지금 로켓펀치에 무료 가입하고 더 많은 정보를 접해보세요! 무료가입

티오리

Theori

Cybersecurity Start-up based in Austin, TX & Seoul, KR

3

기업 소개

Theori (이하 “티오리”)는 미국 텍사스주의 오스틴시에 본사를 두고 있는 사이버보안 R&D 스타트업입니다. 티오리는 2016년 1월에 설립되어 정부 및 기업 고객들을 상대로 일반적인 보안 컨설팅부터 보안 난제급 연구 및 개발 프로젝트 등, 아무나 하지 못하는 일들을 해내오며 높은 퀄리티의 연구 기반 서비스를 제공해왔습니다. 세계적으로 명성이 높은 DEFCON 해킹대회 본선 4회 우승을 비롯한 여러 국내 외 대회에서 좋은 성적을 거둔 카네기 멜론 대학의 PPP 팀 창립 멤버들로 시작하여, 최근 한국 지사로의 확장을 통해 국내에서 뛰어난 보안 인재들을 영입하여 현재 총 16 명의 팀원이 다양한 어려운 보안 문제들을 연구하고 해결하고 있습니다.

세계적 기술력을 바탕으로 꾸준한 혁신적인 연구개발을 통해 현재의 기술이나 해결책에 만족하지 않고 새로운 기술과 창의적인 아이디어를 위해 항상 노력합니다. 지난 몇 년간, 티오리 연구원들은 프로그램 분석 기법부터, 취약점 분석 및 공격 기법, 그리고 자동차 보안까지 다양한 분야에서 고객들에게 실용적이고 실행 가능한 해결책을 제시했습니다. 최근에는 블록체인 보안을 심층적으로 연구하고 있습니다.

🌟🌟🌟 기술 연구 🌟🌟🌟
저희 팀의 최대 강점은 혁신적인 R&D 역량입니다. 가장 어려운 문제들에 대한 해결방법은 연구를 통해 나옵니다. 선호하는 리서치의 방향은 학계에서 이론적으로 제시된 연구를 바탕으로 현실에서 적용 가능한 구현체로 실체화하는 것입니다.

✔️ Practical Control Flow Integrity
Control-flow 하이재킹 공격에 대해 매우 낮은 퍼포먼스 오버헤드만으로도 높은 보안성을 보장하는 보안기법을 연구하고 구현했습니다. 학계에서 해당 주제로 활발하게 논문이 나오기 2-3년 전에 이미 연구했던 분야입니다.
최근 공격에 많이 사용되는 스택 또는 힙 메모리 변조를 통한 공격에서 대부분 사용되는 익스플로잇 기법을 원천 봉쇄할 수 있는 기술로, gcc 컴파일러를 개조하여 indirect function call과 return address 보호 로직을 추가하여 컨트롤 플로우 하이재킹 공격을 방어합니다. 또한, PIN 프레임워크를 사용하여 소스코드가 없는 환경에서도 런타임 보호를 통해 해당 익스플로잇 기법을 방어합니다. 이와 같은 기술들은 최근 몇년간 보편화되어 Microsoft Windows 에서의 Control-Flow Guard (CFG)와 Return-Flow Guard (RFG), 그리고 gcc와 clang 등의 컴파일러에서의 CFI 지원 등으로 지원되고 있습니다. 이 과제는 미국 DARPA 산하 과제로 Cyber Fast Track (CFT) 일환으로 진행하였습니다.

✔️ Software-based Remote Attestation
추가적인 하드웨어나 하드웨어 지원 없이 임베디드 기기의 무결성을 원격으로 검증하는 방법에 대해 연구하고 구현했습니다. 보통 임베디드 기기의 무결성은 Trusted Platform Module (TPM)과 같은 외부 칩 등에 의존하여 secure booting을 하는 방식으로 검증하지만, 비용적 측면과 폼 팩터 크기의 제한 등의 이유로 쉽게 사용하기 어렵습니다. 이 점을 보완하기 위하여 memory printing, optimal hashing 등과 같은 기법을 이용하여 네트워크나 USB를 통한 원격에서도 기기의 메모리를 외부 하드웨어에 의존하지 않고 증명 가능한 방법으로 무결성 체크 하는데 성공하였습니다. 이 과제는 미국 공군 산하 연구과제로 진행하였습니다.

✔️ Binary Randomization via Binary Rewriting
더 나은 보안을 위해 Windows 프로그램들 및 BSD 커널을 정적 binary rewriting 기술을 통해 하드닝을 구현했습니다. 소스코드 없이 바이너리만 프로그램만 가지고 분해하여 basic block 재구성 및 instruction randomization 등을 구현하고 다시 정상 작동하는 semantic적으로 동일한 바이너리로 조합하여 같은 프로그램에 대해서 전혀 다른 코드 베이스를 생성하여 익스플로잇의 효과를 절감시켰습니다.

