포커스 iN
파워iN터뷰
  • 정수환
  • 숭실대학교 전자정보공학부
  • souhwanj@ssu.ac.kr

일상의 비대면화 및 AI 기술의 급속한 발전으로 보안에 대한 중요도가 더욱 높아지고 있는 가운데 보안 인재를 향한 수요도 높아지고 있습니다. 현재 ITRC(대학ICT연구센터) AI보안연구센터장을 맡고 지능형 사이버 위협 분석 및 공격 대응을 위한 연구에 전념하며 보안 인재 양성에도 힘을 쏟고 계신 정수환 교수님이 들려주는 AI보안 이야기와 보안 전문가를 꿈꾸는 이들을 향한 격려의 메시지를 이릭 파워인터뷰에서 전해드립니다.


일상의 비대면화 및 AI 기술의 급속한 발전으로 보안에 대한 중요도가 더욱 높아지고 있는 가운데 보안 인재를 향한 수요도 높아지고 있습니다. 현재 ITRC(대학ICT연구센터) AI보안연구센터장을 맡고 지능형 사이버 위협 분석 및 공격 대응을 위한 연구에 전념하며 보안 인재 양성에도 힘을 쏟고 계신 정수환 교수님이 들려주는 AI보안 이야기와 보안 전문가를 꿈꾸는 이들을 향한 격려의 메시지를 이릭 파워인터뷰에서 전해드립니다


.


▶ 교수님 소개 부탁드립니다. 


안녕하세요. 정수환 교수입니다. 저는 서울대학교에서 학사 및 석사과정을 마치고 미국 워싱턴 대학교( University of Washington)에서 박사 취득 후, 미국에서 근무를 하다가 1997년에 숭실대학교로 부임하여 현재까지 전자정보공학부 교수로 재직하고 있습니다. 또한 과학기술정보통신부 ITRC 사업 AI보안연구센터의 센터장을 맡고 있는데, 이전에도 ITRC 사업 스마트서비스 보안연구센터의 센터장으로 역임한 적이 있으며, 2020년에는 한국정보보호학회 학회장을 역임하였습니다. 그밖에 2009년부터 2011년까지는 당시 지식경제부에서 국가 R&D 사업을 기획하고 관리하는 지식정보보안 PD(Program Director)를 맡은 적이 있습니다. 



▶ 주 연구 분야에 대한 소개 부탁드립니다.


제 핵심 연구 주제는 AI 보안입니다. 최근 ChatGPT 등장으로 AI 기술이 더욱 주목받고 있는데요. AI가 우리 일상생활에 굉장히 유용한 역할도 많이 하지만 또 그만큼 많은 위협을 갖고 올 수 있습니다. 즉  보안 위협을 주는 공격자들도 AI를 활용할 수 있는데 현재 GPT 4.0이 발표되면서 이를 이용해 해킹 도구를 제작하는 것이 가능해지고 더욱 강력한 새로운 공격들이 많이 나오고 있는데요. 이러한 공격에 대응하기 위한 연구를 하고 있습니다. 예를 들면 자율주행차 경우에도 해커들이 충분히 공격이 가능하여 사고를 유발할 수 있는 것처럼 AI 시스템 자체가 취약성을 굉장히 많이 갖고 있습니다. 따라서 제 연구는 이러한 취약점을 미리 찾아 대응할 수 있는 기술을 개발하고 있으며, 또 하나는 최근 핫이슈로도 떠오른 딥페이크 관련 연구입니다. 이 또한 AI 기술을 이용해 가짜 영상이나 가짜 음성을 만들 수 있는데 이러한 것들을 탐지 및 대응하는 기술을 개발하기 위한 연구를 주로 하고 있습니다.



▶ 2022 국가연구개발 우수성과 100선 중 정보·전자 분야 '우수성과'로 교수님의 연구내용이 선정되었습니다. 해당 연구개발에 대한 설명 부탁드립니다.


AI 기술을 이용해 안드로이드 악성코드를 좀 더 효율적으로 분석해내는 기술 개발을 위해 수행한 연구입니다. 안드로이드 악성코드들이 점점 발전하면서 분석을 회피하는 지능형 악성코드들이 많아졌는데 이를 좀 더 효율적으로 분석하기 위한 분석 플랫폼을 하드웨어 기반으로 만들었습니다. 그래서 이 기술에 대한 미국 특허를 7개 정도 등록하는 성과를 거두었는데요. 미국의 유명 보안 기업인 크라우드스트라이크(CrowdStrike)에서 그 특허에 대한 기술이전을 전부 했습니다. 뿐만 아니라 그 기술을 바탕으로 그동안 분석이 어려웠던 악성코드들에 대한 분석률을 획기적으로 높일 수 있어서 국내 기업에도 기술이전을 하였고 취약점 분석에 사용할 수 있게 되었습니다. 그래서 아마도 이러한 점이 높이 평가되어 우수성과 100선에 선정되지 않았나 생각합니다.



