양자컴퓨터와 인공지능(AI) 기술 개발이 가속화하고 있다. 신기술들로 오늘날 컴퓨터로 풀 수 없는 문제도 빠르고 정확하게 할 수 있다는 기대가 나오지만, 이에 대한 우려도 크다. 특히 현 보안 시스템의 근간인 공개키기반시스템(PKI)을 양자컴퓨터가 파괴할 수 있다는 주장이 나오면서 사이버보안 업계는 술렁이고 있다. 신기술과 함께 보안 기술도 따라오고 있을까? 새로운 기술로 인한 부작용은 어떻게 방어할 수 있을까? 25일(현지시각) 미국 샌프란시스코에서 열린 사이버보안 컨퍼런스 ‘RSAC2023’ 암호패널 세션이 열렸다. 위필드 디피(Whitfield Diffie) 암호학자의 진행 아래, 클리포드 컥스(Clifford Cocks) 전 영국 정부 커뮤니케이션 본부 수석 수학자, 앤 데임스(Anne Dames) IBM 인프라 엔지니어, 라디아 펄만(Radia Perlman) 델테크놀로지스 연구원, 아디 샤미르(Adi Shamir) 이스라엘 와이즈만연구소(Weizmann Institute) 컴퓨터과학과 교수 등이 참석해 기술 개발과 보안의 속도 차이를 논했다.디피 박사는 1970년대 초 공개키 암호 분야를 개척한 인물 중 하나로 컴퓨터 보안 분야의 선구자다. 그가 마틴 힐만(Martin Hellman)과 공동 개발한 공개키는 현재 전자상거래 보안의 근간이 됐다. 통신 프라이버시를 주장하는 학자이기도 하다. 클리포드 컥스는 정부에서 활동하기 전에는 학계에서 공개키 암호화와 신원 기반 암호화를 구현하는 방법을 개발한 인사다. 앤 데임스 연구원은 IBM 하드웨어보안모듈(HSM) 제품군 및 금융 서비스를 포함하는 일반암호화구조(Common Cryptographic Architecture) 개발을 주도한다. IBM 양자 보안 암호화 활용 부서인 z시스템즈(zSystems)에서 업계 최초로 양자 보안 시스템인 ‘IBM Z16’을 도입했다. 샤미르 교수는 론 리베스트(Ron Rivest), 레너드 애들먼(Leonard Adleman)과 함께 현대 RSA(Rivest Shamir Adleman) 암호를 공동 개발했다. RSA의 S가 그를 뜻한다. 이 암호는 금융·국방 등 사회 각 분야에서 가장 널리 사용되는 인터넷 암호화 인증시스템이 됐다.
세계 최대 사이버 보안 행사인 RSAC2023이 4월 24일 미국 샌프란시스코 모스코니 센터에서 개막했다. 이번 컨퍼런스의 키노트 중 하나인 '칩스(CHIPS) 제정에 따른 하드웨어 보안 - 공급망의 새로운 시대'는 2022년 통과 된 칩스 앤 사이언스 법안과 관련된 내용이다. 'CHIPS(Creating Helpful Incentives to Produce Semiconductors) Act'는 2021년 미국에서 제안된 법안이다. 미국 내 반도체 산업을 지원하기 위해 반도체 제조와 연구 개발에 대한 정부 지원을 강화하고자 한다. 칩스법(Chips Act)이라고 한다. 해당 법안은 반도체 산업이 전략적으로 중요한 역할을 하고 있으며, 글로벌 반도체 부족 상황에서 미국이 반도체 수급을 확보하는 것이 중요하다는 인식에서 출발했다. 