[ET시론]4차 산업혁명 기술 보안

[ET시론]4차 산업혁명 기술 보안
관련 통계자료 다운로드 AI의 현재·미래 위험도와 대응준비도

인공지능(AI), 빅데이터, 자율주행, 드론, 6세대(6G) 이동통신, 메타버스, 블록체인 등으로 대표되는 4차 산업혁명은 새로운 기술을 쏟아내고 있다. 새 기술이 나타나면 우리는 보안을 걱정하고, 보안 전문가를 찾고, 전문 인력을 길러야 한다고 한다. 어떤 기술이 나타날지 모르는 미래 기술에 대한 보안은 어떻게 준비해야 할까. 4차 산업혁명 기술에서 가장 주목해야 할 점은 모든 기술이 기존 기술에 기반한다는 것이다. 예를 들어 클라우드에서 접근 가능한 AI 시스템 구성 요소를 보면 소프트웨어, 네트워크, 운용체계, 암호 등이 사용된다.

자율주행 시스템의 대표 회사 테슬라를 보더라도 소프트웨어, 네트워크, 운용체계, 암호 등을 핵심 기술로 사용한다. 즉 우리가 4차 산업혁명 기술이라며 열광하는 대다수 기술이 기존 기술을 기반으로 구현된다는 의미다. 이를 보안 관점에서 바라보면 4차 산업혁명 기술은 기존 보안의 취약점을 그대로 안고 있다는 말이 된다. 너무나 당연한 추론임에도 4차 산업혁명 기술은 실제로 많은 기존 보안 취약점을 그대로 가지고 있다. 와이파이 암호화를 하지 않는 드론은 당연히 탈취될 수 있다. 무선 구간만 암호화된 이동통신은 기지국에서 도청할 수 있다.

가상자산거래소에서 인증을 제대로 하지 않아 해커가 수백억원을 탈취하고, 애플리케이션 업데이트를 인증하지 않아 악성 앱이 권한을 가로챈다. 이미 알려진 보안 취약점이 4차 산업혁명 기술에서도 그대로 나타나고, 문제를 일으킨다. 이들 가운데 구현의 취약점은 시큐어코딩 등을 통해 어느 정도 해결이 가능하지만 다양한 플랫폼 및 응용에 대한 시큐어코딩의 적용은 여전히 숙제로 남았다.

반면에 설계의 취약점을 해결하기 위해서는 처음부터 보안을 고려한 설계가 필요하다. 불행하게도 기술 발전이 시급한 4차 산업혁명 기술이 애초부터 보안을 고려한 설계를 할 수 있는가는 불확실하다. 쉽게 말해 AI도 잘 알고 보안도 잘 아는 전문가가 설계 단계부터 필요하기 때문이다.

자율주행차 서비스 보안 위협. KISA
자율주행차 서비스 보안 위협. KISA

4차 산업혁명 기술에서 기존의 보안 취약점을 줄이는 것은 여전히 노력을 요구한다. 더 심각한 문제가 있다. 모든 4차 산업혁명의 기술은 핵심 기술을 포함하고 있으며, 핵심 기술에 내재된 새로운 보안 문제는 미리 알기도 어려울 뿐만 아니라 설계되고 충분히 사용된 이후에 발견되는 경우가 많다. '내재된 새로운' 보안의 취약점은 결국 기술 방향을 바꾸거나 퇴보시킬 수 있다.

기계학습의 예를 들어보자. 2016년 MS에서 제작한 AI봇 타이는 공격적인 트위터 메시지를 남기고 역사 속으로 사라졌지만 최근 알고리즘 공정성과 관련해 기술적·철학적 논쟁을 세계적으로 불러일으키는 데 일조했다.

기계학습을 향한 다양한 공격을 포함한 적대적 기계학습 또한 다양하게 변화하고 있다. 처음에는 버스 그림에 작은 점 몇 개를 찍으면 AI가 버스가 아니라고 판단하는 것에서 시작됐다. 이후 탑, 시계, 강아지, 고양이 등 사진에 약간의 노이즈를 추가하니 모두 타조라고 판단하기까지 이르게 됐다. 아마 인간의 시각과 두뇌에 대한 깊은 이해 없이 시각을 모사하면서 생긴 알고리즘적 취약점으로 생각된다. 2004년 스팸 필터에 대한 우회를 처음 소개한 이후 현재까지 다양한 적대적 기계학습 기술은 끊임없이 만들어지며 기계학습과 함께 발전하고 있다.

자율주행은 더욱더 원천적 문제를 가진다. 자율주행을 구현하는 핵심 기술은 인간의 눈을 대체하는 라이더, 레이더, 카메라센서 같은 센서 기술이다. 인간의 두뇌를 따라가기 어려운 기계학습과 마찬가지로 현존하는 센서는 인간의 눈보다 성능이 현저하게 떨어진다. 레이저포인터를 비추기만 해도 앞을 보지 못하는 라이더, 카메라 센서, 무선 재밍을 했을 때 탐지가 어려운 레이더 등 센서 기술은 원천적 취약점을 안고 있다. 인간의 눈에 레이저 포인터를 비추면 선바이저를 내리거나 얼굴을 돌려서 피하겠지만 자율주행차의 센서는 그렇지 못하다.

앞이 안 보이면 자율주행차가 어떻게 동작해야 한다는 명확한 규정을 찾기 어려운 건 당연할지 모른다. 어쩌면 기존의 자동차 안전 규정이 명석한 인간 운전자를 고려해서 개발됐기 때문일 것이다. 공격에 안전한(또는 노이즈에 강인한) 센서, 공격받더라도 안전한 제어 기술은 어쩌면 자율주행 및 드론 업계에 오랫동안 숙제로 남아 있을 것 같다.

4차 산업혁명 기술에 내재된 새로운 보안 문제점은 앞에 언급된 모든 기술에서 공통으로 나타나고 있다. 블록체인 DeFi에서 실제로 일어나고 있는 수많은 해킹 공격은 블록체인이 안전하다고 주장하는 전문가들의 주장을 무색하게 하고 있다. 비교적 수정할 공산이 높은 기존 보안 취약점과 달리 이들 기술에 내재된 새로운 보안 취약점은 기술이 상용화될 때까지 끊임없이 기술 방향을 바꿀 수 있다. 4차 산업혁명 기술은 보안과 함께 발전해야 한다.

김용대 KAIST 전자공학부/정보보호대학원 교수 yongdaek@kaist.ac.kr

〈필자〉 김용대 교수는 30여년 동안 보안 연구를 수행했다. 국가보안기술연구소 전신인 한국전자통신연구원(ETRI)의 부호기술부를 거쳐 미국 미네소타대 교수를 지냈다. 2012년에 귀국해 KAIST 전자공학부 및 정보보호대학원에서 보안 연구를 이어 가고 있다. 주요 연구 분야는 자율주행차, 드론, 이동통신, 블록체인 등 미래에 각광받을 신기술의 보안 취약점이다. 김 교수는 세계 보안 최우수 학회 가운데 하나인 ACM CCS를 한국에 유치하는 등 세계와 한국의 보안 연구 연결에 노력하고 있다. 산업에 직접적 영향을 미칠 수 있는 보안 연구에 집중해 국내 대기업, 스타트업 등에 활발한 자문역 활동을 하고 있다.

〈표〉 AI 보안 위협 분류 (자료:KISA)

〈표〉 AI의 현재·미래 위험도와 대응준비도 (자료:KISA)



 

[ET시론]4차 산업혁명 기술 보안

[ET시론]4차 산업혁명 기술 보안


최호기자 snoop@etnews.com