-드론, 5G, 블록체인 등 남들이 접근하기 어려운 분야에 연구 집중
-보안의 기본기를 갖춘다면 경쟁력있는 전문 직업
-보안의 틈새시장 공략, 좋은 성과를 통해 선진적 연구
-역량 있는 신진 교원 영입은 글로벌 경쟁에 필연적
-방어보다는 공격연구에 중점
안녕하세요 교수님, 바쁘신 와중에 귀한 시간을 내주셔서 감사합니다. 카이스트 사이버보안연구센터 전 센터장님을 뵙게 되어 영광입니다. 먼저 교수님 소개를 부탁드립니다.
안녕하세요. 카이스트 전기및전자공학부 교수 김용대입니다. 저를 소개하자면 먼저 보안 분야에 어떻게 첫발을 내디뎠는지부터 소개하여야 할 것 같아요. 저는 학부에서 수학을 전공하였고, 대학원 진학 후 처음으로 보안 분야를 접했어요. 정확히 말하자면 암호를 전공하였습니다. 이후 93년부터 6년간 한국전자통신연구소에서 근무하고, 전문적으로 전산 및 보안 분야를 수학하기 위해 유학길에 올랐습니다. 이후 미국 미네소타 대학에서 10년 동안 교수로 재직하였고, 카이스트에서는 2012년 9월 부터 전기및전자공학부와 정보보호대학원에서 강의를 하였습니다. 또한 2017년 12월부터 2020년 2월까지 KAIST 사이버보안연구센터의 센터장을 지냈습니다.
강연에서 유행만 따라가는 불나방연구실이라고 말씀하신 것이 인상적이었습니다. 그만큼 새로운 기술에 대한 취약점을 끊임없이 찾아서 개선하는 선도적인 역할을 담당하고 계신데 어떤 연구를 주로 하시는지요?
정보보호 분야의 교수님들은 전산 분야에서 오랜 기간 깊이 있게 전공한 분들이에요. 프로그래밍 언어 기술, 소프트 엔지니어링 기술, OS 운영체제, 네트워크 등의 폭넓고 깊이 있는 지식을 바탕으로 연구를 하시는 데 반해, 저는 학부 때 수학을 전공하였고 석사과정에 진학한 후 전산을 접하였습니다. 그런 분들에 비해 전산 백그라운드가 당연히 부족하다 보니 저 스스로가 부족함을 극복할 수 있는 틈새시장을 찾아 연구 분야를 넓혀 갈 수밖에 없었던 것 같고, 그런 측면에서 저희 연구실은 현재와 미래에 인기가 있을 분야에 연구 방향의 초점을 두다 보니 불나방이라는 호칭이 붙은 것 같아요. 저희 연구팀은 이러한 기조로 다른 분들이 진입하기 어려운 분야를 선점하거나 새로운 분야를 연구 주제로 하고 있습니다. 자율주행 자동차를 예를 들면, 사람이 운전할 때 반드시 필요한 것이 눈과 머리(인지능력)에요. 자율주행차에서는 눈을 대체하는 것이 센서이고, 세상을 센서의 카메라로 촬영하여 데이터를 수집하고 자율주행이 가능하도록 데이터 기반 도로 상황을 분석 및 이해하는 기술이 인공지능 즉, 머리에 해당합니다. 센서를 통해 수집된 이미지 값을 인공지능 기술을 이용해서 해석함으로써 자율적으로 주행가능하게 되는 것이지요. 다시 보안 관점으로 돌아오면, 전자과 측면에서 센서를 설계하는 분들은 보안에 지식이 없거나 전공하지 않았기 때문에 보안의 필요성 인지가 상대적으로 낮을 수밖에 없잖아요? 반대로 전산을 전공하는 분들은 센서 설계 및 제조를 같은 맥락으로 이해하지 못합니다. 그래서 저는 이러한 두 틈새시장을 공략하는 방법으로 전자분야의 보안 문제 및 이슈에 대해 우리 전자과 학생들과 함께 연구합니다.
오랫동안 보안 기반의 센서를 설계하는 연구를 많이 하였고, 중점을 두고 있는 또 다른 연구 중 하나는 이동통신인데 이것 또한 마찬가지로 틈새시장을 공략하고 있습니다. 이동통신은 중요한 두 가지 표준과 관련하여 내용이 A4 분량으로 1,000페이지가량 됩니다. 일반적으로 보안을 연구하는 분들은 현실적으로 1,000페이지의 세부 기능 및 기술을 세밀하게 연구할 수 없어요. 특별히 관련 연구에 필요하지 않으면 접근하기 힘든 분야이기도 하고요. 이 분야는 해외보다 한국이 연구하기에 좋은 환경을 갖고 있기 때문에 저희 연구실에서는 학생 연구원 7~8명을 유지를 하면서 꾸준히 연구를 진행해 왔고, 전 세계 이동통신 분야에서 논문 실적이 제일 많습니다. 최근 5G 관련된 연구를 많이 하고 있는데 저희 연구실은 10년 이상 이동통신 보안을 연구했고 전 세계 다른 연구실에서는 아직 저희만큼의 수준을 따라올 수 없기 때문에 상당한 기술 격차를 만들어 놓은 상황입니다.
