인공지능, 세계 수위권 해킹능력 보유... 차세대 보안 파트너 될까
사람 능력에 의존한 현재의 보안, 뛰어난 기계의 안정성 필요
[보안뉴스 문가용] 기계들의 대전이 열린 사이버 그랜드 챌린지(Cyber Grand Challenge, CGC)에서 메이헴(Mayhem)이라는 인공지능이 우승을 했다. 이 인공지능은 데프콘(Def Con)이란 세계 유명 해킹 대회에 출전해 15개 팀들 중 14위를 기록했다. 성적 자체만 보면 그다지 좋아 보이지 않지만 15위를 한 팀도 이 세계에선 유명한 팀이었다. 세계의 천재 해커들이 모인 대회에서 14위라면, 사실 세계 14위라고 봐도 무방한 성적인 것.
“데프콘에 참가한 해커들은 물론 메이헴의 출전에 관심을 가지고 지켜보던 모든 전문가들이 깜짝 놀랄 정도의 성적이었습니다. 세계 각지에서 모인 전문가들이 밤을 새워가며 겨우 풀어낸 8문제 중 한 문제는 메이헴이 제일 빨리 풀기도 했습니다. 매우 상징적이며 기념비적인 사건이죠.” 메이헴을 개발한 카네기멜론 대학에서 수학한 카이스트 차상길 교수의 설명이다. 기대 이상이었다는 것. “기대 이상의 성적이었다는 건 단순히 ‘대단하다’는 수식어가 아닙니다. 기계가 사람의 의도 밖으로 움직였다는 뜻이죠.”
그렇다면 기계가 의도 밖으로 움직였다는 건 무슨 뜻인가? “신기술이라고 각광받는 인공지능이라는 것도 결국엔 알고리즘입니다. 이건 기계에게 있어 행동규범이고 틀입니다. 이걸 벗어날 수 없는 겁니다. 물론 인공지능은 ‘열린’ 알고리즘입니다. 열렸다는 건 기계가 피드백을 통해 학습을 할 수 있다는 거고요. 그렇지만 열렸다고 해서 모든 가능성에 대해 열린 건 아니죠. 아무리 학습을 하는 기계라도 다다를 수 없는 영역이 분명히 존재합니다.”
그 영역이 바로 ISEC 2016 두 번째 날 키노트에서 차상길 교수가 강조한 “사람이 잘 하는 영역, 기계가 잘 하는 영역”이다. 인공지능을 보안에 접목하는 연구를 진행하는 차상길 교수는 “기계가 인간을 완전히 대체하거나 심지어 정복하는 시나리오는 불가능하다고 보고 있다”고 말한다. 하지만 딥블루가 체스로 사람을 이겼을 때도, ‘바둑만큼은 불가능하다’는 게 중론 아니었던가? “체스에서 바둑으로 넘어오는 것과, 인공지능이 사람을 대체해 ‘보안 담당자가 되는 것’은 차원이 아예 다른 문제입니다. 기계가 100% 처음부터 끝까지 할 수 있는 건 없습니다.”
하지만 아직 사람의 영역과 기계의 영역에 대한 명확한 경계나 정의는 없는 상태다. 다만 데프콘과 같은 대회나 정보보안의 문제를 해결한다는 측면으로 한정짓는다면 ‘접근방식’에 대한 차이로도 설명이 가능하다. “예를 들어 제가 문제를 출제하는 사람이라고 하고, 며칠을 고민해서 기계가 절대 풀 수 없는 문제를 만들었다고 합시다. 하지만 저도 완벽하지 않은 사람이라, 문제 자체에 생각지도 못한 취약점이 생길 수 있고, 그걸 기계가 찾아내 문제를 해결할 수도 있는 겁니다.”
설명이 이어진다. “문제를 본 사람은 여러 가지 경험, 느낌, 감, 출제자의 의도 등이 종합적으로 작용합니다. 그리고 ‘느낌 상 혹은 경험 상, 아니면 대회의 성격 상, 이 부분이 수상하다고 짚어서 문제 해결을 시작하죠. 하지만 이건 기계가 절대 할 수 없는 겁니다. 기계는 처음부터 똑같은 페이스로 문제를 훑고 취약점을 찾아 나서죠. 어떤 부분에선 사람의 직관이 중요하게 작용할 수 있고, 반대로 직관이 틀렸을 땐 기계가 더 유리해질 수 있죠.”