▶ 현재 대학ICT연구센터(ITRC) AI보안연구센터장을 맡고 계십니다. 센터에 대한 간략한 소개 및 활동에 대해 말씀 부탁드립니다.


저희 AI보안연구센터는 2020년부터 2027년까지 8년 동안 숭실대학교를 주관으로 가천대, 덕성여대, 서울대, 세종대, 연세대 등 총 6개 대학 및 9개의 기업과 4개의 협력기관이 참여하여 연구를 수행하고 있는 연구센터입니다. 12명의 각 교수님들이 AI보안 능력 향상, 관제, 취약점 탐지, 또는 AI 기술 관련 연구 등 다양한 분야로 구성되어 협력하고 있는데요. 대표적으로는 AI 보안 기술을 이용한 분석 플랫폼을 개발했으며, 최근에는 딥페이크 기반의 영상 또는 음성 탐지 관련 연구를 많이 하고 있습니다. 얼마 전 개최된 World IT Show에서 ITRC 인력양성대전도 함께 열렸는데, 저희 센터의 딥페이크 음성 탐지 관련 연구가 TV 방송에도 소개된 적이 있습니다. 사실 ChatGPT가 나오면서 사람들이 AI에 대해 상당히 신뢰하는 경향도 없지 않아 있는데 저희가 볼 때 AI 기술이 아직까지는 충분히 신뢰할 만큼 성숙한 경지에 도달한 기술이 아니라고 생각합니다. 그러한 기술의 한편에는 취약성을 이용하여 AI 시스템 자체를 오동작시키는 여러 다양한 적대적 공격이 가능하기 때문에 이러한 공격에 대응할 수 있도록 어떻게 탐지하고 사전에 차단할 것인지가 저희 연구센터의 핵심 연구 주제가 되겠습니다.



▶ 2023년 보안 분야의 가장 주목해야 할 이슈 또는 핵심 키워드를 꼽는다면?


사실 보안 분야의 주요 이슈는 해마다 조금씩 다릅니다만 올해의 경우는 우리 사회에 열풍을 일으킨  ChatGPT 관련해서 보안 이슈들이 생겨나고 있습니다. ChatGPT를 이용해 공격 툴을 만들거나 해킹코드를 제작하는 것도 문제지만 무엇보다 큰 문제는 프라이버시 이슈입니다. ChatGPT를 활용하기 위해 데이터를 입력한다든가 질문에 기업의 비밀정보 또는 개인 신상정보, 의료정보 등을 입력하게 되는데 그 정보들이 결국은 OpenAI 서버에 쌓이게 되는 것이고 그러한 데이터들이 활용되면 대상이 되어 즉 사람, 유저에 대한 프로파일링이 가능하게 되어 공격이 더 쉬워질 수가 있습니다. 따라서 이 같은 프라이버시 이슈를 어떻게 해결해야 할지가 가장 큰 이슈입니다. 


또한 시스템을 장악하고 데이터를 암호화한 후 정상 복귀를 위한 대가를 요구하는 ‘랜섬웨어’들이 계속 창궐하고 있으며, 최근 사회적으로도 큰 문제가 되고 있는 보이스피싱 같은 디지털 금융 사기 등도 1년에 7700억 정도의 막대한 손실을 발생시키고 있는데 이와 함께 딥페이크 보이스 즉, 딥보이스를 사용하는 피싱 공격도 등장하고 있어서 이러한 위협을 어떻게 사전에 탐지하고 방어할 것인지가 주요 이슈가 되고 있습니다. 끝으로 정부도 사이버 보안에 대해 깊은 관심을 기울이고 있는 상황에서 이에 필요한 기반 기술 및 체계 구축을 올해 남은 기간 동안 어떻게 해나갈 것인지 등도 저와 같은 보안 분야의 사람들에게는 주요 이슈라고 할 수 있을 것 같습니다.



▶ 개인정보보호, 사이버보안 등 안전을 위한 노력은 개개인의 주의, 그리고 연구자, 개발자뿐만 아니라 정부의 지원도 필요할 것 같습니다. 이에 대한 교수님의 소견을 말씀해 주세요.


