소 잃기 전, 외양간을 지키는 법. 제 1회 삼성전자 보안기술포럼에 가다!

스마트폰을 주축으로 사물인터넷(IoT)이 급속도로 발전하는 만큼, ‘보안’에 대한 중요성도 증가하고 있다. ‘보안’이란 쉽게 말해 감기에 걸리게 하는 추위를 막기 위해 따뜻한 옷을 입는 것이다. 즉, 소프트웨어에 침투해 문제를 일으키는 악성코드를 예방 및 방어하기 위한 방법을 말한다. 지금까지의 ‘보안’ 기술이 소프트웨어 형태의 악성코드를 막는 것에 국한되었다면, 사물인터넷의 발달로 하드웨어로 직접 침투하는 악성코드에도 대응할 수 있어야 한다는 것이 현재 보안 기술의 당면한 문제다.

▲SSTF의 Opening Remarks를 담당한 삼성전자 안길준 전무(소프트웨어센터 시큐리티 팀장)

지난 8월 21일, 삼성전자 서울R&D캠퍼스에서 제 1회 ‘삼성전자 보안기술포럼(Samsung Security Tech Forum, 이하 SSTF)이 열렸다. 국내외 정보 보안 전문가들이 참여한 이번 보안기술포럼에는 800여 명의 청중이 참가했다. 본격적인 강연이 시작되기 전부터 청중석이 가득 채워졌고, 중·고등학생을 비롯해 보안 전문 기술자까지 다양한 연령대의 참가자들이 눈에 띄었다.

생활 가까이 있지만 낯선 보안 기술

▲기조연설을 맡은 버질 글리고르(Virgil Gligor) 카네기멜론대 교수(왼쪽)와 얀 쇼시타이시빌리 (Yan Shoshitaishvili) 애리조나 주립대 교수(오른쪽)

제 1회 SSTF는 기조연설자 2명의 강연, 2개의 세션, 그리고 패널 토의로 진행되었다. 세션은 보안에서의 공격과 방어를 테마로 각각 3명의 전문가 강의로 이루어졌다. 첫 번째 시간은 사이버 보안 기술 분야의 세계적인 석학인 버질 글리고르 카네기멜론대 교수가 맡았다.

버질 글리고르 교수는 ‘상용 컴퓨터 시스템에서 루트 오브 트러스트를 구축하고 유지하기(Establishing and Maintaining Root of Trust on Commodity Computer System)’를 주제로 강연을 시작했다. 글리고르는 하나의 기기를 넘어 복합적으로 연결된 사물인터넷((IoT)이 주는 기술적 선물과 이로 인해 발생할 보안의 근본적인 취약성에 대해 말했다.

그는 악성코드에 감염되었을 때, 기존에는 ‘기기의 전원을 끄는 것’이 사용자가 처음으로 해야 할 행동이었다면, 사물인터넷(IoT)의 경우에는 전원을 꺼도 막을 수가 없다는 점을 강조했다. 예를 들어 스마트폰으로 집안의 가전제품들을 제어한다고 가정했을 때, 스마트폰이 악성코드에 감염되면 이 스마트폰과 연결된 네트워크로 인해 집안 가전제품들은 개별적으로 ‘악성코드’의 위험을 통제할 수 없게 된다. 네트워크를 타고 빠르게 전염되는 악성코드를 개별 제품들이 독립적으로 차단할 수 없으므로, 보안 기술 영역에서 초기에 빠르게 해결해야 한다는 점을 강조했다. 그런데도 지금 당장 이를 막을 방법이 없는 것은 ‘3무(無) 현상’ 때문이다. 이 시장에는 ‘진입비용(Cost of Entry), 규제(Regulation), 법적 책임(Liability)’이 없다. 즉, 지난 10년간 IT분야는 유례없는 속도로 발전을 이룩했고, 오픈소스(Open Source)와 프리코드(Free Code)가 증가했다. 이는 소비자와 생산자 모두에게 막대한 이점을 안겨줬기 때문에, 그 반작용으로 오늘날 사람들은 IT분야의 제품을 대할 때 비용 문제나 규제 사항, 이로 인한 법적 책임에 대한 인식 자체가 없다는 뜻이다. 글리고르 교수는 결국 급격한 혁신이 불확실하고 어쩌면 위험한 소프트웨어를 양산하는 양면의 칼이 되었다는 점을 명심해야 한다고 전했다.

강연을 마친 글리고르 교수를 만나 좀 더 자세한 이야기를 들어보았다.