그리고 이 둘을 모두 활용할 수 있다면, 그게 제일 좋은 것이고, 그것이 바로 이번 데프콘에서 메이헴이 실제로 보여준 가능성이다. “현재 정보보안은 구조적인 문제점들이 표면 위로 드러나고 있는 상태입니다. 먼저 취약점을 찾는다는 부분에서 사람의 능력에 의존하고 있죠. 일관적이지도 않고 안정적이지도 않습니다.” 천재 한 명의 출연하면 전성기를 맞다가, 그 천재의 은퇴로 곧바로 쇠퇴기를 겪는 한국의 스포츠계가 생각나는 대목이다. “인공지능의 도입은 지속적인 안정성을 제공해줍니다.”
게다가 우리의 ‘디지털 생활’에는 버그가 너무 많다. “우분투(Ubuntu) 버그 데이터베이스에 등록된 버그의 수만 12만 개입니다. 요즘 보안 인력난 문제가 대두되고 있는데, 해결해야 할 문제가 너무 많다는 뜻도 됩니다.” 이게 제일 중요하다. “자동화된 역공학을 통해 취약점을 찾아내, 사람만이 할 수 있는 부분에 집중할 수 있도록 하는 게 저희 같은 사람들의 목표입니다.”
그렇다면 지금 자동화가 도입될 수 있는 수준에까지 도달했을까? “충분히 실용 단계에까진 왔습니다. 하지만 발전될 여지가 더 많죠. 상용화라는 문제도 있고요. 또, 메이헴이라고 모든 취약점을 다 찾을 수 있다는 건 아닙니다. 인공지능이 탑재되었다고 해서 모든 게 한 번에 해결되는 건 아니라는 것도 꼭 기억해야 합니다. 사람의 영역과 기계의 영역을 찾아 시너지를 내도록 하는 게 연구의 큰 방향이겠죠.”
국제적인 사이버 보안 교육 및 인증기관인 (ISC)2의 데이비드 쉬어러(David Shearer) 회장도 이에 동의한다. “인공지능이 대두되면서 자동화가 도입될 것과 인력 부족이 해결될 것이라는 기대감이 큽니다. 보안 자체의 향상도 기대되고 있고요. 하지만 그 어떤 기술도 보안 문제를 단 한 번에 해결해줄 수는 없습니다. 이전에도 그런 기술은 없었고, 앞으로도 없을 겁니다.”
차상길 교수는 “보안은 모든 IT 분야의 종합 선물세트”라고 설명한다. “보안을 제대로 하려면 다 알아야 해요. 소프트웨어 개발, 네트워크, 인공지능 등 사이버 분야에 대한 모든 것을 알아야만 방어가 가능하죠. 이런 총체적인 분야에서 사람의 능력에 대한 의존도가 높다는 것 자체가 이미 ‘무리수’입니다. 기계의 도움이라면 해낼 수 있겠지만요.”
▲ ISEC 2016에서 키노트 강연 중인 차상길 교수
한편 차상길 교수는 한국 최고의 해커로 알려진 이정훈 씨의 능력을 굉장히 높이 사고 있다. “아까 메이헴이 8문제 중 하나를 가장 빨리 풀었다고 했죠? 나머지 일곱 문제는 전부 이정훈 씨가 제일 빨리 풀었습니다. 다른 팀들은 이제 막 문제의 깊이로 들어가려고 하는데, 이정훈 씨는 벌써 다음 문제로 넘어가고 있더라고요.” 언젠가 메이헴이 이정훈 씨도 능가할 수 있을까? “예측할 수 없는 문제이기도 하지만, 올바른 질문도 아닙니다. 왜냐하면 사람을 능가하는 게 인공지능을 통한 보안의 목표가 아니기 때문이죠. 오히려 이정훈 씨의 능력을 부족함 없이 지원해줄 수 있는 기계를 만들 수 있느냐 없느냐가 관건이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
사람 능력에 의존한 현재의 보안, 뛰어난 기계의 안정성 필요
[보안뉴스 문가용] 기계들의 대전이 열린 사이버 그랜드 챌린지(Cyber Grand Challenge, CGC)에서 메이헴(Mayhem)이라는 인공지능이 우승을 했다. 이 인공지능은 데프콘(Def Con)이란 세계 유명 해킹 대회에 출전해 15개 팀들 중 14위를 기록했다. 성적 자체만 보면 그다지 좋아 보이지 않지만 15위를 한 팀도 이 세계에선 유명한 팀이었다. 세계의 천재 해커들이 모인 대회에서 14위라면, 사실 세계 14위라고 봐도 무방한 성적인 것.
