아직 정식으로 승인된 방법이 아닌데도 많은 사람들이 인공지능을 가지고 코딩을 하고 있다. 이 때문에 위험한 일들이 발생하곤 한다. 인공지능이 더욱 보편화 될 2024년, 코드 서명 시스템을 한 번 짚고 넘어가야 한다.

[보안뉴스=케빈 보첵 부회장, 베나피] 인공지능이 여러 매체들의 헤드라인을 장식하는 건 그리 놀라운 일이 아니다. 이제 전문가가 아닌 사람들도 인공지능이 가져다주는 혜택과 위험에 대해서 이야기 할 수 있는 것도 놀랍지 않다. 딜로이트(Deloitte)에서 조사한 바에 의하면 50% 이상의 기업들이 2023년 안에 인공지능이나 그에 준하는 자동화 기술을 도입할 예정이라고 하니 말이다.


이런 상황에서 면밀히 지켜봐야 하는 것이 있으니 바로 인공지능을 활용해 만들어낸 프로그래밍 코드다. 가뜩이나 소프트웨어 개발의 필요성이 높아져가고 있었는데 코딩을 할 줄 아는 인공지능이 등장했으니 많은 기업들이 이를 적극 받아들여 시험해보는 중이다. 하지만 아직 인공지능이 만든 코드는 완벽과 거리가 멀다. 그러므로 이를 실제 현장에서 가동하기 전에 매우 치밀한 실험과 확인 작업이 필요하다. 이를 위해 CISO들이 해야 할 일은 다음 3가지 단계로 요약이 가능하다.

1. 보안 코드 서명 인증서는 이제 필수품이다
코드 서명 덕분에 지난 수십년 동안 기업들은 안전하게 보호되어 왔었다. 이 덕분에 누군가 악의적으로 만든 코드가 기업 내로 몰래 들어오는 일을 막을 수 있었다. 하지만 사이버 범죄자들은 갈수록 교묘해지고 있다. 코드 서명 프로세스에 개입하여 취약점을 찾아내고, 결국은 이 안전 장치를 공략하여 자신들이 원하는 악성 코드를 삽입하는 데에 성공한다. 코드 서명과 관련된 절차들마저 뚫릴 수 있다는 것을 고려하지 않는다면(그러므로 서명된 코드를 맹목적으로 신뢰한다면) 네트워크와 데이터 모두 언제든지 침해될 수 있다.

그럼에도 코드 서명 인증서는 아직까지 유효한 보안 관문이다. 다만 그것이 절대적이거나 완전 무결하다고 믿으면, 그 순간 코드 서명 인증서는 위험한 물건이 된다. 모순적일 수 있지만 이 코드 서명 절차가 불완전하다는 걸 인정해야 오히려 쓸만한 것이 된다. 그리고 우리에겐 쓸만한 코드 서명 기술이 꼭 필요한 상황이다.

이제 코더들에게는 기존의 CI/CD 파이프라인 외에도 코드를 개발하거나 출시할 채널들이 많이 있다. 그러니 정말 많은 곳에서부터 조직 안으로 코드들이 들어온다. 요즘은 이렇게 여러 곳에서부터 들어오는 코드들 안에 생성형 인공지능이 만든 코드들이 많아지는 중이다. 이럴 때 점검하고 확인한 코드 서명 인증서가 제 기능을 다 해 준다면 훨씬 안전해질 수 있다.

2. 보안 아키텍처는 자가 복제가 가능해야 한다
클라우드 네이티브 환경이 점점 확산되고 있는데, 이 때문에 한 조직의 데이터센터를 보호하는 데 사용했던 보안 방법론과 요소들의 조각들이 이 클라우드에서 저 클라우드로, 또는 이 컨테이너에서 저 컨테이너로 무작위로 퍼지고 있다. 그렇기 때문에 오히려 혼란이 가중되고 있으며 가시성은 더더욱 먼 이야기가 되고 있다. 그렇기 때문에 인공지능이 만든 코드가 들어왔을 때 알 수가 없다.

그러므로 보안 아키텍처라는 것은 자가 복제가 가능하도록 구성되어야 한다. 어느 환경에 있더라도, 그리고 그 환경이 어떤 속도로 변하든지 기본적인 방어는 되어야 하기 때문이다. 어떤 환경에서 어떤 데이터를 가지고 어떤 작업을 하든, 그 작업의 모든 부분(권한, 데이터 처리 방식과 이유, 패턴 등)을 기업이 보고 제어할 수 있어야 한다는 뜻이다. 어디서 어떤 코드가 조직 내로 들어오는지, 그 코드가 인공지능에 의해 만들어진 것은 아닌지 확인할 방법이 모든 종류의 환경에 구축되는 게 중요하다.

소프트웨어를 개발해 판매하는 회사가 아니더라도 조직 내에서 활용하기 위해 여러 가지 코딩 작업을 실시하는 경우가 많을 것이다. 그렇기 때문에 외부의 코드를 가져다가 붙이고 조립하는 작업은 거의 모든 회사나 하고 있을 것으로 예상된다. 조직 내에서 사용되는 모든 코드가 안전한지 확인해야 한다는 뜻인데, 이 때 다음 세 가지 질문을 통해 하면 안전하다.

1) 조직 내에서 코드를 서명하는 건 누구인가?
2) 비밀 코드 서명 키는 어디에 저장되어 있는가?
3) 어떤 소프트웨어들이 서명을 받고 있는가?

3. 안전한 코드 서명과 관련된 교통 정리를 실시한다
보통 소프트웨어의 저자들은 코드를 직접 서명하여 합법성을 인증하여 인공지능 도구로 개발된 것이 아님을 증명한다. 전통적으로는 보안 팀들이 코드 서명을 담당했었지만 데브옵스(DevOps)라는 개념이 점점 확산되면서 단 한 조직이 모든 코드를 점검해 서명한다는 게 불가능한 일이 되었다. 특히 소프트웨어 개발이 빈번하게 이뤄지는 조직이라면 더 그렇다. 그렇기 때문에 코드 서명 프로세스 자체가 취약해지고 빈틈이 생기는 것이다. 이 부분을 조직 차원에서 ‘교통 정리’ 할 필요가 있다.

가시성 부족도 문제지만 코드 서명을 책임지고 담당할 인력이나 부서, 팀이 따로 존재하지 않는다는 것도 적잖은 문제가 된다. 코드 서명을 누가 책임지는가,가 혼란스러울 때 사이버 범죄자들이 치고 들어올 구석이 많아진다. 2024년을 맞이하는 개발자와 프로젝트 관리자들이라면 코드 서명에 대한 정비를 새로이 할 필요가 있다.

글 : 케빈 보첵(Kevin Bocek), 부회장, Venafi
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>