‘삼성 보안 기술 포럼’은 학계·업계 관계자들이 참가해 보안 기술 분야의 최신 기술과 동향을 공유하는 자리로, 올해는 ‘당신의 모든 경험을 안전하게(Trust with Samsung: across all your experiences)’라는 주제로 열렸다.

삼성리서치 연구소장 승현준 사장은 환영사에서 “삼성전자는 고객의 보안과 개인정보 보호를 항상 최우선으로 하고 있다”며, “고객의 일상이 안전하도록 하드웨어와 소프트웨어에서 온라인 서비스까지 모든 계층에 최첨단 보안을 제공해 우리 제품의 신뢰 기반을 구축하고 있다”고 말했다.

이어서 승 사장은 ▲하드웨어 신뢰점(Root of Trust)을 이용한 보안 기반 구축 ▲자동화된 도구와 기술을 이용한 보안 취약점 제거 ▲여러 사물인터넷(IoT) 기기들에서의 원활하고 안전한 사용자 경험 제공 등 삼성리서치의 주요 연구 방향을 소개했다.
※ 신뢰점: 변경 불가능하고 보안상 신뢰할 수 있는 소프트웨어나 하드웨어

삼성리서치 시큐리티 & 프라이버시 팀장 황용호 상무는 기조강연에서 강력한 보안기술을 기반으로 사용자들의 개인정보를 안전하게 지켜주기 위한 삼성전자의 노력들을 소개하고, 삼성전자 홈페이지의 시큐리티 앤 프라이버시(Security & Privacy) 페이지를 통해 이러한 내용들을 공유할 것이라고 발표했다.

이어서 ▲미국 조지아공과대학교 사이버 보안 및 개인정보 보호 연구소 다니엘 젠킨(Daniel Genkin) 교수 ▲미국 조지타운대학교 컴퓨터 공학과 무투 벤키타수브라마니암 (Muthu Venkitasubramaniam) 교수 ▲미국 마이크로소프트 리서치 웨이동 추이(Weidong Cui) 매니저 ▲카이스트 전산학부 강지훈 교수 등 보안기술 분야 석학들의 초청 강연이 진행됐다.

조지아공과대학교 다니엘 젠킨 교수는 스펙터(Spectre)와 멜트다운(Meltdown) 같은 추측성 실행 공격 및 웹브라우저 기반 부채널 공격(Side Channel Attack) 등에 대해 소개했고, 조지타운대학교 무투 벤키타수브라마니암 교수는 블록체인 관련 안전한 다자간 연산(Secure multi-party computation)과 영지식 증명(Zero-knowledge proof)에 대해 설명했다.
※ 부채널 공격: 컴퓨터 보안에서 프로토콜이나 알고리즘 자체의 설계상 결함이 아니라 타이밍 정보, 소비 전력, 방출되는 전자파 등 암호 체계의 물리적 구현 과정 정보를 기반으로 하는 공격 방법
※ 안전한 다자간 연산: 서로 신뢰하지 않는 다수가 각자의 입력 값을 공유하지 않고, 암호화된 입력 값의 계산 결과를 출력하는 방식
※ 영지식 증명: 어떤 증명자가 자신만이 가진 비밀 정보를 공개하지 않고 상대방인 검증자에게 정보를 알고 있음을 증명하는 방법

마이크로소프트 리서치 웨이동 추이 매니저는 인텔 프로세서 트레이스(Intel Processor Trace)를 활용해 시스템 코드에서 버그를 찾는 프로그램 분석 기술을 공유했고, 카이스트 강지훈 교수는 운영 체제의 핵심인 커널을 정형 검증(Formal Verification)하면서 발생하는 문제들과 연구 내용에 대해 강연했다.
※ 정형 검증: 작성된 프로그램이 원하는 기능을 실행하고 반드시 종료하는지를 조사하기 위해, 엄격한 수학적인 기법을 사용해 의도된 알고리즘의 정확성을 증명하거나 반증하는 검증 기법

한편, 올해 더욱 확대된 삼성 기술 세션에서는 삼성리서치 연구진들의 최근 보안 분야 주요 연구 내용들과 함께 사업부의 보안 활동이 소개됐다.

또한 해킹 입문자부터 상급자까지 누구나 참여할 수 있는 온라인 해킹체험존(Hacker’s Playground)도 운영됐다.

삼성전자는 정보 보안 기술 저변 확대와 인재 양성을 위해 2017년부터 매년 ‘삼성 보안 기술 포럼’을 개최해오고 있다.

▲삼성전자가 23일 온라인으로 개최한 ‘제6회 삼성 보안 기술 포럼’에서 삼성리서치 연구소장 승현준 사장이 환영사를 하고 있다.

삼성전자는 보안 기술의 저변을 보다 넓히고 주요 연구 성과를 공유하기 위해, 오는 23일 ‘삼성보안기술포럼(Samsung Security Tech Forum, SSTF)’을 온라인으로 개최한다. 이번 포럼은 세계적 보안 전문가와 학계·업계 관계자들이 보안기술 분야의 최신 연구 성과를 공유하는 장으로, 2017년 처음 개최된 이래 올해가 6회째다.