그가 보안 기술 분야에 처음 입문하게 된 계기는 무엇이었을까? 글리고르 교수의 이야기는 1970년대로 거슬러 오르며 시작되었다. 당시 금융 분야에서 보안 문제가 주목받기 시작했지만, 금융 정보 유출을 막아주는 데이터 보호 기술은 상당히 비쌌고, 희귀했다. 이를 본 글리고르 교수는 사람들이 좀 더 편하게 ‘보안’ 기술을 사용할 수는 없을지에 대해 관심을 갖게 되었다고 한다. 그때부터 소수의 보안 전문가들과 사이트를 만들어 보안 프로그램을 개발하고 운영하기 시작했다. 하지만 그는 현재까지도 사람들은 ‘보안 기술’이란 개념을 중요하게 받아들이지 못하고 있을뿐더러, 그 자체를 어렵게 여긴다고 말했다. 우리는 일상에서 쉽게 ‘패스워드’라는 보안 기술을 사용한다. 우리가 어떤 사이트에 로그인을 할 때 사용하는 패스워드나 은행 계좌에 필요한 암호의 경우, 주기적으로 교체하기만 해도 정보 유출을 미리 방지할 수 있다고 한다. 이에 덧붙여 그는 모르는 사람이 보낸 안전하지 않은 링크나, 파일은 되도록 열어보지 않을 것을 권했다. 

이어 컨퍼런스 홀에서는 얀 쇼시타이시빌리 애리조나 주립대 교수가 ‘요람에서 서버룸까지 사이버 자주권 달성하기(Reaching for Cyber Autonomy – From the Cradle to the Server Room)’이라는 주제로 2번째 연설을 이어갔다. 쇼시타이시빌리 교수는 아직까지도 수많은 버그가 전문가들의 수작업에 의해 발견되고 있음을 지적하면서 앞으로는 버그에 자동화된 프로그램을 적용할 방법을 찾아야 한다고 말했다. 그는 특히 지금 연구 중인 자동화 방법을 확장할 수 있는 방법에 대해 연구해야 한다고 강조했다.

기초부터 튼튼히. 세 살부터 배운 보안 교육 여든까지 간다!

한편, 이 날 삼성전자 서울R&D캠퍼스의 한 건물에서는 미래 보안 기술 인재 20명이 참여한 핸즈온 프로그램 ‘Secret Code’ 교육이 이루어졌다. 초등학생들은 이번 핸즈온 프로그램에서 아두이노를 활용해 금고를 열기 위해 직접 코드를 만들고 암호를 푸는 과정을 경험했다.

12살 박상준 군은 “학교에서 스크래치 프로그래밍을 이용해 아두이노를 경험해봤어요. 집에서 혼자 RC카도 만들어봤거든요. 평소에도 아두이노에 대해 관심이 많았고, 선생님의 추천을 통해 이번 프로그램에 참여하게 되었어요. 오늘 수업에서는 아두이노를 활용해 ‘잠긴 금고를 열기’를 배웠는데요. 선생님이 한 단계씩 친절하게 설명해주셔서 자세히 배울 수 있었어요. 그리고 제가 만든 결과물을 집에 가져갈 수 있어서 더욱 좋았어요. 저는 나중에 화학과 교수가 되고 싶은데요. 제가 어른이 될 때쯤엔 아두이노를 이용해 새롭게 합금을 하는 방법을 발견할 수 있을 것 같아요. 그때쯤이면 아두이노가 우리 생활 어디든 적용할 수 있을 거라 믿어요.”라며 당차게 이번 핸즈온 프로그램 ‘Secret Code’ 교육에 참여한 계기와 소감을 밝혔다.

어른이 되어 이루고 싶은 게 많은 10살 문지우 양은 “학교 방과 후 수업으로 한 학기 동안 스크래치 프로그램을 써봤어요. 그때 아두이노가 무엇인지 알게 되었어요. 학교에서는 프로그램을 이용해 캐릭터 움직이기를 해봤는데, 여기서는 게임을 만들어 볼 수 있어서 더욱 흥미가 생겼어요. 코딩을 위해 값을 입력하는 게 조금 어려웠지만, 앞에서 선생님이 천천히 알려주셔서 쉽게 따라 할 수 있었어요. 오늘 직접 게임을 만들어보니까, 아두이노를 잘 활용하면 저보다 더 어린 친구들을 위해 간단한 게임을 만들어 줄 수도 있다는 걸 알게 되었어요. 원래부터 커서 되고 싶은 것이 많았는데, 오늘따라 기계공학도가 되고 싶다는 생각이 드네요.”라고 소감을 전했다.

흔히 악성코드와 보안은 창과 방패의 관계라고 한다. 승자와 패자가 나뉘지 않는 무한 반복 게임이다. 4차산업혁명 이전까지는 발생한 문제를 뒤쫓아 해결 방안을 찾는 것에 초점을 맞췄다면, 이제는 선제공격을 할 준비도 해야 하는 시기가 되었다. 보안 기술 전문가들 사이에서는 사물인터넷(IoT)이 더 발전하면 향후 해커들이 살인 청부업자가 될 수도 있다는 말이 농담처럼 전해진다고 한다. 실제로 ‘보안’의 부재는 그만큼 위험하다는 뜻일 것이다. 아마 이 위험을 막을 유일한 방법은 보안기술의 발전 아닐까? 이 날 포럼에 참석한 많은 보안 전문가들과 미래 인재들이 소프트웨어 디스토피아를 소프트웨어 유토피아로 만들 수 있게 되길 기대해본다.