[샌프란시스코(미국)=임민철 기자] 신뢰(trust)가 미래 전세계 보안의 최대 변수다. 신기술이 발전하는만큼 보안이 따라와야 하는 게 과거 상식이라면, 미래에는 그 보안이 제 역할을 할 수 있도록 현재 사회와 사람들간의 신뢰를 보강해야 한다.
5일(현지시간) 오전 샌프란시스코 모스콘센터 '웨스트스테이지'에서 진행된 미국 RSA컨퍼런스 오프닝 키노트에서 참석자들에게 주어진 화두다. 키노트는 컨퍼런스 주최측인 RSA와 주요 파트너인 맥아피, 시스코시스템즈 임원들의 릴레이 발표로 진행됐다.
RSA 발표자들은 신뢰 조망(The Trust Landscape)이란 제목으로 30년뒤 우리 세계와 그 안에서 인류의 생활방식이 어떻게 달라질 것인가를 전망한다. 그리고 그 과정에 도달하기 위해 지금 신뢰라는 무형의 자원이 보존되고 축적될 필요가 있음을 강조한다.
맥아피 발표자들은 인공지능(AI)과 머신러닝같은 기술이 보안 목적뿐아니라 공격 목적으로도 쓰일 수 있다고 지적한다. AI와 머신러닝을 통해 만들어질 가치를 활용하되 악의적 용도로 사용될 가능성을 무시하지 않도록 공중의 이해를 증진시켜야 한다고 주장한다.
시스코 발표자들은 사물인터넷(IoT) 시대가 열려 사이버보안의 무대가 정보기술(IT)을 넘어 운영기술(OT)로 확대됐지만, 양쪽의 중점 가치와 관점에 큰 간극이 문제로 떠올랐다고 본다. 보안담당자가 두 세계를 잇는 '다리' 역할을 함으로써 해결할 수 있다는 메시지다.
기업별 릴레이 발표에 이어 RSA컨퍼런스의 상징적 이벤트인 암호인들의 패널토의(The Cryptographers’ Panel)가 진행됐다. 여러 배경을 가진 패널들이 암호기술과 관련된 사회현안에 각자의 의견을 나눴고 이 분야 전문가의 사회적 역할을 강조하는 자리였다.
이후 중국, 러시아, 북한 등 정부를 배후로 지목하며 여러 해커그룹의 사이버공격에 대응하고 있는 미국 연방수사국(FBI)의 수장이 여러 질문에 공개적으로 답하는 인터뷰가 진행됐다. 시민들의 프라이버시를 지키면서 공격자의 움직임을 막으려는 FBI의 접근방식을 짐작케 했다.
현장에서 진행된 각 발표, 토의, 인터뷰 주요 내용을 아래에 순서대로 정리했다.
■ "2020년대 신뢰 위기 도래…인간-기계 협력으로 위험 관리해 극복해야"
로힛 가이(Rohit Ghai) 대표(president)와 전 RSA 최고전략책임자(CSO) 겸 전략운영담당 수석부사장(SVP)이었던 기업가 겸 투자자 닐루파 라지 호위(Niloofar Razi Howe), 두 사람이 함께 첫 키노트 '신뢰 조망'을 진행했다. 둘은 우리 세계가 30년뒤 어떻게 바뀔지를 점쳤다.
30년 뒤인 2049년, 가이 대표는 인류가 농업, 산업, 인터넷, 디지털, 네 가지 혁명을 넘어 '바이오디지털 시대'로 진입할 거라고 봤다. 생물학과 기술이 공존하고, 기계와 인간이 공생하는 시대다. 예컨대 암호화폐가 통화를 대신하고, 재생에너지를 기본으로 쓰고, 인체에 필요한 장기를 '프린트'해서 만들고, 화성에는 우주정거장이 있고, 대다수가 최소한의 기본소득을 받는다.
하지만 당장 내년부터인 2020년대에 우리 사회 근간을 흔들 '신뢰위기(trust crisis)'가 제기됐다. 여기엔 이미 나타난 세가지 환경적 요인이 작용한다. 첫째, 보안은 위험관리 문제가 됐으며, 보안은 신뢰에 기반한다. 둘째, 인간과 기계는 함께 맞물려 일해야 더 믿을 수 있다. 셋째, 믿을 수 있는지 여부를 나타내는 지표는 평판(reputation)이다.
