인터넷 전신인 아르파넷(ARPANET)을 만들고 위성합법장치인 GPS를 군사에서 시작해 민간으로 확산한 곳. 또 자율주행차 발전을 촉발한 그랜드 챌린지 대회를 처음 개최한 곳. 미국 국방고등연구계획국(DARPA)이다.

첨단 IT기술 산실인 DARPA가 이달초 또 하나의 주목할 만한 행사를 개최했다. AI를 활용한 차세대 해킹 시스템 경연 대회인 'AI 사이버 챌린지(AIxCC·AI Cyber Challenge)'다. 올해 처음 열린 이 행사에서 우승의 주역은 한국팀으로 이뤄진 '아틀란타'였고 이 팀에 속한 윤인수 한국과학기술원(KAIST) 교수도 큰 역할을 했다.

세계 최대 해킹 컨퍼런스 '데프콘(DEF CON 33)'에서 함께 열린 AIxCC는 AI 기반의 보안 역량을 겨루는 세계 최고 대회다. 구글, 마이크로소프트, 오픈AI 등이 후원했다. 예선을 포함해 장장 2년에 걸쳐 열렸다. 18일 지디넷코리아가 윤 교수를 온라인으로 인터뷰했다.

지디넷코리아와의 인터뷰에서 우승 소감을 밝히고 있는 윤인수 KAIST 교수.

윤 교수는 '아틀란타 팀'에서 패치를 담당하는 팀의 리더를 맡았다. 이번 AIxCC 우승뿐 아니라 2015년, 2018년에 데프콘 CTF에서도 우승한 경력을 갖고 있는 보안 전문가다.

"2·3등 점수 합쳐야 '아틀란타' 수준…아찔했던 순간도 많았다"

윤 교수는 AIxCC 우승을 전혀 예상하지 못했다고 전했다. "데프콘 CTF(데프콘 컨퍼런스 내 최대 해킹 방어 대회)에서 우승한 적도 있는데, 데프콘 CTF의 경우 진행 상황에 따라 순위에 대한 윤곽이 잡힌다"면서도 "AIxCC는 순위나 점수와 관련해 완전히 비밀리에 진행되기 때문에 순위 발표 전까지는 아무도 예상할 수 없다"고 현장을 설명했다.

윤 교수는 "순위에 대해 가늠이 되지 않다 보니 대회 끝까지 긴장의 끈을 놓을 수 없었는데, 1등을 해서 팀 아틀란타 로고가 화면에 잡혔을 때 너무 짜릿했다"며 "결승전에 참가한 팀들 역시 세계적으로 유명한 해킹 그룹 혹은 리서치 그룹이었는데, 사실 대회 시작 이전에는 과연 이길 수 있을까 하는 생각이 들었다. 심지어 간신히 우승한 것도 아니고 엄청난 격차로 우승했다니 지금도 놀랍다"라고 우승 당시의 생생한 소감을 전했다.

AIxCC 스코어보드.

아틀란타 팀은 AIxCC에서 단순히 1위만 차지한 것이 아니라 2·3등의 점수를 합친 것과 비슷한 점수를 얻어 하위 팀들과의 격차를 크게 벌렸다. 이에 윤 교수는 우승도 예상하지 못했는데 세계적으로 우수한 팀과 견줘 큰 격차를 벌린 것에 더욱 놀라워했다.

또한 아틀란타 팀은 이번 대회에서 '가장 많은 취약점을 찾아낸 팀', '가장 높은 점수를 기록한 팀'이라는 기록도 세웠다.

AIxCC에서 호실적을 거둔 배경에 대해 더 자세히 물었다. 윤 교수는 어려움이 많았으나, 쏟아낸 노력에 대한 보상을 받을 수 있어 만족스럽다는 소감을 남겼다.

