Conference

미국은 그 어느때보다 공급망 보안에 집중하고 있다. 미중 무역 갈등으로 시작해 코로나 팬데믹 등을 거치며 더욱 공급망의 중요성을 깨달았다.사이버 보안 분야도 예외는 아니다. IT 공급망을 통해 어떤 위험이 있는지 알아내고 이를 대응할 수 있는 방법 찾기에 한창이다.세계 최대 보안 행사인 RSA컨퍼런스2023에서도 '공급망 보안'이 화두로 떠올랐다. 반도체칩부터 소프트웨어 공급망의 안전성을 확보하는 방법에 집중했다.

양자컴퓨터와 인공지능(AI) 기술 개발이 가속화하고 있다. 신기술들로 오늘날 컴퓨터로 풀 수 없는 문제도 빠르고 정확하게 할 수 있다는 기대가 나오지만, 이에 대한 우려도 크다. 특히 현 보안 시스템의 근간인 공개키기반시스템(PKI)을 양자컴퓨터가 파괴할 수 있다는 주장이 나오면서 사이버보안 업계는 술렁이고 있다. 신기술과 함께 보안 기술도 따라오고 있을까? 새로운 기술로 인한 부작용은 어떻게 방어할 수 있을까? 25일(현지시각) 미국 샌프란시스코에서 열린 사이버보안 컨퍼런스 ‘RSAC2023’ 암호패널 세션이 열렸다. 위필드 디피(Whitfield Diffie) 암호학자의 진행 아래, 클리포드 컥스(Clifford Cocks) 전 영국 정부 커뮤니케이션 본부 수석 수학자, 앤 데임스(Anne Dames) IBM 인프라 엔지니어, 라디아 펄만(Radia Perlman) 델테크놀로지스 연구원, 아디 샤미르(Adi Shamir) 이스라엘 와이즈만연구소(Weizmann Institute) 컴퓨터과학과 교수 등이 참석해 기술 개발과 보안의 속도 차이를 논했다.디피 박사는 1970년대 초 공개키 암호 분야를 개척한 인물 중 하나로 컴퓨터 보안 분야의 선구자다. 그가 마틴 힐만(Martin Hellman)과 공동 개발한 공개키는 현재 전자상거래 보안의 근간이 됐다. 통신 프라이버시를 주장하는 학자이기도 하다. 클리포드 컥스는 정부에서 활동하기 전에는 학계에서 공개키 암호화와 신원 기반 암호화를 구현하는 방법을 개발한 인사다. 앤 데임스 연구원은 IBM 하드웨어보안모듈(HSM) 제품군 및 금융 서비스를 포함하는 일반암호화구조(Common Cryptographic Architecture) 개발을 주도한다. IBM 양자 보안 암호화 활용 부서인 z시스템즈(zSystems)에서 업계 최초로 양자 보안 시스템인 ‘IBM Z16’을 도입했다. 샤미르 교수는 론 리베스트(Ron Rivest), 레너드 애들먼(Leonard Adleman)과 함께 현대 RSA(Rivest Shamir Adleman) 암호를 공동 개발했다. RSA의 S가 그를 뜻한다. 이 암호는 금융·국방 등 사회 각 분야에서 가장 널리 사용되는 인터넷 암호화 인증시스템이 됐다.

세계 최대 사이버 보안 행사인 RSAC2023이 4월 24일 미국 샌프란시스코 모스코니 센터에서 개막했다. 이번 컨퍼런스의 키노트 중 하나인 '칩스(CHIPS) 제정에 따른 하드웨어 보안 - 공급망의 새로운 시대'는 2022년 통과 된 칩스 앤 사이언스 법안과 관련된 내용이다.  'CHIPS(Creating Helpful Incentives to Produce Semiconductors) Act'는 2021년 미국에서 제안된 법안이다. 미국 내 반도체 산업을 지원하기 위해 반도체 제조와 연구 개발에 대한 정부 지원을 강화하고자 한다. 칩스법(Chips Act)이라고 한다. 해당 법안은 반도체 산업이 전략적으로 중요한 역할을 하고 있으며, 글로벌 반도체 부족 상황에서 미국이 반도체 수급을 확보하는 것이 중요하다는 인식에서 출발했다. 이를 위해 칩스법안은 연방 정부에서 5년 동안 5000억 달러(약 668조 원)를 반도체 산업에 투자하고, 제조업체에 대한 세제 지원 및 연구 개발 지원을 제공하도록 한다. 'Science Act(National Science Foundation for the Future Act)'는 2022년 미국에서 제안된 법안으로 미국 국립과학재단(NSF)의 역할을 강화하고, NSF가 과학 기술 분야에서 혁신을 이끌어낼 수 있도록 지원하고자 한다. 이 법안은 NSF 예산을 10년 동안 81억 달러(약 10조 8256억 원)로 늘리고, NSF의 연구 분야를 다양화하며, 대학 연구 인프라 개선 등 다양한 분야에서 역할을 강화하도록 한다. 또한 NSF에서 다양성과 포용성을 강화하는 노력과 더불어 과학 기술 분야에서 다양한 인재가 참여할 수 있도록 지원한다. 칩스 앤 사이언스 법안 통과는 디지털 혁신을 뒷받침하는 기본 요소와 보안을 강화할 수 있는 중요한 기회를 제공할 것으로 보인다.RSAC에 참여한 전문가 패널은 수십억 달러의 연방 투자와 새로운 요구 사항들이 등장하면서 하드웨어 보안 정책의 최신 동향을 파악하고, 전 세계에 미치는 영향에 대해 논의했다. 키노트의 진행자로는 정보 기술 산업 협의회(ITI)의 신뢰, 데이터 및 기술 정책 담당 수석 이사 코트니 렁(Courtney Lang), 패널로는 인텔의 사이버 보안 정책 책임자 아밋 엘라자리(Amit Elazari) 박사, 미국 국립 표준 연구소 컴퓨터 과학 부문 부책임자 존 보웬스(Jon Boyens), 미국 대통령 특별 보좌관이자 미국 국가 안보 위원회 사이버 보안 및 신흥기술 디렉터 스티브 켈리(Steve Kelly)가 나왔다. 

