생성형 AI와 함께하는 보안, 삼성 보안 기술 포럼(SSTF 2024) 참관 후기

안녕하세요, mintjr입니다. 최근 삼성 보안 기술 포럼 참관을 위해 삼성전자 서울 R&D 캠퍼스에 갔다 왔어요.

 

"생성형 AI와 함께하는 보안: 생성형 지능과 함께 안전한 미래로"라는 주제로 열린 제8회 삼성 보안 기술 포럼 행사에서 어떠한 것을 배우고 체험하고 왔는지 하나씩 알려드릴게요!

---

Welcome

오전 10시, 삼성전자에서 준비한 셔틀버스를 타고 우면동에 소재한 서울 R&D 캠퍼스에 도착했어요.

 

A타워에 입장하자마자 2층으로 올라가서 식권이 포함된 명찰과 SSTF 티셔츠를 받고 행사가 진행되는 Creative Hall로 이동했답니다.

 Creative Hall로 들어가려 하는데, 행사장 앞에 케이터링과 통역기가 준비되어 있어서 쿠키와 음료, 통역기를 들고 입장했어요. 

Keynote

행사 시작이 10시였기 때문에 조금 늦게 도착한 저는 삼성전자 DX부문 전경훈 사장님의 환영사는 아쉽게도 보지 못하였어요.

 

제가 도착했을 때는 삼성전자 삼성리서치 시큐리티 & 프라이버시팀 김태수 상무님께서 기조강연으로 "생성형 AI 시대에 더 안전한 세상을 만들기 위한 도전과 기회"에 대한 견해를 공유하고 계셨답니다.

 

삼성리서치, 포스텍, 카이스트 등의 연구원으로 구성된 팀 애틀랜타가 AI 보안 기술 경진대회(AIxCC)에서 AI 오류를 찾고 수정하고, 연구한 성과를 발표하였는데, 강연을 들으면서 소프트웨어의 취약점을 찾기 위해 온갖 노력을 다하셨구나라는 생각을 하게 되었어요.

 

정말 멋있었습니다.

Invited Talk

환영사와 기조강연이 끝나고, 본격적인 강연이 시작되었어요.

 

첫 번째 강연은 미국 뉴욕대학교 컴퓨터공학부 브렌든 돌란 가빗 교수님께서 진행하셨어요.

 

브렌든 돌란 가빗 교수님은 생성형 AI의 활용이 보안 취약점 탐지에 효과적이지만, 다른 위험 요소도 존재하고, 공격 방어를 위한 강력한 AI 기반 도구를 구축하고 개발자에게 코드를 안전하게 보관해야 한다고 역설하였어요.

 두 번째 강연은  카이스트 전기 및 전자공학부 윤인수 교수님께서 진행하셨어요.

 

윤인수 교수님은 소시민을 향한 공격과 VIP를 향한 공격 두 가지로 나누어 해킹을 했을 때, 발생하는 이점, 공격 기술 등을 설명하셨어요.

 

소시민을 향한 공격은 해킹을 시도했을 때, 얻을 수 있는 이익이 크지 않는 반면, VIP를 향한 공격은 해킹을 시도했을 때, 공격 비용에 제한이 없고, 얻을 수 있는 이익이 굉장히 크다고 말씀하셨어요.

 

또한, 보안은 경제학이라고 역설하며, 비용과 편익 분석은 보안에 필수적이고, 공격자의 공격 비용이 예상 이익보다 크면 공격자는 공격을 진행하지 않는다고 덧붙여 말씀하셨어요.

강연을 들으면서 특별히 기록할 만한 부분이 생기면, 이렇게 보기 쉽게 삼성 노트에 정리해 두었어요.

 

포럼에 참석하신 분들 중 90%가 노트북으로 타이핑하고 계시길래 저는 부랴부랴 갤럭시 탭을 꺼내서 S펜으로 필기를 하기 시작했답니다.. ㅎㅎ

 

(제가 지금 이렇게 글을 쓸 수 있는 것도 다 삼성 노트에 기록해 두었기 때문이라는 사실...!)

세 번째 강연은 포스텍 컴퓨터공학과 박상돈 교수님께서 진행하셨어요.

 

박상돈 교수님은 신뢰할 수 있는 AI를 구축하기 위한 노력에서 얻은 교훈들을 공유해 주셨어요.

 

생성형 AI의 신뢰 문제로 "Vulnerability(취약성)", "Cultural Bias(문화적 선입견)", "Hallucination(환각)"을 꼽고, 이를 어떻게 해결할 수 있을지에 관해 설명해 주셨답니다.

 

사실... 제 지식 문제로 세 번째 강연은 다소 어렵게 다가왔던 것 같아요.. ㅎㅎ

 

(문송합니다 🙏)

Break Time

세 번째 강연까지 끝나고 나니, 점심시간이 다가왔어요.

 

식권을 사용하기 위해 삼성전자 구내식당이 있는 지하로 내려가서 신중하게 메뉴를 선정했어요.

 

제가 갔을 때는 메뉴로 홍대 칼국수, 뚝배기 부대찌개, 직화 주꾸미 삼겹 덮밥 등이 있었답니다.

