[Interview] 세계 최고 해킹 방어 권위자 얀 쇼시타이시빌리 애리조나주립대 교수 | “챗GPT발 사이버보안 위협 커졌지만 AI 통해 취약점 파악 가능”
“한국은 반도체를 자체 생산하는 국가라는 점에서 공급망 보안을 필두로 한 사이버보안 영역에서 큰 강점이 있다. 보안 인력과 보안 기업의 역량도 세계적인 수준인데, 이들이 앞으로 세계 무대에서 더 큰 존재감을 드러내길 기대한다.”
얀 쇼시타이시빌리 미국 애리조나주립대 교수는 6월 14일 서울 중구 웨스틴조선서울에서 열린 ‘2023 사이버보안콘퍼런스’ 기조연설 직후 진행된 인터뷰에서 이렇게 말했다. 이번 행사는 ‘인공지능(AI) 시대의 사이버 위협’을 주제로 열렸다. 조선비즈가 주최하고 과학기술정보통신부와 방송통신위원회가 후원했으며, 약 300명의 정부, 학계, 산업계 관계자가 참석했다.
쇼시타이시빌리 교수는 UC 샌타바버라에서 컴퓨터공학 박사학위를 받은 사이버보안 전문가다. 현재 미국 사이버안보인프라보호청(CISA) 기술자문위원으로 활동하고 있다. 그가 이끄는 세계에서 가장 오래된 화이트해커 그룹 셸피시(Shellphish)는 2016년 미국 국방고등연구계획국(DARPA)이 주최한 AI 해킹 방어 대회 사이버 그랜드 챌린지(CGC)에서 3위를 차지했다. 쇼시타이시빌리 교수는 세계 최고 권위의 해킹 방어 대회 데프콘(DEFCON CTF)을 주최한 바 있다. 주요 연구 분야는 보안 취약점을 찾아내고 수정하기 위한 소프트웨어를 분석하는 것이다.
쇼시타이시빌리 교수는 한국의 사이버보안 역량을 세계적인 수준이라고 평가했다. 북한과의 사이버전(戰)이라는 지정학적 리스크가 사이버보안 인재가 성장하기 좋은 환경을 만들었다고 했다. 다음은 그와 일문일답.
어떻게 해킹 분야 전문가가 됐나.
“6세 때 할머니가 사준 어린이용 컴퓨터 그림책을 보면서 컴퓨터의 세계에 빠져들었다. 컴퓨터가 좋아서 학생 때는 컴퓨터 관련 책을 읽으려고 수업에 빠지기도 했다. 고등학생 때부터 각종 해킹 대회에 친구와 참가하기 시작했고, 대학생 때 해킹 관련 수업을 듣게 되면서 본격적으로 해당 분야 연구를 시작했다.”
해킹 대회에서 만난 한국 화이트해커의 실력은 어느 정도였나.
“국제 해킹 방어 대회에서 한국 팀의 위상이 높아지고 있다는 점을 체감한다. 예컨대 지난해 열린 DEFCON CTF에선 한국인으로 구성된 ‘MMM’팀이 1위, ‘StarBugs’팀이 3위를 달성했다. 이들의 공통점은 기관에서 사이버보안 교육을 받았다는 점이다. 한국에선 인재를 양성하기 위한 체계적인 교육 시스템이 있는 것으로 보인다.”
쇼시타이시빌리 교수가 언급한 팀은 모두 과학기술정보통신부가 주최하고 한국정보기술연구원이 주관하는 보안 리더 양성 프로그램(BoB)의 수료생, 교육생, 멘토로 구성된 팀이다.
정부 차원의 사이버보안 교육을 확대하고, 국가 차원에서 북한에 대비해 화이트해커를 양성하는 것이 효과적일까.
“기술적인 관점에서 국가가 더 많은 사이버보안 인력을 양성하는 것을 긍정적으로 생각한다. 정책적으로 사이버보안을 중시하고 있음을 보여주는 것 자체도 의미 있기 때문이다.