최근 오픈에이(OpenAI)의 챗GPT부터 마이크로소프트, 구글 등으로 이어진 인공지능(AI) 개발 열풍을 두고 부작용에 대한 우려가 커지고 있다. AI 챗봇이 거짓말, 성별, 인종 등에 따른 혐오 발언, 가스라이팅 등을 표출하면서 ‘책임감 있는 AI’이 필요하다는 여론이 거세지고 있다. 마이크로소프트, 구글 등 업계 최전선에서 AI를 개발하고 있는 기업들은 어떻게 구축하고 있을까? 25일(현지시각) 미국 샌프란시스코에서 사이버보안 컨퍼런스 ‘RSAC2023’의 기조연설에서 람 샹카르 시바 쿠마르(Ram Shankar Siva Kumar) 마이크로소프트 애저 데이터카우보이의 진행 아래, 비제이 볼리나(Vijay Bolina) 구글 딥마인드 최고정보보안책임자(CISO), 루만 차우드러리(Rumman Chowdhury) 박사, 다니엘 로러(Daniel Rohrer) 엔비디아 소프트웨어프로덕트보안 부사장(VP) 등 업계 최전선에서 활동하고 있는 기업 관계자들이 나와 ‘책임 있는 AI’ 구축 방법을 논했다. AI 시대엔 윤리가 곧 비즈니스이기 때문이다. 쿠마르는 현재 MS에서 클라우드 침입탐지시스템인 애저센티멘털(Azure Sentinel)을 통해 시스템을 보호한다. 신뢰할 수 있는 AI 그룹을 통해 자사 머신러닝 시스템을 보호하는 역할을 맡고 있다. 비제이 볼리아 CISO는 구글 딥마이드 팀에서 AI 시스템의 안전, 남용, 보안, 개인정보보호 등 위험을 관리하는 팀을 이끌고 있다. 루만 차우드러리 박사는 AI 스타트업 패리티(Parity)의 설립자이자 AI 윤리 분야 권위자로 꼽힌다. 트위터 AI윤리팀 디렉터이기도 했다. 다니엘 로러 VP는 엔비디아에서 23년 동안 보안 솔루션을 구축해온 업계 전문가다.

바수 자칼(Vasu Jakkal) 마이크로소프트 보안 비즈니스 부문 부사장은 미국 샌프란시스코에서 열린 글로벌 보안 컨퍼런스 RSAC2023에서 “우리는 새로운 시대의 정점, AI가 주류가 되는 4차 산업혁명 시대에 서 있다”며 보안 분야에 새로운 혁신적인 변화를 가져올 AI에 대해 발표했다. AI는 오랫동안 보안 업계가 겪어온 여러 가지 문제의 해결책이 될 것이라는 주장이다. 그는 “처음으로 우리에게 방어에서 예방과 예측으로 확장하는 데에 도움이 되는 도구와 기술을 보유하게 됐다"라며 “보안 전용 AI 모델은 우리가 원하는 작업을 수행하고, 인간을 보강하고, 방어자가 불가능했던 작업을 수행할 수 있도록 지원한다"라고 설명했다. 

기업이 디지털로 전환하고 클라우드 도입을 늘리며 디지털 ID(IDENTITY) 보안이 최대 이슈로 부상했다. 디지털 ID는 사용자 이름과 암호다. 사용자를 인증하고 데이터와 리소스에 대한 접속 권한을 부여하는데 이용된다. 세계 최대 보안 행사인 RSAC2023에는 급증한 ID 탈취와 이로 인한 보안 사고에 대응하는 솔루션이 늘었다.크라우드스트라이크 2023 글로벌 위협 보고서에 따르면 최근 기업 사이버 공격과 데이터 유출의 80%는 ID 손상에서 비롯된다고 밝혔다. 포레스터 역시 모든 보안 위합의 80%가 권한이 있는 자격 증명 유출에서 시작된다고 설명했다. 가트너에 따르면 2022년 보안 실패의 75%는 접속 권한과 ID관리에서 사람 실수로 인한 것이다. 2년 전 이와 관련된 공격이 50% 수준이었는데 75%로 증가했다. 공격자는 기업에서 사용하는 디지털 ID와 비밀번호(PW) 활용해 내부 서비스나 시스템에 접근한다. 기업은 정상 ID가 로그인하는 것으로 인식하기 때문에 사이버 공격임을 인지하기 어렵다. 조직이 ID 보안에 관심을 가져야 하는 이유다. 일반적으로 ID 공격은 사회공학 피싱 캠페인으로 시작한다. 피해자는 자신도 모르게 로그인 ID 증명을 제공하게 된다. 공격자가 사용자 ID와 암호를 획득하면 그 이후 조직으로 침투한다. 기업은 중요 시스템에 접속하는 직원 ID는 물론이고 각종 사물인터넷(IoT) 기기 등의 ID를 보호해야 데이터 유출 등의 사고를 방지할 수 있다.