"블록체인을 테스트할 수 있는 플랫폼이 별로 없다. 어떤 블록체인이 나오면 수치적으로 표현할 수 있는 것과 없는 것을 평가할 수 있도록 평가하는 기술을 개발해 플랫폼화하려 한다. 우리 플랫폼을 이용하면 개발회사는 빨리 개발할 수 있고, 벤처캐피탈(VC)과 암호화폐 거래소는 표준화된 평가결과를 받을 수 있다."
김용대 한국과학기술원(KAIST) 정보보호대학원 사이버보안연구센터(CSRC)장 겨 한국블록체인협회 정보보호위원장은 최근 지디넷코리아와의 인터뷰에서 이 같이 밝혔다. 그는 지난해 12월 CSRC 3대 센터장으로 취임했다.
김센터장은 "지금 보안은 대다수 제품에 내재화되고 있고, 보안 산업이 장비 위주에서 서비스 위주로 넘어가는 시대"라면서 "기성 보안산업만 쪼개 놓고 보면 작아 보이지만, 우리가 못 보고 있는 보안(전문성)이 전체 산업에 끼치는 영향이 지대하다. 현재 보안 인력들, 정말 잘 하는 이들 다수가 보안 기업이 아니라 삼성전자, 현대자동차, 네이버에 가 있다"고 밝혔다.
그는 한국블록체인협회 정보보호위원장 역할도 맡고 있다. 작년말부터 올해 상반기까지 이어진 국내 암호화폐거래소 해킹사고와 관련해, 국내 거래소의 전반적인 보안 수준을 높일 수 있는 방안을 고민 중이다. 10월 중순께 워크숍을 열어 국내 암호화폐거래소에 일종의 보안 레퍼런스를 제시할 예정이다. 또 협회 차원의 보안성심사 활동을 지속하고 네거티브 규제 형태의 자율규제안도 내놓을 방침이다.
다음은 김 교수와의 1문 1답이다.
-CSRC에서 진행 중인 연구 프로젝트 현황을 간단히 설명해 달라
"연구 1실과 2실이 있다. 2실은 이전부터 악성코드나 웹취약점 찾는 웹크롤러를 만들어 왔는데 군, 민간 이용자들과 성능 개선 작업 중이다. 외부에서 데이터를 활용할 수 있는 API 개발, GDPR 위반사례나 자바스크립트 취약점 찾기를 지원할 계획도 있다. 1실은 역공학이나 취약점 분석 목적으로 바이너리를 주면 소스코드로 변환해주는 소프트웨어(SW)를, 현존하는 상용SW보다 더 좋게 만드는 작업을 하고 있다."
-기존 연구 외에 새로 추진되고 있는 작업은 무엇인가
"블록체인을 테스트할 수 있는 플랫폼이 별로 없다. 블록체인 노드를 아마존에 배포하면 아마존에 직접 부하 테스트나 공격을 할 수가 없으니까. 어떤 블록체인이 나오면 수치적으로 표현할 수 있는 것과 없는 것을 평가할 수 있도록 평가하는 기술을 개발해 플랫폼화하려고 한다. 우리 플랫폼을 이용하면 개발회사는 빨리 개발할 수 있고, 벤처캐피탈(VC)과 암호화폐 거래소는 표준화된 평가결과를 받을 수 있다."
-취임 이후 보안기술세미나 운영과 신기술 교육 사업에 관심을 기울인 걸로 안다
"작년에 보안기술세미나 '시큐리티앳카이스트'를 했는데, KAIST가 보유한 여러 좋은 보안기술을 이전할 목적으로 발표하는 자리였다. 보안업체 대상으로 사업화 기회 제공 차원에서 진행한 건데, 실은 LG전자, 현대자동차 이런 데서 많이 참석했다. 올해는 LG전자 요청을 받아 그 보안담당자 30여명 대상으로 1개월간 교육을 했고. 내년에도 KAIST 차원에서 비용효율적으로 사회에 영향을 줄 방법을 고민하고 있다."