AI가 앞으로 더 많은 분야에서 다양하게 사용될 것이고 자동화가 되면 될수록 그만큼 위협도 커질 것입니다. 다시 말해 AI는 긍정적인 측면도 있지만 새로운 위협 또한 우리 사회에 가져오고 있다고 생각합니다. 그렇다면 과연 개개인이 대응을 할 수 있을까요? 물론 단일기술 개발, 컴포넌트 기술 개발은 개인이나 기업에서도 할 수 있겠지만 사실 정부 차원에서 뭔가 체계적인 대응이 필요하지 않을까 싶습니다. 일단 AI 관련해서 보면 윤리적인 사용에 대해서는 전 세계적인 대응을 위한 공조가 필요할 것 같고, 국내 차원으로만 볼 때는 과연 앞으로 등장할 새로운 위협들이 어떤 종류의 어떤 기업들이 있을지 이에 대해 체계적으로 연구할 필요가 있습니다. 기업이든 대학이든 개별적으로 기술 개발은 많이 하고 있지만 전체적인 대응 체계 구축은 아직 어렵습니다. 향후에는 AI 시스템들이 더 많은 공장과 자율주행에 사용될 텐데 여기에 오동작 발생으로 인한 어떤 손실이나 보안 위협에 대한 사회적인 충격은 지금으로서는 상상할 수가 없을 만큼 규모가 커질 수도 있기 때문에 5년 10년 안에 마주치게 될 위협에 대해 사전 방어할 수 있는 AI 보안 기술을 개발해야 하며 또한 어떻게 대응체계를 구축해야 하는지 정부 차원의 심도 있는 연구가 정말 필요합니다. 현재 사이버안보대응센터나 사이버안전대응센터 같은 것들은 많이 있으나 여기서는 주로 악성코드 분석 또는 관제센터에서 들어오는 정보를 분석하는 정도의 활동이기 때문에 이를 승격 발전시켜서 AI 기술을 악용하거나 AI를 교란시키는 것들에 대응할 수 있는 체계대응센터를 산업별로 구축해야 한다고 봅니다. 이러한 것들은 개별적, 기업적 차원에서는 실현되기가 어렵습니다. 따라서 그때그때 사안에 대해 유연하게 대응할 수 있도록 대학 및 기업, 연구소 또는 관련 기관들 간이 협업할 수 있는 종합적인 시스템 구축에 대한 정부 차원의 지원이 필요하다고 생각합니다.



▶ 그동안 연구활동 하시면서 보람이나 어려웠던 점 등 특별히 느끼신 점이 있다면 말씀해 주세요.


그동안의 저의 보람이라면 아무래도 학교에 있다 보니 좋은 인력 양성이라고 할 수 있겠습니다. 제자들이 졸업해서 좋은 직장에 입사를 하고 또는 연구를 하면서 성과 소식을 듣게 되면 그게 바로 큰 보람인데요. 다행히도 앞에서 말씀드린 ITRC 인력양성사업을 두 차례 수행하면서 많은 학생들이 이 사업을 통해 발전하는 모습에 정말 뿌듯했습니다. 사실 제가 20년 넘게 보안 분야에 종사해 오면서 이 분야가 정말 많이 커졌는데요. 예전에 지식경제부에서 지식정보보안 프로그램 디렉터를 맡은 적이 있는데, 이때 보안 분야의 영재 교육 프로그램을 기획해 현재 BoB(Best of the Best)로 불리는 차세대보안리더 양성 프로그램이 생기고 이러한 프로그램 등을 통해 보안 분야가 확장되고 지원하는 학생들도 많아졌습니다. 그래서 이러한 활동이 적게나마 제 나름의 일조를 했다는 차원에서 보람을 느끼고 있습니다. 그리고 연구 측면에서 찾는다면 모든 교수님들이 그렇겠지만 논문 성과에서 얻는 보람도 빼놓을 수가 없을 것 같습니다. 



▶ 특별히 기억에 남는 본인의 연구(논문 등)를 꼽는다면? 


제게 특별히 기억에 남는 연구를 꼽는다면 우선, 안드로이드 악성코드를 분석하는 하드웨어 기반의 툴 에이팟(A-POT)을 개발하여 이를 여러 회사들에게 기술이전을 했는데 이 시스템이 기업에 도움을 준 것 같아 기억에 남습니다. 그리고 학술면에서는 이동체 보안을 위한 카멜레온 해시 기반의 효과적인 인증 체계를 제시한 논문*이 있는데, 인용수도 100회 이상이어서 이 또한 기억에 남는 연구 성과입니다. 