호위가 예측한 2020년대는 선거철 해킹공격이 발생하고, 가짜뉴스와 국가지원 공작에 오염된 정보가 소셜미디어로 유포되고, 미국인 과반이 2025년도 민주주의에 대한 기대를 잃는다. 사실에 기반한 이성적 담론은 사라지고 정부가 중요한 사회문제를 해결할 수 있을지 판단하기 어렵다. 정부가 인터넷에 디지털 장벽을 세워 세계 인구를 분리하고 고립하고, 글로벌 무역분쟁이 발생할 수 있다.
호위는 "우리는 지금 신뢰위기를 맞딱뜨렸다"면서, 신뢰가 경제에 대해 갖는 의미가 물이 생명에 대해 갖는 의미와 같다고 강조했다. 그는 이처럼 중요한 신뢰를 유지할 핵심 구성요소로 위험 관리라는 방법론을 제시했다. 그는 "위험관리는 단지 위험을 피하는 게 아니라 기회를 해방하는 것"이라며 "위험관리는 인류 공동선을 행하는 자세로 혁신을 빠르게 취할 수 있는 방법"이라고 말했다.
가이 대표는 "바이오디지털 시대의 성공열쇠는 신뢰"라며 "우리 기술과 우리를 믿을 수 있어야 한다"고 봤다. 그는 보호대상이 "애플리케이션이나 데이터나 기반 인프라뿐이 아니다"라며 "우리는 신뢰를 보호하는 비즈니스에 몸담고 있다"고 말했다. 그는 신뢰를 유지할 수 있는 위험관리 전략으로 일명 '믿을 수 있는 쌍둥이(trustworthy twins)' 개념을 제안했다. 풀어 보면 '인간과 기계의 상호보완적 협력'이다.
가이 대표는 믿을 수 있는 쌍둥이 개념에 대해 인간의 창의성과 기계의 빠르게 신뢰롭게 질문에 답하는 능력을 결합해 그 이점을 얻는다는 의미라고 설명했다. 그는 "인간은 질문을 던지고 기계는 답을 사냥한다"면서 "인간과 기계가 형편없는 것을 각자 더 잘할수있도록 기다리는 건 그만두자, 보안 프로그램을 기계와 인간이 함께 구현해야 한다"고 말했다.
호위는 "신뢰는 완벽함이 아니라 투명성(transparency), 책임(accountability), 정직함(honesty), 믿음직함(reliability)을 요구한다"며, 이런 문제를 해결하려면 산업계가 더 나은 디지털 위험관리 기술을 필요로 할 것이라고 지적했다. 그는 "디지털 위험을 효과적으로 관리함으로써, 우리는 비즈니스를 더 효율적으로 만들고 트랜잭션을 더 안전하게 만들고 인류를 발전시킬 신기술을 포용할 수 있다"고 말했다.
■ "보안 강화와 공격 심화 모두 가능"…AI·머신러닝 기술에 이해도 높여야
스티브 그로브먼(Steve Grobman) 맥아피 SVP와, 맥아피 최고데이터과학자인 셀레스테 프랄릭(Celeste Fralick) 박사가 '번개를 병에 잡아넣을 것인가, 집을 태워버릴 것인가(Lightning in a Bottle, or Burning Down the House?)'라는 제목으로 AI와 머신러닝의 양면성을 경고했다.
그로브먼 SVP는 '불'을 예로 들었다. 불은 파괴하는 힘이 될 수도, 적절히 통제됐을 때 요긴하게 쓰일 수도 있다. AI같은 혁신 기술도 마찬가지라고 했다. 잘 쓰면 보안을 강화할 수도 있고, 악용하면 사람들을 위험에 빠뜨리는 공격의 재료가 될 수도 있다.
그로브먼 SVP는 "AI는 우리 전체 산업에 새로운 기반으로, 우리가 우리 환경을 더 잘 보호할 수 있게 해준다"면서도 "AI를 우리가 중립적으로 보고있느냐" 반문했다. 그는 "우리 다른 기술과 마찬가지로 우리는 그 잠재력에만 주목할 수 없다"며 "AI가 어떻게 우리를 적대하는데 쓰일지 이해해야 한다"고 강조했다. 또 "혁신의 힘을 디지털세계를 더 잘 보호하려는 우리 목적을 위해 써 달라"고 주문했다.
