술렁이는 보안업계, 티오리 대표 ‘폄하성 발언’ 논란
박세준 대표 “한국 보안 산업이 진짜로 강해지자는 호소, 국내 보안산업 폄훼 아니다”
오펜시브 보안 전문기업 티오리(Theori)를 두고 국내 정보보안업계가 술렁이고 있다. 박세준 티오리 대표가 지난 8일 과학기술정보통신부 장관 주재 미토스(Mythos) 관련 비공개 간담회에서 국내 보안 솔루션을 두고 폄하성으로 비칠 수 있는 발언을 한 것으로 알려지면서다. 보안업계 일각에서는 “국내 보안업계에 대한 폄하성 발언으로 받아들일 수 있다”며 문제를 제기하고 있다. 급기야 한국정보보호산업협회(KISIA) 차원에서 공식 사과 요구 등 대응에 나서야 한다는 목소리까지 나온다. KISIA는 티오리 관련 사안을 두고 협회 차원의 대응을 검토 중인 것으로 파악됐다.
박 대표는 이에 대해 국내 보안업계를 폄하하려는 취지가 아니라, 업계 동료이자 화이트해커로서 현장에서 관찰한 문제를 공유한 것이라는 입장이다.
“국내 보안 솔루션, 외산과 100배 차이” 발언에 술렁
당시 과기정통부 주재의 간담회 현장에 참석한 보안 분야 한 인사는 “현장에서 문제가 될 수 있는 발언이라고 느낀 대목이 몇 번 있었다”고 말했다. 이 인사에 따르면 박 대표는 당시 국내 보안업체와 외국 보안업체의 솔루션을 비교하며 국내 제품이 공격자 관점에서 훨씬 침투·우회하기 쉽다는 취지로 발언했다. 또 이 인사는 “국내 업체는 (외산 솔루션 대비 뚫리기가) 100배로 쉽다, 외국 업체와 100배 이상 차이가 난다는 식의 표현이 나왔다”고 말했다.
박 대표는 “국내 보안 솔루션이 해킹의 통로로 이용되고 있다”는 취지의 발언도 한 것으로 알려졌다. 이 인사는 “국내 보안업체 솔루션 자체가 해킹의 수단이고 통로가 됐다는 취지의 발언이 나왔다”며 “국내 보안 산업을 어떻게 발전시킬지 논의하는 자리에서 그런 말은 적절하지 않았다”고 짚었다.
복수의 보안업체 대표들도 공식 자리에서 한 이들 발언이 심각하다고 지적하고 있다.
박 대표가 정부에 인공지능(AI) 투자에 들어가는 토큰 사용 비용 지원을 요청한 점도 문제로 꼽혔다. 토큰 사용 비용은 AI 모델로 대규모 코드와 시스템을 분석할 때 발생하는 모델 사용 비용이다. “미국 기업이라고 내세우는 보안기업이, 기존 국내 보안업체와 외국 업체 간에 큰 격차가 있다고 평가하면서, 본인들은 다르니 정부에 토큰 비용을 달라고 요청했다”는 점에 대한 지적이다. 이 자리에 있던 보안업계 관계자는 “국내 보안 산업 육성을 논의하는 자리에서 특정 기업의 지원 요청처럼 들릴 수 있었다”고 말했다. 티오리는 현재 앤트로픽 ‘글래스윙‘과 비슷한 AI 보안 협력체 ‘프로젝트 캐노피’ 발족을 준비하고 있다.
이에 대해 티오리 측은 “토큰 비용을 (티오리에) 달라고 요청한 사실은 없다”며 “’프로젝트 캐노피’의 공익적 취지에 부합하는 정책적 지원에 대한 의견이었다”고 반박했다.
보안업체 대표들은 박 대표의 발언이 국내 보안 제품 전반의 수준을 일반화할 수 있다고 우려했다. 한 보안업체 대표는 “취약점 탐지나 모의해킹 관점에서는 취약점만 볼 수 있지만, 보안 제품은 기능과 성능을 함께 봐야 한다”며 “특정 제품이 아니라 모든 제품과 업계를 일반화해 말하면 오해가 된다”고 말했다. 이어 “제품만 놓고 말할 것이 아니라 국내 보안 솔루션이 제값을 받지 못하는 구조와 인증 과정, 빠른 패치가 어려운 환경, 투자 여력 부족 같은 보안 생태계도 함께 봐야 한다”고 했다.
