔다.
“CISO 권한 강화하고 공격적 보안 체계로”
박대표는 국내 보안 체계가 근본적 변화에 성공하기 위한 핵심으로 보안 강화에 대한 ‘자율성’확보를 꼽았다. 자율을 위해 책임도 따라야 하는데, 그 이면에는 정보보호최고책임자(CISO)들에게 충분한 권한과 자원이 확보돼야 한다는 설명이다.
박 대표는 “미국은 해킹 사고가 터졌을 때 과징금과 피해보상액이 천문학적이며, 큰 책임을 지우기 때문에 스스로 선제적으로 보안을 강화할 수밖에 없다”고 말했다.
이어 많은 책임을 CISO들에게만 묻고 지원은 부족한 국내 실정을 언급했다.
박 대표는 “CISO들이 권한은 부족하고 책임만 큰 상황에 직면해 있는데, 이는 손발 묶인 채로 침해 당하고 나면 책임지라는 형국”이라며 “충분한 권한과 예산, 인력이 수반돼야 자율과 책임을 보장할 수 있으며, 특히 역량이 충분한 인력들이 필요하다”고 설명했다. 기업들이 해킹을 당하고도 미흡하게 대처한다면, 많은 경우 역량 부족이 요인일 수 있다는 지적이다.
박 대표는 특히 정부의 보안 투자 강화 정책 기조에 대해 보여주기식 보안 솔루션 도입보다는 ‘공격적 보안’에 초점이 맞춰져야 한다고 강조했다.
그는 “정부와 공공기관이 먼저 나서서, 예산을 투입해 자신들의 시스템을 적극적으로 해킹해보고 취약점을 찾는 공격적 보안 활동을 선도해야 한다”며 “이를 통해 보안의 중요성에 대한 인식을 제고하고, 산업 성장도 견인할 수 있다”고 말했다.
티오리를 이끄는 박세준 대표는 카네기멜론대학교에서 컴퓨터과학을 전공하고 록히드마틴 연구원을 지냈다. 카프리카시큐리티를 공동 창업했으며, 2016년부터 티오리한국과 티오리Inc.(미국) 대표를 맡고 있다. SK그룹 정보보호혁신특별위원회 자문위원으로도 활동 중이다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