“데프콘에 참가한 해커들은 물론 메이헴의 출전에 관심을 가지고 지켜보던 모든 전문가들이 깜짝 놀랄 정도의 성적이었습니다. 세계 각지에서 모인 전문가들이 밤을 새워가며 겨우 풀어낸 8문제 중 한 문제는 메이헴이 제일 빨리 풀기도 했습니다. 매우 상징적이며 기념비적인 사건이죠.” 메이헴을 개발한 카네기멜론 대학에서 수학한 카이스트 차상길 교수의 설명이다. 기대 이상이었다는 것. “기대 이상의 성적이었다는 건 단순히 ‘대단하다’는 수식어가 아닙니다. 기계가 사람의 의도 밖으로 움직였다는 뜻이죠.”
그렇다면 기계가 의도 밖으로 움직였다는 건 무슨 뜻인가? “신기술이라고 각광받는 인공지능이라는 것도 결국엔 알고리즘입니다. 이건 기계에게 있어 행동규범이고 틀입니다. 이걸 벗어날 수 없는 겁니다. 물론 인공지능은 ‘열린’ 알고리즘입니다. 열렸다는 건 기계가 피드백을 통해 학습을 할 수 있다는 거고요. 그렇지만 열렸다고 해서 모든 가능성에 대해 열린 건 아니죠. 아무리 학습을 하는 기계라도 다다를 수 없는 영역이 분명히 존재합니다.”
그 영역이 바로 ISEC 2016 두 번째 날 키노트에서 차상길 교수가 강조한 “사람이 잘 하는 영역, 기계가 잘 하는 영역”이다. 인공지능을 보안에 접목하는 연구를 진행하는 차상길 교수는 “기계가 인간을 완전히 대체하거나 심지어 정복하는 시나리오는 불가능하다고 보고 있다”고 말한다. 하지만 딥블루가 체스로 사람을 이겼을 때도, ‘바둑만큼은 불가능하다’는 게 중론 아니었던가? “체스에서 바둑으로 넘어오는 것과, 인공지능이 사람을 대체해 ‘보안 담당자가 되는 것’은 차원이 아예 다른 문제입니다. 기계가 100% 처음부터 끝까지 할 수 있는 건 없습니다.”
하지만 아직 사람의 영역과 기계의 영역에 대한 명확한 경계나 정의는 없는 상태다. 다만 데프콘과 같은 대회나 정보보안의 문제를 해결한다는 측면으로 한정짓는다면 ‘접근방식’에 대한 차이로도 설명이 가능하다. “예를 들어 제가 문제를 출제하는 사람이라고 하고, 며칠을 고민해서 기계가 절대 풀 수 없는 문제를 만들었다고 합시다. 하지만 저도 완벽하지 않은 사람이라, 문제 자체에 생각지도 못한 취약점이 생길 수 있고, 그걸 기계가 찾아내 문제를 해결할 수도 있는 겁니다.”
설명이 이어진다. “문제를 본 사람은 여러 가지 경험, 느낌, 감, 출제자의 의도 등이 종합적으로 작용합니다. 그리고 ‘느낌 상 혹은 경험 상, 아니면 대회의 성격 상, 이 부분이 수상하다고 짚어서 문제 해결을 시작하죠. 하지만 이건 기계가 절대 할 수 없는 겁니다. 기계는 처음부터 똑같은 페이스로 문제를 훑고 취약점을 찾아 나서죠. 어떤 부분에선 사람의 직관이 중요하게 작용할 수 있고, 반대로 직관이 틀렸을 땐 기계가 더 유리해질 수 있죠.”
