ARM, 사이버 보안: 풀숲에서 호랑이 울음소리가 들리십니까?

기술 발전이 가져온 파괴적 혁신, 범죄 세력의 위협은 더욱 거세진다 오늘날 우리는 역사상 그 어느 때보다 강력한 기술의 시대를 살고 있습니다. 연결성, 디지털화, 그리고 첨단 기술은 개인의 영향력을 극대화하여, 불과 10년 전만 해도 상상할 수 없었던 규모와 속도로 사회의 판도를 뒤흔들고 수십억 명의 삶을 변화시킬 수 있게 되었습니다. 적절한 '버튼'만 누르면 개인의 아이디어, 의견, 제품이 실시간으로 전 세계 인구의 절반 이상에게 확산되고 글로벌 행동 양식을 즉각적으로 변화시킬 수 있습니다. 과거 왕이나 대통령조차 갖지 못했던 이러한 힘은 이제 개인의 손에 쥐어졌습니다. 이러한 '힘의 증폭기'들은 개인을 그 어느 때보다 강력하게 만들었으며, 이제는 단 한 명의 해커와 신중하게 배치된 랜섬웨어만으로도 한 국가를 마비시킬 수 있는 시대가 도래했습니다. 과거에는 이러한 목표를 달성하기 위해 막대한 자산, 자원, 그리고 군대까지 필요했지만, 오늘날에는 정교해지는 사이버 공격의 비용과 노력이 거의 제로에 가까워지고 있습니다. 조직을 마비시키는 데 드는 비용이 사탕 한 개 값보다 적어질 수도 있다는 것입니다. 이는 자동화 및 자율 시스템의 영향력을 논하기 전의 이야기입니다. 연결성이 더욱 보편화되고 유용성이 증대될수록 이러한 상황은 더욱 악화될 것이며, 사이버 보안이 전 세계적으로 최우선 과제가 되는 것은 당연한 결과입니다. 하지만 사이버 보안에 대한 집중이 지나치면 모든 것이 무기화되거나 취약해질 수 있다는 사실을 간과하기 쉽습니다. 따라서 자산과 인력을 보호하기 위해서는 '심층 방어(defense-in-depth)' 접근 방식이 필수적입니다. 아무리 강력한 데이터 센터를 갖추고 있더라도, 현실 세계에서는 불도저, 지역 전력망 지도, 그리고 화염병 하나로도 모든 것을 파괴할 수 있기 때문입니다. 범죄 지하 세계의 부상 세계 최고의 혁신 커뮤니티를 떠올릴 때, 우리는 실리콘밸리나 영국의 케임브리지를 생각할 것입니다. 하지만 범죄 지하 세계를 떠올릴 사람은 드물 것입니다. 그러나 Napster가 상업적 음악 공유 플랫폼에 영감을 주었고, 우리를 보호하기 위해 설계된 암호화 시스템이 무기화되었으며, 딥페이크(Deepfake) 기술이 등장한 것처럼, 이러한 혁신들은 범죄자들의 독창성에서 비롯되었습니다. 연간 6조 달러, 즉 세계 GDP의 7%에 달하는 수익을 올리는 것으로 추정되는 범죄 조직들은 20년 이상 두 자릿수 성장을 기록해 왔습니다. 이들은 앞서 언급한 힘의 증폭기들에 의해 더욱 강력해졌으며, 수조 달러를 투입한 세계 최강대국들의 해체 시도에도 전혀 흔들리지 않고 있습니다. 현재 마피아나 다크웹 마켓플레이스인 Hydra와 같은 일부 범죄 기업은 합법적이라면 각각 2,480억 달러와 450억 달러의 수익을 올리며 세계 5위 및 67위 기업에 해당할 정도입니다. 특히 일부 사업 분야는 세 자릿수 성장률을 기록하고 있으며, 랜섬웨어 운영 수익만 연간 3,500억 달러를 넘어서고 있습니다. 사이버 범죄 시장 전체 규모는 1조 달러를 넘어서며, 만약 이들이 상장 기업이었다면 시장의 '황소'가 되었을 것입니다. 전 세계적으로 이들 범죄 조직은 차세대 해커와 사기꾼을 양성하는 학교를 운영하고, DDoS, 멀웨어, 랜섬웨어, 제로데이 익스플로잇(zero-day exploit) 등을 서비스로 판매하며, 공격 실행에 어려움을 겪는 이들을 위해 다크웹 지원 데스크까지 운영하고 있습니다. 이 모든 것이 수수료를 받고 이루어집니다. DNA에 멀웨어를 인코딩하여 유전자 시퀀서가 분석할 때 결과 데이터가 컴퓨터를 제어하는 프로그램이 되도록 해 경찰 법의학 실험실을 해킹하는 것은 더 이상 공상 과학 소설이 아닙니다. 실제로 일어난 일입니다. 