해외언론에 많이 다뤄지고 있는데 국내보다 해외에서 더 인정받는 이유가 무엇일까요?
그 이유는 보안 분야에 있어 백그라운드가 다른 교수로서 남들과 차별화된 마켓을 만들어가는 노력에서 찾을 수 있는데, 저희 연구실은 이른 시기부터 드론, 5G, 블록체인 등 남들이 접근하기 어려운 분야에 연구를 집중하고 좋은 성과를 많이 내다 보니 해외언론에서도 많은 관심을 갖는 것 같습니다.
사물인터넷, 이동통신, 물리적 해킹, 의료기기, 드론 공격방안, 블록체인, 자율주행, 해킹 등 다양한 분야에서 취약점을 탐지하고 시스템을 해킹하는 연구를 하셨는데, 이러한 많은 연구들 중에 아쉬움이 남거나 재미있었던 연구가 있으면 말씀해주세요.
저희 연구실원들 스스로도 다양한 분야에서 성공을 거두었다고 자축하고 있습니다. 또한, 해외에서도 저희 연구 성과에 많은 관심을 보이고 있으며, 우리 연구에 대해 스터디를 하기 시작했어요. 제일 재미있었던 것은 소리로 드론을 추락시키는 연구였는데 이러한 연구는 전례가 없고 상당히 도전적인 실험이어서 해외에서도 논문이 여러 번 발표 되었고 관련 기술적 문의가 많았습니다. 현재 집중적으로 진행 중인 연구는 이동통신에 대한 분야인데, 운이 좋게도 연구할 때마다 대부분 좋은 연구 성과가 나와 연구에 대한 아쉬운 점이 남은 적은 없었습니다. 하루하루가 즐겁고 학생들이 연구를 빨리 마무리하여 좋은 논문을 계속 썼으면 하는 바람입니다.
교수님과 함께 진행하는 연구 활동이 흥미로워서 학생들에게 인기가 많을 것 같습니다.
저희 연구실은 말로만 하는 것이 아니고 일부러 차를 사고 내고, 드론을 떨어뜨리는 것을 실증하여야 하기 때문에 실전적 실험을 많이 합니다. 추락하면 고장이 나고 고장이 나면 고치고 이것을 매번 반복하는 어려움 때문에 학생들에게 미안한 면이 있지만 모두 열심히 하고 있어 항상 고맙게 생각하고 즐겁게 연구를 하고 있습니다. 저는 학문적으로 깊이 있게 연구하는 것이 더 좋을 수도 있다고 생각하지만, 변화를 요구하는 시대에 그 분야에서만 경쟁할 필요는 없다고 생각합니다. 학생들이 논리적이고 창의적인 사고로 기술의 변화에 적응하고 응용할 수 있는 유연성을 키워 다양한 논문을 쓰면 좋겠다는 바람입니다.
보안 1세대 선배로서 보안 전문가를 꿈꾸는 후배들이 가져가야 할 보안 소양이 무엇이라고 생각하시는지 말씀해주세요.
저는 카이스트 출신 학생들과 보안을 전공하는 학생들이 평생을 즐기면서 일하면 좋겠다고 생각하는데, 보안이라는 직업, 보안이라는 학문이 그렇다고 생각합니다. 왜냐하면, 모든 IT에는 보안 문제가 분명 존재하고, 새로운 기술은 계속 나오기 때문에 오랫동안 이 분야의 전문가로 일할 수 있을 것입니다. 저의 생각과 일맥상통하는 유명한 기사가 있는데 “보안회사는 유니콘이 될 수 없다. 바퀴벌레는 될 수 있다.”라는 말이 있습니다. 설명하자면 보안회사는 아마존과 구글 같은 거대한 글로벌 기업으로 성장하기는 힘들지만 어디에나 필요하고 절대 없어지지 않는다는 의미겠지요. IT 기술은 계속 발전을 할 것이고 그 시장의 일정 비율은 보안 분야가 차지할 것이 자명합니다. 저의 아들도 보안을 좋아하고 관심이 높아서 적극적으로 밀어주고 있답니다(^^).
