사이버 보안 위협이 고도화되는 시대, 기업들은 ‘법적 준수’라는 최소한의 방어선에 안주하고 있다. 하지만 실제 해커들은 법의 테두리 밖에서 기업의 가장 취약한 고리를 노린다. 헥사랩스(HEXALABS)는 이러한 현실과 이상 사이의 괴리를 깨뜨리기 위해 등장한 하이엔드 보안 전략 파트너다. 세계 최고 권위의 해킹 대회인 ‘데프콘(DEFCON)’을 휩쓴 엘리트 화이트 해커들이 모인 이곳은, 이주창 대표와 조정훈 대표를 주역으로 단순한 점검을 넘어 기업의 실질적 자생력을 높이는 ‘블랙박스 모의 해킹’으로 시장의 판도를 바꾸고 있다. 인재에 대한 정당한 대우와 미래 해커 양성이라는 원대한 비전을 품고 출발한 헥사랩스의 여정은 대한민국 보안 산업의 새로운 이정표가 되고 있다.
보안은 평상시에는 가시적인 이익을 내지 않는 것처럼 보이지만, 위기 상황에서 기업의 생존을 결정짓는 결정적 비대칭성을 갖는다. 즉, 보안에 대한 투자는 단순한 방어가 아니라, 최악의 리스크를 관리함으로써 기업의 기초 체력을 단단하게 만드는 고도의 경영 전략. 그러나 문제는 대부분의 기업이 화이트박스 방식의 형식적 점검에만 의존한다. 헥사랩스가 블랙박스 모의해킹에 특화한 이유가 바로 여기에 있다. 어떠한 정보도 받지 않고 실제 해커처럼 침투를 시도하는 블랙박스 방식만이 진짜 보안 수준을 검증할 수 있기 때문이다. 최근 대형 보안 사고가 연이어 터지면서, 헥사랩스는 ‘진짜 보안’을 찾는 기업들의 마지막 보루로 급부상했다.
세계가 인정한 실력, 국내 보안 현실을 바꾸다
헥사랩스의 시작은 화려한 경진대회 수상 경력 뒤에 가려진 냉혹한 현실에 대한 문제의식에서 비롯되었다. 회사 이름인 ‘헥사(Hexa)’는 육각형을 의미한다. 모든 면에서 빈틈없이 꽉 찬 보안, 본질에 충실한 기술력을 지향한다는 의지다. 헥사랩스는 KAIST 해킹 동아리 ‘곤(GoN)’의 역대 회장 출신인 조정훈 대표와 이주창 대표를 중심으로 공동창업자가 2024년 설립한 보안 전문 기업이다. 이들은 해킹 경진대회에서 만나 보안에 대한 담론을 나누며 의기투합했다.
창업팀의 면면만 봐도 이 회사의 기술력을 짐작할 수 있다. 이들은 DEFCON, HITCON, SECCON 등 세계 3대 해킹대회에서 수상한 경력을 보유하고 있으며, 특히 이주창 대표는 지난해 DEFCON에서 3등을 차지하는 쾌거를 이뤘으며, 2022년 DEFCON Live CTF에 1위를 차지했다. 이들이 창업을 결심한 계기는 두 가지 명확한 문제의식에서 출발했다. 첫째, 국내 전체적인 보안 현실이 매우 취약하다는 점이다. 기업들과 정보보안에 대해 대화를 나누다 보면 “법이 요구하는 기준은 모두 준수하고 있다”고 말하는 경우가 많다. 실제로 법정 기준을 갖춘 회사도 상당수다. 그러나 AI 기반 자동화 공격, 잠복형 침투 등으로 공격 방식이 고도화되고, 클라우드·원격근무·외주 개발 등으로 업무환경이 다양화하면서 공격 지점이 과거보다 압도적으로 증가했다. 법정 기준 충족만으로는 실제 위협을 방지하기에 턱없이 부족한 상황이다.
