• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

5G든 자동차든 보안 연구·데이터가 쌓여야 ‘된다’ 2018.08.28

4G 취약점 알면 5G 보안 문제 파악 가능
차량 한 대 분석하는 데 꼬박 2달씩 걸려
백데이터 없으면 기술 있어도 활용 못해

[보안뉴스 오다인 기자] 보안은 드러나지 않는다. 보안하는 사람도 잘 드러나는 법이 없다. 겉으로 드러나지 않는 일, 눈에 보이지 않는 일을 한다는 건 그만큼의 시간을 남들의 인정이나 특별한 보상 없이 인내해야 한다는 뜻과 같다. 그래서 보안은 자주 ‘사명감’이라는 단어와 연관된다.

▲김휘강 고려대학교 교수가 27일 삼성전자 서울R&D캠퍼스에서 차량 보안에 대해 말하고 있다[사진=보안뉴스]


그런 보안 중에서도 더 어려운 분야가 있다. 이동통신 보안 연구는 일례다. 김용대 한국과학기술원(이하 KAIST) 교수는 27일 서울 서초구 삼성전자 서울R&D캠퍼스에 마련된 제2회 삼성전자 보안 기술 포럼(SSTF)에서 “보안을 굉장히 중요하게 다뤄야 하는 분야인데도 소홀히 하는 경우가 있다”며 이동통신 분야 보안 연구가 부족하다고 지적했다.

김용대 교수는 “이동통신 보안을 연구하는 기관이 KAIST를 포함해 전 세계에 3곳 밖에 없다”고 말했다. 이동통신은 단말기 내 기지국이나 게이트웨이 등 다양한 엔티티가 실존하고, 각 컴포넌트에 대해 정의된 표준을 저마다 따라야 하기 때문에 그 보안이 매우 어렵다는 것이 그의 설명이다. 다시 말해 이동통신 보안은 어렵기 때문에 하고자 하는 연구자도 적다는 것.

그는 이날 ‘5G 이동통신 보안에 대한 기대’를 주제로 발언하면서 “5G는 보안 관점에서 4G LTE 보안과 거의 같다”고 밝혔다. 4G 보안 취약점을 살펴보면 5G 보안 취약점도 자연스레 알 수 있다는 게 그 골자다.

그는 “4G에 어떤 취약점들이 왜 발생했는지 분석해야 한다”면서 △표준 △기기 제조업체 △이동통신 사업자(ISP) 등에서 문제가 있다고 짚었다. 예컨대, 표준은 통신사가 타 통신사를 신뢰하도록 설계해 놓은 것에 잘못이 있다. 통신사가 사실상 정부에 의해 운영되는 국가인 경우, 신뢰상의 문제가 생길 수 있기 때문이다. 이때 취약한 로밍 서비스를 이용하면, 해당 이용자의 위치추적부터 도청까지 가능해진다.

특히, 그는 “ISP들이 상호간에 정보를 공유하지 않는 게 가장 큰 문제”라고 강조했다. 운영 정책 공유만 이뤄져도 취약점을 쉽고 체계적으로 찾아낼 수 있다고 그는 말했다.

이동통신 보안이 인권의 문제라면, 자동차 보안은 생명의 문제다. 김휘강 고려대학교 교수는 “(앞으로는) 가능한 한 비싼 차를 타야 한다”고 말해 좌중에 웃음을 자아내면서, 구형 차량들이 사이버 공격에 매우 취약하다는 점을 강조했다. 그는 ‘데이터 기반 보안: 차량용 IDS 구현 사례’를 주제로 같은 날 발표를 이었다.

차량 보안과 관련한 국제 표준을 구축하고 있는 김휘강 교수는 “자동차가 자체적인 보호 역량을 갖춘다면 좋겠지만 아직 그만큼 안 돼 있다”면서 “이용자에 근접한 수준에서부터 보안 설계가 이뤄지고 있다”고 밝혔다. 그는 “차량 한 대를 완전히 분석하려면 2달 정도가 걸린다”면서 자동차 보안 연구 역시 쉽지 않은 일이라고 설명했다.

김휘강 교수는 보안 인력 문제와 관련해 “개인 역량과 국가 역량은 일치하지 않는다”며 “특정 개인의 역량이 국가적 제품 및 서비스 개발로 이어질 것인지는 의문”이라고 말했다. 이 같은 차이를 좁히려면 “개인이 외부에서 성과를 얻고 돌아왔을 때 어떤 피드백을 해줄 것이냐”에 달렸다고 그는 분석했다. 조직 차원에서는 데이터 기반 의사결정 역량이 축적돼야 한다는 것.

신승원 KAIST 교수는 사이버 보안의 난제를 ‘보안전용 검색엔진’ 개발로 풀고자 시도했다. 같은 날 그는 ‘사이버 보안을 위한 지식 추출 잠재력의 해방’이라는 주제로 강연했다.

그는 “보안(Security)과 안전(Safety)은 연관성이 크다”며, 가짜뉴스 등 루머로부터 사회적 안전을 지키기 위한 연구와 그 방법 중 하나로 딥러닝을 언급했다. 그는 “딥러닝을 맹신할 수는 없지만 지식 기반(KB) 기법을 확장하는 방향으로 이점을 기대해볼 수 있다”고 말했다.

그는 보안전용 검색엔진이 기존 CVE 항목에 서술된 취약점 설명보다 훨씬 더 유용한 정보를 제공해주고, 특정 멀웨어의 행위를 분석해주며, 보안 트렌드까지 분석할 수 있을 것이라고 밝혔다. 이를 통해 “공격자에게 유리한 환경에서 방어자에게 정보를 쉽게 얻을 수 있게 해주고, 대응도 쉽게 할 수 있도록 해주는 것이 기대된다”고 덧붙였다.

또한, “한국과 미국을 비교해보면 보유한 데이터양에서 심각한 차이가 나타난다”며 “백데이터를 갖고 있어야 기술을 활용할 수 있다”고 강조했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>