AI와 머신러닝 기술 발전이 더 복잡한 사이버공격을 어떻게 실현할지가 구체적으로 시연됐다. 프랄릭 박사는 "머신러닝과 다른 AI 형태는 사이버범죄를 더 잘하게 빠르게 똑똑하게 만든다"고 말했다. 프랄릭 박사는 준비된 시연 영상을 통해 사회공학적 공격에 악용될 수 있는 '딥페이크(deepfake)' 기술을 선보였다.
이 기술은 박사가 녹음한 본인 목소리를 그로브먼 SVP의 얼굴 모습에 합성시켜, 당사자가 한 적 없는 말을 실제로 하고 있는 듯이 입술을 움직이는 가짜 영상으로 만들어냈다. 프랄릭 박사는 "녹음된 코멘트를 가지고 머신러닝 모델을 학습시키면 내가 말한걸 여러분이 말하는것처럼 보이는 비디오를 만들 수 있다"면서 "이건 AI와 머신러닝이 대규모 혼란을 초래하는 데 동원될 수 있는 한 방법일 뿐"이라고 말했다.
프랄릭 박사는 "AI가 사회공학과 피싱, 공격자가 자동화된 스피어피싱 표적용 콘텐츠를 만들 수 있는 수법이 될 수 있다"고 경고했다. 그는 많은 사람들이 "AI와 머신러닝이 얼마나 연약한지 깨닫지 못하고 있다"면서 "현재 심각한 일은 악의적인 머신러닝의 영향이 악성코드 분류에 미칠 수 있고, 다른 사이버 방어 모델에까지 그럴 수 있다는 것"이라고 덧붙였다.
그로브먼 SVP는 사이버 방어체계에 AI를 사용하는 데 다른 접근이 필요하다는 걸 우리가 인식해야 한다고 지적했다. 그는 "오탐의 비용이 심각함을 이해해야 한다"며 "오탐은 재앙적인 결과를 초래할 수 있기 때문"이라고 설명했다. 또 "우리는 AI를 포용하되 절대 그 한계를 무시해선 안된다"며 "우리 산업의 문제 근본을 해결하지만 또한 우리 적대자의 역량을 강하게도 한다"고도 말했다.
하지만 그로브먼 SVP는 또 "본론은 우리가 혁신을 관리하는 방법"이라고 첨언했다. 그는 엄밀히 볼 때 AI가 '지능(intelligence)'이라기보다는 편리하게 상황에 대응하는 '수학(math)'이라고 지적했다. 그에 따르면 AI는 악용가능성 때문에 그게 해결할 수 있는 만큼 다른 도전과제도 만들어낸다. 그는 "그 안에는 도덕적 나침반(moral comapass)이 없기 때문"이라며 "하지만 사람에겐 그게 있다"고 덧붙였다.
■ "달라도 너무 다른 OT-IT, 둘을 잇는 다리 되라"
시스코 탈로스(Talos) 글로벌 위협인텔리전스그룹의 맷 와친스키(Matt Watchinski) 부사장과 시스코 IoT 총괄매니저인 리즈 센토니(Liz Centoni) SVP가 함께 세번째로 '기계의 부상: 다음 위협으로부터 앞서가기'라는 발표로 OT와 IT가 서로 연결돼야 할 필요성을 강조했다.
와친스키 부사장은 본인이 속한 탈로스의 역할을 'VPN필터'같은 악성코드를 추적해 세상에 드러낸 전문가 조직으로 표현했다. VPN필터는 세계 각지 가정용 인터넷공유기와 스토리지등 '커넥티드 디바이스' 50만대를 감염시켜 봇넷을 만든 악성코드다. FBI는 이 봇넷을 무력화하고, 이 공격의 배후를 'Sofacy' 또는 'Fancy Bear' 또는 'APT28'라 불리는 러시아 정부 지원 해커그룹으로 지목했다.
요는 VPN필터를 만든 게 실제로 러시아 해커든 아니든, IoT 기기 대상 공격이 이미 일반적인 추세고 심각한 문제로 대두되고 있다는 점이다. 센토니 SVP는 IoT가 제조분야에서 심각한 침입통로가 되고 있다고 지적했다. IoT 기기 중에는 공장에서 사용되는 장치들이 있는데, 이는 결국 공장 생산설비나 전력공급 제어장치같은 OT 대상 공격 실마리가 된다.
