한국 보안 대연합 캐노피 "곧 글로벌기업도 합류"
스스로 취약점을 찾아내고, 이를 토대로 공격 시나리오를 작성하는 등 인공지능(AI)발 보안 위협이 급부상한 시점에 공익 AI 보안 이니셔티브인 '프로젝트 캐노피(Project Canopy)'가 지난 17일 출범했다. 사단법인 프로젝트 플라즈마가 이니셔티브의 주축을 맡으며, 엔트로픽의 '글래스윙' 같은 글로벌 노력과 발맞춰 보안 여력이 부족한 공익 인프라의 방어력 강화에 나선다. AI 기반 취약점 탐지 기술 혜택을 오픈소스 생태계와 병원, 학교, 공공 유틸리티 등 민생 인프라 전반으로 확산하는 것이 목표다. 이날 기자를 만난 박 대표는 "전자정부표준프레임워크, 학교 내부 시스템, 리눅스 및 주요 데이터베이스 소프트웨어 등 공공성이 높지만 보안 투자가 상대적으로 어려운 소프트웨어를 대상으로 AI 기반 취약점 탐지 도구를 활용한 점검을 수행했다. 8000개 이상의 많은 취약점이 발견됐다"면서 "일부는 패치가 완료 됐으나 제보가 남아 있는 것들이 대부분이다. 패치하는데 상당한 시간이 소요된다. 패치가 완료되면 관련 내용을 공유할 수 있을 것"이라고 밝혔다. '캐노피'는 국내뿐 아니라 전 세계 다자 협력을 결합해 전 세계 글로벌 공익 표준 모델로 성장하겠다는 구상도 갖고 있다. 이니셔티브에는 초기 운영에 핵심 역할을 하는 주체인 스튜어드(Stewards) 그룹을 구성했다. 스튜어드 그룹에는 ▲두나무 ▲LG유플러스 ▲포스코DX ▲티오리한국 ▲한화손해보험 등이 포함됐다. 스튜어드 그룹 외 파트너 및 연구기관으로는 ▲광운대 ▲금융결제원 ▲롯데카드 ▲롯데이노베이트 ▲모두싸인 ▲무신사 ▲사람인 ▲삼성화재보험 ▲SK AX ▲LG전자 ▲NHN ▲우아한형제들 ▲정보통신기획평가원(IITP) ▲지엔터프라이즈 ▲코웨이 ▲하나카드 ▲한국투자증권 ▲현대자동차그룹 ▲현대카드 ▲이 외 비공개 3곳 등이다. 사단법인 프로젝트 플라즈마 이사이자 이번 프로젝트 캐노피의 위원장을 맡은 박세준 위원장은 17일 취재진과 만나 빠른 시일 내로 이니셔티브가 성과를 내고 보다 많은 기업들과 기관이 합류했으면 한다는 소망을 밝혔다. 다음은 박세준 위원장과의 인터뷰 내용. 박 의장은 "캐노피 세부 사항들을 살펴보면 아직 정해지지 않은 부분들이 많다. 그러나 미토스급 AI 모델이 추가로 공개되기 까지 수개월밖에 남지 않았다는 분석이 있다. 지금도 캐노피와 같은 이니셔티브가 작동하기에 늦었다는 생각이다. 사안의 시급성이 크기 때문에 생태계를 안전하게 만드는 것이 중요하다"고 강조했다. 이어 "캐노피가 성과를 더 많이 발굴하고 실효성이 증명 가능한 수준으로 발전하면서 더 많은 보안 기업, 파트너 기업들과 기관들이 참여하지 않을까 생각한다"고 덧붙였다. Q. 프로젝트명을 캐노피로 짓게 된 계기는? 제가 이니셔티브에 제안했던 이름이다. 앤트로픽의 프로젝트 글래스윙도 글래스윙이라는 투명한 날개를 가진 나비를 본따 지은 이름이다. 취약점을 발견하고 투명하게 운영하겠다는 의도로 보인다. 