해외에는 많지만 국내에서는 몇 없는 사이버보안 콘퍼런스가 있길래 바로 확인했다.
티오리에서 직접적으로 컨퍼런스를 주최했기 때문에
현재 DreamHack에서 문제를 풀고 공부를 하는 나로서는 더할 나위 없는 기회였다 그래서 바로 신청하였다.
대학생은 금전적으로 많이 배려를 해주었다. (직장인 : 20만 원 , 학생 : 1만 원)
일정표를 봐보면 다들 정말 포스가 많이 느껴진다.
누가 봐도 잘하는 분들만 있는 거 같다.
발표에 대한 이해는 100%는 못하더라도 한 번은 꼭 가야 된다고 생각했다.
티켓을 성공적으로 구해서 서울 코엑스 아셈볼륨으로 왔다.
삼성역에서 10분 정도 걸으면 바로 있다.
이 정도면 굉장히 가까운 수준이다.
아셈볼륨으로 들어가면 High Five 2024라고 HR컨퍼런스를 따로 한다고 한다.
일단 아셈볼륨 2층으로 오라고 했으니 2층으로 가보았다.
친절한 표지판
미리미리 성격 탓에 너무 일찍 도착해서 많이 대기를 했다.
콘퍼런스에 시작을 알리는 것은 주최 측인 티오리의 CEO 박세준 님이었습니다.
발표 내용 중에서 제일 깊게 들었던 내용들은...
클라우드 침해의 급증
발표의 중심적인 내용을 말한다면 최근 12개월 동안 클라우드 침해가 75% 증가하였고 현재에도 가속도가 붙고 있다는 점 그리고 새로운 기술[인공지능, 블록체인, IoT] 들이 개발되면서 현재에도 많은 취약점들이 있지만 새로운 취약점들이 발생하고 있다는 점 그리고 그로 인한 데이터 침해의 평균 피해금액은 계속 증가하고 있다고 한다.
윤리적 해킹의 필요성 강조
이러한 상황에서 윤리적 해킹의 중요성을 이야기하셨다. 윤리적인 해킹은 사이버 공간을 더욱 안전하게 만들기 위해서 시스템의 취약점을 찾아내고 개선하고 해킹의 긍정적인 가치와 사회적 기여도를 높이는 것을 말씀하셨다.
사이버보안 진입장벽과 정부 지원
하지만 지금 현재 마음의 걸리는 점이 있다고 하면 '사이버보안에 대한 진입장벽' , '정부의 지원'을 말씀하셨다. 사이버보안 분야에 진입하기 위해서 컴퓨터공학, 컴퓨터과학에 대한 기초 지식이 필수로 요구하여 이는 진입장벽에 높이는 요인이 된다 또한 현재 사이버보안에 대한 정부의 지원 그리고 법적 개정이 충분하지 않다는 느낌이 있으시다고 했다 그래서 정부의 적극적인 지원과 법적 개정이 이루어져야 보다 안전한 사이버 환경을 만들 수 있을 거 같다고 하셨다.
이것 말고도 더욱 영양가 있는 말씀을 많이 하셨는데 더 필기를 잘해놓을걸 그랬다.
다음 발표는 삼성 SDS 통합보안센터에서 근무하시는 분 께서 AI 서버스에 대한 보안성 문제를 다루었습니다.
프롬프트 주입 공격의 대한 취약점
AI에 대한 공격 중 프롬프트 주입 공격(Prompt injection)에 대해서 말씀하셨습니다. 이것은 공격자가 AI 모델에 특정 명령이나 데이터를 주입하여 모델을 이용해서 민감한 정보를 유출시킬 수 있다. 이러한 공격을 통해서 공격자는 AI 모델의 정책, 모델에 대한 제한사항, 기능에 대한 정보를 노출시킬 수 있다고 했습니다.
AI 모델 변조와 내부 시스템 공격
AI 모델의 변조 가능성과 내부 시스템 공격에도 초점을 두셨습니다 실제로 AI 모델에 대한 제약사항을 물어보고 이를 악용할 수 있는 가능에 대해 말씀해 주셨습니다 내부 연계 시스템과 API를 통해서 공격이 이루어질 수 있으며 이는 전체 시스템의 보안성을 위협하는 요소 중요한 취약점이 될 수 있다고 하셨습니다.