또 다른 보안업체 대표는 “외산 보안 제품과 국내 보안 제품을 비교할 수는 있지만, 객관적 증명이나 정량적 근거 없이 정성적인 표현으로 말하면 듣는 사람 입장에서는 그것이 정답처럼 받아들여질 수 있다”고 말했다. 이어 “공식 간담회 같은 자리에서는 어느 정도 차이인지, 어떤 제품과 환경에서 나온 결과인지 기준을 분명히 해야 한다”며 “오해를 불러일으킬 수 있는 발언이었다”고 지적했다.
또 다른 보안업계 관계자도 박 대표의 발언이 국내 정보보호 산업에 대한 공개적 폄하로 받아들여질 수 있다고 우려했다. 이 관계자는 “국내 보안 제품이 완벽하다는 뜻은 아니다”라면서도 “대한민국의 보안 솔루션이 몇 개인데 본인들이 다 해봤을 리도 없고, 해볼 수 있는 상황도 아니다”라고 말했다. 이어 “특정 제품과 특정 환경에서 일어난 일을 모든 국산 솔루션이 그런 것처럼 일반화해 산업 전체가 형편없다는 듯이 말하는 것은 적절하지 않은 표현”이라고 지적했다.
티오리가 미국 회사이고 박 대표가 미국 국적자라는 점도 업계가 우려하는 지점 중 하나다. 티오리는 미국 텍사스주 오스틴에 본사를 두고 있으며, 국내에는 한국법인인 티오리한국을 운영하고 있다. 한 보안업체 대표는 “티오리가 미국 회사이고 박 대표가 미국인이라는 점을 모르는 사람도 많다”며 “티오리가 한국 기업이라고 생각하는데 그렇지 않다”고 말했다. 이어 “해외 기업이 민감한 정보에 접촉해 여러 행위를 할 수 있다는 점은 국내 보안업계 입장에서 우려할 수밖에 없는 부분”이라고 했다.
그는 “군, 국가정보원, 주요 정보통신 기반 시설과 관련된 익스플로잇이나 제로데이 취약점은 민감할 수밖에 없다”며 “그런 정보 자산이 미국 본사와 공유될 경우 안보상 문제도 생길 수 있다”고 우려했다.
티오리는 국내 연구개발(R&D) 사업과 주요 기관 프로젝트는 물론, 정부가 마련하는 주요 자리에 주요 보안기업으로 참여하고 있다. 보안업계 관계자는 “정부 연구개발 사업에 티오리가 참여하는 건 우리 세금으로 미국 기업을 지원해 주는 것”이라며 “국내 보안 산업의 진흥을 도와야 하고, 국내에도 대체할 수 있는 오펜시브 보안 기업들이 있는데 왜 미국 기업에 발주해야 하느냐는 문제의식이 업계 내에 존재한다”고 우려했다.
박세준 대표 “폄하 아닌 동료로서 솔직한 진단”
폄하성 발언 논란에 대해 박세준 대표는 “당시 간담회는 부총리가 산업계의 솔직한 현장 의견을 듣고 싶다고 요청한 비공개 자리였다”며 “화이트해커이자 오펜시브 보안 회사 대표 입장에서 현장에서 관찰한 진단을 가감 없이 공유한 것”이라고 입장을 밝혔다.
박 대표는 발언의 핵심 취지에 대해 “AI가 공격 비용을 극적으로 낮추고 있는 지금 우리에게 남은 시간이 수년이 아니라 수개월 단위이며, 산업 전체가 정직한 자기 진단을 거쳐 제품·서비스의 품질을 실질적으로 끌어올려야 한다는 것”이라고 설명했다. 이어 “정부, 학계, 보안 기업이 함께 협업해야 한다는 것이었다”며 “한마디로 한국 보안 산업이 진짜로 강해지자는 동료로서의 호소였고, 특정 기업이나 산업 전체를 폄훼하기 위한 발언이 아니었다”고 했다.
그는 지난 12일 페이스북 글에서도 간담회 당시 발언의 취지를 설명했다. 박 대표는 “보안 향상을 위해 도입한 솔루션이 오히려 적국이나 범죄 집단이 최고 권한을 획득하는 통로로 사용된 사례가 많았다”며 “엔드포인트 탐지·대응(EDR)과 관제 영역에서도 국내 솔루션 도입처와 해외 솔루션 도입처를 비교했을 때 공격자 관점에서의 침투·우회 난이도 차이가 극명하다”고 했다.