둘째, 우수한 사이버 보안 인력들이 한국에서 충분히 대접받지 못하고 있다는 현실이다. 현재 국내에서 제대로 대우받으며 활동하는 화이트 해커는 전체의 20% 미만으로 추정된다. 기업들이 보안을 수익이 아닌 지출로 인식하면서 투자를 최소화하려는 경향이 있고, 이는 곧 인재에 대한 낮은 대우로 이어진다. 쿠팡 유출 문제 등 대형 해킹 사고가 발생해도 단기적 수요 증가만 있을 뿐, 해커들의 근본적인 처우는 개선되지 않는 것이 현실이다.
블랙박스 모의해킹, 하이엔드 기술력의 증명
이러한 문제의식을 기반으로 창업한 헥사랩스의 차별화 전략은 ‘블랙박스 모의해킹’이다. 블랙박스 방식은 업체로부터 어떠한 정보도 받지 않고, 실제 해커처럼 아무런 데이터가 없는 상황에서 모의해킹을 진행하는 방식이다. 반면 일반적으로 많이 사용되는 화이트박스 방식은 내부 정보를 제공받아 체크리스트를 중심으로 진행하기 때문에 상대적으로 난이도가 낮다. 블랙박스는 내부 동작을 정확히 모르는 상황에서 경험과 기술적 근거로 추론하며 진행해야 하므로 고도의 기술력이 요구된다.
이처럼 리스크가 크고 어려운 블랙박스 방식을 선택한 이유는 명확하다. 쿠팡이나 기타 대형 해킹 사고의 가능성을 가장 줄일 수 있는 방법이기 때문이다. 실제 공격자(블랙햇 해커)처럼 내부 정보 없이 침투를 시도하고 취약점을 발견하는 과정은 보안 점검의 현실성을 극대화한다. 최근 기업들도 형식적 점검으로는 실제 해킹을 막을 수 없다는 것을 인지하고, 해커가 하는 방식의 점검을 원하면서 헥사랩스에 대한 협업 요청이 늘어나고 있다.
더욱 주목할 점은 성과 기반 보수 체계다. 일반적인 모의해킹은 전체 사업 비용을 산정하고 기간을 정해 진행하지만, 헥사랩스는 성공한 범위에 따라 보수금을 차등 지급받는 구조를 만들고 있다. 이는 기업과 헥사랩스 모두에게 윈윈 전략이라고 이주창 대표는 말한다. 기업 입장에서는 시스템이 안전할 경우 추가 지출을 피할 수 있고, 헥사랩스는 실력만큼 보상받을 수 있어 더욱 철저한 점검 동기를 갖게 된다.
‘리얼 해커, 리얼 시큐리티’의 실체
‘리얼 해커, 리얼 시큐리티’라는 슬로건은 헥사랩스의 정체성을 함축한다. 이들은 스스로를 보안 연구자(리서처)라고 부르며, 현실 세계의 시스템과 라이브 오픈소스 라이브러리, 소프트웨어 등을 직접 연구하여 취약점을 찾는다. 단순히 체크리스트 형태로 점검하거나 간단한 소프트웨어로 취약점을 찾는 것이 아니라, 침입하는 해커의 방식 그대로 접근한다는 의미다. 진짜 실력은 여기서 드러난다. 이런 접근법의 효과는 실제 프로젝트에서 입증되고 있다. 헥사랩스는 현재 금융사, 유통사, 미국법인 제조사 등 대기업 및 그룹사를 대상으로 프로젝트를 수행 중이다. 현제 다양한 협업 제안이 끊이지 않고 있다.
실제 프로젝트 현장에서 마주한 국내 기업의 보안 현실을 묻는 질문에 대해 조(이) 대표는 “보안이 완벽하게 세팅되어 있다고 생각했던 기업들을 들여다봤을 때, 예상외로 기업 자체 제품 구현에서는 취약점이 적게 발견되었다”며 “대신 가장 흔한 취약점은 외부 소프트웨어, VPN 등 보안 제품을 포함한 서드파티(외부 솔루션)였고, 직원들이 사용하는 인트라넷 형태의 사내 서비스였다”고 지적했다.
