술렁이는 보안업계, 티오리 대표 ‘폄하성 발언’ 논란

Source: Byline Network

개요

오펜시브 보안 전문기업 티오리(Theori)를 두고 국내 정보보안업계가 술렁이고 있다. 박세준 티오리 대표가 지난 8일 과학기술정보통신부 장관 주재 미토스(Mythos) 관련 비공개 간담회에서 국내 보안 솔루션을 두고 폄하성으로 비칠 수 있는 발언을 한 것으로 알려지면서 논란이 일었다. 일부에서는 “국내 보안업계에 대한 폄하성 발언으로 받아들일 수 있다”고 문제를 제기하고 있다. 한국정보보호산업협회(KISIA)도 공식 사과 요구 등 대응을 검토 중이다.

박 대표는 “국내 보안업계를 폄하하려는 취지가 아니라, 화이트해커로서 현장에서 관찰한 문제를 공유한 것”이라고 입장을 밝혔다.

“국내 보안 솔루션, 외산과 100배 차이” 발언에 술정

과기정통부 주재 간담회에 참석한 보안 분야 관계자는 “현장에서 문제가 될 수 있는 발언이라고 느낀 대목이 몇 번 있었다”고 전했다. 박 대표는 국내 보안업체와 외국 보안업체의 솔루션을 비교하며, 국내 제품이 공격자 관점에서 훨씬 침투·우회하기 쉽다는 식으로 발언했다. 구체적으로는 “국내 업체는 외산 솔루션 대비 뚫리기가 100배로 쉽다”는 표현이 나왔다.

또한 박 대표는 “국내 보안 솔루션이 해킹의 통로로 이용되고 있다”는 취지의 발언도 한 것으로 알려졌다. 여러 보안업체 대표들은 이러한 발언이 심각하다고 지적했다.

박 대표가 정부에 인공지능(AI) 투자에 들어가는 토큰 사용 비용 지원을 요청한 점도 문제로 꼽혔다. 토큰 사용 비용은 AI 모델로 대규모 코드와 시스템을 분석할 때 발생하는 모델 사용 비용이다. 관계자는 “특정 기업의 지원 요청처럼 들릴 수 있었다”고 말했다. 티오리는 현재 앤트로픽 ‘글래스윙’과 유사한 AI 보안 협력체 ‘프로젝트 캐노피’를 준비 중이다.

보안업체 대표들은 박 대표의 발언이 국내 보안 제품 전반을 일반화할 위험이 있다고 우려했다.

• “취약점 탐지·모의해킹 관점에서는 취약점만 볼 수 있지만, 보안 제품은 기능과 성능을 함께 봐야 한다”
• “제품만 놓고 말할 것이 아니라, 국내 보안 솔루션이 제값을 받지 못하는 구조·인증 과정·패치 어려움·투자 여력 부족 등 보안 생태계 전체를 함께 봐야 한다”

다른 대표는 “객관적 증명이나 정량적 근거 없이 정성적인 표현으로 말하면 듣는 사람 입장에서는 그것이 정답처럼 받아들여질 수 있다”고 지적했다. 공식 간담회에서는 차이의 구체적 근거와 기준을 명확히 해야 한다는 의견도 나왔다.

KISIA 관계자는 박 대표 발언이 국내 정보보호 산업에 대한 공개적 폄하로 받아들여질 수 있다고 우려했다. “국내 보안 제품이 완벽하다는 뜻은 아니다. 몇 안 되는 국산 솔루션을 모두 다 해봤을 리도 없고, 일반화는 부적절하다”고 강조했다.

취약점 정보 관리 방식 놓고 우려

티오리를 둘러싼 논란은 발언 하나에 그치지 않는다. 티오리의 취약점 정보 관리·공개 방식도 비판을 받고 있다.

• 한 관계자는 “티오리가 취약점을 찾아 임의로 공개하거나 외부에 노출한 사례가 여러 차례 있었다”고 밝혔다.
• 지난해 KT 침해사고 수습 과정에서 확인된 취약점 정보가 외부에 공유돼 법적 대응 가능성이 제기된 바 있다.