또한, 이번 삼성보안기술포럼은 삼성리서치가 주최하는 ‘삼성 테크 포럼(Samsung Tech Forum)’ 중 하나로, 지난 5월 열린 ‘삼성 6G 포럼’에 이은 올해 두 번째 포럼이기도 하다.

최신 보안 기술 트렌드와 연구 성과를 확인할 수 있는 제6회 삼성보안기술포럼, 주목해야 할 포인트를 카드뉴스에서 미리 만나 보자.

‘삼성 보안 기술 포럼’은 삼성전자가 정보 보안 기술 저변 확대와 인재 양성을 위해 2017년부터 매년 개최해 온 행사로, 세계적인 보안 전문가들과 학계·업계 관계자들이 참가해 보안 기술 분야의 최신 성과를 공유하는 자리다.

온라인으로 열리는 이번 ‘삼성 보안 기술 포럼’은 ‘당신의 모든 경험을 안전하게(Trust with Samsung: across all your experiences)’라는 주제로 진행된다.

작년부터 통합된 삼성리서치의 글로벌 기술 행사인 ‘삼성 테크 포럼(Samsung Tech Forum)’ 중 지난 5월에 개최한 ‘삼성 6G 포럼’에 이은 올해 두 번째 행사다.

올해 행사는 삼성리서치 연구소장 승현준 사장의 환영사에 이어 삼성리서치 시큐리티 & 프라이버시 팀장 황용호 상무가 기조 강연을 할 예정이다.

이후, ▲미국 조지아공과대학교 사이버 보안 및 개인정보 보호 연구소 다니엘 젠킨(Daniel Genkin) 교수 ▲미국 조지타운대학교 컴퓨터 공학과 무투 벤키타수브라마니암 (Muthu Venkitasubramaniam) 교수 ▲미국 마이크로소프트 리서치 웨이동 추이(Weidong Cui) 매니저 ▲카이스트 전산학부 강지훈 교수의 초청 강연이 이어진다.

또한, 올해는 행사의 기술 세션을 더욱 확대해 삼성리서치의 보안 분야 주요 연구 내용과 함께 실생활에서 디바이스와 사용자를 보호하기 위한 사업부의 보안 활동을 소개하는 등 더욱 다양한 내용으로 구성될 예정이다.

매년 좋은 반응을 얻었던 온라인 해킹체험존(Hacker’s Playground) 역시 올해도 마련되며, 해킹 입문자부터 상급자까지 누구나 참여할 수 있는 기초 해킹 실습, 모의 해킹 등 다양한 콘텐츠가 24시간 동안 제공된다.

삼성리서치 연구소장 승현준 사장은 “항상 고객의 보안과 개인정보 보호를 최우선으로 하는 삼성의 노력과 함께 글로벌 전문가들의 최신 보안 연구 강연을 들을 수 있는 기회”라며, “‘삼성 보안 기술 포럼’이 활발한 기술교류와 협력의 장이 되길 바란다”고 말했다.

‘삼성 보안 기술 포럼’에 대한 자세한 내용은 포럼 홈페이지(sstf.site)에서 확인할 수 있으며, 온라인 참가 신청은 7월 25일부터 8월 23일까지 가능하다.

한편, ‘삼성 보안 기술 포럼’에 이어 ‘삼성 AI 포럼’은 11월 초 개최될 예정이다.

▲제6회 삼성 보안 기술 포럼 포스터

‘삼성보안기술포럼’은 학계·업계 관계자들이 참가해 보안기술 분야의 최신 기술과 동향을 공유하는 자리로, 올해 포럼은 ‘안전하고 신뢰할 수 있는 경험을 향해(Toward a Safe & Reliable Experience)’라는 주제로 열렸다.

삼성리서치 연구소장 승현준 사장은 기조 강연에서 “인공지능(AI), 사물인터넷(IoT), 5G가 일상과 비즈니스 방식을 변화시키는 가운데, 편의성이 강화되는 만큼 보안에 대한 우려도 커지고 있다”며 “삼성전자는 하드웨어, 소프트웨어에서 서비스에 이르는 모든 층위를 제공하며, 보안과 개인정보 보호 연구에 앞장서고 있다”고 말했다.

승현준 소장은 ▲새로운 하드웨어 기능과 소프트웨어 통합을 통한 기기 내 보안 강화 ▲퍼징(Fuzzing, 무작위로 데이터를 입력해 예외 오류를 발생시킨 후 취약 원인을 분석하는 테스트) 등 소프트웨어 오류 검증 기법의 자동화 ▲AI와 머신러닝을 활용해 보안을 강화하는 위협 인텔리전스(Threat Intelligence) 등 삼성리서치의 주요 연구 방향을 소개했다.

삼성리서치 시큐리티팀장 황용호 상무는 투명성(Transparency & Open), 보호(Protection), 개인정보(Privacy)의 관점에서 사용자들에게 더 안전하고 신뢰할 수 있는 경험을 제공하기 위한 연구 활동을 공유했다.

