우리집 벽을 통해 누군가 내 사생활을 지켜보고 있다면? 이런 일이 실제할 수 있다는 걸 알려준 월패드 해킹 사고는 생활을 편리하게 만드는 스마트 기술이 철저한 보안 없이는 얼마나 위험해질 수 있는 지 경각심을 일깨우는 계기가 됐다. 비단 월패드 뿐만 아니라 로봇 청소기에 달린 카메라로 집 안을 살펴보고, 냉장고 사용 빈도를 분석해 멀리 떨어진 가족의 안부도 확인할 수 있는 시대다. 이런 가전들이 더 많아지고, 서로 연결된다면 그만큼 보안 위협도 커질 수밖에 없다. 생활을 편리하게 만들어주는 제품들이, 자칫 내 사생활을 노리게 될 수도 있다는 얘기다.

삼성전자는 이런 제품과 서비스 간 연결에 가장 관심이 많은 회사다. 이 회사는 최근 자사 제품과 서비스는 물론 호환되는 외부 기기까지 유기적으로 연결해 고객 맞춤형 경험을 제공하는 '스마트싱스' 생태계를 새로운 경쟁력으로 내세우고 있다. 이렇게 연결고리가 많아질수록 개인정보 유출이나 사이버 침해 등 보안 사고에 더 예민할 수 밖에 없는 만큼, 삼성은 이를 방지하기 위한 기술력 확보에 총력을 기울이고 있다.

커지는 IoT 보안 위협…'방패'가 필요하다

23일 온라인으로 개최된 '제6회 삼성 보안 기술 포럼(SSTF)'에서 승현준 삼성리서치 소장(사장)은 "향상된 통신 네트워크와 스마트홈, 스마트시티 덕분에 IoT는 날이 갈수록 성장하고 있다"며 "이것이 바로 IoT 보안에 대한 고려가 무엇보다 중요한 이유"라고 밝혔다.

승 사장은 "우리의 일상을 안전하게 만드는 열쇠는 바로 우리가 사용하는 제품을 위한 신뢰할 수 있는 기반을 구축하고 제품들 사이의 안전한 통신을 가능하게 하는 데 있다"며 "삼성은 온라인 서비스부터 하드웨어, 소프트웨어에 이르는 모든 층위의 모든 제품에 대해 최첨단 보안 기술을 갖추기 위해 노력하고 있다"고 강조했다.

특히 그는 "IoT 보안에 대한 위협은 그 규모가 막대하다"고 강조했다. 과거 '미라이봇넷'과 '워너크라이' 랜섬웨어는 수십억개의 IoT 제품을 위협했고, 이처럼 영향을 받는 제품 수 자체가 막대하기 때문에 위협을 검사하고 대처하는 것이 현실적으로 매우 까다롭다는 지적이다.

승 사장은 "한 가지 매우 중요한 방어선은 하드웨어 신뢰점을 사용해 공통적이고 믿을 수 있는 기반을 구축하는 것"이라며 "삼성은 '녹스 볼트 프로세서'로 이를 실현하고 있으며 '엑시노스' 애플리케이션프로세서(AP)와 긴밀하게 정합된 이점을 가지고 있다"고 설명했다.

이어 "제품의 수만이 문제가 아니라 수많은 위협과 공격으로 사람의 분석만으로 해결할 수 있는 한계를 이미 크게 넘어섰다"며 "따라서 삼성은 보안 취약점을 제거하기 위해 자동화된 도구와 기술을 개발 중으로, '소프트웨어 퍼징'이 일례"라고 말했다. 퍼징이란 무작위로 데이터를 입력해 예외 오류를 발생시킨 후 취약 원인을 분석하는 테스트를 말한다.

마지막으로 승 사장은 사용자 경험 측면의 보안에 대해 강조했다. 예컨대 미라이봇넷은 잘 알려진 기본 설정 패스워드들을 단순히 이용하는 것만으로도 IoT 장치에 접근할 수 있었다. 그는 "이런 문제는 보안을 염두에 두고 설계된 엔드-투-엔드(End-to-End) 사용자 경험을 제공함으로써 방지할 수 있다"며 "고객에게 완벽하고 안전한 경험을 제공하기 위해 '스마트싱스'를 통해 이러한 전략을 추구하고 있다"고 설명했다.