새로운 IT 기술이 출현할수록 그 분야의 전문화된 보안 인력은 계속 필요합니다. 다른 분야에서는 어떤 특정 기술이 발전하면 경쟁기술은 없어지기 마련인데 보안 분야는 기술의 발전과 상관이 없는 메타학문이므로 기본 능력만 있다면 새로운 기술이 나와도 그 기술에 쉽게 적응할 수 있습니다. 예를 들어 과거 데이터베이스의 인기가 최정점에 있었을 때 너도나도 데이터베이스 보안을 하고자 했어요. 그리고 10년 전까지만 하더라도 AI 분야에 과제가 많지 않았고 연구도 활발히 진행되지 않았었습니다. 하지만 알파고 이후 이슈가 되니까 지금은 많은 사람이 AI 보안을 연구합니다. 따라서 새로운 기술이 출현하거나, 기존 기술이 발전할수록 그러한 기술에 동반하여 필요한 역할을 하면 되는 것이죠. 탄탄한 보안 지식만 갖추고 있다면 여러 분야에 응용할 수 있는 것과 마찬가지로 신기술에 따라 필연적으로 발생하는 보안 이슈에는 그에 맞는 역할을 하면 되는 것입니다. 변화하는 시대 흐름에 맞추어 발전할 수 있는 경쟁력을 키워야 하는데, 이 능력은 기본기가 제일 중요하다고 생각합니다.
늘 한 단계 앞선 연구를 하고 계시는데 보안에 어떻게 관심을 가지게 되었나요?
저는 수학을 좋아했었는데, 대학원 때 전공을 암호로 바꾸었습니다. 이유는 아주 단순해요. 순수 수학보다는 암호가 쉬워 보여서 선택했지만, 연구하는 사람이 너무 많고 경쟁이 심하더군요. 그렇게 암호 및 보안을 전공 한 후, 미국에서 교수로 재직할 당시 전자분야에 대한 지식이 있는 저의 학생과 센서를 이용한 논문이 이슈가 되 많은 관심을 받았습니다. 그 후 한국에 돌아와 전자과 교수가 되는 것으로 저의 연구적 측면의 틈새시장이 시작된 것이라 말할 수 있습니다. 카이스트에서는 미국에서 전자와 이동통신 분야의 논문을 쓴 경험을 토대로 이 두 분야를 연구실의 메인 주제로 선정하였습니다. 어떻게 보면 교수로서 살아남기 위해서 경쟁을 피한 것인데, 이것이 남들이 잘 접근하지 않는 분야를 타깃으로 하다 보니 틈새시장의 시작이 되었고, 좋은 성과를 통해 선진적 연구를 하게 되었던 것 같습니다.
보안에 대한 다양한 연구로 인해 실용적이고 특별한 논문이 많으실 거 같아요.
논문의 수보다는 기술적으로 기억해주시는 논문이 꽤 있습니다. 저는 방어 연구보다는 공격 연구를 주로 합니다. 공격 연구의 특징은 남들의 문제점을 더욱 잘 이해할 수 있습니다. 예를 들어 자율주행과 드론 서비스에서 ‘비즈니스 측면에서 왜 안전하게 만들지 못할까’, ‘어떤 문제가 있어서 아직까지 보안 부분에 신경을 쓰지 못하였을까’ 하는 의문을 가지게 됩니다. 반대로 생각하면 각 산업군의 보안에 관한 약점과 문제점을 잘 알기 때문에 한 단계 더 발전하기 위해서 어떤 부분을 개선하고 어떤 측면에서 접근하여야 하는지 연구하는 데 많은 도움이 됩니다.
정보보안 국제 최고학회 유치(ACM CCS 2021, ACM AsiaCCS 2018), 해킹방어대회(김치콘), Security@KAIST 기술세미나 개최 등 평소 사이버보안 인력 양성에 많은 관심을 가지신 것으로 알고 있습니다. 전문적인 사이버보안 인력 양성을 위해 생각하시는 선배 또는 교육자로서의 청사진이 있다면 말씀 부탁드립니다.
제가 인력양성에 특별히 관심이 있다기보다 카이스트와 세상을 연결하는 것에 대해서 사업적으로 다양한 아이디어를 가지고 있습니다. 언제부터인가 비즈니스 마인드가 많이 생겼어요. 저의 비즈니스적 철학은 비즈니스를 한다는 것은 내가 무엇을 했을 때 그것으로 인해 불이익을 받는 사람들이 적어야 한다고 생각합니다. 지금까지 다양한 세미나 등을 통해서 카이스트의 최첨단 기술을 설명하지만, 기업들은 첨단기술을 기술이전이나 사업적 응용 측면에서 잘 받아들이지 못하는 경향이 있어요. 그래서 저는 Security@KAIST 세미나 등을 통해 첨단 보안 기술을 개발하는 카이스트 교수님들과 보안 및 일반 기업들 모두에게 자연스러운 교류의 장을 마련함으로써, 기업은 교수님들의 연구결과를 활용하고, 교수님들은 기술 자문을 한다거나 산학협력 과제를 하는 등 서로에게 도움이 되고자 노력하고 있습니다.