이어서 ▲영국 케임브리지대학교 컴퓨터공학과 로스 앤더슨(Ross J. Anderson) 교수 ▲미국 조지아공과대학교 컴퓨터공학과 무스타케 아마드(Mustaque Ahamad) 교수 ▲캐나다 브리티시컬럼비아대학교 전기전자컴퓨터공학부 콘스탄틴 베즈노소프(Konstantin Beznosov) 교수 ▲서울대학교 전기·정보공학부 이병영 교수 등 보안기술 분야 석학들의 강연이 진행됐다.

케임브리지대 로스 앤더슨 교수는 신경망 모델(Neural Network Model), 머신러닝 기반 보안시스템 관련 연구를 소개했고, 조지아공대 무스타케 아마드 교수는 음성 인식과 자연어 처리 기술 발전을 기반으로 음성 통화의 보안성을 강화할 수 있는 방안을 설명했다.

브리티시컬럼비아대 콘스탄틴 베즈노소프 교수는 코로나19로 가속화된 정보 추적 기술 분야에서 개인정보 활용과 보호 간 균형을 유지하는 방안에 대해 강연했고, 서울대 이병영 교수는 소프트웨어 검증 기법인 퍼징을 다양한 플랫폼으로 확대하는 연구를 소개했다.

한편, 삼성리서치 연구진들이 최근의 보안기술 연구와 오픈소스 활동에 대해 발표했으며, 해킹 입문자부터 상급자까지 누구나 참여할 수 있는 온라인 해킹체험존(Hacker’s Playground)이 운영됐다.

삼성전자는 정보 보안 기술 저변 확대와 인재 양성을 위해 2017년부터 매년 ‘삼성보안기술포럼’을 개최해오고 있다.

▲ 삼성전자가 17일 온라인으로 개최한 ‘제5회 삼성보안기술포럼’에서 삼성리서치 연구소장 승현준 사장이 기조 강연에 나서 주요 연구 방향을 소개했다.

‘삼성보안기술포럼’은 삼성전자가 정보 보안 기술 저변 확대와 인재 양성을 위해 2017년부터 매년 개최해온 행사로, 세계적인 보안 전문가들과 학계∙업계 관계자들이 참가해 보안 기술 분야의 최신 성과를 공유하는 자리이다.

특히, 올해부터 삼성리서치의 글로벌 기술 행사를 ‘삼성 테크 포럼(Samsung Tech Forum)’으로 통합해 보안 기술, 오픈소스, 인공지능(AI)을 주제로 한 행사를 연내 순차적으로 개최할 예정이다.

온라인으로 열리는 이번 ‘삼성보안기술포럼’은 ‘안전하고 신뢰할 수 있는 경험을 향해(Toward a Safe & Reliable Experience)’라는 주제 아래 전문가 기조 강연, 삼성리서치의 보안 분야 주요 연구 활동을 공유하는 기술 세션으로 진행된다.

삼성리서치 연구소장 승현준 사장과 삼성리서치 시큐리티팀장 황용호 상무가 기조 강연의 문을 열고, ▲영국 케임브리지대학교 컴퓨터공학과 로스 앤더슨(Ross J.Anderson) 교수 ▲미국 조지아공과대학교 정보 보안 및 개인정보 보호 연구소 무스타케 아마드(Mustaque Ahamad) 교수 ▲캐나다 브리티시컬럼비아대학교 전기전자컴퓨터공학부 콘스탄틴 베즈노소프(Konstantin Beznosov) 교수 ▲서울대학교 전기·정보공학부 이병영 교수 등의 강연이 이어진다.

또한, 보안 취약점을 연구해 해킹을 방어하는 화이트 해커들을 위해 해킹 입문자부터 상급자까지 누구나 참여할 수 있는 온라인 해킹체험존(Hacker’s Playground)이 마련돼 기초 해킹 실습, 모의 해킹 등 다양한 콘텐츠가 24시간 동안 제공된다.

삼성리서치 연구소장 승현준 사장은 “더 나은 미래를 위한 핵심 기술들을 글로벌 전문가들과 공유하고 토론하기 위해 매년 ‘삼성 테크 포럼’을 개최할 계획”이라며 “정기적인 기술 교류를 통해 삼성전자가 그리는 미래 기술의 저변 확대와 경쟁력 강화를 기대한다”라고 밝혔다.

‘삼성보안기술포럼’에 대한 자세한 내용은 삼성리서치 홈페이지(http://research.samsung.com/sstf)에서 확인할 수 있으며, 온라인 참가 신청은 7월 12일부터 8월 17일까지 가능하다.

한편, 보안기술포럼에 이어 오픈소스 콘퍼런스는 10월 13일~14일, AI 포럼은 11월 2일에 각각 온라인으로 개최될 예정이다.

▲ 삼성전자가 8월 17일 개최하는 ‘제5회 삼성보안기술포럼’ 포스터. 온라인 참가 신청은 7월 12일부터 8월 17일까지 가능하다.

▲ 삼성리서치 글로벌 기술 행사인 ‘삼성 테크 포럼’ 포스터. 삼성전자는 보안 기술, 오픈소스, AI 포럼을 연내 순차적으로 개최할 예정이다.

삼성전자는 보안 기술 분야의 소프트웨어 저변 확대와 인재 양성을 위해 2017년부터 매년 삼성보안기술포럼을 개최해 왔다. 이번에는 코로나19로 인해 처음으로 온라인으로 진행됐다.

