"해킹보안 공부 쉬워지는 세상 만들겠다"

"제품을 처음 만들 때부터 구멍이 적어야 좋다. 개발자의 보안 지식과 의식이 전반적으로 향상되면 더 안전한 설계, 안전한 플랫폼을 통해 더 안전한 결과물이 나올 것으로 기대한다. 이 사람들이 보안을 더 쉽게, 편하게, 효과적으로 배울 수 있어야 한다. 기초적인 것을 온라인으로 다루고 심화된 내용을 오프라인으로 제공하는 교육플랫폼 서비스를 준비하고 있다. 해킹보안 공부가 더 쉬워지는 세상을 만들려고 노력하고 있다."

박세준 티오리 대표가 내년 신사업으로 보안분야 전문교육 온라인 플랫폼 서비스를 준비 중이라고 밝혔다. 기업내 제품 개발자와 보안담당인력들이 더 효율적으로 보안 분야 기초 단계부터 심화지식을 쌓아 전반적인 보안수준을 '상향 평준화'하겠다는 구상이다.

티오리는 설립자 박세준 대표를 포함해 글로벌 보안 및 해킹 분야 대회에서 우수한 성적을 거둔 보안 전문가들이 모여 2016년 1월 설립된 미국 사이버보안 스타트업이다.

박세준 티오리 대표는 국제해킹방어대회 데프콘(DEFCON) 최다우승기록 보유자다. 그는 과거 미국 카네기멜론대학교 재학 당시 해킹동아리 PPP(Plaid Parliament of Pwning)를 창설해 데프콘에서 4번의 우승을 경험했다.

티오리는 그간 네이버, 두나무, 마이크로소프트, 페이스북, 현대모비스 등 국내외 고객을 대상으로 기업의 애플리케이션, 서비스, 시스템 보안취약점을 분석하는 보안컨설팅 사업과 보안담당자 대상 오프라인 개발보안 교육사업을 벌여 왔다. 지난해 2월 한국시장에 진입했다. 한국법인(티오리한국) 설립 1주년을 맞을 무렵인 지난달, 네이버 투자유치 소식을 내놓으며 국내 사업 성장 방안의 일환으로 신사업을 준비 중이라 밝혔다.

박 대표는 한국법인 설립 1년을 갓 넘긴 최근 인터뷰에서 신사업 계획 일부를 공개했다. 보안전문가가 아니라 기업의 개발자 및 보안인력을 대상으로 한 보안교육과정을 온라인 플랫폼을 통해 운영할 계획이다. 이밖에 한국법인을 포함한 회사 현황, 다른 보안컨설팅 서비스업체 대비 차별점, 한국법인의 규모 확장에 집중하게 된 배경 등을 함께 언급했다.

다음은 박 대표와의 1문 1답이다.

- 티오리 한국법인 설립 계기와, 회사 현황을 들려 달라

"티오리는 미국에서 2016년 1월 설립했다. 앞서 다른 보안분야 스타트업(카프리카시큐리티)을 했는데, 그 회사에서 연구원들만 함께 나와서 시작했다. 한국법인은 2017년 9월 설립돼 1년 조금 넘게 운영하고 있다. 현재 규모는 16명인데 미국법인 소속은 2명이고 한국법인이 14명이다. 연말연초에 두세명을 더 채용할 예정이라 곧 20명 가까이 될 듯하다.

사실 한국법인 설립 아이디어는 우스갯소리처럼 시작됐다. 2016년 여름쯤 미국에서 보안관련 컨퍼런스에 참가했다. 한국에서 온 발표자들이 많은 자리였다. 그 중 어느 분이 '한국에 (해킹) 잘 하는 분이 많은데 지사를 만드는 게 어떠냐'고 묻더라. 마침 (한국에) 같이 일하고 싶은 사람들이 많았는데, 괜찮다고 생각했다. 이미 알고 있는 한국 분들이 (인재로서) 매력적이었기도 하고 어느정도 관계 형성도 돼 있었다."

- 늦게 만든 한국법인 규모가 더 큰 점이 의외다

"원래는 회사 규모를 크게 키울 생각은 없었다. 지금도 없다. 항상 엘리트집단을 지향한다. 사람 수가 적더라도 아무나 할 수 없는 일을 골라서 하자는 생각을 갖고 있다. 하지만 한국에 대회를 통해 만난 유능한 해커가 많아서(많이 뽑았다). '모든 게 타이밍'이라는 게 내 신조다. 원하는 인재가 있다면 (당장 회사 규모를 고려하기보단 일단) 붙잡고 본다.

미국에서 같이 일했으면 했는데 비자 문제로 쉽지 않았다. 그냥 한국에서 일하자, 해서 한국법인을 만들었다. 현시점에 팀원으로 모실 수 있는 유능한 인원, 마음맞는 사람들이 한국에 더 많기도 했고. (현지 인력 채용시) 거주지 문제가 있었다. 미국은 땅이 커서 사람들이 기본적으로 멀리 퍼져 있다. 연봉 문제도 있는데, 실리콘밸리가 특히 심하다. 실력대비 몸값을 불리는 경우가 많다."