✔️ Automotive Security
CAN 및 ECU 리버스 엔지니어링을 통해 텔레매틱스 유닛을 공격하여 원격으로 자동차를 해킹하고 탈취하는 연구를 진행하고 성공하였습니다. 또한, OBD-II 포트를 통해 CAN에서의 이상 패킷 감지 및 필터하는 솔루션을 개발했습니다.

✔️ Vulnerability Research
최신 데스크탑 및 모바일 시스템에서 보안 취약점 점검 및 발견하고, 익스플로잇을 개발합니다. 또한, 더 효율적인 발견을 위한 fuzzing이나 symbolic execution 등을 통한 자동화에 대한 연구를 합니다.

✔️ Cyber Grand Challenge (CGC)
총 상금 43억원을 놓고 DARPA의 주도아래 세계 최초로 진행된 컴퓨터들의 공격/방어 CTF 대회인 CGC에서 사용된 문제 출제를 담당했습니다.


🌟🌟🌟 기업과제 🌟🌟🌟

크고 작은 기업 고객들의 제품/플랫폼을 더 안전하게 만들기 위해서 협업해오고 있습니다. 아래는 진행했거나, 현재 진행 중인 과제들입니다.

✔️ 모바일 앱 및 서버 보안 점검
- VPN 서비스 서버 취약점 점검
>>> 인증 우회, 관리자 권한 획득 및 결제 우회 등 취약점 다수 발견
- 메신저 취약점 점검
>>> 메시지 데이터베이스 복호화 가능성 발견
>>> 중요 데이터 비암호화 구간 발견

✔️ 웹 앱 및 서버 보안 점검
- 국내 최대 포털 사이트 유저 플랫폼 취약점 점검
>>> XSS, CSRF 등의 클라이언트 사이드 공격을 통한 계정 탈취 취약점 다수 발견
>>> 서버의 인증 미흡 등으로 인한 계정 탈취 취약점 발견
- 온라인 쇼핑몰 플랫폼 취약점 점검
>>> XSS, CSRF 등의 클라이언트 사이드 공격을 통한 계정 탈취 취약점 발견

✔️ 소스 기반 & 바이너리 기반 프로그램 보안 점검
- 임베디드 (네트워크) 기기 취약점 점검
>>> 원격 커맨드 실행 및 메모리 취약점 다수 발견
- 오픈 소스 프로젝트 취약점 점검
>>> 메모리 취약점 다수 발견

✔️ 모의 침투 테스트 / 모의 해킹 테스트 베드 구축
- 다양한 공격/위협 모델을 정의 후, 실제 공격 시나리오 구상
- 알려진 취약점들 중 영향력이 큰 항목들에 대한 점검
- 해킹 방어 솔루션 테스트를 위한 모의 해킹 테스트 베드 구축
>>> 공격 자동화 및 데이터 수집

✔️ 자동차 시스템 보안 점검
- 원격으로 자동차 탈취 및 브레이크 등 safety-critical 시스템 조작 성공
>>> 실제 차량의 텔레매틱스 ECU를 분해하여 펌웨어를 추출
>>> 커스텀 CAN 프로토콜과 펌웨어를 역공학하여 취약점 발견
- 인포테인먼트 시스템 취약점 분석을 위해 HD Radio 분석 및 역공학
>>> 퍼징 등의 추후 연구를 위해 오픈소스로 공개

✔️ Trusted Computing (Chain of Trust) 검증 플랫폼 보안 점검
- 세계 최대 소셜 네트워크 F사의 해외 서버 증설 및 배포에 앞서 보안 점검
- 하드웨어 또는 소프트웨어 tamper-proof인 시스템에 대한 취약점 발견
>>> Chain of Trust / Secure boot 과정에서 감지되지 않고 공격자 임의 코드 실행 가능
>>> ACPI 기능을 통한 우회

✔️ 보안 기법 우회 가능성 점검
- 세계 최대 운영체제 제조사의 운영체제에 탑재될 예정이었던 미래 보안 기법의 구현체 검증
>>> 해당 보안 기법 범용적 우회 기술 연구 및 개발 성공으로 보안 기법 적용이 잠정적으로 연기되고 보완책 강구 중
- 새로운 공격 기법 발견 및 제보