AI 시스템의 안전 필터 필요성
AI 시스템의 안전성을 강화하기 위해서는 AI 자체에 안전 필터(Safety Filter)가 필요하다고 했습니다. 안전필터의 중요성을 설명하면서 그것에 대한 필터 우회 방법도 같이 연구했다고 했습니다. (필기를 많이 못함 ㅠ)'
어찌어찌해서 오전발표가 마무리되었다.
모든 발표에 대한 내용을 전부 다 필기를 할 수가 없었다.
아직 원리를 모르기도 한 부분에 대한 발표도 있었고 좀 더 공부해야겠다고 생각이 들었다.
(다들 너무 똑똑하시고 아는 게 많으셨다 나만 빼고...)
일단 점심시간을 이용해서 다른 곳을 더 둘러보기로 했다.
점심시간 정도 되자 사람들이 급격히 많아지기 시작했다.
일단 드림핵 이벤트 하는 곳으로 찾아갔다.
게임에서나 하던 Lock Picking 체험할 수 있는 공간이었는데 게임으로 비교하면 이론은 어찌어찌 비슷해 보였는데 실제로 하니까 정말 어려웠다 (포기)
또 다른 드림핵 이벤트는 Speed Coding이라고 설명으로만 이루어져 있는 소스 코드 에디터에다가 빠르게 코딩을 하는 이벤트였다. 이것도 참여하려고 했더니 줄이 너무 길었다.
그렇게 사람 많은 곳을 피하고 그나마 회전율이 좋은 부스들을 방문했다.
MBTI 설문이랑 비슷한 과정을 통해서 자신의 전생에 어떤 호랑이(?) 이였는지를 하는 설문조사였다.
그렇게 계속 돌아다니면서 이벤트를 참여해 여러 증정품들을 얻을 수 있었다.
마지막으로는 기업 보안 수준 향상을 위한 실질적 제로트러스트 모델에 대해서 두 나무, 엔키, KISA 근무자 분들이 토론을 하는 시간을 가졌다.
일단 제로 트러스트(Zero Trust) 은 기본 원칙으로 신뢰하지 않는다 라는 걸 바탕으로 하는 모델이라고 할 수 있다.
내부, 외부 네트워크를 전체를 신뢰하지 않아 모든 접근 요청에 대해서 철저하게 검증하고 인증하는 과정이라고 할 수 있다.
주요 원칙으로는 Verify Always(항상 검증) , Least Privilege (최소 권한) , Micro-segmentation (마이크로 세분화) , MFA (멀티인증) 등이 있다.
이러한 장점을 통해 좀 더 향상된 보안성을 얻을 수 있다.
토론 과정에서는 제로 트러스트의 실효성, 실제 적용 방법, 기업과 기관들의 실제 적용했을 때 을 이야기 했다.
가장 감명 깊이 들었던 내용은 기업과 기관들의 제로 트러스트를 적용했을 때 현실적인 문제에 대해서다.
항상 검증, 최소 권한을 적용하면 좋긴 하지만 내부에서 같이 실무를 하는 다른 부서들한테 영향이 갈수도 있다고 말했다.
예를 들어 편의점에서 담배를 산다고 가정을 해보면 처음 살 때는 신분증 검사를 하여 자신이 성인이라는 걸 검증하지만 계속 같은 편의점을 가는데도 항상 신분증을 검사하는 편의점은 없지 않은가 만약 계속 신분증을 확인한다면(물론 이게 맞는 매뉴얼입니다.) 이러한 과정에서 부정적인 경험이 생길 수도 있지 않을까라고 생각한다.
그래서 사이버보안에서는 제로 트러스트가 좀 이슈라고 생각한다.
처음 컨퍼런스를 가서 그런지 다른 분들 발표를 전부 다 받아 적을 수가 없었다 애초에 모르는 부분을 발표하시는 분들도 많으셔가지고 공부를 좀 더 하고 다음 컨퍼런스에서는 다른 분들이 발표하실 때 이해가 되면서 필기 내용도 요약을 잘해 술술 써 내려갈 수 있도록 노력해야겠다.
긴 글 읽어주셨다면 감사하고 ~
갈만하다! 좋은 경험이었다!
'IT?' 카테고리의 다른 글
PHP Wrapper [LFI] (0) | 2024.03.14 |
---|---|
Cookie 란? (1) | 2024.01.30 |