-향후 CSRC 운영방향을 어떻게 가져갈 계획인가
"CSRC 내부에선 교수와 학생의 거리를 좁혀서, 센터 직원, 학부 학생, 대학원생들과 함께 일하는 프로젝트를 늘리고 싶다. 좋은 논문을 발표하는 동시에 상업적인 성과도 늘릴 수 있길 기대한다. KAIST와 센터가 우리나라 산업과 교육 분야에 얼마나 비용효율적으로 기여할 것인지, 연구 관점에선 충분한 예산을 확보해 실질적으로 산업계과 사업체에 영향을 끼칠 것인지 고민하고 있다.
교수들이 산업계와 학계의 '인터페이스' 역할을 잘 할 수 있는 환경을 만들고 싶다. 올해 한 일 대부분 교수들의 강의와 행사 관련 행정업무 부담을 줄이는 거였다. 상반기 블록체인 행사, 정보통신망 정보보호컨퍼런스, 하반기 블록체인 행사와 김치콘 등 치를 때 CSRC에서 행정업무나 스폰서 맡았다. 작년까지는 학생 도움을 받거나 교수들이 했던 일이다. 기술 프로모션 하는 곳에 재정 후원 역할도 지속할 계획이다."
■ "국내 보안 학계 및 업계 과소평가 받고 있어"
-국내 보안업계에 아쉬운 점, 긍정적인 점을 꼽는다면
"지금 보안은 대다수 제품에 내재화되고 있다. 결국 많은 보안인력이 일반 기업에 필요해진다. 보안 산업이 장비 위주에서 서비스 위주로 넘어가는 시대다. 기성 보안산업만 쪼개 놓고 보면 작아 보이지만, 우리가 못 보고 있는 보안(전문성)이 전체 산업에 끼치는 영향이 지대하다. 그런데 우리가 잘 키운 학생들이 일반 산업계에 이미 큰 영향을 끼치고 있는데 제대로 평가되지 않고 있다. 삼성전자 '녹스(Knox)'는 세계적으로 정말 좋은 제품인데 그게 보안산업 성과로 인식되지 않고 있다. 정말 뛰어난 보안인력 다수가 보안전문기업이 아니라 삼성전자, 현대자동차, 네이버에 가 있다. 이들이 보안산업계의 아웃풋으로 카운트되지 않는다. 그만큼 학계, 업계가 과소평가된 부분이 있다고 본다.
과거보다 실질적으로 보안에 투자하겠다는 의지를 갖는 회사가 늘어나고 있다는 점에선 좋다. SW보안취약점 정보를 제보하는 행위에 대한 기업의 태도도, 과거엔 고소부터 했다면 이제는 꽤 관대해졌다. 한국인터넷진흥원(KISA) 버그바운티 참여 기업도 늘어나고 있고. 우리 보안 산업계 수준을 시장경제체제에 가깝게 만들려는 노력이 가시화하고 있다. 규제 위주 보안 산업에서 경쟁위주, 실력을 키우는 보안 산업으로 바뀌고 있다는 점은 긍정적으로 본다. 이걸 반대하거나 하기 싫어하는 이들이 앞으로 힘들어질 수 있지 않을까."
-보안 산업계가 어떻게 움직이길 기대하나
"기술 발전, 소비자의 필요, 이런 걸 고려해 제품과 기술을 개발해야 한다. 팔릴 기술, 세계 1위 기술 만들어야 한다. 사회적 문제 해결이나 어떤 간극을 메우는 역할을 하는 부분, 당연히 해야하기 때문에 하는 과제도 있겠지만, 기본적으로 꽤 많은 부분은 세계 1위가 목표여야 한다. 국가과제뿐아니라 산업체의 과제도 그렇다. 가장 중요한 가치고 회사들도 그런 목표 가져야 한다.
정부는 시장을 보는 게 아니니까, 그런 걸 정부 주도로 추진하면 실수할 수 있다. 예를 들어 우리가 '공인인증서'를 15년 했지 않나. 공개키인프라(PKI)를 오래 개발해 왔다. 왜 미국에 수출을 못 했을까. 비밀키를 저장할 곳이 별로 없었다. 스마트카드나 SIM카드에 넣었으면 좋았겠지만 그럼 비용이 올라가고, 사용자에게 귀찮아지고, 이동성은 떨어진다. 하드디스크에 담으면 비밀키를 훔쳐갈 우려가 있었다.