* A handover authentication using credentials based on chameleon hashing


                                                                                      

▶ 보안 분야의 전문가가 되기 위헤 필요한 역량에 대한 조언을 부탁드립니다.


보통 기업에서 CSO(Chief Security Officer) 또는 CPO(Chief Privacy Officer)로 불리는 임원급의 보안 책임자를 뽑는데요. 과연 어떤 사람이 CSO 또는 CPO로 바람직한지에 대해 얘기를 나눠보면 결국 보안 분야에서는 악성코드 분석이라든가 컴퓨터 시스템을 잘 파악하고 있는지 등과 같은 다양한 기술적 경험과 여기에 관련법에 대한 지식 및 통찰력을 갖춘 인재를 필요로 한다는 것입니다. 해커들이 어느 취약점을 노리고 공격을 할지 알 수가 없기 때문에 공격자의 관점도 생각해야 하고 방어자의 관점, 더 넓게 보면 리스크 관리(risk management) 관점에서 관리적인 능력도 많이 필요합니다. 따라서 훌륭한 보안 최고 책임자, 만약 우리나라의 국가 보안 최고 책임자를 뽑아야 한다면 지금 말씀드린 통찰력과 안목 그리고 다양한 기술적인 경험이 잘 결합해 있어야 하는데요. 사실 이렇게 되기까지 시간이 정말 많이 걸립니다. 그럼에도 현재 젊은 친구들은 단기간에 어떻게든 전문가가 되어서 성과를 빨리 내고 싶어 합니다. 그런데 사실 보안 분야는 그렇게 되기는 어렵고 꾸준히 한 스텝 한 스텝 밟으면서 관제도 해보고 기술 개발도 해보고 리스크 관리도 해보는 등 다양한 경험을 통해 계속 성장하다 보면 어느 순간 누구나 인정하는 전문가가 되어 있을 것이며, 어느 회사든 보안 전문가는 필요하기 때문에 실력만 갖춘다면 원하는 곳 어디서든 일할 수 있기에 보안 분야만큼 좋은 것이 없다고 생각합니다. 임계점(threshold)을 넘을 때까지가 좀 힘들겠지만 그 고비를 넘기면 정말 괜찮은 보안 전문가가 되어 본인의 전문성을 인정받을 수 있는 분야이므로 관심을 갖고 많이들 지원하셔도 좋을 것 같습니다.



▶ 앞으로 계획에 대해 말씀 부탁드립니다. 


그동안 여러 경험을 많이 했지만 사실 보안 자체가 기술이 계속 바뀌고 또 바뀌어가면서 새로운 위협들도 나오기 때문에 거기에 맞게 대응을 해나갈 수밖에 없는데요. 현재로서는 AI보안연구센터를 잘 이끌어가는 데 주력하여, 딥페이크와 같은 우리 사회의 신뢰를 무너뜨리는 위협에 대응할 수 있는 기술을 개발하는 등 많은 사람들이 유용하게 쓸 수 있는 좋은 보안 기술을 개발하는 데 최선을 다하고자 합니다.  



▶ 그 밖에 하시고 싶은 이야기


사실 20~30년 전에는 컴퓨터 시스템도 열악하고 실험 하나를 하더라도 시간이 오래 걸렸습니다. 그럼에도 굉장히 열정적으로 연구에 임했던 것 같아요. 지금은 시설 등 전반적인 연구 환경이 많이 좋아졌고 소위 말하는 '워라벨'도 찾고 있습니다. 그런데 연구는 노동이 아닙니다. 스스로 좋아서 정말로 하고 싶은 공부를 하는 것입니다. 요즘 학생들이 열심히 공부하고 연구는 하고 있지만 정말로 도움이 되는 성과를 내기 위해서는 학술적인 연구 단계에서 마켓 갭이라는 것을 뛰어넘을 수 있는 노력이 필요합니다. 딱 요만큼만이 아닌 시야를 넓혀서 한계를 뛰어넘는 노력을 좀 더 기울이면 분명 좋은 결과로 이어질 것이라고 격려하고 싶습니다.  


서울시 동작구 흑석로 84 중앙대학교 전자정보연구정보센터 (우편번호 06974)

전화 : 02-823-5081 E-mail : webmaster@eiric.or.kr

  • 유튜브
  • 인스타
  • 페이스북
  • 트위터
  • 카카오톡