✔️ 최신 운영체제 및 브라우저 취약점 분석 및 익스플로잇 트레이닝
- 보안 인재 교육기관에서 최신 Windows 운영체제와 최신 브라우저 대상 취약점 분석 교육
- 기본 취약점 분석부터 최신 방어 기법들 소개 및 우회 방법 등 강의
- 안드로이드 운영체제 및 앱 모바일 취약점 점검 및 익스플로잇 기법 소개

✔️ 시큐어코딩 + 취약점 분석 및 익스플로잇 개발 기본/심화 과정 트레이닝
- 개발자 및 보안 담당자 상대로 하는 시큐어 코딩 교육
- 취약점 분석 기초부터 최신 공격 및 방어 기법 강의
- 취약점 분석에 사용되는 전문 툴 심화 사용 법 소개 및 교육
- 다양한 대회 문제 풀이를 통한 실습 기반 교육

✔️ 블록체인 보안 및 가상화폐거래소 취약점 점검
- 국내외 가상화폐거래소 보안 취약점 점검
- ICO 코드 및 스마트컨트랙트 보안 취약점 점검 및 툴 제작


🌟🌟🌟 제공하는 서비스 🌟🌟🌟

✔️ Penetration Testing (모의 침투 테스트 / 취약점 점검)
의뢰된 어플리케이션이나 시스템에서 발생할 수 있는 보안 이슈들을 찾아내고, 각 취약점에 대한 영향력과 위험성에 대해서 보고합니다. 자세한 보완 및 개선 방안 또한 제시합니다.

✔️ Security Consulting (보안 컨설팅)
새로운 제품이나 서비스를 만드는 과정에서부터 저희 팀이 고객사 개발 팀과 같이 리뷰하고 보다 안전한 시스템을 설계할 수 있도록 조언하고 도와드립니다.

✔️ Training (트레이닝)
고객사 개발자 및 보안 담당자들을 상대로 한 교육을 통해 시큐어 코딩의 중요성을 알리고 보다 효과적으로 취약점을 분석하고 방어할 수 있도록 다양한 실습을 통한 트레이닝을 제공합니다.

✔️ Threat Intelligence (사이버 위협 인텔리전스)
수 많은 CVE 목록 중에서 실제로 고객에게 큰 위협이 되는 항목들을 중점적으로 분석하여, 취약점에 대한 보다 자세한 분석 보고서와 PoC (Proof-of-Concept) 코드 뿐만 아니라 Theori 연구원들이 직접 작성하거나 수집한 exploit 코드를 제공합니다.

✔️ R&D-based Solution (R&D 기반 솔루션)
고객의 요청에 맞춰 보안 문제를 해결해줄 연구기술 기반의 솔루션을 개발하여 제공합니다.
더 보기
채용 페이지

진행중인 채용 정보가 없습니다.
전체 채용 정보 보기

서비스 / 제품 / 공간

사이버 위협 인텔리전스Threat Intelligence
실제 위험도와 영향력이 큰 위협들을 한 눈에 파악 가능한 형태로 정보 제공
수 많은 CVE 목록 중에서 실제로 고객에게 큰 위협이 되는 항목들을 중점적으로 분석하여, 취약점에 대한 보다 자세한 분석 보고서와 PoC (Proof-of-Concept) 코드 뿐만 아니라 Theori 연구원들이 직접 작성하거나 수집한 exploit 코드를 제공합니다.
트레이닝Training
필수 보안기술 및 시큐어코딩 트레이닝을 통한 역량 강화
고객사 개발자 및 보안 담당자들을 상대로 한 교육을 통해 시큐어 코딩의 중요성을 알리고 보다 효과적으로 취약점을 분석하고 방어할 수 있도록 다양한 실습을 통한 트레이닝을 제공합니다.
보안컨설팅Security Consulting
처음부터 보안을 생각한 설계 == 좋은 보안
새로운 제품이나 서비스를 만드는 과정에서부터 저희 팀이 고객사 개발 팀과 같이 리뷰하고 보다 안전한 시스템을 설계할 수 있도록 조언하고 도와드립니다.
모의침투 테스트 / 취약점 점검Penetration Testing
실제 공격이 일어나기 전에 공격자 관점에서 보안성을 점검하여 취약한 부분 보완
의뢰된 어플리케이션이나 시스템에서 발생할 수 있는 보안 이슈들을 찾아내고, 각 취약점에 대한 영향력과 위험성에 대해서 보고합니다. 자세한 보완 및 개선 방안 또한 제시합니다.

구성원

+ 기업 구성원으로 등록

로켓펀치에 가입하고 티오리를 소개받을 수 있는 지인을 찾아보세요.