삼성리서치 승현준 소장(사장)은 환영사에서 “오늘날 IT 시스템은 거대하지만 공격에 매우 취약하다”며 “이제 보안은 한 회사의 성공과 실패를 좌지우지할 정도로 중요하게 자리잡고 있어, 보안 위협에 대한 방어는 항상 준비되어야 한다”며 보안의 중요성을 강조했다.

승현준 소장은 “해마다 온라인에 의존하는 생활 방식은 더욱 확대되고 코로나19로 인해 이러한 변화가 가속화됨에 따라, 디지털 보안과 개인정보 보호는 앞으로 더 크고 중요한 도전을 맞이할 것”이라고 전망했다.

승 소장은 “삼성전자는 세계 최고의 제품과 서비스를 만들기 위해 보안과 프라이버시를 무엇보다 중요하게 생각한다”며 “현재 당면하고 있는 보안 이슈를 해결하는 기술을 개발하기 위해 끊임없이 노력하고 있다”고 강조했다.

그는 또, 삼성전자가 단지 기술적 연구뿐만 아니라, 윤리와 인간의 권리, 사회적 이상까지 고려하면서 기술을 개발해야 한다고 덧붙였다.

승 소장은 ‘프라이버시를 다시 생각하다(Time to Rethink Privacy)’라는 주제로 열린 삼성보안기술포럼이 보안의 의미와 중요성을 다시 한번 생각해보는 자리가 되길 바란다며 환영사를 마무리했다.

기조연설에는 △삼성리서치 보안 기술 분야를 총괄하는 시큐리티팀 황용호 팀장(상무)과 무선사업부 시큐리티팀 안길준 팀장(전무), 세계적인 보안 전문가인 △미국 퍼듀대학교(Purdue University) 엘리사 버티노(Elisa Bertino) 교수 △캐나다 토론토대학교(University of Toronto) 니콜라스 페이퍼낫(Nicolas Papernot) 교수 △미국 오리건 주립대학교(Oregon State University) 장영진 교수 등이 나섰다.

황용호 상무와 안길준 전무는 ‘안전한 사용자 경험을 위한 보안과 개인정보 보호’라는 주제로 기조연설을 진행했다.

미국 퍼듀대학교 컴퓨터공학과 교수이자 ‘사이버스페이스 시큐리티랩(Cyberspace Security Lab)’ 연구 이사로 재직 중인 엘리사 버티노 교수는 ‘빅데이터, 머신러닝, IoT 및 5G 시대의 프라이버시’라는 주제로, 5G 네트워크 환경에서의 해킹 공격과 방법에 대해 강연했다.

캐나다 토론토대학교 컴퓨터공학과 교수이자 벡터 연구소(Vector Institute)에서 ‘캐나다 고등연구원(CIFAR, Canadian Institute For Advanced Research)’ AI 의장을 맡고 있는 니콜라스 페이퍼낫 교수는 ‘보안과 프라이버시를 위한 머신러닝(Machine Learning) 시스템 설계 방식’에 대한 강연을 진행했다.

세계 최고 권위의 국제 해킹대회인 ‘데프콘(DEFCON)’ 우승자이자 미국 오리건 주립대학교 컴퓨터공학과 장영진 교수는 ‘클라우드 실행시 데이터 보호에 취약한 점을 보완하고 안전하게 아웃소싱하는 실용적인 솔루션’을 소개했다.

한편, 삼성리서치 연구진들이 최근 진행 중인 보안 기술 연구와 삼성 제품에 적용된 보안 기능 등도 소개했다.

해킹 입문자부터 전문가까지 누구나 참가할 수 있는 ‘해킹체험존(Hacker’s Playground)’도 운영된다. 지난 해와 달리 올해는 온라인으로 진행됨에 따라 그간 현장 행사에 참가할 수 없었던 참가자들도 쉽게 체험에 참가할 수 있다.

▲ 18일 온라인으로 개최된 ‘제4회 삼성보안기술포럼’에서 삼성리서치 승현준 소장이 환영사를 하고 있다.

삼성전자는 정보 보안과 프라이버시 관련 보안 기술 분야의 소프트웨어 저변 확대와 인재 양성을 위해 2017년부터 매년 삼성보안기술포럼을 개최해 왔다.

‘삼성보안기술포럼’은 세계적인 보안 전문가들과 학계·업계 등 관계자, 학생들이 참가해 보안 기술 분야의 최신 성과를 공유하는 국내 최대 규모의 보안 포럼이다. 보안에 관심이 있는 사람이라면 누구나 참여할 수 있으며 올해는 코로나19로 인해 온라인을 통해 행사가 진행된다.

이번 포럼은 보안의 중요성을 다시 한번 강조하는 의미로 ‘프라이버시를 다시 생각하다(Time to Rethink Privacy)’라는 테마로, 전문가의 기조 강연과 삼성리서치의 보안 분야 주요 연구 활동∙인사이트를 공유하는 기술 세션으로 진행된다.