박 대표는 해당 발언이 국내 보안 솔루션 전반에 대한 평가가 아니라고 강조했다. 그는 “특정 제품·환경 단위의 평가이며, 국내 보안 솔루션 전반에 대한 평가는 아니다”라며 “보안 솔루션의 품질은 국가나 회사 단위가 아니라 개별 제품 단위로 평가돼야 한다는 것이 일관된 입장”이라고 밝혔다.
또한 “티오리가 수년간 수행한 모의해킹과 침해사고 분석에서 통계적으로 관찰된 패턴을 공유한 것”이라며 “외산 제품 중에서도 취약했던 사례와 국내 제품 중에서도 견고했던 사례 모두가 포함된다”고도 했다. 아울러 “도입 비중과 침투 경로 빈도 측면에서 의미 있는 차이가 관찰된다는 점을 공유한 것이지, 국내 보안 제품은 모두 부족하다는 일반화는 당연히 아니다”라고 덧붙였다.
박 대표는 국내 보안업계 일부가 발언을 폄하로 받아들인 데 대해서는 “그렇게 받아들인 동료 대표님들에게는 송구한 마음”이라면서도 “발언의 본래 의도와 일부 부정확한 인용을 거쳐 받아들여진 결과 사이에는 분명한 차이가 있다”고 했다.
이어 “저는 지난 15여년간 한국과 미국 사이버 보안 시장과 생태계에서 활동해 왔다”며 “티오리는 한국에서 청년 채용, 국내 인재 양성, 국가 사이버 안보 기여, 해외 클라이언트 업무를 통한 외화 유입 등 산업 동료로서 할 수 있는 몫을 묵묵히 해온 기업”이라고 말했다. 그는 “같은 생태계의 동료로서 내부의 문제를 솔직히 짚는 것과, 외부에서 산업 전체를 평가절하하는 것은 본질적으로 다른 행위”라고 말했다.
그러면서 “비판이 불편하다는 이유로 입을 닫으면 AI 시대의 한국 보안은 진짜 의미의 글로벌 수준에 도달할 수 없다고 본다”며 “정직한 자기 진단 위에서만 다음 단계로 도약할 수 있다는 것이 제 신념”이라고 강조했다.
또한 박 대표는 취약점 정보 공개 방식과 관련해서는 “개별 클라이언트 사안은 비밀유지계약(NDA)과 책임 있는 정보 공개(CVD) 원칙에 따라 구체적으로 확인하기 어렵다”고 밝혔다. 다만 박 대표는 티오리의 일반 원칙에 대해 “제품·장비의 취약점은 해당 제품을 만든 벤더에 우선 통보하고, 운영 중인 서비스나 시스템의 취약점은 운영 주체에 통보한다”고 설명했다. 이어 “발견 시 비공개 채널을 통해 전달하고, 영향 범위에 따라 다자간 협의로 확장될 수 있다”며 “패치 또는 완화 조치에 필요한 합리적 기간을 부여한다. 이는 구글 프로젝트 제로, Trail of Bits 등 글로벌 동종 업계의 표준 관행이다”라고 설명했다.
박 대표는 “기업·기관과 보안 연구자 간 공개 시점과 범위에 대한 협의 과정에서 견해 차이가 발생하는 것은 책임 있는 정보 공개 절차에서 일반적으로 나타나는 일”이라며 “티오리는 모든 사안에서 사용자와 산업 전반의 안전을 첫 번째 기준으로 삼고 있으며, 이 원칙에서 이탈하는 결정을 내린 적은 없다”고 강조했다.
미국 본사와 한국법인 사이의 정보 공유 우려에 대해서는 “미국 본사인 티오리(Theori) Inc.와 티오리한국은 별도로 운영되는 독립 법인”이라며 “한국 클라이언트 업무는 전적으로 티오리한국에서 한국 임직원에 의해 수행된다”고 밝혔다. 이어 “한국 공공기관·통신사·주요 기업의 민감 정보는 티오리한국 내부에서 관리되며, 미국 본사로의 자동적인 정보 흐름은 존재하지 않는다”고 일축했다.