이를 위해 칩스법안은 연방 정부에서 5년 동안 5000억 달러(약 668조 원)를 반도체 산업에 투자하고, 제조업체에 대한 세제 지원 및 연구 개발 지원을 제공하도록 한다. 'Science Act(National Science Foundation for the Future Act)'는 2022년 미국에서 제안된 법안으로 미국 국립과학재단(NSF)의 역할을 강화하고, NSF가 과학 기술 분야에서 혁신을 이끌어낼 수 있도록 지원하고자 한다. 이 법안은 NSF 예산을 10년 동안 81억 달러(약 10조 8256억 원)로 늘리고, NSF의 연구 분야를 다양화하며, 대학 연구 인프라 개선 등 다양한 분야에서 역할을 강화하도록 한다. 또한 NSF에서 다양성과 포용성을 강화하는 노력과 더불어 과학 기술 분야에서 다양한 인재가 참여할 수 있도록 지원한다. 칩스 앤 사이언스 법안 통과는 디지털 혁신을 뒷받침하는 기본 요소와 보안을 강화할 수 있는 중요한 기회를 제공할 것으로 보인다.RSAC에 참여한 전문가 패널은 수십억 달러의 연방 투자와 새로운 요구 사항들이 등장하면서 하드웨어 보안 정책의 최신 동향을 파악하고, 전 세계에 미치는 영향에 대해 논의했다. 키노트의 진행자로는 정보 기술 산업 협의회(ITI)의 신뢰, 데이터 및 기술 정책 담당 수석 이사 코트니 렁(Courtney Lang), 패널로는 인텔의 사이버 보안 정책 책임자 아밋 엘라자리(Amit Elazari) 박사, 미국 국립 표준 연구소 컴퓨터 과학 부문 부책임자 존 보웬스(Jon Boyens), 미국 대통령 특별 보좌관이자 미국 국가 안보 위원회 사이버 보안 및 신흥기술 디렉터 스티브 켈리(Steve Kelly)가 나왔다.
기업이 디지털로 전환하고 클라우드 도입을 늘리며 디지털 ID(IDENTITY) 보안이 최대 이슈로 부상했다. 디지털 ID는 사용자 이름과 암호다. 사용자를 인증하고 데이터와 리소스에 대한 접속 권한을 부여하는데 이용된다. 세계 최대 보안 행사인 RSAC2023에는 급증한 ID 탈취와 이로 인한 보안 사고에 대응하는 솔루션이 늘었다.크라우드스트라이크 2023 글로벌 위협 보고서에 따르면 최근 기업 사이버 공격과 데이터 유출의 80%는 ID 손상에서 비롯된다고 밝혔다. 포레스터 역시 모든 보안 위합의 80%가 권한이 있는 자격 증명 유출에서 시작된다고 설명했다. 가트너에 따르면 2022년 보안 실패의 75%는 접속 권한과 ID관리에서 사람 실수로 인한 것이다. 2년 전 이와 관련된 공격이 50% 수준이었는데 75%로 증가했다. 공격자는 기업에서 사용하는 디지털 ID와 비밀번호(PW) 활용해 내부 서비스나 시스템에 접근한다. 기업은 정상 ID가 로그인하는 것으로 인식하기 때문에 사이버 공격임을 인지하기 어렵다. 조직이 ID 보안에 관심을 가져야 하는 이유다. 일반적으로 ID 공격은 사회공학 피싱 캠페인으로 시작한다. 피해자는 자신도 모르게 로그인 ID 증명을 제공하게 된다. 공격자가 사용자 ID와 암호를 획득하면 그 이후 조직으로 침투한다. 기업은 중요 시스템에 접속하는 직원 ID는 물론이고 각종 사물인터넷(IoT) 기기 등의 ID를 보호해야 데이터 유출 등의 사고를 방지할 수 있다.