또한, 해킹 입문자부터 전문가까지 누구나 참가할 수 있는 ‘해킹체험존(Hacker’s Playground)’도 온라인 환경에서 운영된다.

삼성리서치 승현준 소장(사장)의 환영사를 시작으로, 삼성리서치 보안 기술 분야를 총괄하는 시큐리티팀 황용호 팀장(상무)과 무선사업부 시큐리티팀 안길준 팀장(전무)이 함께 기조 연설에 나선다.

이어, △미국 퍼듀대학교(Purdue University) 컴퓨터공학과 교수이자 ‘사이버스페이스 시큐리티랩(Cyberspace Security Lab)’ 연구 이사로 재직 중인 엘리사 버티노(Elisa Bertino) 교수, △캐나다 토론토대학교(University of Toronto) 컴퓨터공학과 교수이자 벡터 연구소(Vector Institute)에서 ‘캐나다 고등연구원(CIFAR, Canadian Institute For Advanced Research)’ AI 의장을 맡고 있는 니콜라스 페이퍼낫(Nicolas Papernot) 교수, △세계 최고 권위의 국제 해킹대회인 ‘데프콘(DEFCON)’ 우승자(2015년 팀 DEFKOR, 2018년 팀 DEFKOR00t)이자 오리건 주립대학교(Oregon State University) 컴퓨터공학과 장영진 교수의 기술 강연이 진행된다.

‘해킹체험존’에서는 입문자부터 상급자까지 다양한 레벨의 문제가 제공돼 개인의 해킹 역량을 테스트해 볼 수 있다. 지난해와 달리 올해는 온라인으로 진행됨에 따라 그간 현장 행사에 참가할 수 없었던 참가자들도 쉽게 체험에 참가할 수 있게 되었다.

삼성리서치 승현준 소장은 “최근 IT 기술의 발전과 함께 보안과 개인의 프라이버시 보호도 더욱 중요해지고 있다”며, “삼성전자는 보안 기술 포럼과 같은 정기적인 기술 교류를 통해 보안 분야에 대한 사회적 관심과 참여의 폭을 넓히고 삼성전자의 제품과 서비스를 고객이 더욱 신뢰하고 안전하게 이용할 수 있도록 노력할 것”이라고 밝혔다.

한편, ‘삼성보안기술포럼’에 대한 자세한 내용은 삼성리서치 홈페이지(http://research.samsung.com/sstf)를 통해 확인할 수 있으며 온라인 참가 신청은 7월 20일부터 행사 당일까지 가능하다. 사전 등록자를 위한 이벤트도 진행된다.

▲ ‘제4회 삼성보안기술포럼’ 포스터

각각의 기기들이 사물인터넷(IoT)으로 연결돼, 우리의 생활을 한층 편리하게 만들어줄 인공지능(AI) 시대가 성큼 다가왔다. 기술혁신으로 인해 많은 데이터들이 오가면서 보안(Security)은 이제 ‘선택’이 아닌 ‘필수’가 되었다. 삼성전자는 소비자들이 안심하고 쓸 수 있는 제품과 기술 개발을 위해 다양한 방법을 모색 중이다. 그 일환으로 지난 8월 20일 서울R&D센터에서 보안 관련 기술과 트렌드를 공유하는 ‘삼성보안기술포럼(Samsung Security Tech Forum, 이하 SSTF)’이 개최됐다. 다양한 이들이 보안에 대해 고민하고 활발하게 교류했던 현장을 뉴스룸이 다녀왔다.

정보보안 전문가의 시선으로 바라본 ‘보안’

SSTF는 정보보안 전문가와 기술에 관심이 많은 학생, 기업 관계자 등이 참가하는 국내 최대 규모의 보안 행사다. 3회째를 맞는 올해 행사에서는 세계적인 명성을 보유한 석학들의 강연은 물론, 유명 해커 출신 스타트업 대표의 기조연설도 준비됐다.

첫 번째로 기조 강연에 나선 삼성리서치 시큐리티팀 안길준 전무<위 사진>는 “보안을 통해 ‘기업을 신뢰할 수 있느냐 없느냐’가 결정된다고 생각한다”는 말로 강연의 포문을 열었다. 그는 기기를 출시하기 전, 보안 점검을 위해 실시하는 4단계 △보호(Protection), △탐지(Detection), △분석(Analysis), △예방(Prevention)을 말하며 ‘리스크 제로’를 이루기 위한 삼성의 노력을 소개했다. 또, 안 전무는 삼성의 강력한 모바일 플랫폼인 녹스(Knox) 브랜드를 제품에 사용하기 위해 충족해야 하는 9가지 기본 원칙을 설명해 청중의 관심을 모으기도 했다. 9가지 원칙에는 △하드웨어 기반 보호, △단말기 전체에 대한 암호화, △안전한 저장 공간, △검증된 암호화 기법 등이 포함된다.