특히 헥사랩스가 직면한 한국 보안 시장의 구조적 문제는 복합적이라고 강조했다. 현재 개인정보 보호법, 신용정보법, 전자금융거래법은 대부분 사고 이후 과징금·형사처벌을 통해 책임을 묻는 구조로 설계돼 있다. 사고 발생 후 엄정한 처벌도 중요하지만, 이런 방식만으로는 기업이 사고 이전 단계에서 적극적으로 투자하도록 유인하기 어렵다.
글로벌 기업과의 비교에 대해 조(이) 대표는 “글로벌 기업들은 거의 90% 이상이 자사 웹사이트나 소프트웨어의 취약점을 찾아오면 현금으로 보상하는 ‘버그 바운티 제도’를 운영한다”며 “페이스북 해킹으로 수십만 달러를 받았다는 이야기가 들리지만, 한국 기업들의 버그 바운티 시행은 매우 미비하다”고 설명했다.
한국 기업들이 버그 바운티를 활성화하지 않는 이유는 보안을 최소화해야 할 지출로 생각하는 경향 때문이라고 지적했다. 완벽한 보안을 유지하려면 고수준의 정보보안팀이 구축되어야 하지만, 인력 채용 시 지출을 줄이려는 경향으로 역량이 충분히 갖춰지지 못한다.
보안 기업의 핵심은 사람, 인재 중심 경영철학
사업 특성 상 실력있는 인재가 경쟁력에서 핵심인 만큼 두 대표의 경영철학은 인재경영에서 명확히 드러난다. “보안 기업의 핵심은 인력이며, 잘하는 사람들에 대한 대우가 잘 되어야 한다”는 것이다. 이는 단순한 구호가 아니라 헥사랩스의 실제 경영 방침으로 구현되고 있다. 헥사랩스는 업계 평균보다 높은 인건비를 책정하고 있다.
이들은 “잘하는 해커들을 회사에 많이 데려오고 싶다”며 “이를 위해서는 정당한 보상이 선행되어야 한다”고 강조한다. 이는 한국 보안 산업의 고질적 문제였던 낮은 인재 대우를 정면으로 돌파하려는 시도다. 현재 한국에서 제대로 대우받는 화이트 해커가 20% 미만이라는 현실에서, 헥사랩스는 나머지 80%가 국내에 남아 활동할 수 있는 환경을 만들겠다는 포부를 밝혔다. 두 천재 대표는 보안 인재들이 ‘이 회사에서 일하고 싶다’고 생각할 만큼 매력적인 조직을 만들고 싶다며, 단순히 급여만 높은 것이 아니라, 최고의 실력자들과 함께 일하며 세계 무대에서 경쟁할 수 있는 환경을 제공하는 것이 헥사랩스가 지향하는 방향이라고 거듭 강조했다.
한국 보안 산업 패러다임 바꾼다
이주창 대표와 조정훈 대표의 10년 후 비전은 명확하다. 대한민국을 대표하는 보안 회사를 만드는 것. 두 대표가 그리는 미래는 단순히 한 기업의 성장이 아니라, 산업 생태계 전체의 재설계다. 헥사랩스가 성공함으로써 한국 보안 산업의 인식이 ‘사후 처방’에서 ‘사전 투자’로 전환되고, 보안이 비용이 아닌 가치 창출의 핵심 역량으로 자리매김하며, 최고의 인재들이 해외로 유출되지 않고 국내에서 정당한 대우를 받으며 활동할 수 있는 선순환 구조를 만드는 것이다. 이는 기업가적 야망을 넘어 산업 전체의 체질 개선을 향한 책임 있는 도전이다.
세계 최고 수준의 기술력으로 차별화된 서비스를 제공하면서도, 보안 인재 생태계 전체의 혁신을 꿈꾸는 헥사랩스. 조정훈 대표와 이주창 대표가 이끄는 도전은 한국 보안 산업의 패러다임을 바꾸는 여정이 될 것으로 업계는 주목하고 있다.
[출처:월간 CEO&]