- 사이버보안R&D 전문회사를 표방하는데, 차별화 요소가 뭔가

"솔루션을 만들지 않고 있다는 점이 다른 스타트업과 다르다. 컨설팅과 서비스만 제공한다. 고객사의 플랫폼이나 취약점을 점검할 때 새로운 관점으로 볼 수 있는 걸 지향한다. 남들이 쉽게 찾아낼 수 없는 취약점을 도출하고자 한다. 그래서 구성원 각자의 스킬, 지식과 창의적인 접근방법이 중요하다. 남이 모르는 걸 선도해야 한다. 새로운 기법을 주제로 끊임없이 연구개발을 해야 하고 내부에서도 자주 공유한다.

솔루션을 다루지 않는 게 장점이자 단점이기도 하다. 컨설팅은 먹고사는 것에 지장이 없지만 인력싸움이란 한계가 있다. 인적 리소스를 들이는 만큼 대가가 돌아오기 때문이다. 시간을 들인 만큼 벌지만 확장이 안 된다. 솔루션을 갖고 있으면 일정 규모 이상 인력을 늘리지 않더라도 고객수를 늘릴 수 있지만, 우리는 한정적 인력과 시간을 배분해야 한다는 차이가 있다."

- 최근 보안컨설팅 고객사 네이버로부터 투자받은 뒤 변화는

"당장은 없다. 당장 기업 방향성을 조정하는 목적보다는, 장기적인 관점에서 전략적 투자로 진행됐다. 우리가 교육플랫폼 서비스사업을 준비하고 있는데 그 원론적인 취지를 네이버가 공감해줬고, 지원사격 해준 측면이 있다. 코딩교육은 목차와 커리큘럼이 잘 짜여진 레퍼런스가 있는데 보안교육은 정리가 잘 돼 있지 않다. 자료는 많은데 기초적인 내용을 주입식으로 제공하고 원리적 설명이 부족하다.

우리는 (교육플랫폼 서비스사업으로) 보안분야 기초부터 심화까지 커리큘럼을 탄탄하게 짜서 운영하려고 한다. 우리 구성원 각자가 10년 전부터 현재까지 공부해오면서 느끼고 쌓았던 배움의 노하우, 어떻게 배워야 효율적으로 이해하고 습득할 수 있을까를 바탕으로. 각 분야 지식습득, 경쟁, 질의응답까지 할 수 있는 통합적인 온라인 플랫폼으로 만들려고 한다."

- 보안전문교육 자체는 이미 제공하던 서비스 아닌가

"그간 오프라인으로 삼성전자같은 곳에서 기업 개발자와 보안담당자 대상 교육을 많이 해왔다. 이 방식에서 한계점이 명확했다. 들어올 수 있는 인원에 제약이 있어 각 부서마다 한두명이 차출돼 듣는다. 그런데 부서마다 실무적 배경과 참석자 개인별 역량차가 크다. 이런 편차를 고려해 내용을 너무 쉽게 구성하면 누군가는 지루해하고, 많이 아는 사람에게 맞추면 뒤처지는 사람이 흥미를 잃는다.

각자의 배경과 지식에 맞춰 효율적으로 배울 수 있게 해야지 않을까. 심화과정의 전문교육을 하고싶어도 참석자들 배경과 역량이 너무 다르다. 일단 상향평준화를 시켜놔야 한다. 그래서 온라인 강의를 통해 기초적인 내용을 다루고, 오프라인으로 심화된 내용을 다루려고 한다. 기초적인 공통과정을 만들고 수강하게 하면, 그 배경이나 역량을 예상해 심화과정으로 유도할 수 있을 거다."

- 투자유치 발표때 언급했던 '한국사업 성장' 일환 계획인가

"여러 계획 중 하나로 준비되는 신사업이라 보면 된다. 해커가 되려는 보안전문가가 아니라 개발자, 기업내 보안담당자를 대상으로 한다. 그동안 만들어진 제품의 취약점을 찾고 막는 역할을 해 왔다면, 그것도 중요하지만, 더 좋은 건 제품을 처음 만들 때부터 구멍이 적은 것이다. 개발자들이 그런 더 안전한 설계, 더 안전한 플랫폼을 만들 사람들이다. 전반적인 보안 지식과 의식이 향상돼 더 안전한 결과물이 나올 것으로 기대한다."

기업의 개발자와 보안담당자들이 해킹과 보안 컨셉을 더 쉽게 이해하고 공부해서 자기들이 만든 서비스나 제품을 더 안전하게 만들 수 있도록 하고, 실제 상용화된 서비스 국내서비스나 제품들이 이제까지보다 더 안전하게 만들어지는 '상향평준화'를 원한다. 네이버도 이런 취지에 관심을 갖고 있다. 수많은 서비스와 제품을 직접 또는 자회사 통해서 개발, 출시하고 있으니까."

관련기사

- 연말이나 내년 이후 예상되는 시장, 사업적 변화는

"일단 현재 진행중인 고객사 프로젝트를 성공적으로 마무리하는 게 우리 목표다. 내년에는 기업과제 비중을 줄이고 연구비율을 높여서 개개인들이 연구에 더 집중할 수 있게 하겠다. 내년 계획은 지금 준비 중인 교육플랫폼을 실제로 완성해 시범제공을 진행하는 거다. 콘텐츠를 개인에게는 무료로, 법인에게는 교육과정 포함한 패키지로 제공할 생각이다. 해킹보안 공부가 더 쉬워지는 세상을 만들려고 노력 중이다."