두 번째 세션에서는 미국 조지아텍 컴퓨터공학과 김태수 교수<위 사진>가 연단에 섰다. 시스템 보안 전문가이자 조지아텍 시스템 소프트웨어 보안 연구소 (Systems Software & Security Lab)를 이끌고 있는 김 교수는 ‘하드웨어 보안 메커니즘을 활용한 보안 시스템 구축’을 주제로 청중을 만났다. 김 교수는 최신 기술 트렌드를 ‘효율적인 보안을 위한 하드웨어와 소프트웨어 통합 설계’로 보고, 이에 대한 꾸준한 연구를 이어오고 있다. 그는 △비(非)보안 하드웨어의 특징, △하드웨어 보안 기능에 대한 소프트웨어 지원, △신뢰 기반 하드웨어 구축의 중요성을 설명하며 ‘어떻게 신뢰 중심의 소프트웨어 기반을 구축할 수 있을지’에 대해 설명했다.

김태수 교수의 강연을 들은 김인영(한양대학교 3학년) 씨는 “소프트웨어를 전공하고 있지만, 보안 관련 내용을 잘 몰라 호기심에 참가했는데 ‘CPU 코어 자체를 보안 친화적으로 설계하고 있다는 사실’을 알게 되어 인상적이었다”고 소감을 밝혔다.

미국 애리조나주립대학교 교수인 루어위 왕(Ruoyu ‘Fish’ Wang)<위 사진>도 강연자로 나서 이목을 끌었다. 유명 해커이자 세계 최고 권위 국제 해킹대회 ‘데프콘(DEFCON)’ 운영진으로 활동하고 있는 인물이기도 하다. 그는 “상호 연결된 시스템 보안에 대한 의존도가 높아지면서 ‘자동 취약점 탐지’에 대한 중요성도 덩달아 높아지고 있다”고 언급했다.

이어 취약점을 찾기 위한 방법인 퍼징(Fuzzing)[1]과 기호 실행(Symbolic Execution)[2]의 특징을 구체적으로 설명하며, 단점을 보완하기 위한 방법에 대해 심도 깊게 이야기했다. 또 강연 말미에는 “사람의 지식 원천을 자동화된 취약점 발견 시스템에 접목하면 한층 발전된 보안 기술이 나올 수 있을 것”이라며 향후 연구 방향을 공개하기도 했다.

마지막 키노트 세션은 데프콘 최다 우승 기록을 보유한 보안기술 스타트업 티오리(Theori)의 창업자 박세준 대표<위 사진>의 강연이었다. 스타트업부터 대기업, 금융권, 가상화폐 거래소, 블록체인 서비스 등 다양한 분야에서 보안 컨설팅의 노하우를 쌓아 올린 박세준 대표는 그간의 노력을 통해 얻은 교훈을 청중들과 공유했다. 박 대표는 “컨설팅을 제공할 때 ‘공격자 관점에서 바라보는 것’이 중요하다”며, “실제 공격 시나리오를 작성해보고 이를 대비 할 때 견고한 보안을 실천할 수 있다”고 말했다.

이후 진행된 케이스 스터디에서는 웹 서비스·임베디드 시스템·게임·금융권·블록체인 등에서 자주 발견되는 취약점과 그에 따른 패치 권고를 소개했다. 특히 웹 서비스에 대해서는 “많은 사람들이 사용자 ‘인증’과 ‘인가’를 구분하지 못해 회사 내부 데이터가 위협을 받곤 하는데, 이에 대한 올바른 이해와 적용이 필요하다”고 강조해 업계 관계자들의 호응을 이끌어냈다.

‘보안 인재’들의 축제 한마당, 다채로운 부대 행사

이번 SSTF에서는 관람객의 참여로 진행되는 프로그램도 대거 마련됐다. 올해 최초로 도입된 오픈테크토크(Open Tech Talk)에서는 총 8명의 대학(원)생들이 직접 무대에 올라 자신이 진행하고 있는 연구 결과를 발표했다. 오픈테크토크에 참여한 손현준(고려대학교 3학년) 씨는 “새로운 주제의 연구에 대해 알 수 있어 흥미로웠고, 자유로운 분위기에서 질문하고 토론할 수 있어 키노트와는 또 다른 매력이 있는 것 같다”고 말했다.

▲ 해킹 체험존에서 문제를 풀고 있는 사람들(위 사진) 포스터를 살펴보고 있는 사람들(아래 사진). 총 7개 포스터가 전시되었으며, 가장 인상 깊게 본 포스터를 고르는 투표도 함께 진행되었다.

해킹 체험존(Open Capture The Flag)에서는 노트북 앞에 앉아 문제 풀기에 열중하는 사람들도 볼 수 있었다. 해당 존은 공격·방어·코딩·역공학·암호학 등 총 5개 분야의 문제 풀이로 개인의 해킹 역량을 가늠해 볼 수 있는 공간이다. 해킹 체험존에 참가한 한찬호(고려대학교 3학년) 씨는 “난이도가 높은 문제도 있어 어려움을 겪고 있는데, 함께 참가한 동기와 논의해 잘 헤쳐 나가보겠다”며 “대회 형식으로 해킹을 접하니까 색다르고 재밌다”고 소감을 밝혔다. 이 밖에도 행사장에서는 삼성전자가 제품에 적용하고 있는 보안 기술을 한눈에 파악할 수 있는 포스터가 전시됐다.

기술의 발전과 함께 보안이 더욱 중요해지는 만큼 이번 SSTF가 보안 분야에 대한 사회적 관심과 참여의 폭을 넓히는 데 기여할 것으로 기대해본다.