그는 "아틀란타 팀은 타 팀 대비 규모가 큰 편이었다. 그리고 학생들이 많이 속해 있는 편이었는데, 각국 학생들이 참가하다 보니 일정 관리 등 커뮤니케이션이 원활하지 않았던 게 힘들었던 기억"이라며 "또 완전 자동화를 목표로 하는 대회이다 보니 사소한 실수라도 하나 틀리면 전체 시스템이 작동하지 않는 문제도 있었는데, 이 스트레스가 너무 크다 보니 악몽도 꿨다. 그럼에도 잘 마무리돼 너무 감사하다"고 토로했다.

대회 과정에서 기억에 남는 순간에 대해서는 점수를 잃을 뻔한 아찔한 경험에 대해 털어놨다. 윤 교수는 "시스템을 테스팅하기 위해 사용한 코드에 대해서는 패치를 적용하면 오히려 점수를 잃게 되는데, 이런 문제를 불과 몇 시간도 채 남겨두지 않은 상황에서 발견했던 기억이 생생하다"며 "테스팅을 위한 특정 코드를 입력하면 전체 패치가 적용되지 않는, 즉 이 코드 하나 때문에 1년간의 노력이 전부 물거품이 될 수도 있었던 상황이 살 떨리는 경험"이라고 말했다.

'아틀란타' 팀의 AIxCC 우승 기념 사진

대회에서 악몽을 꿀 정도로 심한 압박감을 느꼈던 윤 교수는 결국 우승 트로피를 거머쥐는 데 성공했다. AIxCC 우승에 주효했던 전략이나 비결에 대해서도 질문했다. 그는 다양한 시도를 대회에서 접목해본 것이 비결이라고 꼽았다.

윤 교수는 "아틀란타 팀은 한 부분의 시스템이라도 정상 작동하지 않으면 전체가 무너지는 결과를 초래할 수 있는 만큼 이런 부분을 최소화하기 위해 다양한 시도를 했던 것이 우승 비결"이라며 "전통적인 취약점 분석 기법에서 나아가 LLM(거대 언어 모델)에 도입했을 때 어떤 결과를 도출할 수 있을지 많은 고민을 해보고 접목했던 것이 대회에서도 통했던 것 같다"고 설명했다.

아틀란타 팀은 AIxCC 우승으로 850만달러(한화 118억원)에 달하는 상금을 받았다. 상금은 어떻게 사용될까.

윤 교수는 "상금의 절반은 후속 연구를 위해 조지아텍에서 기부를 받아서 연구를 진행할 계획이고, 시스템을 유지·보수하는 데에도 사용될 예정"이라며 "나머지 절반은 어떤 식으로 활용할지 내부적으로 고민 중"이라고 밝혔다.

"K-버그바운티, 나라 말고 기업이 해야"

윤 교수는 한국인터넷진흥원(KISA)의 취약점 신고 포상제(버그바운티) 명예의 전당에도 이름을 올린 인물이다. 버그바운티는 기업의 취약점을 해커가 찾아내고, 이를 악용하는 것이 아니라 해당 기업에 알려주게 되면 기업이 포상금을 지급하는 제도를 말한다. 기업은 알지 못했던 취약점을 찾아내 선제적으로 조치할 수 있기 때문에 글로벌 기업들 사이에서 보안 강화를 위해 적극 채택하고 있는 제도이기도 하다.

다만 국내에서는 버그바운티의 운영에 분명한 한계가 있다. 일례로 카카오톡의 경우 외부에서 카카오톡 대화 내용을 전부 살펴보고 전송까지도 가능한 취약점이 발견된 바 있는데, 이런 취약점을 찾아낸 연구원이 외국인이라는 이유로 포상금을 받지 못한 사례도 있다. 이를 계기로 국내 버그바운티 운영 한계에 대한 지적이 쏟아졌다.

윤 교수는 "국내 버그바운티의 한계는 결국 제도를 나라가 운영하고 있다는 점"이라고 지적하며 "버그바운티 제도를 아예 운영하지 않는 것보다 나라에서라도 운영하고 있기에 다행이기도 하지만, 버그바운티는 기업에서 운영을 하는 것이 훨씬 효율적이고 바람직하다"고 짚었다.