처음에는 글래스윙과 대비되는 이름을 짓고자 했으나, 앤트로픽 글래스윙의 목표는 상호 보완 모델을 만드는 것이다. 미토스(Mythos)가 모든 것을 처리할 수 없기 때문에 이니셔티브를 통해 더 많은 기업이 합류해야 한다고 강조했다. 이에 글래스윙에 응답하는 관점에서 포용적이고 포괄적인 이미지를 떠올리게 됐다. 글래스윙이라는 나비조차 포함할 수 있는 것이 숲이라는 것에서 착안했으며, 숲 내 생태계를 지키는 숲의 가장 위층을 이루는 나뭇가지와 잎이 우거져 하늘을 덮은 윗부분, 즉 캐노피를 떠올리게 됐다. Q. 프로젝트 플라즈마는 어떤 곳인지? 지난해 5월 만들어진 화이트해커 활성화를 지원하는 조직이다. 닷핵 컨퍼런스 등을 운영하고 있다. 공익적 목적을 가진 캐노피가 투명하게 운영되려면 비영리 법인이 필요했고, 주축이 민간 기업이 되지 않게끔 하기 위해 캐노피 운영을 맡기게 됐다. Q. 스튜어드 그룹 및 파트너의 역할은? 어떤 프로젝트를 우선적으로 검증하고 취약점을 발굴해야 할지를 의사결정할 필요가 있었다. 스튜어드 그룹이 이같은 의사결정을 담당하는 기구다. 예를 들어 아직 패치가 발표되지 않은 취약점을 캐노피에서 찾았을 경우 민감한 정보이기 때문에 의사결정이 필요하다. 또 취약점을 발견했는데 영향을 받는 기업에서 패치가 필요 없다고 했을 때 이를 공개할 것인지 말 것인지를 결정해야 하는데 이같은 의사결정을 하는 역할이다. 또한 이니셔티브의 실질적인 운영을 위해 기금 출연이 필수적인데, 인력이나 인프라, 현금 등을 실질적으로 지원하는 티어로 보면 된다. 디펜딩 파트너(Defending partner)로 명명한 캐노피 참여사들은 캐노피가 제공하는 플랫폼을 통해 캐노피가 찾은 취약점을 보다 빠르게 공유받을 수 있다. 또한 CVE(공개된 취약점)나 많은 기업 및 기관이 영향을 받을 수 있는 취약점에 대해서도 통합 제공받을 수 있다. 이 외에도 다른 기업에 캐노피의 성과를 확산하는 역할을 맡게 될 것이다. Q. 플랫폼은 무엇인지? 캐노피 플랫폼을 만들려고 한다. CVE나 중요한 취약점을 포털 형태로 제공하는 플랫폼을 준비하는 중이다. 사이트를 통해 볼 수도 있으며, API 연동을 통해 각 조직별로 시스템과 연동해 사용할 수도 있는 구조를 구상하고 있다. Q. 스튜어드 그룹을 보면 통신, 가상자산, 팩토리, 보안, 보험(금융) 등 분야별로 나뉘어 있다. 이렇게 분류한 특별한 이유가 있는지? 의도적으로 스튜어드 그룹을 분야별로 나눠 놓지는 않았다. 파트너 회사들에 스튜어드에 대한 제안했는데, 처음 출범할 때부터 선뜻 스튜어드로 나선 기업들이다. 공교롭게도 각 산업별 섹터에서 런칭 파트너로 합류하게 된 것이다. Q. 캐노피에는 기업에서 어떤 직무의 사람들이 참여하는지? 정보보호최고책임자(CISO)를 비롯해 보안 실무자, 담당자들이 참여한다. 이 외에도 캐노피 전담 팀을 구성하려고 한다. 운영사무국 사무장 1명이 조만간 합류할 예정이다. 또한 외부 화이트해커나 전문가들과도 협업 체계를 구성할 생각이다. 