다만 교육으로 끝나는 것이 아니다. 국가의 사이버보안 정책은 선제적으로 기술 개발 단계부터 사이버보안을 고려해야 한다. 예컨대 이메일을 처음 발명했을 때 우리가 스팸메일을 고려해 이메일을 설계했다면, 많은 위기 상황을 막을 수 있었을 것이다.
앞에 있던 기술에 보안 측면의 결함이 있다는 이유로 이를 즉시 폐기하는 것이 아니라 점진적으로 더 안전한 기술로 대체하는 후천적인 접근이 중요하다. 즉, 관련 인재 양성도 중요하지만, 처음부터 보안을 고려해 기술을 설계하고 문제 시 교체할 수 있는 환경을 만드는 것도 중요하다는 점을 인지해야 한다.”
한국의 사이버보안 역량을 평가한다면.
“한국은 미국, 이스라엘, 러시아 등과 함께 사이버보안 역량이 세계적으로 손꼽히는 국가다. 북한과 전쟁 상황 등 지정학적 요인으로 인해 사이버보안 기술과 교육이 정부와 군을 중심으로 빠르게 발전했다.
특히 한국은 반도체를 직접 제조하는 국가로, 완벽하게 통제된 상황에서 소비자가 이용하는 하드웨어를 생산할 수 있다. 공급망 관련 보안 문제에서 강점이 있다.”
북한의 해킹 수준은 어느 정도인가.
“한국에서 우려하는 만큼 위협적인 수준은 아닌 것으로 추정한다. 기본적으로 북한은 사람들이 컴퓨터를 쉽게 접할 수 있는 환경이 아니기에, 해커가 성장하기 어려운 국가다.
북한 해커가 높은 존재감을 드러내고 이에 대응해 한국의 사이버보안 역량이 강화된 이유는 북한 해커의 능력이 특별히 출중해서가 아니다. 원래 방어보단 공격이 더 쉬운 법이다. 한국에는 기업과 정부 기관이 많아 공격당할 수 있는 통로가 많고 취약점도 많다. 그러다 보니 자연스럽게 북한 해커들이 해킹에 쉽게 성공할 뿐이다.”
한국의 사이버보안 산업은 열악하다. 어떻게 해야 경쟁력을 가질 수 있을까.
“한국의 사이버보안 기업을 널리 알리는 일이 중요하다. 특정 기업을 거론하기는 어렵지만 한국에도 훌륭한 기업이 많을 것이다. 문제는 대중이 이를 잘 모른다는 점이다. 이러한 상황에서 산업 경쟁력을 키우기 위해선 정부와 민간 기업의 협력이 강화돼야 한다. 북한이라는 공동의 적을 두고 있는 한국에서 다른 국가보다 더 원활하게 민관 협력이 이뤄질 수 있다고 본다.
또 사이버보안 관련 교육을 받은 인재가 졸업 후 보안과 무관한 분야에 지원하지 않도록 유인책도 제시해야 한다. 인재를 기업에 연결하는 일종의 ‘파이프라인’이 될 인재 관리 사무소를 정부가 만드는 것도 방법이다.”
AI가 사이버보안에서도 최대 화두다. 챗GPT가 등장하면서 새롭게 등장한 해킹 수법이 있을까.
“기술적으로 완전히 새로운 공격 수법이 등장했다고 판단하기보다 챗GPT로 인해 더 많은 공격 표면(해커가 네트워크나 민감한 데이터를 해킹하기 위해 사용할 수 있는 다양한 수단의 합계)이 등장해 사이버보안 위협이 증가했다고 보는 것이 적절하다. 과거부터 존재한 다양한 해킹 수법에 챗GPT 등 AI 챗봇을 해킹하는 방법이 더해졌다고 볼 수 있다. 예컨대 챗봇을 잘 조작해 기밀을 답변하도록 만드는 등 다양한 해킹 시도가 등장할 것으로 본다. 이런 시기일수록 오히려 AI를 활용해 보안 취약점을 자동으로 분석하는 시스템을 개발하는 등 AI를 사이버보안에 유리하게 사용할 수 있도록 노력해야 한다.”
Copyright © 이코노미조선. 무단전재 및 재배포 금지.