 

저와 제 일행은 뚝배기 부대찌개가 무난하고 맛있을 거 같아서 부대찌개를 먹었어요. 😋

 

역시나 삼성 밥이라서 그런지 정말 맛있었습니다. 👍

밥을 먹고 나서, 잠시 소화도 시킬 겸 캠퍼스 A타워 밖으로 나와서 기념사진을 찍었어요. ✌️

밖이 너무 더워서 다시 A타워 안으로 들어와서 이곳저곳을 둘러보았어요.

 

보안 기술 포럼 행사답게 보안과 관련된 체험을 할 수 있는 부스를 운영하고 있었어요.

 

AI Security Challenge 부스에서 채팅을 통해 비밀번호를 해킹하는 체험이 있어서 한번 해 보았답니다. 

 이렇게 비밀번호를 직접적으로 언급하지 않고 다른 말로 둘러서 AI와 대화하다 보면, 비밀번호를 알아낼 수 있었어요.

이외에도 "지누스마스를 찾아라!", "SSTF 2024 X 인생네컷" 등 다양한 이벤트가 있어서 참여하는 재미가 쏠쏠했답니다. :)

Invited Session

점심시간을 즐기고 나니, 오후 세션이 시작되었어요.

 

오후에는 서울대학교, 유니스트, 카이스트 재학생의 강연을 들을 수 있었어요.

 

첫 번째 강연은 서울대학교 전기정보공학부 소속 김주희 님께서 진행하셨어요.

 

사이드 채널 공격으로 ARM 메모리 태깅 확장 우회를 주제로 메모리 태깅 확장(MTE)이 아직 기억 부패 공격을 제거할 만능 해결책이 아니라는 것을 역설하고, 구글 크롬과 리눅스 커널의 MTE 기반 보호 기능을 우회할 수 있음을 알려 주셨어요.

연이어서 유니스트, 카이스트 재학생의 강연을 듣고, 다음 세션으로 넘어갔어요.

Samsung Session

삼성 세션이 시작되었어요. 삼성 세션에서의 첫 번째 강연은 삼성 리서치 아메리카에서 보안 연구원으로 근무 중인 박소연 님께서 진행하셨어요.

 

박소연 님은 사양 및 예제를 기반으로 Rust 컴파일러를 테스트하기 위해 Rust 프로그램을 합성하기 위한 LLM 보조 도구를 제안하였으며, 보조 도구를 통해 Rust 라이브러리에서 82개의 버그와 Rust 컴파일러에서 몇 가지 충돌을 발견하였다고 말씀하셨어요.

두 번째 강연은 삼성 리서치의 보안 연구원 안선우 님께서 진행하셨어요.

 

안선우 님은 대규모 트래픽 점검을 통해 인위적으로 부풀려진 SMS 공격 방어를 주제로, 인공적으로 부풀려진 트래픽(AIT) 공격은 SMS 기반 사용자 검증 시스템에 크게 의존하는 기업들에게 2024년에 주요 위협이 될 것으로 예상하며, AIT 공격 특성을 활용하고 새로운 다중 레벨 기능 세트를 사용하여 약 84%의 리콜률로 AIT 공격을 감지하는 동시에 약 0.5%의 허위 비율을 유지하는 ML 기반 AIT 공격 감지 시스템을 개발하였다고 말씀하셨어요.

마지막 강연은 삼성 리서치 소속 박진범 님과 왕희일 님께서 진행하셨어요.

 

박진범 님과 왕희일 님은 온 디바이스 기밀 컴퓨팅을 주제로 발표하셨답니다.

 

왕희일 님께서 온라인 게임에서의 랜덤 박스를 온 디바이스 기밀 컴퓨팅의 사례로 들고 말씀하셨는데, 최근 게임에서 랜덤 박스, 확률형 아이템 등의 확률 정보를 명확히 공개해야 한다는 기사를 봤던 것이 기억나서 조금 더 주의 깊게 들었던 것 같아요. ㅎㅎ

Panel Discussion

마지막 강연을 마치고, AI 보안 기술 경진대회(AIxCC)에 참여한 연구원들과 함께하는 패널 토의가 진행되었어요.

Closing Remarks

패널 토의가 끝나고 나서, 삼성 리서치 황용호 상무님의 클로징 멘트를 끝으로 행사가 마무리되는 듯했으나...

행사 마지막에 럭키 드로우가 준비되어 있었어요!

 

명찰에 표기되어 있던 럭키 넘버의 끝 4자리로 추첨을 진행했는데 아쉽게도 저는 하나도 당첨되지 못했답니다.. 😢

---

이렇게 처음 삼성전자 서울 R&D 캠퍼스에 방문해서 여러 강연을 들었는데 정말 이해하기 어려운 강연도 있었으나, 관심 있는 분야에 관한 강연도 들을 수 있어서 좋았던 것 같아요.

 

정말 지식의 폭이 넓어지는 것 같았습니다!

 

 

오늘 글은 여기까지입니다. 읽어주셔서 감사합니다. :)

 

 

"본문 중간에 등장한 갤럭시 Z 폴드6는 삼성 멤버스로부터 무상으로 대여받았습니다."