세계 최대 사이버 보안 행사인 RSAC2023이 4월 24일 미국 샌프란시스코 모스코니 센터에서 개막했다. 오프닝 기조 연설자로 나선 RSA시큐리티 로힛 가이(Rohit Ghai) 최고경영자(CEO)는 '다가오는 정체성 위기(The Looming Identity Crisis)'라는 주제로 행사의 시작을 알렸다. 로힛 가이 CEO는 "인공지능(AI) 시대는 아이덴티티(Identity, 이하 ID) 보호가 사이버 보안의 핵심이 될 것이다"며 ID 보안에 대한 새로운 접근방식을 강조했다. ID를 보호하기 위해서는 제로 트러스트 전략이 필수적이며, 제로 트러스트는 인공지능의 도움 없이는 성공적으로 구현될 수 없다. 인공지능을 훈련시키는 것은 결국 인간이며 좋은 인공지능을 구현하는 것도 인간이다.
사이버 보안 산업에 생성AI를 활용한 방어 기술 개발이 대세로 떠올랐다. 세계 최대 사이버 보안 행사인 RSAC2023이 4월 24일 미국 샌프란시스코 모스코니 센터에서 개막했다. 올해 RSAC2023에는 챗GPT가 촉발한 생성AI 열풍을 확인할 수 있었다. 사이버 공격자가 챗GPT를 악용, 악성코드 생성 및 피싱 이메일 제작을 시작했기 때문이다. 사이버 공격자는 GPT를 이용해 더 정교하고 잘 작성된 피싱 기술과 더 영리한 회피 방법을 개발 중이다. AI를 이용해 취약점에 노출된 가치 있는 자산을 찾아내는 것이다. 이에 보안업계는 AI를 악용한 공격을 AI로 대응하는 대책 마련에 재빨리 대응했다. 사이버 보안 솔루션에 AI를 내장하고 자동화에 초첨을 맞췄다. 기업들은 보안 도메인에 특화한 데이터를 머신러닝에 학습해 급증하는 사이버 위협을 대비하고 사이버 인력 부족을 해소하는데 집중한다. 끊임 없는 대응을 자동화하는데 AI가 역할을 할 것으로 기대한다. 제투 파텔(Jeetu Patel) 시스코 시큐리티 앤 협업 EVP는 "인간의 대응으로는 이제 막을 수 없다. 기계의 공격을 기계로 막는다. 사이버 보안 분야에 특화한 도메인 데이터와 노하우를 생성 AI와 연결해 보안 시장이 새로운 변곡점을 맞았다"고 말했다.
임퍼바, 아소니우스, 빅ID를 능가할 사이버 보안 기업은 어디일까.글로벌 사이버 보안 행사 RSA컨퍼런스는 제 18회 이노베이션 샌드박스 경진대회 결선 진출 10개 팀을 공개했다. 결선에 진출한 10개 팀은 4월 24일 샌프란시스코 모스코니센터에서 열리는 이노베이션 샌드박스 경진대회에서 기술과 서비스를 발표한다. 이 중 최고의 기업이 선정된다. 이노베이션 샌드박스 과거 우승팀은 임퍼바(Imperva), 팬톰(Phantom), 악소니우스(Axonius), 빅아이디(BigID), 에이프리오(Apiiro) 등이 있다. 2022년 우승팀은 탈론 사이버 시큐리티(Talon Cyber Security)다. 결선 진출 기업은 '가장 혁신적인 스타트업' 타이틀을 놓고 발표와 질의 응답 라운드를 벌인다. 휴 톰슨 RSA컨퍼런스 프로그램 위원회 의장, 크리스토퍼 영 마이크로소프트 비즈니스 개발 전략 및 벤처 부문 수석 부사장 등이 심사위원으로 참여한다. 린다 그레이 마틴 RSA 컨퍼런스 수석 부사장은 "지난 18년 동안 이노베이션 샌드박스에 진출한 상위 10개 기업은 75건의 인수합병(M&A)과 125억 달러 이상의 투자를 받았다"고 말했다.
