“오늘날 사회가 직면한 사이버보안 문제는 화이트해커(보안 취약점을 찾아내 해커로부터 공격받지 않게 도와주는 보안 전문가)와 동일한 능력을 갖춘 기계를 개발하고 이를 무한대로 생산할 수 있다면 해결될 수 있을 것이다. 사람이 직접 육성하기 까다로운 화이트해커를 자동화된 시스템이 대신하는 미래가 도래할 수 있다는 것이다.”
얀 쇼시타이시빌리 미국 애리조나주립대 교수는 14일 서울 중구 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스′에 참석해 ‘보안 취약성 평가 자동화의 과거, 현재, 그리고 미래’를 주제로 한 기조연설에서 이같이 말했다. 쇼시타이시빌리 교수는 미국 사이버안보인프라보호청(CISA) 기술 자문위원으로 활동 중인 사이버보안 전문가다. 그는 세계에서 가장 오래된 화이트해커 그룹인 ‘셸피쉬(Shellphish)’를 이끌었고, 세계 최고 권위의 해킹 방어대회 데프콘(DEFCON CTF)도 주최한 바 있다.
쇼시타이시빌리 교수가 연구하는 주요 분야는 보안 취약점을 찾아내고 수정하기 위한 소프트웨어를 분석하는 것이다. 그는 7년 전 미국 국방고등연구계획국(DARPA)의 사이버 그랜드 챌린지(CGC) 기간 동안 자동으로 이 같은 작업을 하는 ‘사이버 추론 시스템’을 세계 최초로 개발했다.
쇼시타이시빌리 교수는 사이버보안 취약점 분석 자동화의 역사를 설명하며 “2015년 유명 화이트해커인 보안 전문가 미칼 잘레스키가 퍼징이라는 개념을 고안했는데, 이때 인공지능(AI)이 일부 활용됐다”라며 “데이터 중심의 소프트웨어 분석 기법은 오늘날 생성형 인공지능(AI)과 유사한 생성형 알고리즘으로 이어지는 촉매제가 됐다”라고 했다. 퍼징이란 소프트웨어에 입력값을 무작위로 대입하고 발생하는 에러나 충돌을 모니터링하는 소프트웨어 취약점 분석 방식이다.
그는 이어 “미국 국방고등연구계획국(DARPA)에서 2016년 개최한 사이버 그랜드 챌린지(CGC) 대회는 보안 취약점 자동화 기술이 더 발전하는 계기가 됐다”라고 했다. CGC는 전 세계 사이버보안 전문가들이 모여 자동으로 해킹과 공격 방어를 할 수 있는 자동화된 프로그램을 개발, 컴퓨터가 마치 인간 해커처럼 해킹대회를 치르는 행사다.
쇼시타이시빌리 교수가 이끄는 화이트해커 그룹 셸피시는 당시 ‘메커니컬 피시(Mechanical Phish)’라는 자동화된 보안 취약점 분석 시스템을 만들어 대회에서 3등을 차지했다. 그는 “메커니컬 피시를 포함한 다양한 출품작은 자동화된 컴퓨터 시스템이 해킹시 즉각적으로 구동될 수 있음을 대회에서 입증했다”라며 “대회가 개최된 2016년을 계기로 자동화된 기술이 발전하면서, 공개적으로 알려진 컴퓨터 보안 결함 목록(CVE)이 급증했다는 점도 고무적이다”라고 했다.
다만 그는 “현존하는 소프트웨어 수와 유사한 규모로 보안 결함도 발견돼야 하지만 아직 이러한 수준까지 사이버보안 기술이 도달하지 못했다는 점에서, 보안 기술은 더 발전해야 한다”라며 기술적 한계가 존재한다고 지적했다. 그는 “소프트웨어가 다른 소프트웨어를 분석하도록 설계하기는 매우 어려운 일이다. CGC에서 개발한 프로그램도 실제 온라인에서 작동하는 일반적인 소프트웨어와 비교했을 때 기초적인 수준에 머물렀다”라며 더 많은 연구가 필요하다고 했다. 그는 “실용적이고 수준 높은 사이버보안 교육이 늘고 있으며, CGC에 참여했던 다수 연구팀과 기업이 다양한 보안 솔루션을 내놓고 있어 미래는 희망적이다”라고 덧붙였다.
쇼시타이시빌리 교수는 현재 기술의 한계를 극복할 수 있는 열쇠를 챗GPT 등 새로운 AI 기술이 쥐고 있다고 강조했다. 그는 “AI가 프로그래밍 언어(코드)를 살펴보는 속도가 사람보다 더 빠르고, 현재 AI는 잠재적인 문제 역시 식별할 수 있다”라고 했다.
이날 쇼시타이시빌리 교수는 행사장에서 챗GPT를 활용한 해킹을 직접 시연했다. 쇼시타이시빌리 교수는 챗GPT를 활용해 특정 소프트웨어의 취약점을 발견하고, 다시 챗GPT에 이 취약점을 활용한 공격을 지시했다. 해킹 공격을 지시하자 챗GPT는 처음엔 “공격을 할 수 없다”라고 대답했으나, 프롬프트(명령어)를 일부 조정하자 바로 해킹 공격이 가능한 코드를 제공했다. 이와 관련해 직후 기조연설에서 이원태 한국인터넷진흥원(KISA) 원장은 “AI가 직접 보안 취약점을 찾아내는 모습을 보니 놀랍다”라고 했다.
쇼시타이시빌리 교수는 “챗GPT를 활용해 보안 취약점을 찾아내고, 다시 챗GPT에게 보안 취약점을 공격할 수 있는 방식을 얻는 것도 가능하다. 이러한 기술 발전은 사이버보안 분야에서 대대적인 변화를 가져올 것이다. 대학교 4학년도 챗GPT를 활용해 해킹 공격과 방어를 할 수 있는 시대가 열린 것이다”라고 했다.