이를 통해 얼라이언스도 구축하고 더욱 공익적 성과가 확대되기를 기대한다. Q. 출범 시점에 합류한 기업 외에도 추가로 합류 논의가 오가는 기업이 있는지? 추가로 5~6개 조직이 합류 관련 논의가 진행 중이다. 출범식 이후 디펜딩 파트너들의 소개를 받은 많은 조직이 계속해서 합류할 것이라 예상한다. Q. 미토스 5, 페이블5에 대한 수출 통제 조치로 글래스윙에 합류하지 못하게 되는 시점에 캐노피가 출범하게 됐다. 나름의 반사효과를 기대하고 출범 시점을 조정했는지? 반사효과를 기대하고 특정 시점에 출범식을 가진 것은 아니다. 이전부터 준비를 해왔던 것이고 여러 보도가 나왔던 바와 같이 6월 중순으로 출범 시점이 정해져 있었다. 다만 반사효과가 나타나고 있는 것은 사실이다. 미토스를 원래 사용할 수 있었던 조직도 쓰지 못하게 된 상황에서는 캐노피의 출범 의미가 더 부각되는 점이다. 여러 협력체와 유기적으로 활동한다면 글래스윙과 달리 어느 한 조직이 사용할 수 없는 환경이 되더라도 이니셔티브는 지속될 수 있을 것이라 생각한다. Q. 출범식에서는 어떤 논의가 나왔나? 11월께 분과를 나눌 필요가 있다는 내용이 제기됐다. 금융이면 금융, 팩토리, 피지컬AI 등 각 산업군별로 더 치명적일 수 있는 취약점을 발굴하는 분과를 두면 더욱 효율성을 높일 수 있을 거라는 기대가 반영된 것으로 보인다. 다만 아직 구체적인 내용이 정해지지는 않았다. 향후 산업군이나 역량별로 특화된 분과가 생겨난다면 분과별 리더십을 발휘할 수 있을 거라는 기대감은 있다. Q. 취약점은 발굴뿐 아니라 발굴 이후 조치도 무엇보다 중요하다. 취약점을 패치하는 과정에서 캐노피가 지원하는 방안은? 기업에서의 패치 적용 전략 등을 공유할 예정이다. 캐노피는 취약점을 선별·분류한 이후 제보한다. 이후 패치를 직접 작성할 수도 있고 발표된 패치에 대한 검증을 할 수도 있으며, 패치를 적용하는 데 안내나 가이드라인을 제시할 수도 있다. AI로 취약점을 찾아내는 것은 쉬워진 것이 사실이다. 그러나 돈과 기술이 부족해 시대는 앞서가는 반면 취약점에 대응할 역량을 갖추지 못한 곳이 많다. 이 격차를 캐노피가 메워주려는 것이다. 질문처럼 취약점은 발굴 이후 조치가 무엇보다 중요한 것이 사실이다. 이에 더 많은 보안 기업들이 참여했으면 한다. 캐노피가 취약점을 발굴하는 기술을 갖고 있어도 취약점에 영향을 받는 자산을 식별하는 것이 필요한데, 이런 솔루션을 가진 기업이 있을 것이다. 또 공격이 있을 때 보안 정보 및 이벤트 관리(SIEM)으로 로그 정보를 모아 빠르게 판별하기 위해서는 로그 관리 솔루션이 필요할 수 있다. 캐노피의 가치를 증폭시키는 파트너가 절실하다. 캐노피가 모든 영역을 다룰 수 없고, 또 다 하는 것이 목적도 아니다. 따라서 많은 보안 기업들이 이니셔티브에 참가해줬으면 한다. Q. 캐노피 성과 확산을 위해서는 기관, 주무부처와의 협업도 중요할 것 같다. 정부와 캐노피 관련 얘기를 나눈 적은 없는지? 현재 정보통신기획평가원(IITP)은 연구사업 논의를 위해 이니셔티브에 합류했다. 