미국과 일본 등 일부 기업이 기밀 유출을 우려 챗GPT 사용제한에 나섰다. 삼성전자도 챗GPT 사용지침을 만들며 오남용을 방지하기 위한 작업을 시작했다. 조직에서 챗GPT를 차단하지 않으면 직원은 지금 이 순간에도 챗GPT를 사용할 수 있다. 조직내 챗GPT 등 생성AI 도입이 증가하면서 이에 대한 사이버 위협에 대한 관심이 높다. 생성AI 활용은 조직 보안에 영향을 끼친다. 데이터 보안, 개인정보보호 등 방안을 고려해야 한다. 세계 최대 사이버 보안 행사 RSA컨퍼런스2023이 오는 4월 24일부터 27일까지 샌프란시스코 모스코니센터에서 개최된다. 올해 RSA컨퍼런스의 주제도 생성AI가 장악할 전망이다. '생성 AI가 촉발하는 사이버 위협과 대응 방법' 등이 중점 논의되기 때문. 더밀크는 24일부터 27일까지 RSA컨퍼런스2023 현장을 직접 찾아 주요 사이버 보안 기술과 관심사를 현장 중계할 예정이다. 행사 내용을 정리한 리포트도 발행한다.
인터넷의 근간인 암호 알고리즘에 대변혁의 바람이 분다. 양자컴퓨터의 발전으로 인터넷에서 데이터를 안전하게 전송하던 기존 알고리즘의 수명이 얼마 남지 않았기 때문이다. 암호 업계는 이를 Y2Q(Year-2-Quantum)라 부른다. 우리는 인터넷에서 정보를 안전하게 유지하기 위해 인수분해에 의존하는 알고리즘을 사용했다. 양자컴퓨터는 기존 컴퓨터보다 훨씬 빨리 인수분해 문제를 해결한다. 현재 사용 중인 암호 알고리즘의 해독은 인터넷 네트워크와 데이터 보안에 심각한 위협이다. 공개키암호화(PKI)부터 HTTPS 연결 보안에 사용하는 TLS/SSL, 원격 접속과 파일전송 보안에 사용되는 SSH, 가상사설망(VPN) 등에 쓰이는 IPSec 등 프로토콜이 위험에 처한다. 미국과 유럽, 중국은 양자컴퓨터 기술 개발과 함께 기존 암호의 붕괴에 대비해 막대한 투자는 물론 포스트 양자 암호 표준을 만드는데 혈안이다. 일부에서는 이미 각국 정보기관이 그동안 확보한 첩보자료의 암호를 풀었을지 모른다는 이야기가 나온다. 각국은 중요 자료를 우선 빼돌리고 양자컴퓨팅을 발전시키며 암호화를 푸는 노력을 해왔다. 이른바 '일단 기밀자료를 확보하고 암호화는 나중에 풀자' 전략이다. 이에 맞춰 포스트 암호 알고리즘 도입 시장도 꿈틀댄다.
"우리 조직에 발생한 보안 사고는 무엇입니까? 오늘의 보안 위협은 어떤것이 있습니까." 사이버 보안 담당자는 검색창에 질문하는 것으로 보안 이슈를 바로 파악할 수 있다. 사이버 보안팀에 똑똑한 팀원의 등장이다. 마이크로소프트는 3월 28일(현지시각) 시큐어 이벤트에서 오피스에 이어 사이버 보안에도 AI 기반 코파일럿(Copilot)을 공개했다. 마이크로소프트가 사이버 보안분야 AI 대응에 전기를 마련했다는 평가다. 시큐리티 코파일럿은 오픈AI의 GPT-4 생성 AI와 마이크로소프트 사이버 보안 모델이 통합된 형태다.마이크로소프트 시큐리티 코파일럿은 방어자가 침해를 식별하고 매일 발생하는 엄청난 신호와 데이터를 잘 이해할 수 있게 설계됐다. 시큐리티 코파일럿은 마이크로소프트가 수집한 위협 인텔리전스, 보안 관련 기술이 통합됐다. 이를 기반으로 보안 담당자에게 정보를 제시한다. 마이크로소프트 사이버 보안은 2022년 매출이 200억 달러 규모였다. GPT-4를 사이버 보안 분야에 도입하며 새로운 전기를 마련할 것으로 보인다.
