공공분야 보안 담당 공무원 모임 ‘전국정보보호정책협의회’ 주관...이슈 공유하며 의견 나눠

[보안뉴스 원병철 기자] 대한민국 사이버보안의 현주소를 짚어보고 대책을 논의하는 행사가 열렸다. 9월 30일 서울 코엑스에서 개최된 ‘대한민국 사이버보안 컨퍼런스’는 전국정보보호정책협의회와 AI페스타조직위원회가 주관하고 과학기술정보통신부와 개인정보보호위원회, 그리고 서울시 등이 후원한 행사로, 중앙정부와 지자체, 공공기관 보안 담당 공무원과 기업 보안 담당자, 정책 담당자 등이 참석해 성황을 이뤘다.


김완집 전국정보보호정책협의회 회장은 인사말을 통해 “오늘 이 자리는 정부와 정보협, 그리고 산업계와 학계가 모여 보안에 대한 협력 기반을 다지는 의미 있는 자리”라면서, “사이버 위협은 국민 생활과 밀접한 곳에 악영향을 미쳐 상호 협력체계가 절실하며, 오늘 이 자리에서 그 답을 찾아가길 기대한다”라고 말했다.

컨퍼런스의 시작은 김용대 KAIST 교수가 맡았다. 김 교수는 ‘왜 우리는 계속 해킹을 당하는가?’를 주제로 최근 발생한 SKT 해킹과 관련한 과기정통부의 보고서를 바탕으로 현실적인 문제를 짚었다. 특히 김 교수는 “정책은 국가는 물론 기업과 개인 모두가 보안 활동을 하고 싶게 만들어야 하고, 적에게는 해킹하는 것을 두려워하게 만들어야 하는데, 실제 우리 정책은 그런가?”란 질문으로 전반적인 문제점을 지적했다.

“예를 들면, 기간별로 패스워드를 변경하는 것은 NIST에선 10년 전에 폐지한 정책이고, 우리나라 은행 앱을 사용할 때 설치되는 필수 금융 보안 소프트웨어는 해외에선 사용하지 않습니다. 미국 CISA는 연방 정부 계약 기업에게 취약점 공개 정책(VDP: Vulnerability Disclosure Policy)을 의무화하는 법을 발의했습니다. 이를 통해 공급망 보안을 강화하고 윤리적 해커를 보호하죠. 하지만 우리는 법 때문에 취약점을 알려준 해커를 고소할 수도 있습니다.”

김용대 교수는 보안 투자만 강요할 것이 아니라 방향을 제시하는 방향으로 국가 보안 정책이 변화해야 하며, 기관과 기업 등 조직들 역시 사건이 일어나면 이를 즉각 공개하고 대응해 보안 체계를 한 단계 끌어올릴 기회로 삼아야 할 것이라고 강조했다.

이어 두 번째 시간에는 박세준 티오리 대표가 ‘AI에게 해킹을 가르치다, 지속 가능한 공격자 관점 보안 전략의 미래’란 주제로 ‘DARPA AIxCC’에서 3위를 한 티오리의 ‘RoboDuck’의 연구 과정을 설명했다.

박 대표는 “이미 AI를 이용한 사이버 위협은 현실이며, 이에 대응하기 위해서는 우리도 AI를 이용한 연구를 지속해야 한다”라면서, “특히 공격이 최선의 방어라는 말처럼 방어자도 해킹 지식을 갖춘 AI를 통해 공격과 방어의 비대칭을 해결하기 위해 노력했다”라고 말했다. 티오리는 이를 위해 스스로 코드의 문제점을 파악하고 보호할 수 있는 연구를 이어갔고, 그 결과물로 RoboDuck을 만들었다는 설명이다.

안랩 양하영 ASEC 실장은 ‘보이는 위협에서 숨겨진 전략적 위협까지, AI가 여는 선제적 방어’란 주제로 올해 발생한 여러 사이버보안 위협 중 중요한 이슈를 골라 문제점과 AI를 이용한 해결 방안을 제시하고, 위협인텔리전스(TI)의 중요성에 대해도 설명했다.

한편, 오후부터는 △정책 △기술 트렌드 △프라이버시로 세션을 구분해 분야별 전문가의 강연이 이어졌다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>