삼성 보안 기술 포럼(SSTF 2024) 톺아보기
생성형 AI와 함께하는 보안
최근 삼성 보안 기술 포럼 행사 참관을 위해 삼성전자 서울 R&D 캠퍼스에 갔다 왔다.
"생성형 AI와 함께하는 보안: 생성형 지능과 함께 안전한 미래로"라는 주제로 열린 제8회 삼성 보안 기술 포럼 행사에서 어떠한 것을 배웠는지 하나씩 말해 보려 한다.
Keynote
행사 시작이 10시였기 때문에 조금 늦게 도착한 나는 삼성전자 DX부문 전경훈 사장님의 환영사는 아쉽게도 보지 못하였다.
내가 도착했을 때는 삼성전자 삼성리서치 시큐리티 & 프라이버시팀 김태수 상무님께서 기조강연으로 "생성형 AI 시대에 더 안전한 세상을 만들기 위한 도전과 기회"에 대한 견해를 공유하고 계셨다.
삼성리서치, 포스텍, 카이스트 등의 연구원으로 구성된 팀 애틀랜타가 AI 보안 기술 경진대회(AIxCC)에서 오류를 찾고 수정하고, 연구한 성과를 발표하였는데, 강연을 들으면서 소프트웨어의 취약점을 찾기 위해 온갖 노력을 다하셨구나라는 생각을 하게 되었다.
Invited Talk
환영사와 기조강연이 끝나고, 본격적인 강연이 시작되었다.
첫 번째 강연은 미국 뉴욕대학교 컴퓨터공학부 브렌든 돌란 가빗 교수님께서 진행하셨다.
브렌든 돌란 가빗 교수님은 생성형 AI의 활용이 보안 취약점 탐지에 효과적이지만, 다른 위험 요소도 존재하고, 공격 방어를 위한 강력한 AI 기반 도구를 구축하고 개발자에게 코드를 안전하게 보관해야 한다고 역설하였다.
두 번째 강연은 카이스트 전기 및 전자공학부 윤인수 교수님께서 진행하셨다.
윤인수 교수님은 소시민을 향한 공격과 VIP를 향한 공격 두 가지로 나누어 해킹을 했을 때, 발생하는 이점, 공격 기술 등을 설명하셨다.
소시민을 향한 공격은 해킹을 시도했을 때, 얻을 수 있는 이익이 크지 않는 반면, VIP를 향한 공격은 해킹을 시도했을 때, 공격 비용에 제한이 없고, 얻을 수 있는 이익이 굉장히 크다고 말씀하셨다.
또한, 보안은 경제학이라고 역설하며, 비용과 편익 분석은 보안에 필수적이고, 공격자의 공격 비용이 예상 이익보다 크면 공격자는 공격을 진행하지 않는다고 덧붙여 말씀하셨다.
세 번째 강연은 포스텍 컴퓨터공학과 박상돈 교수님께서 진행하셨다.
박상돈 교수님은 신뢰할 수 있는 AI를 구축하기 위한 노력에서 얻은 교훈들을 공유해 주셨다.
생성형 AI의 신뢰 문제로 "Vulnerability(취약성)", "Cultural Bias(문화적 선입견)", "Hallucination(환각)"을 꼽고, 이를 어떻게 해결할 수 있을지에 관해 설명해 주셨다.
Invited Session
점심시간을 즐기고 나니, 오후 세션이 시작되었다.
오후에는 서울대학교, 유니스트, 카이스트 재학생의 강연을 들을 수 있었다.
첫 번째 강연은 서울대학교 전기정보공학부 김주희 님께서 진행하셨다.
사이드 채널 공격으로 ARM 메모리 태깅 확장 우회를 주제로 메모리 태깅 확장(MTE)이 아직 기억 부패 공격을 제거할 만능 해결책이 아니라는 것을 역설하고, 구글 크롬과 리눅스 커널의 MTE 기반 보호 기능을 우회할 수 있음을 알려 주셨다.
연이어서 유니스트, 카이스트 재학생의 강연을 듣고, 다음 세션으로 넘어갔다.
Samsung Session
삼성 세션이 시작되었다. 삼성 세션에서의 첫 번째 강연은 삼성리서치 아메리카에서 보안 연구원으로 근무 중인 박소연 님께서 진행하셨다.
박소연 님은 사양 및 예제를 기반으로 Rust 컴파일러를 테스트하기 위해 Rust 프로그램을 합성하기 위한 LLM 보조 도구를 제안하였으며, 보조 도구를 통해 Rust 라이브러리에서 82개의 버그와 Rust 컴파일러에서 몇 가지 충돌을 발견하였다고 말씀하셨다.
두 번째 강연은 삼성리서치 보안 연구원 안선우 님께서 진행하셨다.
안선우 님은 대규모 트래픽 점검을 통해 인위적으로 부풀려진 SMS 공격 방어를 주제로, 인공적으로 부풀려진 트래픽(AIT) 공격은 SMS 기반 사용자 검증 시스템에 크게 의존하는 기업들에게 2024년에 주요 위협이 될 것으로 예상하며, AIT 공격 특성을 활용하고 새로운 다중 레벨 기능 세트를 사용하여 약 84%의 리콜률로 AIT 공격을 감지하는 동시에 약 0.5%의 허위 비율을 유지하는 ML 기반 AIT 공격 감지 시스템을 개발하였다고 말씀하셨다.
마지막 강연은 삼성리서치 박진범 님과 왕희일 님께서 진행하셨다.
박진범 님과 왕희일 님은 온 디바이스 기밀 컴퓨팅을 주제로 발표하셨다.
왕희일 님께서 온라인 게임에서의 랜덤 박스를 온 디바이스 기밀 컴퓨팅의 사례로 들고 말씀하셨는데, 최근 게임에서 랜덤 박스, 확률형 아이템 등의 확률 정보를 명확히 공개해야 한다고 주장하는 기사를 봤던 것이 기억나서 조금 더 주의 깊게 들었다.
이렇게 처음 삼성전자 서울 R&D 캠퍼스에 방문해서 여러 강연을 들을 수 있었는데 다소 이해하기 어려운 강연도 있었으나, 관심 있는 분야에 관한 강연도 들을 수 있어서 좋았던 것 같다.
삼성 보안 기술 포럼 행사는 보안, 해킹 등에 관심이 있는 사람들에게 적극 추천한다.