최근 미국 사이버 보안 스타트업은 클라우드 네이티브 환경을 보호하는 분야에서 사업을 시작하는는 사례가 많다. 디지털 전환이 가속화하면서 클라우드 도입이 늘고 있기 때문이다. 인프라 전환은 사이버 보안 기업에게는 새로운 기회다. 아쿠아 시큐리티(AquaSecurity)는 클라우드 네이티브 공격을 차단하고 이를 보장하는 기업이다. 이 회사는 100만 달러 클라우드 네이티브 보호보증을 제공한다. 2015년 설립된 아쿠아 시큐리티는 클라우드 네이티브 공격 대응에 집중한 기업으로 포지셔닝하고 있다. 클라우드 분야에서 컨테이너와 서버리스 기술이 막 등장하면서 애플리케이션 개발과 아키텍처의 극적인 변화가 시작됐다. 이때 아쿠아 시큐리티는 보안 시장 변화를 인식했다.
개발자들에게 오픈소스 이용은 이제 일상이 됐다. 개발자들은 시장에서 널리 알려진 오픈소스 운영체제, 오픈소스 생산성 소프트웨어 및 다양한 코드 라이브러리를 사용하며 시간과 비용을 절약한다. 수년동안 오픈소스의 인기가 올라가며 모든 산업에서 대부분의 기업들이 사용하고 있다. 특히 많은 IT기업들이 개발 즉시 피드백을 받아 유동적으로 개발하는 방법인 애자일 방법론(Agile Software Development)을 도입하며 오픈소스의 활용은 더욱 중요해지고 있다. 오픈소스는 개발환경에서 필수불가결한 요소이기 때문에 쉽게 주요 사이버 공격 대상이 된다. 지난해 말 발생한 로그4j 보안 취약점(로그4셀) 사태는 오픈 소스 생태계가 어떻게 한순간에 무너질 수 있는지 보여준 사례다. 로그4j는 자바 기반 프로그램을 개발할 때 로그의 기록 기능을 지원 및 관리하는 아파치 재단의 오픈소스 소프트웨어 라이브러리다. 해당 라이브러리는 민간 기업은 물론 금융, 의료 등 주요 정보통신기반시설 등에서 광범위하게 사용되고 있다. 이런 로그4j에서 취약점이 발견되며 전 세계가 비상에 걸렸다. 해커가 로그4j의 취약점을 공격하면 데이터를 탈취할 수 있고, 악성코드를 심으면 시스템을 마비시킬 수 있는 상황이 발생한 것이다. 오픈소스에서 취약점이 발견되면 그 소스를 사용하는 기관과 기업들에 피해가 가는 것은 물론이고, 국가 안보를 위협하는 수준까지도 갈 수 있다고 전문가들은 경고했다. 오픈소스 활용도가 높아지며 이를 둘러싼 보안 위협도 증가할 것으로 보인다. 오픈소스와 보안 모두에 강점을 가진 기업이 스닉(Snyk)이다. 개발자 보안의 선두주자 스닉은 "개발자에 의해, 개발자를 위한 설계를 한다"는 슬로건을 내걸고 오픈소스 코드의 취약성을 자동으로 찾을 수 있게 돕는다. 특히 개발 속도를 그대로 유지하면서 손쉽게 보안 및 컴플라이언스 이슈를 해결할 수 있도록 지원하는 게 목표다. 스닉은 업계 최초로 개발자 중심의 클라우드 보안 솔루션을 공개했다. 클라우드 시대를 위해 설계됐다는 스닉의 플랫폼을 사용하면 개발자와 보안 담당자는 전체 소프트웨어 개발 수명 주기(SDLC)에 걸쳐 클라우드 보안 태세를 모니터링하고 운영할 수 있다. 스닉의 플랫폼은 구글, 아마존, 몽고DB, 세일즈포스 등의 기업을 포함 전 세계 2000곳 이상의 고객사에서 이용되고 있다.