우리나라 보안 기술이 세계 최고 수준을 지향하며 세계와 어깨를 나란히 경쟁하기 위해 미래인재 양성은 필연적입니다. 그 노력의 일환으로서 신진 교원을 영입하는 부분을 매우 중요하게 생각해왔습니다. 실력 있는 유능한 교수님들을 임용하여 좋은 논문을 쓰고, 교육의 질적 수준이 향상된다면 카이스트 정보보호 프로그램은 더욱 발전될 것입니다. 이러한 선순환은 학생들의 경쟁력을 높이고 이런 학생들이 사회로 배출됨에 따라 한국의 보안 수준은 더욱 좋아질 것입니다. 역량 있는 교원을 증원하는 것은 우리나라가 글로벌 경쟁에 있어 좋은 환경을 조성하는 밑거름이라고 생각합니다. 그러한 이유로 학생, 정부, 기업에 세계와 경쟁하는 보안 기술의 중요성에 대해 끊임없이 설득해 나가고 있고, 여러 가지 채널을 통해서 다각적인 노력을 기울이고 있습니다.
이동통신 및 여러 분야에서 시스템의 다양한 문제점(취약점) 등이 학계 및 산업계에서 발견되고 재기 되어도 업계는 기업이윤이 중요하기 때문에 근본적인 해결에 적극적이지 못한 것이 현실입니다. 현재 삼성 리서치 자문위원으로 안식년을 보내고 계시는데 앞서 말한 문제점을 효과적으로 개선하는 방법과 학계와 기업의 효율적인 협업방안이 무엇이라고 생각하십니까?
학계와 산업계 모두의 노력이 필요하다고 생각합니다. 저를 비롯해 사이버보안연구센터의 현 센터장인 차상길 교수님, 그리고 다른 카이스트 교수님들도 기업과 많은 교류를 해왔습니다. 글로벌 기업들의 문제점들을 찾아 소통하고 노력한 점들이 산업계와 학계가 서로 이해하고 이러한 기술을 공유하는 데 도움이 되었다고 생각합니다. 조교수 2~3년 차 되면 승진과 논문에 몰두해서 그러한 노력이 부담스러울 수 있지만, 보안 분야에서는 논문을 쓰는 것 이상으로 의미가 있다고 생각합니다. 구글이나 삼성 등 글로벌 기업의 문제점을 찾는 것은 사회와 사회구성원들의 관계를 연결하는 중요한 역할을 합니다. 기업에서 제공하는 서비스에서의 보안 문제점(취약점)은 이용하는 사용자들에게 직접적인 영향을 끼칠 수 있기 때문입니다. 그래서 학계에 계신 교수님들은 세상과 대화를 하면서 내가 어떠한 영향력을 줄 수 있는지 직접 경험하는 것이 중요하다고 생각합니다. 모든 교수님들이 동의할 것 같지는 않지만 논문 실적 및 과제 성과에만 몰두할 것이 아니라, 우리의 연구를 세상이 이해하고 사용할 때 연구가 더 빛이 나므로 세상과 소통하는 노력을 게을리하지 말아야 한다고 생각합니다.
코로나19로 인해 온라인서비스가 많아진 만큼 보안 위협도 높아지고 있다는 연구가 많이 발표되고 있는데 어떻게 대처해야 할까요?
코로나19로 인해서 비대면, 원격근무 등 다양한 사회적 변화가 발생함과 동시에 새로운 보안 문제가 생기겠지만 기존 심각한 보안 문제도 아직 해결되지 않은 것이 여전히 존재합니다. 따라서 기존의 여러 보안 문제와 더불어 코로나19로 인해 발생하는 새로운 보안 문제도 해결해야 할 과제 중에 하나입니다. 보안 기술·정책을 적용하여 해결방안을 찾도록 노력해야 하고, 개인 사용자들도 다양한 보안 위협들이 존재할 수 있으므로 정보보안 안전 수칙을 준수하는 노력이 필요하다고 생각합니다.
카이스트 사이버보안연구센터 전 센터장으로서 센터의 발전을 위해 하고 싶은 말씀이 있으신지요?
지속적으로 전문 연구 인력을 충원하고 더 많은 과제를 통해 센터가 연구소 수준으로 성장하기를 희망합니다. 교수님들의 연구와 산업계에서 요구하는 필요 기술에는 상당한 개념적 거리가 존재합니다. 이를 해결하기 위해 Security@KAIST 기술 세미나 등을 통해서 교수님들의 연구를 산업계에 효과적으로 전달될 수 있도록 하는 역할이 매우 중요합니다. 따라서 교수님들이 보유한 원천 기술을 산업계의 요구에 맞게 개발하고 상품화시켜 학계와 산업계 사이의 거리를 메워주는 가교 역할을 사이버보안연구센터가 해 주었으면 하는 바람입니다.
3 명이 이 글에 공감합니다.