디지털 사회로의 도약 속도가 빨라지면서 정보보안에 대한 중요성도 높아지고 있다. 그렇다면 우리나라 IT기술을 선도하는 대표 기업 중 하나인 삼성전자는 ‘대 IT시대’의 정보보안에 대해 어떤 그림을 그리고 있을까./ 그래픽=박설민 기자

시사위크=박설민 기자  5G와 인공지능(AI) 기반의 첨단 디지털 사회가 빠르게 다가오면서 정보보안의 중요성도 날이 갈수록 중요해지고 있다. 특히 최근 IT분야의 주요 트렌드인 AI나 생체인식, 클라우드 등은 최근 새롭게 등장하고 있는 기술인만큼 이에 맞는 새로운 보안시스템이 필요할 것으로 보인다. 

이에 따라 IT업계에서는 우리나라 IT기술을 선도하는 대표 기업 중 하나인 삼성전자가 ‘대 IT시대’의 정보보안에 대해 어떤 대비책을 세우고 있는지도 높은 관심을 보이고 있다. 삼성전자는 앞으로 진행될 디지털 사회를 대비하기 위해 어떤 미래 보안 기술의 모습을 그리고 있을까.

◇ 삼성전자, SW개발에 사용되는 오픈소스 위험 탐지… 약 8,000여개 취약점 찾아

삼성전자는 17일 ‘안전하고 신뢰할 수 있는 경험을 향해’를 주제로 ‘제5회 삼성보안기술포럼(Samsung Security Tech Forum, SSTF)’을 온라인으로 개최했다. 이날 포럼에서 삼성전자 리서치 보안연구팀은 ‘소프트웨어 개발 과정 중에 발생 가능한 취약점 제거활동’, ‘시스템에서의 보안 실행 흐름을 바꾸려고 하는 공격에 대응하는 연구’ 등을 연구 중이라고 밝혔다.

먼저 ‘소프트웨어 개발 과정 중에 발생 가능한 취약점 제거활동’에 대해 발표를 진행한 삼성전자 리서치 보안팀 심우철 프로는 “깃허브(Github: 프로그래머를 위한 오픈소스를 제공하는 웹 호스팅 서비스)와 소프트웨어 개발을 분리해서 생각하기 어려울 정도로 많은 편의성의 혜택을 받는다”며 “하지만 이 경우, 의도치 않게 제거되지 않은 비밀번호 등의 기밀 값 등이 공유돼 개인정보유출 등의 사고로 이어지는 경우가 심심치 않게 발생한다”고 설명했다.

이어 “언뜻 보면 이런 유출되는 기밀 값을 파악하는 게 쉬워 보이지만 대다수 감지 툴들이 성능이 완벽하지 않아 오탐이 발생하는 경우가 많다”며 “때문에 확실한 값만 찾는게 요새 경향이라 빠져나가는 기밀 값들이 상당하다”고 지적했다.

삼성전자는 17일 ‘안전하고 신뢰할 수 있는 경험을 향해’를 주제로 ‘제5회 삼성보안기술포럼(Samsung Security Tech Forum, SSTF)’을 온라인으로 개최했다. 사진은 발표를 하고 있는 삼성전자 리서치 보안팀의 심우철 프로./ 사진=온라인 포럼 캡처

실제로 삼성전자 리서치 보안팀에서 오픈소스 라이센스가 저장된 코드저장소를 분석한 결과, 7만여개의 데이터 라인들 중에 약 8,000여개의 데이터들이 미보호되는 기밀 값으로 추정되는 것으로 나타났다.

심우철 프로는 “삼성전자 리서치에서는 확실한 패턴이 없는 비밀번호와 같은 기밀 값도 포함하여 평가 데이터 셋을 마련한다면 적절한 툴을 고를 수 있고 데이터셋을 활용해서 각 툴들의 성능향상이 가능할거라 생각했다”며 “이번에 분석해낸 데이터셋을 사용하면 소스코드를 구성할 때 프로그램 제작자들이 보다 정밀하고 안전하게 기밀 값을 탐지해낼 수 있을 것”이라고 말했다.

그러면서 “현재 데이터셋과 함께 기존 도구의 미탐율을 개선할 수 있는 기밀 값 탐지 툴도 개발 중”이라며 “오는 10월에 소스코드와 함께 이를 오픈소스(소프트웨어의 설계도에 해당하는 소스코드를 인터넷을 통해 무상으로 공개하는 것)화 하고자 준비 중에 있다”고 밝혔다.