이어 “클라이언트별 접근 권한은 업무 수행에 필요한 최소 인력으로 한정되며, 모든 접근은 로그와 감사 대상”이라며 “본사 또는 해외 인력과 협업이 필요한 경우 사전에 별도 동의를 받는다”고 했다. 아울러 “회사 차원의 정보보안 체계도 ISO/IEC 27001:2022 인증 획득에 이어 시스템과 조직 통제(SOC) 2 등 국제 인증 체계에 맞춰 정비 중”이라고 덧붙였다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
(기사 일부 정정합니다)
- 원 기사에는 티오리가 KT의 취약점 정보를 공개했다는 내용이 있었지만, 확인 결과 사실 관계가 잘못된 부분이 있어 관련 내용을 삭제했습니다.
- 원 기사에 티오리 측이 정부에 토큰 비용 지원을 요청했다는 내용이 담겼습니다. 이에 대해 티오리 측은 토큰 비용 요청은 상업적 목적이 아니라 공익적 목적으로 진행될 비영리 사단법인에 정부 차원의 지원이 필요하다는 취지를 전했을 뿐이라고 밝혔음을 알립니다.




보안업체 대표급 인사의 아래 발언은 상당히 우려스럽게 읽힙니다.
“취약점 탐지나 모의해킹 관점에서는 취약점만 볼 수 있지만, 보안 제품은 기능과 성능을 함께 봐야 한다”
“제품만 놓고 말할 것이 아니라 국내 보안 솔루션이 제값을 받지 못하는 구조와 인증 과정, 빠른 패치가 어려운 환경, 투자 여력 부족 같은 보안 생태계도 함께 봐야 한다”
물론 국내 보안 생태계의 구조적 문제가 존재한다는 점에는 동의합니다. 제값을 받기 어려운 시장 구조, 인증과 조달의 한계, 패치 적용이 쉽지 않은 환경, 투자 여력 부족은 모두 개선되어야 할 문제입니다.
다만 그것이 보안 제품 자체의 취약성에 대한 방어 논리가 되어서는 안 된다고 봅니다.
보안 제품에서 기능과 성능은 중요합니다. 그러나 제품 자체가 공격자에게 침투 경로나 권한 상승의 통로가 된다면, 그 기능과 성능은 신뢰의 기반 위에 서기 어렵습니다.
시장 구조나 운영 환경에 사정이 있더라도 공격자는 그런 사정을 고려하지 않습니다. 보안 제품은 고객이 “더 안전해지기 위해” 도입하는 제품인 만큼, 취약성에 대해서는 일반 소프트웨어보다 더 높은 책임 기준이 요구됩니다.
생태계 문제는 원인 분석과 개선 과제로 다뤄야지, 제품의 보안성 문제를 희석하는 논리로 쓰여서는 안 됩니다.
보안업체 종사자, 특히 대표라면 “완벽함”이 현실적으로 불가능하다는 것을 알더라도, 그 완벽함을 향한 태도와 기준만큼은 끝까지 견지해야 한다고 봅니다.
보안은 결국 신뢰의 산업입니다.
그 신뢰는 “우리도 사정이 있다”는 설명보다, “그럼에도 불구하고 더 안전해야 한다”는 책임감에서 출발해야 한다고 생각합니다.
좀 더 좋은 모델을 사용하시는게 좋을 것 같습니다!!
치사하게 감히 팩트를 말해? 벌좀 받아라
보안 관련 간담회에서 보안 관련 지적했다고 문제가 될게 있나?
실행인자 몇개만 바꿔도 원격코드 실행되게 만든게 도가 지나친거 아닌가?
비판마저 폄하성 발언으로 읽히게 되면 진짜 답없습니다 듣기싫은 말은 안듣겠다는건가요
기자 작성 뉴스들을 확인한다.. 에버스핀이 보인다… 고개를 끄덕이면서 창을 닫는다.
기자 작성 뉴스들을 확인한다.. 에버스핀 찬양 뉴스가 보인다… 고개를 끄덕이면서 창을 닫는다.
폄하성이 어디에 있나요? 다 맞는 말인데. 정신 못 차리네… 이제 한국 보안 프로그램 강제도 사라지니 알아러 소멸하겠지요.
미국인이 미국에 설립한 회사…
그런데 한국 회사처럼 행동하다가, 나중에 결정적인 순간에는 미국에 로비하는 …
어디서 많이 본 그림인데… 느낌이 쎄한데..
너무 옳은 말을 한 듯
근데 한국있는 업체도 이해관계가 있으니 참 난감한 상황이네요
부총리가 요청한 자리니, 부총리가 이 또한 다 과정이라고 판단하시겠죠.
현직에 계신분들 다들 화이팅입니다