와친스키 부사장은 사이버보안산업이 '인상적인' 제품들을 선보여왔고, 개발수명주기와 보안업체간 공격과 방어 관련 정보를 공유하는 연합을 만들어 보안을 구축해온 점을 잘한 일로 추켜세웠다. 하지만 "우리가 만든 기술가운데 IT세계에서 문제를 겪는 게 결국은 OT세계서도 문제가 될 것"이라며 "우리는 OT 보안이라는 신세계를, 그게 우리가 지금 있는 세계와 많이 다르단 걸 배워야한다"고 말했다.
센토니 SVP도 공장은 점점 더 연결되고, 보안팀은 IT와 OT 사이를 잇고자 한다고 언급했다. 하지만 IT와 OT는 다른 의제와 접근을 갖고 있는데다, 한쪽에 통하는 방식이 다른쪽엔 통하지 않을 수 있어 어려운 일이라고도 지적했다. 그는 "운영 세계에서 플랜트 매니저가 하는 일은 오버롤 이큅먼트 이펙티브니스(OEE)같은 대상을 추적하고, 안전사고 보고서를 들여다보는 것"이라고 설명했다.
그는 OT 매니저가 고객들이 '얼마나 많이, 얼마나 오래, 정전같은 상황에 영향을 받았는지'를 의미하는 '가용 상태'도 본다고 설명했다. 또 "그들은 데이터 손실이 아니라 안전, 가용성, 복원성을 신경쓴다"며 "가시성도 그들에겐 보안 수단이 아니라 운영 통찰방법"이라고 말했다. 이어 "OT의 세계는 시스템이 켜지고 돌아가는걸 원한다"며 "신세계를 받아들여 IT와 OT사이를 잇는 다리가 되라"고 독려했다.
■ RSA의 S, '아디 샤미르'가 불참한 이유 "미국 비자 못 받아서"
쟁쟁한 암호연구자 5명이 자리한 암호학자 패널토의(Cryptographers' Panel)가 이어졌다.
RSA의 줄피카 람잔 최고기술책임자(CTO)가 패널토의 사회를 맡아 진행했다. 참석한 암호학자는 공개키암호 개념 창시자 휫필드 디피(Whitfield Diffie), 영지식증명 개념 창시자 샤피 골드와서(Shafi Goldwasser), 부채널공격으로 인텔CPU 취약점을 분석한 독립연구자 폴 코처(Paul Kocher), IBM리서치 암호연구그룹을 이끄는 탈 라빈(Tal Rabin), RSA의 'R'인 로널드 리베스트(Ronald Rivest)였다.
본격 진행에 앞서 기존 패널토의에 참석했던 또다른 RSA 설립자, RSA의 'S'인 아디 샤미르(Adi Shamir)가 불참한 이유가 공개됐다. 그는 올해 RSA컨퍼런스에도 참석하기 위해 2개월 전 미국에 여행자 비자를 신청했다. 하지만 결국 허가를 받지 못해 입국을 할 수 없었다. 이 사연은 이스라엘에 거주 중인 샤미르가 촬영해 보낸 영상 메시지를 통해 참석자들에게 공개됐다.
영상에서 샤미르는 자신의 다양한 사회적 신분, 소속, 이력, 업적을 강조하면서 "2개월 전 여행자 비자신청을 했는데 이후 아무 회신을 받지 못했고, 주위 다른 이들도 비슷한 문제를 겪었다"며 "어쩌면 우리는 주요 과학 컨퍼런스의 주최 방식과 장소를 재고해 봐야할 때"라고 언급했다. 이에 리베스트는 관련인에게 연락해 보겠다고 언급했지만, 골드와서가 "책임자가 누구인지 불분명하다"고 지적했다.
본격적인 패널토의는 여러 주제를 교차해 진행됐다. 확장 추세인 초연결세계에서 암호의 미래를 둘러싼 패널들의 시각을 엿볼 수 있었다. 유럽 일반개인정보보호법(GDPR)이 다른 분야 프라이버시 규제에 영향을 줄지, 미국 대통령선거 기간 해킹사건의 영향, 암호화폐, 하드웨어 개발 분야에서의 암호, 신기술로 공공의 신뢰를 얻는 방법 등이 언급됐다.