오픈소스는 편리하지만 동시에 비밀번호 등 기밀 값이 쉽게 유출될 수 있는 환경에 놓여있다. 실제로  삼성전자 리서치 보안팀에서 오픈소스 라이센스가 저장된 코드저장소를 분석한 결과, 약 8,000여개의 데이터들이 미보호되는 기밀 값으로 추정되는 것으로 나타났다./ 그래픽=박설민 기자

◇ 악성코드 등 정보보안의 근원 ‘버그’ 잡기 위해 PAL 기술 개발
 
삼성전자 리서치 보안팀은 오픈소스로 인한 기밀 값 유출 외에도 소프트웨어 자체에서 발생하는 ‘버그(Bug)’가 정보보안의 근원적인 문제라고 지적했다. 하지만 버그가 없이 프로그램을 만드는 것이 불가능한 만큼 해커와 같은 공격자들이 버그를 악용하기 전에 최대한 빠르게 찾아내고 피해를 완화시키는 것이 가장 중요하다고 강조했다.

삼성전자 리서치 보안팀의 유성배 프로는 “시스템 보안 상에는 수많은 버그들이 있는데, 특히 메모리 오버 플로우, 유즈 에프터 프리 등이 유명하다”며 “이러한 버그들을 모아 공격자들은 여러개의 형태로 연결·조합해 자신이 원하는 위치의 메모리를 읽거나 시스템의 보호 영역을 원하는 대로 변경한다”고 설명했다.

삼성전자 리서치 측은 ‘포인터 인증’을 이용해 버그를 활용한 공격을 막아낼 수 있다고 설명했다. 포인트 인증은 키 값, 콘텍스트(Context: 호출, 응답 등 시스템 내의 환경 정보) 세가지 요소를 조합해 독특한 코드 값을 만들고, 이를 포인터(Pointer)와 결합한 것을 말한다. 이렇게 코드와 결합된 포인터는 ‘사인(Sign: 서명)’ 됐다고 하는데, 이렇게 사인된 포인터를 사용하면 중간에 공격자가 포인터를 수정할 경우, 검증과정에서 공격을 감지해낼 수 있다.

하지만 유성배 프로는 포인터 인증에도 치명적인 약점은 존재한다고 설명했다. 리플레이 공격이나 위조공격 등에 취약하다는 것. 리플레이 공격은 이미 사인된 포인터를 사용하는 것으로 공격자가 같은 콘텍스트와 킷값을 사용하여 사인된 다른 포인터로 중간에 바꿔치기하는 것을 말한다. 위조공격은 사인하기 전에 포인터를 바뀌치기 하는 것으로 바꿔치기한 포인터지만 이미 적절하게 사인돼 있기 때문에 이 역시 검증과정을 통과할 수 있다고 한다.

이에 따라 삼성전자 리서치는 리플레이 공격이나 위조공격을 막기 위해 안전한 ‘커널(kernel: 운영 체제를 구성하는 프로세서와 제어 프로그램에 대해 자원 할당을 수행하는 기능)’을 만들기 위해 ‘PAL(Point authentication enhanced linux)’ 기술을 개발했다. 

크게 3가지 단계로 구성된 PAL은 먼저 컨텍스트 분석기를 통해 소스코드를 어떻게 변경하면 콘텍스트를 다양하게 구성할 수 있을지 개발자에게 가이드라인을 제공해 준다. 이어 컴파일러(Compiler: 소프트웨어 제작자가 고급언어로 작성된 프로그램의 기계어를 수정할 때 사용하는 번역 프로그램) 과정에서 바이너리 코드의 포인터를 사인하고 검출하는 코드를 자동으로 추가하게 된다. 

마지막으로는 전체 바이너리의 취약점, 위조 가능성이 있는 부분이 있는지 정적 분석기가 한 번 더 분석하는 단계를 거친다. 이렇게 되면 리플레이 공격과 위조공격 등의 약점에서 포인터 인증이 보다 자유로워질 수 있다고 유성배 프로는 설명했다.

삼성전자 리서치 보안팀은 오픈소스로 인한 기밀 값 유출 외에도 소프트웨어 자체에서 발생하는 ‘버그(Bug)’가 정보보안의 근원적인 문제라고 지적했다. 이를 막기 위해 삼성전자는 ‘PAL(Point authentication enhanced linux)’ 기술을 개발했다./ 사진=Gettyimagesbank 

◇ 생체정보 위험 줄이는 ‘퍼지 추출기’ 개발… 전자 신분증 기술도 연구 중

삼성전자 리서치는 생체정보를 제공할 때의 프라이버시 리스크를 줄이고, 이를 활용해 좀 더 쉽고 안전한 인증 방법의 도입도 향후 필요할 것으로 예상했다.

