AI보안 세계최고 김태수 조지아텍 교수 "한국, 보안산업 더 커져야"
AI보안 분야 세계적 석학인 김태수 미국 조지아텍 컴퓨터공학과 교수가 5년간의 삼성전자 근무를 올해 마치고 미국으로 돌아간다. 2021년 4월, 김 교수는 삼성리서치 보안팀 담당임원으로 스카우트, 당시 삼성전자 최연소 임원이라는 타이틀을 달며 큰 화제를 모았다. 그의 전공은 시스템 보안(systems Security), 컴퓨터 운용체계(Operating systems), 프로그래밍 언어 및 분산 시스템(Programming Languages & Distributed systems)으로 특히 OS 보안 분야에서 세계 톱티어 연구자로 꼽힌다. 특히 김 교수는 지난 8월 미국 방위고등연구계획국(DARPA,Defense Advanced Research Projects Agency)이 라스베이가스에서 개최한 세계 최고 AI기반 해킹 방어 대회 'AI 사이버 챌린지(AIxCC, AI Cyber Challenge)'에서 한국인을 포함한 다국적팀인 '아틀란타(Atlanta)' 팀을 결성, 영예의 우승(1위)을 차지, 세계 최고 AI보안 학자임을 다시 한번 입증했다. 지디넷코리아는 최근 김 교수를 삼성전자 연구소가 있는 서울 강남 우면도 한 카페에서 인터뷰했다. 김 교수가 우승한 'AI 사이버 챌린지'는 DARPA와 미국 보건첨단연구계획국(ARPA-H)이 공동 주관했고 오픈AI, 마이크로소프트(MS) 등 글로벌 빅테크가 후원, 무려 2년간 경연을 펼쳤다. AI 기반 CRS(Cyber Reasoning system)를 활용해 소프트웨어의 보안 취약점을 자동 분석·탐지·수정하는 능력을 겨뤘다. 평가는 ▲취약점 찾기 ▲버그 리포트 평가 ▲소프트웨어 패치 생성 등 세 기준으로 했고, 아틀란타 팀은 우승으로 400만 달러를 받았다. 김 교수는 본인이 가르친 제자들을 중심으로 '아틀란타' 팀을 꾸려 우승했다. AI보안 분야에서 세계 최고임을 다시 한번 입증한 것이다. 김 교수는 1985년생이다. 대구 과학고를 거쳐 KAIST에 2003년 들어가 2009년 전기 및 전자공학부로 졸업했다. 중간에 군 복무를 마쳤다. KAIST 졸업후 미국 매사추세츠공과대학(MIT)에서 전자공학 및 컴퓨터과학 석사(2011년)와 박사(2014년) 학위를 받았다. 5년만에 석박사를 마쳤다. 박사 학위 후 조지아텍 조교수로 부임, 현재 정교수로 일하고 있다. 조교수, 부교수를 거쳐 정교수가 되려면 보통 12년 걸리는데, 김 교수는 8년만에 정교수가 됐다. 김 교수는 내년부터 미국에 머물며 빅테크 회사서 풀타임으로 근무할 예정이다. 김 교수의 조지아텍 랩 소속 연구원 6명 모두가 함께 일할 예정이다. 우리 정부는 큰 돈을 들여 해외 AI석학을 한국에 스카우트하려 한다. 이와 관련해 한 마디 해달라 하자 "환경 개선을 말하곤 하는데, 모호한 듯 하다. 뭘 어떻게 개선해야 하냐면, 산업 전반이 확대되고 향상(improve) 돼야 한다. 선진국은 산업이 어떻게 하면 자생할 수 있을지를 고민한다"면서 "똑똑한 사람들이 이공계를 안가고 의대를 간다고 하는데, 의대에 똑똑한 사람들이 가면 나쁘지 않다. 의사들이 똑똑하면 좋지않나. 문제는 공대를 가고 싶음에도 불구, 사회적 분위기에 떠밀려 의대를 가는 것"이라며 사회적 풍토와 문화를 지적했다. 김 교수가 처음 컴퓨터를 접한 건 중학교 영재반에서 였다. "나라의 도움을 많이 받았다"는 그는 "중학교때 영재로 뽑혀 경북대에서 주말마다 영재 교육을 받으며 이때 컴퓨터를 배웠다"고 말했다. 