그는 "미국에서는 대다수의 기업들이 버그바운티를 자체적으로 운영하고 있는데, 보안에 대해 투자하는 것이 필수적이라는 인식에 따른 것"이라며 "국내에서는 일부 기업들이 버그바운티 제도를 들였긴 하지만, KISA가 주로 추진하는 제도이기 때문에 예산적으로 한계가 분명하다"고 지적했다.

한국인터넷진흥원 버그바운티 제도에 참여하고 있는 기업 목록.(사진=한국인터넷진흥원 홈페이지 캡처)

윤 교수는 "기업에서 버그바운티를 운영하겠다는 것은 박수쳐 마땅할 일"이라면서도 "장기적으로 보면 기업들이 결국 보안을 강화할 수 있도록 스스로 버그바운티 등 보안 강화 방안에 투자할 수 있는 인식 변화가 필요하다"고 강조했다.

결국 윤 교수는 기업들이 자발적으로 버그바운티 제도를 운영할 수 있도록 지원책이나 패널티를 줄 수 있도록 하고, 장기적으로는 자발적으로 기업들이 버그바운티 제도를 통해 보안을 강화할 수 있는 문화가 자리잡아야 한다고 역설했다.

윤 교수가 이름을 올리고 있는 KISA 취약점 신고포상제의 '명예의전당'은 소프트웨어 신규 취약점 신고포상제에 참여한 신고자 중 포상금과 신고 건수를 기준으로 우수자를 선정해 공개하는 제도로, 상위 10명의 신고자가 선정된다. 윤 교수는 지난 2013년 명예의전당에 이름을 올렸다.

AI發 침해사고 급증…"좋은 AI·솔루션보다 '기본'"

SK텔레콤 해킹 사태를 비롯해 웰컴금융그룹, SFA, 예스24 등 국내 기업을 대상으로 한 사이버 공격 시도가 급증하는 추세다. 이렇게 공격 시도가 늘어난 데에는 AI 기술을 악용한 공격의 영향도 적지 않다.

이와 관련해 'AI를 활용한 보안 대회'인 AIxCC 우승 역군 윤 교수에게 AI발 침해사고에 대해 어떻게 대응해야 하는지 질문했다.

윤 교수는 "당연히 공격자가 AI를 활용하기 때문에 방어자의 입장에서도 AI를 활용해야 한다"면서도 "보안에 왕도는 없다. AI, 좋은 솔루션보다도 방어에 있어 가장 중요한 것은 기본을 지키는 것"이라고 강조했다.

윤 교수는 최근 보안업계 사이에서 '제로트러스트'(Zero Trust) 보안에 대한 내용이 강조되고 있는 것과 관련해 언급했다. 그는 "제로 트러스트 보안이 사실 새로운 개념이 아니라, 과거 가지고 있었던 보안의 기본 원칙들로 돌아가자는 것이 핵심"이라며 "보안, 방어라는 것은 뛰어난 보안 솔루션을 통해서 이뤄지는 것이 아니라 정부와 기업이 나서 보안에 대해 지속적으로 투자하고 '기본'을 지키는 데 어려움을 겪지 않도록 조치해야 할 것"이라고 밝혔다.

관련기사

끝으로 윤 교수는 향후에도 'AI 기술의 보안 분야 활용'에 몰두할 계획이다. AI가 급속도로 발전하다 보니 보안 전문가들도 AI에 대체되지 않을까 하는 부담을 느끼는 사람이 많은데, AI와 보안 전문가가 시너지를 창출하고 헙업할 수 있을지 탐구하겠다는 생각이다.

윤 교수는 "AIxCC 우승을 통해 취약점 탐지 및 패치에서 AI의 효용 가능성을 봤기 때문에 앞으로 실제 프로그램의 익스플로잇(취약점 공격)을 AI가 만들 수 있을지 연구해 보안을 강화할 방침"이라며 "오픈소스가 없는 프로그램에서도 AI 시스템들이 제대로 작동하는지에 대해서도 연구해 보겠다. 궁극적으로는 AI가 어떤 식으로 보안 업계의 판도를 바꿀지를 지켜볼 생각"이라고 말했다.