삼성전자 리서치 보안팀 김진수 프로는 “최근 아마존, 구글, 삼성의 클라우드 서비스를 사용하는 사람들이 증가하면서 데이터 프라이버시가 잘 유지될지에 대한 우려가 커지고 있다. 최근 유명인들 해킹 사례를 보면 이는 결코 과한 걱정은 아니다”라고 설명했다.

그러면서 “이러한 사건들은 아이디 패스워드를 이용해 접근권한을 부여함에 따라 발생하는 문제로, 이를 해결하기 위한 방법은 데이터를 암호화해 저장하고 사용자가 이용 시 복구하는 방법”이라고 설명했다.

하지만 데이터를 암호화해 저장할 경우, 다시 이용할 시 암호화 복구키를 관리해야 하는 어려움이 따를 수밖에 없다는 것이 김진수 프로의 설명이다. 만약 클라우드 서버 자체가 암·복화키를 가지고 있을 경우엔 해킹의 위협을 받을 수 있고, 사용자가 키를 가지고 있을 경우엔 분실의 위험과 다중 디바이스 이용환경에서의 접근이 번거롭기 때문이다.

이에 삼성전자 리처치 보안팀은 이런 문제를 한꺼번에 해결하기 위해 새로운 ‘퍼지 추출기: Fuzzy extractor)’를 개발했다. 퍼지 추출기는 홍채, 지문 등의 생체정보 데이터 보안을 위한 표준 암호화 기술을 입력해 사용할 수 있도록 하는 기술이다.

김진수 프로의 설명에 따르면 삼성전자 리서치팀이 개발한 퍼지 추출기는 △제너레이션 △ 리프로덕션의 두 가지 알고리즘으로 구성된다. 

‘제너레이션 알고리즘’이란 얼굴 정보 등 생체정보로부터 암·복호화 키 생성과 관련된 퍼블릭 데이터(공공 데이터)를 생성하는 과정이다. 리프로덕션 알고리즘은 앞서 제너레이션 알고리즘 과정에서 생성된 퍼블릭 데이터와 재입력된 생체정보로부터 암·복화키를 재생성해내는 알고리즘이다.

삼성전자는 최근 이용이 늘고 있는 홍채인식, 지문인식 등의 생체정보 인식 시스템의 보안을 높이기 위해  새로운 ‘퍼지 추출기: Fuzzy extractor)’를 개발했다. 퍼지 추출기는 홍채, 지문 등의 생체정보 데이터 보안을 위한 표준 암호화 기술을 입력해 사용할 수 있도록 하는 기술이다./ 사진=Gettyimagesbank

김진수 프로는 “얼굴, 지문, 홍채 등의 생체정보는 입력 과정에서 약간의 노이즈(프로그램의 동작을 방해할 수 있는 요소)가 발생하게 되는데, 이를 ‘퍼지 데이터’라고 부른다”며 “이런 퍼지 데이터를 토대로 동일한 결과 값을 도출하고, 이를 암·복화키로 활용할 수 있어야 하며, 공개 데이터로부터 암·복화키 및 데이터를 획득할 수 없도록 해야 한다”고 설명했다.

아울러 삼성전자 리서치는 지문인식 등 생체정보를 이용한 디지털 신분증에 대한 연구도 진행하고 있다. 이를 위해 온라인 환경에서 비밀번호를 대체하는 안정성이 있는 인증방식인 FIDO 기술표준을 정하기 위해 설립된 국제협의회인 ‘파이도 얼라이언스(FIDO Alliance)’와 끊임없는 협의 중이다.

삼성전자 리서치 보안팀 김종수 프로는 “삼성전자와 파이도 얼라이언스는 생체정보 인식이 스마트폰을 넘어 더 넓은 곳에서 쓰일 수 있도록 초점을 두고 있다”며 “결제나 로그인 등에서 지문 인식을 쓰는 것 이외에 파이도가 접목되면 더 잘 사용될 수 있는 사업 영역을 살펴보고 있는데, 특히 디지털 ID 분야를 유의 깊게 보고 있다”고 말했다.

이어 “지갑과 주머니 속에서 꺼내 여권, 면허증 등 실물로 꼭 보여줘야 했던 본인 인증서를 스마트폰에 담긴 모바일 신분증으로 할 수 있다면 편리할 것”이라며 “이를 위해 삼성전자는 현재 유럽 지역에서 통용되는 ‘eIDAS’라는 전자 시민증, 자율주행차량에서 유용하게 사용될 수 있는 ISO표준 기반의 모바일 운전증, 모바일 임시여권 등에 표준화를 위한 연구 및 파일럿 프로젝트에 참여하고 있다”고 전했다.

저작권자 © 시사위크 무단전재 및 재배포 금지
이 기사를 공유합니다