Tech Stacks

Business Tools : 사내 협업, 고객 및 외부 채널 관리 툴
DevOps : 빌드, 테스트, 배포, 모니터링
Utilities : 서비스 개발 효율을 높이기 위해 사용하는 유틸리티
Application and Data : 개발 언어, 프레임웍, 라이브러리

관련 기사

네이버, 사이버보안 스타트업 ‘티오리’에 투자
네이버가 사이버보안 분야의 기술 스타트업에 신규 투자했다고 밝혔다. ​신규 투자 대상이 된 스타트업은 미국 오스틴에 본사를 두고 있는 티오리(Theori)다. 티오리는 보안 분야 전반에 걸쳐 취약점 분석, 컨​설팅, 인력교육, R&D 등의 서비스를 제공하는 스타트업으로...
플래텀 2018.09.0427
블록체인, 만병통치약 아냐! 응용 구현체가 보안 홀
우수 보안인재를 영입한 티오리의 대표는 다름 아닌 전 세계적으로 명성이 높은 데프콘(DEFCON) 해킹대회 본선 4회 우승과 국내외 대회에서 총 40회 이상 우승한 카네기멜론 대학의 PPP팀 출신인 박세준 대표다. 그가 세운 티오리는 과연 어떤 보안회사일까? 그가 쌓아...
보안뉴스 2018.01.05
THEORI(티오리) 대표 박세준씨와의 만남
티오리( THEORI) 회사 대표인 박세준씨를 만났습니다. 구글에서 PPP 보안, 해킹 등등으로 검색을 해보면 많은 기사를 보실 수 있습니다. 다른 설명이 필요 없는 워낙 유명한
테크수다 2017.06.28
[인터뷰] 박세준 티오리 대표, 코드게이트 2회 연속 우승과 사업
올해 10회째를 맞는 국제해킹방어대회 코드게이트 2017이 지난 11일과 12일 서울 동대문 디자인플라자에서 개최됐다. 이번 해킹방어대회 예선은 84개국 7천여 명 이상의 전세계 해커들이 참여...
데일리시큐 2017.04.16
세계적 버그헌터·취약점 분석가 4월 한국 집결... 첫 '제로콘' 개최
세계 무대에서 활동하는 버그헌터와 취약점 분석 전문가(익스플로잇 개발자)가 4월 한국에 모인다. 구글과 마이크로소프트(MS) 관련 최신 취약점부터 국내 인터넷서비스제공업체(ISP), 안티바이러스(백신) 솔루션 제...
전자신문 2017.03.28
간단히

추천

구성원
제품/서비스
팀웍
기업문화
평가와 보상

팀원들과 소통이 매우 활발합니다! 미국을 베이스로 두고 있는 회사만큼 성과에 대한 보상이 확실합니다. 원하는 일을 탄력적으로 할 수 있기에 휴가도 자유롭게 다녀옵니당~~ 좋아요오

풀스택 개발자 @티오리
구성원
제품/서비스
팀웍
기업문화
평가와 보상

티오리에서 일하는 것을 추천합니다.

티오리는 좋은 기업인가요? 추천해 보세요.
추천

투자유치

2018-09-04 Seed
관련기사
투자금액
투자금액 비공개 | 기업 가치 비공개
투자기관/투자자
네이버
Internet content service operator

기업 정보

설립일:
2016-01-01 / 3년차
구성원:
11-50명 상세보기
투자유치:
투자금액 비공개 상세보기
홈페이지:
이메일:
로그인 후 확인 가능합니다.
SNS:
사무실:
Seoul Office (KR) 서울특별시 강남구 역삼1동 선릉로93길 27 3층
Austin Office (US) 600 Congress Ave, Austin, TX 78701 미국 Floor 14
로딩중

연혁

2018-09
네이버, 투자금액 비공개 투자유치
2017-09
티오리한국 한국지사 (자회사) 설립
2016-01
티오리(Theori) 창업
사람들이 함께 본 기업 정보

스틸리언 (Stealien Ltd.)

we STEAL ALIEN technology 안전한 사이버 환경 제공을 위해 설립한 정보보안 전문 기업
IT서비스 ∙ 모바일 ∙ IoT ∙ Mobile ∙ app ∙ ITservice ∙ 보안 ∙ Security ∙ 신한퓨처스랩4기 ∙ HACK

에스브이 (SV)

글로벌 선두 기업을 목표로 가장 혁신적인 그룹을 만들어가는 젊은 IT 종합 기업
모바일플랫폼 ∙ 소프트웨어개발/서비스 ∙ 앱개발 ∙ IT/서비스 ∙ 모바일/웹개발

마지막 정보 수정 : 2018-11-16

로켓펀치 관리자의 도움이 필요할 땐 여기서 문의해주세요