December 14,2017

“정보 보안, ‘적의 눈’으로 분석해야”

신기술의 보안문제와 정책과제

FacebookTwitter

“제 연구실은 불나방 연구실이라고 불립니다.”

카이스트 전기및전자공학부 김용대 교수는 그의 연구를 ‘밝은 빛을 쫓아 이리저리 움직이는 불나방’에 비유했다. 유행하는 연구를 쫓는다는 의미에서다. 사물인터넷, 드론, 무인자동차, 블록체인 등 많은 신기술이 그의 연구대상이 된다.

그렇게 다양한 분야의 신기술을 연구한다는 것이 가능한 것일까. 그렇다. 그는 ‘새로운 기술의 취약점’을 연구하는 ‘정보보안’ 분야의 학자이기 때문이다.

12일 오후 대전 카이스트 창업원에서 열린 제6회 ‘Dinner와 4.0’(4차 산업혁명을 위한 정책토론회)에서 김용대 교수는 새로운 기술이 가지는 정보보안 문제를 소개하며 우리나라의 법과 제도가 이에 대응할 준비가 되어있는지에 대해 의문을 제기했다.

‘Dinner와 4.0’은 4차 산업혁명을 선도할 미래기술, 정책, 제도에 대해 토론하기 위한 자리로 12일 카이스트 창업원에서 개최되었다. ⓒ 최혜원 / ScienceTimes

‘Dinner와 4.0’은 4차 산업혁명을 선도할 미래기술, 정책, 제도에 대해 토론하기 위한 자리로 12일 카이스트 창업원에서 개최되었다. ⓒ 최혜원 / ScienceTimes

보안의 핵심은 적의 눈으로 바라보는 것

김용대 교수는 보안 문제를 해결하기 위해서 ‘적의 눈’이 필요하다고 강조했다. 새로운 시스템을 언제나 삐뚤어진 시선으로 봐야 한다는 것.

미국 교통안전청(Transportation Security Administration, TSA)의 인체 스캐너 공항검색대가 그 예다. 미국 정부는 911 테러 이후 공항의 보안검색을 강화하기 위해 10억의 예산을 들여 몸 전체를 스캔하는 인체 스캐너를 설치했다. 인체에 X선을 조사하면 금속 물체가 검은색으로 나타나므로 금속 소지 여부를 알 수 있는 원리이다.

김 교수는 “개발자들은 스캔 사진의 배경도 검은색이라는 점을 간과했고 옆구리에 금속을 숨긴 사람은 검색대를 통과할 수 있었다”며 “설계과정에서 시스템을 ‘적의 눈’으로 바라보고 취약점을 고민했다면 생기지 않았을 일”이라고 설명했다.

TSA 인체 스캐너 이미지 ⓒ http://www.foxnews.com

TSA 인체 스캐너 이미지 ⓒ http://www.foxnews.com

신기술 그리고 보안 문제

새로운 기술이라고 무조건 새로운 형태의 보안문제만을 가지는 것은 아니다. 김용대 교수는 “대부분의 신기술들은 네트워크 보안과 같은 기존의 취약점도 동시에 드러낸다”고 설명했다.

사물 인터넷의 경우 기존에 보안의 대상이 되지 않았던 사물에 네트워크를 연결시킨다. 가전, 의료기기, 교통시스템 등에 ‘스마트’라는 명칭이 붙고 인터넷이 연결되면서 보안의 영역이 확장된 것이다. 인터넷에 연결된 사물은 2020년까지 약 150억개 이상 증가할 전망이다.

이에 김 교수는 “기술이 반영된 기기가 세상에 나오기 전에 취약점을 살피는 일은 굉장히 중요하지만 경쟁구도가 형성된 시장에서 사람들은 신제품을 빨리 내놓는 것에만 급급하다”며, “인공지능 스피커는 도청기기가 될 수 있다”는 점을 지적했다.

드론이나 자율주행 자동차, 인공지능 등의 신기술과 관련된 보안 문제는 새로운 형태로 나타나기도 한다.

