삼성보안기술포럼 2019에서 만난 미래 보안 트렌드

각각의 기기들이 사물인터넷(IoT)으로 연결돼, 우리의 생활을 한층 편리하게 만들어줄 인공지능(AI) 시대가 성큼 다가왔다. 기술혁신으로 인해 많은 데이터들이 오가면서 보안(Security)은 이제 ‘선택’이 아닌 ‘필수’가 되었다. 삼성전자는 소비자들이 안심하고 쓸 수 있는 제품과 기술 개발을 위해 다양한 방법을 모색 중이다. 그 일환으로 지난 8월 20일 서울R&D센터에서 보안 관련 기술과 트렌드를 공유하는 ‘삼성보안기술포럼(Samsung Security Tech Forum, 이하 SSTF)’이 개최됐다. 다양한 이들이 보안에 대해 고민하고 활발하게 교류했던 현장을 뉴스룸이 다녀왔다.

정보보안 전문가의 시선으로 바라본 ‘보안’

SSTF는 정보보안 전문가와 기술에 관심이 많은 학생, 기업 관계자 등이 참가하는 국내 최대 규모의 보안 행사다. 3회째를 맞는 올해 행사에서는 세계적인 명성을 보유한 석학들의 강연은 물론, 유명 해커 출신 스타트업 대표의 기조연설도 준비됐다.

첫 번째로 기조 강연에 나선 삼성리서치 시큐리티팀 안길준 전무<위 사진>는 “보안을 통해 ‘기업을 신뢰할 수 있느냐 없느냐’가 결정된다고 생각한다”는 말로 강연의 포문을 열었다. 그는 기기를 출시하기 전, 보안 점검을 위해 실시하는 4단계 △보호(Protection), △탐지(Detection), △분석(Analysis), △예방(Prevention)을 말하며 ‘리스크 제로’를 이루기 위한 삼성의 노력을 소개했다. 또, 안 전무는 삼성의 강력한 모바일 플랫폼인 녹스(Knox) 브랜드를 제품에 사용하기 위해 충족해야 하는 9가지 기본 원칙을 설명해 청중의 관심을 모으기도 했다. 9가지 원칙에는 △하드웨어 기반 보호, △단말기 전체에 대한 암호화, △안전한 저장 공간, △검증된 암호화 기법 등이 포함된다.

두 번째 세션에서는 미국 조지아텍 컴퓨터공학과 김태수 교수<위 사진>가 연단에 섰다. 시스템 보안 전문가이자 조지아텍 시스템 소프트웨어 보안 연구소 (Systems Software & Security Lab)를 이끌고 있는 김 교수는 ‘하드웨어 보안 메커니즘을 활용한 보안 시스템 구축’을 주제로 청중을 만났다. 김 교수는 최신 기술 트렌드를 ‘효율적인 보안을 위한 하드웨어와 소프트웨어 통합 설계’로 보고, 이에 대한 꾸준한 연구를 이어오고 있다. 그는 △비(非)보안 하드웨어의 특징, △하드웨어 보안 기능에 대한 소프트웨어 지원, △신뢰 기반 하드웨어 구축의 중요성을 설명하며 ‘어떻게 신뢰 중심의 소프트웨어 기반을 구축할 수 있을지’에 대해 설명했다.

김태수 교수의 강연을 들은 김인영(한양대학교 3학년) 씨는 “소프트웨어를 전공하고 있지만, 보안 관련 내용을 잘 몰라 호기심에 참가했는데 ‘CPU 코어 자체를 보안 친화적으로 설계하고 있다는 사실’을 알게 되어 인상적이었다”고 소감을 밝혔다.

미국 애리조나주립대학교 교수인 루어위 왕(Ruoyu ‘Fish’ Wang)<위 사진>도 강연자로 나서 이목을 끌었다. 유명 해커이자 세계 최고 권위 국제 해킹대회 ‘데프콘(DEFCON)’ 운영진으로 활동하고 있는 인물이기도 하다. 그는 “상호 연결된 시스템 보안에 대한 의존도가 높아지면서 ‘자동 취약점 탐지’에 대한 중요성도 덩달아 높아지고 있다”고 언급했다.