데이터 보호와 관련, 람잔 CTO는 암호가 "시스템에 신뢰를 만든다"고 말했다. 코셔는 GDPR을 들여다보면 규제가 필요한 영역이 있지만 이 규제가 어떻게 작동할지 의문을 남긴다고 지적했다. 라빈은 규제대상들이 "GDPR은 솔루션을 신중하게 도입하도록 만들 것"이라며, 데이터 프라이버시와 규제를 가능케 할거라고 전망했다.
민주주의의 일부인 '투표'에 대한 얘기가 이어졌다. 리베스트는 "국가와 민주주의의 거대한 영역"이었다며 이게 제대로 돼야 한다"며, 투표시스템이 얼마나 연약한지 배웠다고 평했다. 이는 지난 2016년 미국 대선기간 소셜네트워크서비스에서 러시아 배후 조직을 통해 진행됐다고 발표된 불신조장 활동과 7개주 유권자 명부 해킹 등의 공격을 가리킨 것으로 보인다.
이밖에 암호화폐와 관련한 발언도 나왔다. 패널 가운데 코셔는 블록체인과 비트코인을 두고 "연구 논문과 현실 세계에서 작동하는 방식 사이"에 큰 격차가 있다고 주장했다.
말미에 패널들은 미래 세계의 보안에 미칠 영향을 바라보면서 현재 전문 연구자들의 노력이 필요하다는 뜻을 내비쳤다. 더 많은 사람들잉 암호와 그 관련 사안을 제대로 이해하고 판단할 수 있도록 도와야 한다는 것이다. 그런 내용을 대중들에게 전달하는 기자들(journalists)이 일정부분 역할을 하는만큼, 연구자들은 그들에게 뭔가를 더 잘 이해시켜야 할 필요가 있다고 결론내렸다.
■ "중국 온라인첩보, 다른 어떤 나라보다 크다"…FBI 국장 공개인터뷰
마지막 순서로 미국 FBI의 사이버위협 접근방법을 논하는 크리스토퍼 레이(Christopher A. Wray) FBI 국장과의 공개 인터뷰가 진행됐다. 질문을 던진 쪽은 미국 워싱턴D.C. 소재 연구기관 '브루킹스인스티튜션' 시니어펠로이자 국가안보문제 전문 블로그 '로페어'의 수잔 헤네시(Susan Hennessey) 편집장이었다.
레이 국장은 "사이버위협은 어떤 단일기관이나 정부 자체보다 크다"면서도 "FBI가 하는 것만큼 범위, 규모, 수단, 관계의 조합을 갖춘 기관은 없다"고 자신했다. 그는 사이버위협을 '다학제적(multidisciplinary) 위협'이라 부르며 "다학제적 대응이 필요하다"고 말했다. 그런 대응을 위한 공공과 민간부문 관계에 대해 "우리는 민간부문 없이 우리가 하려는 걸 할 수가 없다"며 민간기업과 연구자의 필요성을 강조했다.
헤네시 편집장이 레이 국장에게 FBI의 다양성 점수를 매긴다면 어떻냐고 묻자 그는 "테이블을 에워싼 다양성에 말문이 막혔다"며 "놀랄만한 수의 STEM 배경을 가진 사람과 월스트리트에서 온 사람들이 있다"고 언급했다. 또 그는 연방정부가 러시아 소셜미디어 공작에 대응하려면 이전보다 'IT거인'들의 도움을 더 많이 필요로 하며, 공공과 민간의 협력이 전반적으로 잘 이뤄지고 있다고 평했다.
레이 국장은 중국 정부가 지휘하는 온라인첩보 규모가 다른 어떤 국가 활동보가 거대하다고 주장했다. 그는 "국장직을 맡은 이래로 날놀라게한 건 (FBI의) 대(對)중국 인텔리전스 위협 범위와 깊이와 규모"라며 "간첩을 조사하고 범죄를 수사하는 FBI지국 56곳 거의 전부에서 중국을 추적하고 있다"며 "미국은 중국 위협에 너무 오랫동안 초점을 맞춰 왔다"고 말했다.