조승환 삼성리서치 부사장은 “변하는 사회에 맞춰 사용자들이 신뢰할 수 있는 보안 기술을 위해 끊임없이 노력할 것이며, SSTF를 통해 건강한 보안 생태계 저변 확대를 위해 최선을 다할 것”이라고 밝혔다.

스마트폰을 주축으로 사물인터넷(IoT)이 급속도로 발전하는 만큼, ‘보안’에 대한 중요성도 증가하고 있다. ‘보안’이란 쉽게 말해 감기에 걸리게 하는 추위를 막기 위해 따뜻한 옷을 입는 것이다. 즉, 소프트웨어에 침투해 문제를 일으키는 악성코드를 예방 및 방어하기 위한 방법을 말한다. 지금까지의 ‘보안’ 기술이 소프트웨어 형태의 악성코드를 막는 것에 국한되었다면, 사물인터넷의 발달로 하드웨어로 직접 침투하는 악성코드에도 대응할 수 있어야 한다는 것이 현재 보안 기술의 당면한 문제다.

▲SSTF의 Opening Remarks를 담당한 삼성전자 안길준 전무(소프트웨어센터 시큐리티 팀장)

지난 8월 21일, 삼성전자 서울R&D캠퍼스에서 제 1회 ‘삼성전자 보안기술포럼(Samsung Security Tech Forum, 이하 SSTF)이 열렸다. 국내외 정보 보안 전문가들이 참여한 이번 보안기술포럼에는 800여 명의 청중이 참가했다. 본격적인 강연이 시작되기 전부터 청중석이 가득 채워졌고, 중·고등학생을 비롯해 보안 전문 기술자까지 다양한 연령대의 참가자들이 눈에 띄었다.

생활 가까이 있지만 낯선 보안 기술

▲기조연설을 맡은 버질 글리고르(Virgil Gligor) 카네기멜론대 교수(왼쪽)와 얀 쇼시타이시빌리 (Yan Shoshitaishvili) 애리조나 주립대 교수(오른쪽)

제 1회 SSTF는 기조연설자 2명의 강연, 2개의 세션, 그리고 패널 토의로 진행되었다. 세션은 보안에서의 공격과 방어를 테마로 각각 3명의 전문가 강의로 이루어졌다. 첫 번째 시간은 사이버 보안 기술 분야의 세계적인 석학인 버질 글리고르 카네기멜론대 교수가 맡았다.

버질 글리고르 교수는 ‘상용 컴퓨터 시스템에서 루트 오브 트러스트를 구축하고 유지하기(Establishing and Maintaining Root of Trust on Commodity Computer System)’를 주제로 강연을 시작했다. 글리고르는 하나의 기기를 넘어 복합적으로 연결된 사물인터넷((IoT)이 주는 기술적 선물과 이로 인해 발생할 보안의 근본적인 취약성에 대해 말했다.

그는 악성코드에 감염되었을 때, 기존에는 ‘기기의 전원을 끄는 것’이 사용자가 처음으로 해야 할 행동이었다면, 사물인터넷(IoT)의 경우에는 전원을 꺼도 막을 수가 없다는 점을 강조했다. 예를 들어 스마트폰으로 집안의 가전제품들을 제어한다고 가정했을 때, 스마트폰이 악성코드에 감염되면 이 스마트폰과 연결된 네트워크로 인해 집안 가전제품들은 개별적으로 ‘악성코드’의 위험을 통제할 수 없게 된다. 네트워크를 타고 빠르게 전염되는 악성코드를 개별 제품들이 독립적으로 차단할 수 없으므로, 보안 기술 영역에서 초기에 빠르게 해결해야 한다는 점을 강조했다. 그런데도 지금 당장 이를 막을 방법이 없는 것은 ‘3무(無) 현상’ 때문이다. 이 시장에는 ‘진입비용(Cost of Entry), 규제(Regulation), 법적 책임(Liability)’이 없다. 즉, 지난 10년간 IT분야는 유례없는 속도로 발전을 이룩했고, 오픈소스(Open Source)와 프리코드(Free Code)가 증가했다. 이는 소비자와 생산자 모두에게 막대한 이점을 안겨줬기 때문에, 그 반작용으로 오늘날 사람들은 IT분야의 제품을 대할 때 비용 문제나 규제 사항, 이로 인한 법적 책임에 대한 인식 자체가 없다는 뜻이다. 글리고르 교수는 결국 급격한 혁신이 불확실하고 어쩌면 위험한 소프트웨어를 양산하는 양면의 칼이 되었다는 점을 명심해야 한다고 전했다.

강연을 마친 글리고르 교수를 만나 좀 더 자세한 이야기를 들어보았다.