이어 취약점을 찾기 위한 방법인 퍼징(Fuzzing)[1]과 기호 실행(Symbolic Execution)[2]의 특징을 구체적으로 설명하며, 단점을 보완하기 위한 방법에 대해 심도 깊게 이야기했다. 또 강연 말미에는 “사람의 지식 원천을 자동화된 취약점 발견 시스템에 접목하면 한층 발전된 보안 기술이 나올 수 있을 것”이라며 향후 연구 방향을 공개하기도 했다.

마지막 키노트 세션은 데프콘 최다 우승 기록을 보유한 보안기술 스타트업 티오리(Theori)의 창업자 박세준 대표<위 사진>의 강연이었다. 스타트업부터 대기업, 금융권, 가상화폐 거래소, 블록체인 서비스 등 다양한 분야에서 보안 컨설팅의 노하우를 쌓아 올린 박세준 대표는 그간의 노력을 통해 얻은 교훈을 청중들과 공유했다. 박 대표는 “컨설팅을 제공할 때 ‘공격자 관점에서 바라보는 것’이 중요하다”며, “실제 공격 시나리오를 작성해보고 이를 대비 할 때 견고한 보안을 실천할 수 있다”고 말했다.

이후 진행된 케이스 스터디에서는 웹 서비스·임베디드 시스템·게임·금융권·블록체인 등에서 자주 발견되는 취약점과 그에 따른 패치 권고를 소개했다. 특히 웹 서비스에 대해서는 “많은 사람들이 사용자 ‘인증’과 ‘인가’를 구분하지 못해 회사 내부 데이터가 위협을 받곤 하는데, 이에 대한 올바른 이해와 적용이 필요하다”고 강조해 업계 관계자들의 호응을 이끌어냈다.

‘보안 인재’들의 축제 한마당, 다채로운 부대 행사

이번 SSTF에서는 관람객의 참여로 진행되는 프로그램도 대거 마련됐다. 올해 최초로 도입된 오픈테크토크(Open Tech Talk)에서는 총 8명의 대학(원)생들이 직접 무대에 올라 자신이 진행하고 있는 연구 결과를 발표했다. 오픈테크토크에 참여한 손현준(고려대학교 3학년) 씨는 “새로운 주제의 연구에 대해 알 수 있어 흥미로웠고, 자유로운 분위기에서 질문하고 토론할 수 있어 키노트와는 또 다른 매력이 있는 것 같다”고 말했다.

▲ 해킹 체험존에서 문제를 풀고 있는 사람들(위 사진) 포스터를 살펴보고 있는 사람들(아래 사진). 총 7개 포스터가 전시되었으며, 가장 인상 깊게 본 포스터를 고르는 투표도 함께 진행되었다.

해킹 체험존(Open Capture The Flag)에서는 노트북 앞에 앉아 문제 풀기에 열중하는 사람들도 볼 수 있었다. 해당 존은 공격·방어·코딩·역공학·암호학 등 총 5개 분야의 문제 풀이로 개인의 해킹 역량을 가늠해 볼 수 있는 공간이다. 해킹 체험존에 참가한 한찬호(고려대학교 3학년) 씨는 “난이도가 높은 문제도 있어 어려움을 겪고 있는데, 함께 참가한 동기와 논의해 잘 헤쳐 나가보겠다”며 “대회 형식으로 해킹을 접하니까 색다르고 재밌다”고 소감을 밝혔다. 이 밖에도 행사장에서는 삼성전자가 제품에 적용하고 있는 보안 기술을 한눈에 파악할 수 있는 포스터가 전시됐다.

기술의 발전과 함께 보안이 더욱 중요해지는 만큼 이번 SSTF가 보안 분야에 대한 사회적 관심과 참여의 폭을 넓히는 데 기여할 것으로 기대해본다.

조승환 삼성리서치 부사장은 “변하는 사회에 맞춰 사용자들이 신뢰할 수 있는 보안 기술을 위해 끊임없이 노력할 것이며, SSTF를 통해 건강한 보안 생태계 저변 확대를 위해 최선을 다할 것”이라고 밝혔다.