당시 그를 가르친 경북대 교수와 지금도 소통하고 있다고 귀뜸했다. 고등학교는 대구 과학고를 나왔다. 보통의 과고 학생들이 그렇듯이, 그도 과고를 2년만 다니고 바로 KAIST에 입학(2003년)했다. 당시 KAIST는 1학년은 전공이 없는, 무전공이던 때다. 2학년때부터 전공을 택했다. 김 교수는 전자를 전공으로, 전기를 복수 전공했다. 군 복무와 KAIST를 졸업하고 MIT에서 석박사를 마쳤다. MIT에서 그의 지도 교수는 컴퓨터 보안 분야 석학 니콜라이였다. 김 교수는 "보안을 접근하는 두 가지 어프로치(approach, 접근)가 있다. 하나는 리액티브(reactive)고, 또 하나는 프로액티브(proactive)다. 리액티브는 사고가 발생한 뒤 대응하는 방식이다. 버그는 존재한다, 공격(attack)은 일어난다, 그러면, 일어났으면, 어떻게 대응해 리커버리(recovery)하는 게 리액티브 방식이다. 프로액티브(proactive)는 사고가 발생하기 전 위험을 예측하고 예방하는 것"이라면서 "내 논문은 리액티브 어프로치를 택하고 있다"고 설명했다. 이야기를 지난 8월 DARPA가 개최해 우승한 'AI 사이버 챌린지'로 돌렸다. 당시 이야기를 들려달라고 하자 "한국에서 생각하는 것보다 엄청 큰 대회다. 비용으로 5000만달러, 우리나라 돈으로 약 700억 원이 들어간 대회다. DARPA가 "우리가 못 푸는 문제가 뭐냐? "어떻게 하면 풀 수 있냐?"는 화두를 던지며 2년간 개최한 것"이라며 "AI를 활용해 proactive한 보안 솔루션을 만드는 챌린지였다"고 해석했다. DARPA는 2004년 3월 무인자율차 챌린지(DARPA Grand Challenge)를 세계 처음으로 개최하는 등 '문 샷' 프로젝트를 세계에서 가장 먼저 개최하기로 유명하다. 이번 'AI 사이버 챌린지'도 세계서 처음으로 개최했고, 올해 한번만 개최, 내년에는 개최하지 않는다. 이후 싹은 산업계서 키우라는 거다. 김 교수가 결성한 '아틀란타' 팀은 총 35명으로 이뤄졌다. 이들의 국적은 한국, 미국 등으로 연합 국제팀이다. 공통점이 있다. 대부분 조지아텍과 관련이 있고, 김 교수 제자들이라는 점이다. 당시 김 교수는 삼성전자에도 속했는데 아틀란타 팀에는 삼성전자 소속도 10여명 있었다. 우리나라 학계에서도 그의 제자인 KAIST 윤인수 교수와 포항공대 교수 2명이 아틀란타 팀의 멤버였다. 김 교수는 MIT에서 박사 학위를 받고 바로 2014년에 조지아텍 교수(조교수)가 됐다. 그의 나이 만 29세였다. 주머니속 송곳이라고, 김 교수는 조지아텍에서도 도드라졌다. 보통 조교수에서 부교수 되는데 6년, 부교수에서 정교수 되는데 6년, 이렇게 정교수 되는데 12년이 걸린다. 김 교수는 8년만에 조교수에서 정교수가 됐다. '보통'보다 4년(부교수 1년, 정교수 3년)을 앞당긴 것이다. 김 교수는 의미를 둔다고 하지 않았지만, 조지아텍 사상 한국인 교수로 가장 빨리 정교수가 된 케이스로 보인다. 김 교수는 조지아텍이 보안 학과를 세계서 처음으로 만들었고, 이 분야 세계 최고라고 말했다. 실제 세계 대학의 컴퓨터과학(CS) 순위를 보여주는 CS랭킹(CSRanking)을 보면 조지아텍이 1위(교수 28명), 퍼듀대가 2위(교수 23명), 일리노이대가 3위(교수 24명)에 올라와 있다. AI처럼 보안 분야에는 세계적 학회가 4개 정도 있는데 김 교수는 "이들 4개 학회 모두 우리가 케어하는 학회"라면서 "보안 분야에서 조지아텍이 (세계서) 제일 잘한다. 