집 안에서도 늘어나는 '연결'…사생활을 지켜라

황용호 삼성리서치 삼성리서치 시큐리티&프라이버시 팀장(상무)은 "삼성전자는 고객의 사생활을 가장 우선적으로 생각하고 있다"며 "삼성의 단말과 서비스를 통해 이뤄지는 모든 경험에서 안전하고 신뢰할 수 있는 개인정보보호를 제공하기 위해 노력하고 있다"고 강조했다.

삼성전자의 사생활 보호는 '초이스(Choice)', '트랜스페어런시(Transparency)', '프로텍션(Protection)'의 3가지 원칙을 기본으로 삼고 있다. 사용자가 무엇을 보고 있는지, 남들이 추적하거나 알지 못하도록 정보에 누가 접근했는지 투명하게 알려주고, 맞춤형 보호 기술을 통해 사용자의 정보를 안전하게 지켜준다는 것. 삼성 제품에는 이런 원칙을 기반으로 다양한 사생활 보호 기능을 탑재하고 있다.

황 상무는 "사생활 노출의 걱정을 없애주기 위해서 카메라나 마이크를 사용 중에는 인디케이터를 통해 알려주고, 헬스와 같이 민감한 데이터는 녹스 플랫폼을 이용해 암호화되어 안전하게 관리한다"며 "AI 비서 '빅스비'는 사용자가 부를 때만 깨어나고 사용자의 음성은 누구와도 공유하지 않는다"며 "AI 로봇청소기 '제트봇'을 통한 홈 모니터링 서비스는 모든 데이터가 엔드-투-엔드로 암호화되고, 모니터링 기기의 라이트를 통해 사용자들한테 기능이 켜져 있음을 알려준다"고 설명했다.

이어 "더 강한 개인정보보호를 위해서 삼성인터넷에서는 사용자가 인터넷 사용 시 당신의 정보를 추적하지 못하도록 해주는 기능을 제공하고 있다"며 "개인정보 보호에 대한 설정과 맞춤 광고를 위해 본인이 직접, 그리고 쉽게 설정할 수 있도록 제공하고 있고, 개인정보 관리 사이트를 통해 사용자들의 데이터를 직접 안전하게 관리할 수 있다"고 덧붙였다.

사생활 보호는 강력한 보안 기술에서 시작된다

삼성의 선행 기술 연구조직인 삼성리서치는 이런 개인정보보호를 위한 다양한 보안 기술을 개발하고 있다. 대표적인 사례가 삼성의 자체 보안 플랫폼 '녹스다'

황 상무는 "삼성에서는 '녹스'라는 강력한 보안 기술을 기반으로 제품과 서비스를 보호하고 있다"며 "녹스 솔루션은 하드웨어부터 각 레이어에 강력한 보안 기술들을 적용하고 있다, 제품의 설계 단계부터 제품이 출시할 때까지 각 단계의 철저한 보안 프로세스를 통해서 관리하고 있다"고 설명했다.

삼성전자는 강력한 보안과 사용 편의성이 공존할 수 있도록 데이터 관리, 사용자 인증, 취약점 제거 등을 위한 다양한 선행 기술 연구를 지속하고 있다고 강조했다. 

황 상무는 "운영체제(OS)나 플랫폼의 안전한 실행을 제공하는 '컨피덴셜 컴퓨팅' 기술이 기존에는 클라우드 기반으로 연구가 수행되고 있었지만, 삼성리서치에서는 디바이스 내에서도 동일한 보안을 지원할 수 있도록 하기 위한 선행 연구들을 지속적으로 수행하고 있다"며 "또 오픈소스의 취약점을 검사하고 걸러주기 위한 자동화 기술들을 수년간 연구개발해 반영해 오고 있다"고 말했다. 이어 "더 안전하고 강력한 보안 테스팅을 지원하기 위해서 퍼징 테스트를 자동으로 수행할 수 있는 기술을 개발했다"며 "해당 기술은 보안 분야 최고 학회인 'IEEE 시큐리티&프라이버시'에 게재될 예정"이라고 덧붙였다.

황 상무는 "지속적으로 최고 수준의 보안을 제공하기 위해 외부 전문가들과 소통하며 최신의 보안 기술을 적용하고 있고, 지속적인 선행 연구를 통해 최신 보안 기술들을 선도하고 있다"며 "이런 노력을 더 적극적으로 소통하기 위해 홈페이지에 '시큐리티 엔 프라이버시'라는 페이지를 새롭게 추가해서 전달드릴 예정"이라고 말했다.

남도영 기자 hyun@techm.kr