그는 FBI가 일부 사이버공격 배후로 중국을 지목할 때 미국과 중국 정부간 무역분쟁같은 정치적 요소와 연관지어 받아들이는 시각에 대해 "우리가 범죄를 저지르는 누군가를 찾으면 추적하는 거고 난 외국 정부가 그에 대해 뭐라건 정말 신경쓰지 않는다"면서 FBI가 독립적인 조직이라고 주장했다.
러시아 얘기도 나왔다. 레이 국장은 러시아가 미국 대선기간 트위터, 페이스북, 구글 서비스 대상으로 진행했던 온라인 공작이 여전히 문제지만, 기본적으로 민주주의 신뢰 훼손을 목적으로 소셜미디어와 다른 인터넷포럼을 노린 것이라고 설명했다. 오는 2020년 선거를 치를 때에도 러시아 정부를 배후에 둔 단체의 소행으로 의심되는 더 많은 활동에 대비하고 있다고 언급했다.
암호기술을 무력화하려는 시도와 관련한 민간의 우려에 대해서도 답했다. 그는 FBI는 암호를 약화하거나 소프트웨어 또는 다른 제품에 감청 기능 백도어를 요구하고싶지 않다고 언급했다. 다만 FBI 요원들은 테러위협이 있거나 외국의 간첩을 조사해야 할 때, 사람들의 개인 보안을 훼손하지 않으면서 어떻게든 암호화된 대화내역과 데이터를 조사하고자할 거라고 덧붙였다.
■ 보안담당자에게 "여러분이 영웅"…첫 발표 직전 영국 배우 헬렌 미렌 등장
RSA컨퍼런스2019 행사 오프닝키노트의 구성에서 흥미로웠던 건 첫 부분이다. 다른 글로벌 컨퍼런스와 마찬가지로 본격적인 발표가 시작되기 전 분위기를 띄우거나 참석자들의 관심을 집중시키는 짤막한 공연이 있었는데, 그 다음 첫 등장인물과 그 행동이 독특했다. 등장인물은 관록의 영국 배우 헬렌 미렌(Helen Mirren)이었다. 그는 대부분이 보안담당자인 참석자들에게 일종의 '맞춤형 독백'을 공연했다.
미렌은 "여러분 대다수가 길들여지지 않은 광대한 황무지를 순찰한다"며 "여러분은 여러분이 만났을리 없는 많은 영혼들로 전세계에 느껴졌을 희망을 본다"고 말했다. 이어 "여러분의 의무감과 양식은 영원한 신호기(beacon)처럼 다른이들이 어둠을 헤쳐 나아갈 길을 찾게 돕는다"고 묘사했다. 그는 "여러분은 통제를 벗어나 커가는 사이버지하세계를 함께 멈추고 있다"며 "여러분은 영웅"이라고 독려했다.
관련기사
- 보안SW회사 지니언스가 SD-WAN 강조하는 이유2019.03.07
- MS, RSA컨퍼런스서 SIEM솔루션 선보여2019.03.07
- 시큐아이, RSA컨퍼런스서 차세대방화벽 '블루맥스NGF' 전시2019.03.07
- 지니언스, SD-WAN 결합한 차세대NAC 출시2019.03.07
미렌은 또 "이 컨퍼런스의 집합적 지성은 사이버사기, 간첩, 도둑, 갈취, 대규모 선거방해 공작같은 세계의 거대한 문제를 풀어 왔는데, 만일 여러분이 (문제를) 순응시키고 바꾸지 않으면 국가는 '익사'할 것"이라면서 그러면 "우리 행성엔 믿음이 가지 않는 통신이 넘쳐 흐르고, 힘의 변화로 왜곡될 것"이라고 말했다.
그는 참석자들에게 "함께 더 나아지고 강해지기 위해 이 순간을 붙잡으라"고 말했다. 그는 독백을 마친 뒤 참석자들을 향해 직접 각자 소지하고 있는 스마트폰에서 '뜻깊은 뭔가'를 찾아, 그걸 골라서 옆자리에 앉은 사람들에게 보여주라고 제안했다. 그는 "이번주 여러분은 여러분의 손에 특별한 기회를 가졌다"며 "더 나은 미래를 함께 만들기 위해 서로를 이끌고, 바꾸고, 치켜세우라"고 권했다.