정부 부처와 협업하면 성과 확산에 크게 도움이 되는 것은 사실이다. 실제로 정부 부처와 논의하 있는 내용이 있지만, 출범 초기인 현 시점에서 공개할 수는 없다. 향후 정부부처 및 기관과 시너지를 낼 수 있는 방향으로 발전하고자 한다. Q. 글로벌 공익 표준 모델로 발전하겠다고 했다. 글로벌 확산 전략은? 현 시점에 캐노피에 합류한 기업들 중 글로벌 기업은 없다. 이번에는 고의적으로 합류시키지 않았다. 아시아태평양, 글로벌로 나아가는 중심 축을 한국으로 잡고 싶은 마음에서다. 글로벌 파트너사와 실제 연락이 닿아 있는 상태다. 일본, 싱가폴, 대만 등 지역이다. 이미 이야기가 진행 중이며 향후 글로벌 기업의 합류 소식을 전할 수 있을 것이다. Q. 이니셔티브의 운영 주기가 있을 것 같은데, 임기 등 운영 주기는 어떻게 돌아가는지? 1년 주기를 생각하고 있다. 스튜어드 대표도 1년 임기로 설정했다. AI 시대에 긴 호흡을 가져가면 결코 기술의 발전을 따라갈 수 없다. 레퍼런스 발굴 사이클은 3개월로 설정하고 있다. 큰 변화를 주는 것은 1년, 성과 발굴은 3개월 주기라고 이해하면 될 것 같다. Q. 독립 파운데이션 모델(독파모)와 연계할 가능성은? 미토스 사태 이후 소버린 AI에 대한 관심과 필요성이 부각됐다. 기술 격차는 인정해야 하기 때문에 문제를 해결할 수 없을 때에는 프론티어 모델로 해결하되, R&D로 역랑을 키우는 방향을 구상 중이다. 미토스 사태가 던지는 메시지도 하나의 모델, 하나의 회사에 의존하기 어렵다는 것이다. 이에 독파모 기업들의 역량도 반드시 필요하다. 향후 정부나 공공 분야와 협업하게 된다면 캐노피 주도 하에 독파모 AI 기술을 활용하거나 사이버 보안에 특화된 무언가를 캐노피가 파생할 수 있지 않을까 생각한다. Q. 학교, 병원 등 민생 인프라 방어 프로그램의 대상이 되는 곳의 우선순위가 정해져 있는지? 우선순위 결정은 스튜어드 그룹에서 의결한다. 민생 인프라 방어 프로그램의 대상은 취약점이 치명도보다 대상이 얼마나 공격에 쉽게 당할수 있는지에 중점을 둔다. 단 캐노피의 철칙 중 하나는 파트너사가 최우선순위다. Q. 학계와 협업 계획은? 학교는 캐노피의 수혜를 받는 기관이자, 함께 연구개발을 진행할 수 있는 파트너이기도 하다. 실제 디펜딩 파트너로 광운대가 합류했는데, 교내 시스템의 취약점 점검과 더불어 연구를 함께 수행한다. 수혜를 받을지 연구를 함께할지 논의 중인 여러 학교가 있다. 캐노피의 세부 사항들을 살펴보면 아직 정해지지 않은 부분들이 많다"면서도 "그러나 미토스급 AI 모델이 추가로 공개되기 까지 수개월밖에 남지 않았다는 분석이 있다. 지금도 캐노피와 같은 이니셔티브가 작동하기에 늦었다는 생각이다. 사안의 시급성이 크기 때문에 생태계를 안전하게 만드는 것이 중요하다"고 말했다. 그는 "캐노피가 성과를 더 많이 발굴하고 실효성이 증명 가능한 수준으로 발전하면서 더 많은 보안 기업, 파트너 기업들과 기관들이 참여하지 않을까 생각한다"고 강조했다.