15년 지나 ARM이 '트러스트존'이란 보안기술을 내놔 비밀키를 안전하게 보관할 방법이 생겼다. 모바일로 PKI를 편리하게 쓸 수 있는 환경이다. 미국은 FIDO 표준으로 PKI 인증을 막 보급 중이다. 과거 한국은 이런 환경 없이 꾸역꾸역 썼고 딴데선 안 쓰니까 세계 1위였던 거다. 그간 이런 기술을 좀 더 안전하게 써왔다 할 수도 있겠지만, 지금 보면 공인인증서는 해외에, 미국에 수출할 수 있는 기술은 아니었던 거다.
공인인증서가 독점 기술이었다는 게 더 큰 문제다. 지금도 법조문에 어떤 장비를 쓰라고 나와서, 기업은 실제 보안을 강화하는 것보다 그걸 우선한다. 안전한 프로세스를 갖추되, 어떻게 할지는 알아서 하라, 개인정보 유출하면 징벌적 배상 책임 묻겠다, 이러면 자연스레 경쟁을 유도할 텐데. 기업들이 시장경제체제 안에서 공개적인 검증을 통해 선택받고, 자연스럽게 경쟁해 살고 죽는다면 더 빨리 발전하지 않을까."
■ "암호화폐거래소 보안 체크리스트식은 한계...네거티브로 가야"
-한국블록체인협회 정보보호위원장으로서 활동계획은
"한국블록체인협회 자율규제차원의 보안성 심사를 하반기에도 계속하려고 한다. 10월 중순쯤 우리가 생각하는 베스트프랙티스 워크숍을 할 생각이다. 레퍼런스같은 것을 보여주려고. 네거티브 규제를 하고 싶은데, 거래소들이 어떻게 생각할지는 모르겠다. 해야 하고, 할 능력을 키워야 하고, 보안 컨설팅도 받아야 하고, 기본적으로 잘 아는 사람이 생겨야 한다.
당장은 포지티브규제에 익숙해진 관점에서, 네거티브규제 환경에 어떻게 대응해야 할지 모르는 분들이 많다. 왜 체크리스트를 주지 않으려고 하냐고 묻는다. 포지티브규제는 범위를 정할 수밖에 없다. 서버에 대한 체크리스트를 만들 수는 있겠지만 콜드월렛의 체크리스트는 어떻게 만들 것인가. 거래소의 모든 곳이 다르게 구현돼 있다. 전부 다르게 구현된 시스템을 단일한 형태의 체크리스트로 점검할 수는 없다.
다 다르니까 다르게 보안을 해야 한다. (체크리스트에) 너무 많은 걸 넣으면 '못 한다'고 할 거고 상호 교차지점만 보안하라고 하면, 상이한 영역의 보안은 못하게 된다. 결국 네거티브 규제밖에 할 수 없다. 설계해 보고, 분석해야 평가할 수 있다. 우리 인프라가 이렇고 구현이 이러니 공격 위험은 어떤 것이고 그걸 어떻게 막겠다, 이렇게 회사가 자기 인프라를 정확히 이해하고 필요한 보안장비를 사고 해야 한다."
관련기사
- 진대제 "ICO심사제·거래소등록제 도입하자"2018.10.09
- 진대제, ICO·거래소 통합 가이드라인 제안한다2018.10.09
- "100% 안전한 암호화폐 거래소는 없다"2018.10.09
- 빗썸·업비트 등 12개 거래소 자율규제심사 통과2018.10.09
-거래소 담당자들의 인식이 바뀌어야 한다고 보나
"제일 중요한 건 CEO의 마인드다. CEO가 자기가 CISO보다 더 많이 안다고 생각하는 건 굉장히 위험하고, CISO도 자기가 과거 15년 했다 하면서 전문적이라 생각하는 것도 문제가 많다고 본다. 보안 기술이 바뀌면 문제도 바뀌는데, 그에 적응 안 해왔다면 문제다. 시스템 설계도 바뀌고 뱅킹 인프라도 바뀌고 모든 시스템이 바뀌듯이, 설계 단계부터 장기적으로 어떻게 할지도 고려해야 한다."