엑스레이 영상의 단일 픽셀 조정으로 말기 암 환자에게 완치 판정을 내리거나 의료 사기 목적으로 임상 시험 결과를 조작하는 적대적 공격(adversarial attacks)도 마찬가지입니다. 또한, 정지 표지판에 스티커를 붙여 자율주행 차량이 교차로를 통과하도록 유도하는 공격이나, 근적외선을 이용해 회사 사무실 창문을 통해 데이터를 빼내는 드론에 폭발물을 장착하는 공격도 존재합니다. 딥페이크 기술이나 민주주의를 약화시키거나 기업 주가를 폭락시켜 범죄자들이 저가에 매수하고 고가에 매도할 수 있도록 하는 허위 정보 캠페인은 아직 언급하지도 않았습니다. 또한, 검증된 트위터 계정을 해킹하여 암호화폐 사기를 홍보하거나, 클라우드 인스턴스 또는 스마트 냉장고를 해킹하여 암호화폐를 채굴하게 하는 행위도 일상화되고 있습니다. 이보다 더 나아가, 산업 플랜트의 센서 판독값을 조작하여 폭발을 유발하거나, 클라우드에서 독점 AI 시스템 및 사이버 보안 소프트웨어 자체를 역공학하고, X선 리소그래피를 사용하여 컴퓨터 칩을 역공학하는 범죄자들도 있습니다. 이들은 음성을 포함한 개인의 생체 데이터를 복제하여 기업으로부터 거액을 갈취하는 데 사용하고 있으며, 최근 익명의 유럽 에너지 기업으로부터 25만 달러 이상을 갈취하기도 했습니다. 너무 늦었나? 미래는 더욱 충격적인 시나리오를 예고하고 있습니다. 이미 차고에서 NMR(핵자기 공명) 양자 컴퓨터를 제작하는 범죄자들(이들의 발전된 버전은 4,096비트 암호화와 비트코인 지갑을 몇 시간 안에 해독할 수 있습니다)부터, 이식형 의료 기기에 멀웨어를 심어 사람들의 생명을 담보로 금품을 요구하는 사례까지 등장하고 있습니다. 이는 시작에 불과합니다. '호기심'을 가지고 문제를 해결하는 개방형 AI 시스템과 기업 방어를 탐색하고 인간 해커보다 수백만 배 빠르게 자체 익스플로잇을 개발 및 진화시킬 수 있는 로보 해커, 자율 다형성 멀웨어, 그리고 치명적인 천연두 바이러스와 유사한 바이러스(예: 극도로 전염성이 강하고 멸종되었던 천연두의 사촌인 말(Horse Pox) 바이러스)를 재현하기 위해 합성 생물학 도구를 사용하는 것 등이 있습니다. 특히 후자의 위협은 캐나다 연구자들이 10만 달러와 우편 주문 DNA를 사용하여 해당 바이러스를 '복원'하면서 현실화되었습니다. 세계보건기구(WHO)는 이와 관련하여 "[이것]은 특별한 생화학적 지식이나 기술, 상당한 자금 또는 시간을 필요로 하지 않았다"고 보고했습니다. 우리 사회와 존재 자체를 위협하는 새로운 방법을 고안하는 데는 아이디어가 부족하지 않지만, 해결책을 찾는 데는 종종 너무 늦거나 부족합니다. 이는 2017년 40명의 세계적인 전문가들이 애리조나 주립대학교에서 비공개로 '둠스데이 게임(Doomsday Games)'을 진행했을 때 명확히 드러났습니다. 미래의 위협에 대한 브레인스토밍에서는 세계 최고의 SF 작가들과 어깨를 나란히 했지만, 이러한 위협에 대응하기 위한 해결책 설계에 대한 질문에는 블룸버그 보도에 따르면 "별로 좋지 않았다"고 답했습니다. 긍정적인 측면 사회는 새로운 기술로부터 큰 혜택을 얻지만, 부정적인 측면 역시 그만큼 강력할 수 있으므로 우리는 경계를 늦추지 않고 다가올 위협에 대비해야 합니다. 인간이 가진 가장 큰 장점은 잘 다듬어진 '투쟁-도피(fight-or-flight)' 반응입니다. 이것이 우리가 종으로서 번성할 수 있었던 이유입니다. 이는 풀숲에서 나는 바스락거림이 잠재적인 포식자일 수 있음을 빠르게 인지했던 먼 조상들로부터 시작되었습니다. 오늘날 사이버 보안의 영역에서 우리는 풀숲 속 호랑이의 울음소리를 그 어느 때보다 크게 듣고 있으며, 이는 우리에게 '단결하여 싸우라'는 행동 촉구를 보내고 있습니다. 2021 Arm Security Manifesto를 읽어보십시오. 제3회 Arm Security Manifesto는 오늘날의 위협 환경을 조사하고 지난 4년간 업계가 이룬 엄청난 발전을 자세히 설명합니다. 지금 읽어보기.