장난감부터 국방산업까지 쓰임이 매우 다양한 드론. 소리의 공진을 이용하면 드론을 추락시킬 수 있다. 공진은 물체가 가진 고유 주파수와 같은 주파수를 가하면 에너지가 극대화되는 현상이다. 드론의 방향을 결정하는 ‘자이로스코프(Gyroscope) 센서’에 특정 주파수를 가하면 공진으로 인해 드론이 추락하게 된다.

자율주행 자동차의 센서도 보안에는 취약하다. 라이다 센서의 경우 빛을 쏘아주었을 때 사방으로 반사되는 원리를 이용해서 물체를 감지하는데 빛의 양이 늘어나면 제대로 작동하지 않는다. 카메라 센서도 마찬가지다. 역광에서는 사진이 제대로 찍히지 않는 것과 같이 센서에 강한 레이저를 비춰주면 아무것도 측정이 되지 않는 결과를 보인다.

김용대 교수가 자율주행 자동차가 가진 보안 문제를 설명하고 있다. ⓒ 최혜원 / ScienceTimes

김용대 교수가 자율주행 자동차가 가진 보안 문제를 설명하고 있다. ⓒ 최혜원 / ScienceTimes

뇌과학의 발전에 따라 생기는 보안 문제도 빼놓을 수 없는 문제다. 뇌파를 통해 생각을 읽을 수 있는 연구결과가 늘어나고 있다. 뇌도 ‘해킹’의 대상이 될 수 있다는 뜻이다.

김용대 교수는 신기술에서 나타날 수 있는 보안 문제에 대해서 “이로 인해 어떤 일이 벌어질지는 알 수 없다”며 “기술은 누구의 편도 아니며 어떻게 쓰냐에 따라 달라질 뿐”이라고 설명했다.

법이 강해서 정보보안이 약화되는 딜레마

기술에 대한 우리나라의 법과 규제는 어떠한가. 김 교수는 “국내에는 정보보호 관련 법과 제도들이 많다. 그런데 바로 그것이 문제가 된다”고 말했다.

우리나라의 ‘포지티브(Positive) 규제’ 방식 때문이다. 포지티브 규제는 법률상 허용항목을 구체적으로 나열하고 나머지는 모두 금지하는 방식의 규제이다. 반면 금지항목을 제외한 모든 것이 허용되는 방식은 ‘네거티브(Negative) 규제’이다.

김 교수에 따르면 사물 인터넷, 인공지능, 자율주행 자동차와 같은 새로운 기술과 기기들은 정보통신망법의 적용대상인지조차 명확하지 않다. 기술의 발전하는 속도에 따라 법을 일일이 개정할 수 없을뿐더러 예측하는 것은 더욱 불가능하기 때문이다.

그는 또한 “포지티브 규제는 법이 ‘무엇’을 해야 한다고 구체적으로 서술한다. 예를 들어 개인정보 보호조치를 위해 백신 설치, 접속기록 위조금지 등을 해야 한다는 식이다“라고 설명했다.

이어 “네거티브 규제의 경우 ‘무엇’을 정의하지 않으므로 더 좋은 해결책을 개발하는 것이 가능하다”라며 포지티브 규제의 한계를 강조했다.

보안에 취약한 기기를 연구하는 것이 위법행위가 될 수 있다는 것도 문제다. 미국의 경우 연구목적의 취약점 분석에 대해 굉장히 관용적이지만 한국은 그렇지 않다는 것이 그의 설명.

김 교수는 “우리나라에서 자체적으로 취약점 분석을 할 수 없으니 해외 해커 공격에 대한 대비가 이루어지지 못한다”며 강한 규제로 인해 오히려 보안이 약해지는 상황을 지적했다.

마지막으로 그는 “국내 보안기술의 가장 큰 문제는 과거의 기술에 머물러 있는 것이다”라고 말하며 “4차 산업혁명 시대에 대두되는 새로운 기술이 보안 시장에 들어가야 경쟁력을 가질 수 있을 것”을 강조했다.

의견달기(0)