그리고 이 둘을 모두 활용할 수 있다면, 그게 제일 좋은 것이고, 그것이 바로 이번 데프콘에서 메이헴이 실제로 보여준 가능성이다. “현재 정보보안은 구조적인 문제점들이 표면 위로 드러나고 있는 상태입니다. 먼저 취약점을 찾는다는 부분에서 사람의 능력에 의존하고 있죠. 일관적이지도 않고 안정적이지도 않습니다.” 천재 한 명의 출연하면 전성기를 맞다가, 그 천재의 은퇴로 곧바로 쇠퇴기를 겪는 한국의 스포츠계가 생각나는 대목이다. “인공지능의 도입은 지속적인 안정성을 제공해줍니다.”
게다가 우리의 ‘디지털 생활’에는 버그가 너무 많다. “우분투(Ubuntu) 버그 데이터베이스에 등록된 버그의 수만 12만 개입니다. 요즘 보안 인력난 문제가 대두되고 있는데, 해결해야 할 문제가 너무 많다는 뜻도 됩니다.” 이게 제일 중요하다. “자동화된 역공학을 통해 취약점을 찾아내, 사람만이 할 수 있는 부분에 집중할 수 있도록 하는 게 저희 같은 사람들의 목표입니다.”
그렇다면 지금 자동화가 도입될 수 있는 수준에까지 도달했을까? “충분히 실용 단계에까진 왔습니다. 하지만 발전될 여지가 더 많죠. 상용화라는 문제도 있고요. 또, 메이헴이라고 모든 취약점을 다 찾을 수 있다는 건 아닙니다. 인공지능이 탑재되었다고 해서 모든 게 한 번에 해결되는 건 아니라는 것도 꼭 기억해야 합니다. 사람의 영역과 기계의 영역을 찾아 시너지를 내도록 하는 게 연구의 큰 방향이겠죠.”
국제적인 사이버 보안 교육 및 인증기관인 (ISC)2의 데이비드 쉬어러(David Shearer) 회장도 이에 동의한다. “인공지능이 대두되면서 자동화가 도입될 것과 인력 부족이 해결될 것이라는 기대감이 큽니다. 보안 자체의 향상도 기대되고 있고요. 하지만 그 어떤 기술도 보안 문제를 단 한 번에 해결해줄 수는 없습니다. 이전에도 그런 기술은 없었고, 앞으로도 없을 겁니다.”
차상길 교수는 “보안은 모든 IT 분야의 종합 선물세트”라고 설명한다. “보안을 제대로 하려면 다 알아야 해요. 소프트웨어 개발, 네트워크, 인공지능 등 사이버 분야에 대한 모든 것을 알아야만 방어가 가능하죠. 이런 총체적인 분야에서 사람의 능력에 대한 의존도가 높다는 것 자체가 이미 ‘무리수’입니다. 기계의 도움이라면 해낼 수 있겠지만요.”
▲ ISEC 2016에서 키노트 강연 중인 차상길 교수
한편 차상길 교수는 한국 최고의 해커로 알려진 이정훈 씨의 능력을 굉장히 높이 사고 있다. “아까 메이헴이 8문제 중 하나를 가장 빨리 풀었다고 했죠? 나머지 일곱 문제는 전부 이정훈 씨가 제일 빨리 풀었습니다. 다른 팀들은 이제 막 문제의 깊이로 들어가려고 하는데, 이정훈 씨는 벌써 다음 문제로 넘어가고 있더라고요.” 언젠가 메이헴이 이정훈 씨도 능가할 수 있을까? “예측할 수 없는 문제이기도 하지만, 올바른 질문도 아닙니다. 왜냐하면 사람을 능가하는 게 인공지능을 통한 보안의 목표가 아니기 때문이죠. 오히려 이정훈 씨의 능력을 부족함 없이 지원해줄 수 있는 기계를 만들 수 있느냐 없느냐가 관건이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