티오리는 미국 텍사스주 오스틴에 본사를 두고 있으며, 한국에는 티오리한국이라는 법인을 운영한다. KISIA 관계자는 “많은 사람들이 티오리를 한국 기업으로 오해한다”고 지적했다. 해외 기업이 민감한 정보에 접근하는 점은 국내 보안업계에 우려를 낳는다. 특히 군·국가정보원·핵심 인프라와 관련된 익스플로잇·제로데이 취약점이 미국 본사와 공유될 경우 안보 문제가 발생할 수 있다는 의견이 제시되었다.

또한 티오리가 정부 연구개발(R&D) 사업과 주요 기관 프로젝트에 참여하고 있다는 점에서, “우리 세금으로 미국 기업을 지원하는 것이 아니라 국내 보안 산업을 진흥시켜야 한다”는 비판이 제기되고 있다.

박세준 대표 “폄하 아닌 동료로서 솔직한 진단”

박세준 대표는 “당시 간담회는 부총리가 산업계의 솔직한 현장 의견을 듣고 싶어 요청한 비공개 자리였다”며 “화이트해커이자 오펜시브 보안 회사 대표 입장에서 현장에서 관찰한 진단을 가감 없이 공유한 것”이라고 설명했다.

그는 발언의 핵심 취지를 “AI가 공격 비용을 급격히 낮추고 있는 지금, 우리에게 남은 시간은 수년이 아니라 수개월이며, 산업 전체가 정직한 자기 진단을 거쳐 제품·서비스 품질을 실질적으로 끌어올려야 한다”는 점이라고 강조했다. 이어 “정부, 학계, 보안 기업이 함께 협업해야 한다”는 메시지를 전했다.

박 대표는 지난 12일 페이스북 글에서도 “보안 향상을 위해 도입한 솔루션이 오히려 적국이나 범죄집단이 최고 권한을 획득하는 통로가 된 사례가 많았다”고 언급했으며, “EDR·관제 영역에서도 국내·해외 솔루션 도입처를 비교했을 때 공격자 관점에서 침투·우회 난이도 차이가 극명하다”고 덧붙였다.

그는 “특정 제품·환경 단위의 평가이며, 국내 보안 솔루션 전반에 대한 평가는 아니다”라고 재차 강조했다. 또한 “티오리가 수년간 수행한 모의해킹·침해사고 분석에서 통계적으로 관찰된 패턴을 공유한 것”이며, “외산 제품 중 취약했던 사례와 국내 제품 중 견고했던 사례 모두 포함한다”고 밝혔다. “도입 비중과 침투 경로 빈도 측면에서 의미 있는 차이가 관찰된다는 점을 공유한 것이지, 모든 국내 보안 제품이 부족하다는 일반화는 아니다”라고 덧붙였다.

그는 “발언을 폄하로 받아들인 동료 대표들에게 송구한 마음”이라면서도 “본래 의도와 일부 부정확한 인용 사이에는 명확한 차이가 있다”고 강조했다.

취약점 정보 공개 원칙

• 개별 클라이언트 사안은 비밀유지계약(NDA)과 책임 있는 정보 공개(CVD) 원칙에 따라 처리한다.
• 제품·장비의 취약점은 해당 벤더에 우선 통보하고, 운영 중인 서비스·시스템의 취약점은 운영 주체에 통보한다.
• 발견 시 비공개 채널을 통해 전달하고, 영향 범위에 따라 다자간 협의를 거쳐 확대한다.
• 패치·완화 조치에 합리적 기간을 부여한다(구글 프로젝트 제로, Trail of Bits 등 글로벌 표준 관행).

미국 본사와 한국법인 간 정보 공유

• 티오리(Theori) Inc.와 티오리한국은 별도로 운영되는 독립 법인이다.
• 한국 클라이언트 업무는 전적으로 티오리한국의 한국 임직원이 수행한다.
• 민감 정보는 티오리한국 내부에서 관리되며, 미국 본사로 자동 흐르는 경우는 없다.
• 접근 권한은 최소 인력으로 제한되고, 모든 접근은 로그와 감사 대상이다.
• 회사는 ISO/IEC 27001:2022 인증 및 SOC 2 등 국제 인증을 획득하고 체계를 정비 중이다.

글. 바이라인네트워크 god8889@byline.network