그가 보안 기술 분야에 처음 입문하게 된 계기는 무엇이었을까? 글리고르 교수의 이야기는 1970년대로 거슬러 오르며 시작되었다. 당시 금융 분야에서 보안 문제가 주목받기 시작했지만, 금융 정보 유출을 막아주는 데이터 보호 기술은 상당히 비쌌고, 희귀했다. 이를 본 글리고르 교수는 사람들이 좀 더 편하게 ‘보안’ 기술을 사용할 수는 없을지에 대해 관심을 갖게 되었다고 한다. 그때부터 소수의 보안 전문가들과 사이트를 만들어 보안 프로그램을 개발하고 운영하기 시작했다. 하지만 그는 현재까지도 사람들은 ‘보안 기술’이란 개념을 중요하게 받아들이지 못하고 있을뿐더러, 그 자체를 어렵게 여긴다고 말했다. 우리는 일상에서 쉽게 ‘패스워드’라는 보안 기술을 사용한다. 우리가 어떤 사이트에 로그인을 할 때 사용하는 패스워드나 은행 계좌에 필요한 암호의 경우, 주기적으로 교체하기만 해도 정보 유출을 미리 방지할 수 있다고 한다. 이에 덧붙여 그는 모르는 사람이 보낸 안전하지 않은 링크나, 파일은 되도록 열어보지 않을 것을 권했다. 

이어 컨퍼런스 홀에서는 얀 쇼시타이시빌리 애리조나 주립대 교수가 ‘요람에서 서버룸까지 사이버 자주권 달성하기(Reaching for Cyber Autonomy – From the Cradle to the Server Room)’이라는 주제로 2번째 연설을 이어갔다. 쇼시타이시빌리 교수는 아직까지도 수많은 버그가 전문가들의 수작업에 의해 발견되고 있음을 지적하면서 앞으로는 버그에 자동화된 프로그램을 적용할 방법을 찾아야 한다고 말했다. 그는 특히 지금 연구 중인 자동화 방법을 확장할 수 있는 방법에 대해 연구해야 한다고 강조했다.

기초부터 튼튼히. 세 살부터 배운 보안 교육 여든까지 간다!

한편, 이 날 삼성전자 서울R&D캠퍼스의 한 건물에서는 미래 보안 기술 인재 20명이 참여한 핸즈온 프로그램 ‘Secret Code’ 교육이 이루어졌다. 초등학생들은 이번 핸즈온 프로그램에서 아두이노를 활용해 금고를 열기 위해 직접 코드를 만들고 암호를 푸는 과정을 경험했다.

12살 박상준 군은 “학교에서 스크래치 프로그래밍을 이용해 아두이노를 경험해봤어요. 집에서 혼자 RC카도 만들어봤거든요. 평소에도 아두이노에 대해 관심이 많았고, 선생님의 추천을 통해 이번 프로그램에 참여하게 되었어요. 오늘 수업에서는 아두이노를 활용해 ‘잠긴 금고를 열기’를 배웠는데요. 선생님이 한 단계씩 친절하게 설명해주셔서 자세히 배울 수 있었어요. 그리고 제가 만든 결과물을 집에 가져갈 수 있어서 더욱 좋았어요. 저는 나중에 화학과 교수가 되고 싶은데요. 제가 어른이 될 때쯤엔 아두이노를 이용해 새롭게 합금을 하는 방법을 발견할 수 있을 것 같아요. 그때쯤이면 아두이노가 우리 생활 어디든 적용할 수 있을 거라 믿어요.”라며 당차게 이번 핸즈온 프로그램 ‘Secret Code’ 교육에 참여한 계기와 소감을 밝혔다.

어른이 되어 이루고 싶은 게 많은 10살 문지우 양은 “학교 방과 후 수업으로 한 학기 동안 스크래치 프로그램을 써봤어요. 그때 아두이노가 무엇인지 알게 되었어요. 학교에서는 프로그램을 이용해 캐릭터 움직이기를 해봤는데, 여기서는 게임을 만들어 볼 수 있어서 더욱 흥미가 생겼어요. 코딩을 위해 값을 입력하는 게 조금 어려웠지만, 앞에서 선생님이 천천히 알려주셔서 쉽게 따라 할 수 있었어요. 오늘 직접 게임을 만들어보니까, 아두이노를 잘 활용하면 저보다 더 어린 친구들을 위해 간단한 게임을 만들어 줄 수도 있다는 걸 알게 되었어요. 원래부터 커서 되고 싶은 것이 많았는데, 오늘따라 기계공학도가 되고 싶다는 생각이 드네요.”라고 소감을 전했다.

흔히 악성코드와 보안은 창과 방패의 관계라고 한다. 승자와 패자가 나뉘지 않는 무한 반복 게임이다. 4차산업혁명 이전까지는 발생한 문제를 뒤쫓아 해결 방안을 찾는 것에 초점을 맞췄다면, 이제는 선제공격을 할 준비도 해야 하는 시기가 되었다. 보안 기술 전문가들 사이에서는 사물인터넷(IoT)이 더 발전하면 향후 해커들이 살인 청부업자가 될 수도 있다는 말이 농담처럼 전해진다고 한다. 실제로 ‘보안’의 부재는 그만큼 위험하다는 뜻일 것이다. 아마 이 위험을 막을 유일한 방법은 보안기술의 발전 아닐까? 이 날 포럼에 참석한 많은 보안 전문가들과 미래 인재들이 소프트웨어 디스토피아를 소프트웨어 유토피아로 만들 수 있게 되길 기대해본다.