압도적으로 1등이다"고 말했다. 김 교수는 약 10년간의 교수 생활 중 30~40편의 논문을 썼다. 이중 제일 애정하는 논문은 최근 아카이브에 올린 것으로, DARPA의 'AI 사이버 챌린지' 우승에 관한 테크니컬 리포트다. 이 논문은 아카이브에서 '팀 아틀란타'를 치면 검색할 수 있다. AI공격과 AI방어에 대한 일종의 '세계 최고 교본'인 셈이다. 김 교수는 "이번에 올린 테크니컬 리포트는 5년후 우리 일상에 들어올 것"이라고 예상했다. 그가 우승한 'AI 사이버 챌린지'에서는 한국에 사무실이 있는 티오리도 3위를 했다. 김 교수는 티오리에 대해 "우리 학생들이 티오리에 가고, 티오리 사람들이 우리 학생으로 오기도 한다.티오리도 세계 최고 수준"이라고 평했다. 김 교수는 창업에 대한 의지는 없을까. "사실 저도 창업을 한 적이 있다. 학생들이 자기 주도권을 가지고 사업을 하면 더 잘한다. 하지만 (나는) 창업보다는 연구가 적성에 맞는 듯 하다"며 미소 지었다. 김 교수 제자 중 상당수도 창업에 뛰어들어 회사를 운영하고 있다. 젤릭(Zellic)이라는 보안 회사가 대표적이다. 그는 박사 졸업생만 50명 정도 배출했다. 이중 한국에는 10명 정도가 있다. 포항공대 교수 2명, KAIST 교수 1명, 서울대 2명 등이다. 그의 나이는 이제 만 40이다. 40대는 지적으로, 육체적으로 한창이다. 그는 앞으로 얼마나 더 발전할까. "지금 제일 관심있는 건, 내년부터 빅테크에서 근무하는 것"이라면서 "우리가 하고 있는 일을 글로벌하게 디플로이 하는 데 제일 관심이 쏠려있다"고 말했다. 창업 경험도 있고, 후학들을 위해 한마디 해달라고 하자 "무슨 분야에 탤런트가 있는 지 본인들이 조금 더 일찍 알면 좋겠다. 해커의 길을 갈 수도, 창업의 길을 갈 수도, 조금 더 챌린지(도전)한 걸 하고 싶다면 아카데미(학계)에 갈 수도 있는데, 자기 선택의 문제인 것 같다"면서 "우리는 해킹을 학교에서 가르치지 않나. 어떻게 하면 해킹을 좀 에듀케이션하게 가르칠까 하는데, 빨리 자기 재능을 파악해 그 쪽에 집중하라고 한다. 이 게 짧은 시간에 일어나는 액티버티(activity)가 아닌 것 같다. 5년, 10년해도 이 분야에서 1등 하기 힘들다"고 짚었다. 석박사 학생을 뽑는 기준을 말해달라고 하자 애터튜드와 전문성, 차별성 중 하나라도 특출한 사람을 원한다고 말했다. "내가 원하는 몇 가지 카테고리가 있다. 과톱이다, 그러면 이 사람의 성실도를 나타낸다. 지속성(persistent)이 있는 거다. 두번째는 엄청 잘하는 사람이다. 학과에서 1등 하려면 여러 가지를 잘 해야 한다. 그런 게 아니라 한 분야에서 탁월한 1등을 원한다. 학점이 0점이라도 상관없다. 이게 학과에서 1등 하는 것보다 더 어렵다. 또 하나는 우리랑 다른 사람, 엉뚱한 사람, 조금 하자(?)가 있더라도 이런 사람을 뽑는다." 한국의 사이버 발전에 대한 조언도 구했다. "연구 환경이 더 좋아질 가능성이 있어 보인다. 정부 차원에서 드라이브 하는 것도 중요하지만, 보안 인더스트리(industry, 산업)가 훨씬 커져야 할 것 같다"면서 "한국의 상위권 기업들은 내가 보기엔 조금 뒤처진 것 같다. 최신 보안, 최신 기술들을 어댑트(adapt, 수용)할 수 있는 인더스트리가 빨리 형성되면 좋을 듯 하다"고 제언했다. 이어 "보안하는 분들을 자유롭게 연구하게 해줘도 금세 따라간다. 그게 기업에 있는 분이든 아카데미에 있는 분이든, 자유롭게 연구할 수 있는 환경을 만들어 주는 게 제일 중요하다"고 덧붙였다.
