CSK2025 : Cyber Summit Korea 후기

Cyber Summit Korea, CSK는 국가정보원 및 국가보안기술연구소가 주최한 행사이다.
이 행사에는 민·관 기술, 정책분야 관계자 및 전문가와 사이버 보안에 관심있는 일반참가자가 참가할 수 있어서, 이번에 처음으로 참가해보았다.
9.8.(월) ~ 9.11.(목)까지 총 4일간 코엑스에서 진행되었으며, 국제정보교류회의, APEX, 컨퍼런스, 전시·홍보, CCE 등의 행사가 진행되었다.

처음 출입 등록 데스크로 가면 이렇게 조형물이 전시가 되어 있었다.

일 때문에 화요일 컨퍼런스는 못듣고 수요일에 참석해서 강연과 홍보부스를 돌아다니며 보안 관련 회사들의 제품을 소개 받고, 궁금한 것을 물어보는 시간을 가졌다.

수요일 401호에서는 트랙1 : 신기술보안과 신뢰를 주제로 AI와 보안에 대한 컨퍼런스를 진행했다.

APEX

오전에는 APEX 훈련 강평이 있었다.
APEX란 2024년부터 시작된 한국주도의 국제사이버훈련으로 NATO의 Locked Shields 훈련처럼 전세계 사이버 안보 연대강화를 위해 각종 자산을 공격하는 레드팀, 레드팀과 블루팀의 인프라를 구축해주는 그린팀, 레드팀의 공격을 방어하고, 취약한 자산의 보안을 강화하는 블루팀으로 나뉘어 가상의 국가 간 분쟁 상황을 가정한 사이버 전쟁 시나리오를 바탕으로 실시하는 훈련이다.
이 훈련 강평은 훈련 참여자만 가능한 것으로 알게되어서 아쉽지만 듣지는 못했다.

이렇게 사진을 찍을 수 있는 부스가 있었다. 정말 많은 국가에서 왔는데 그 중 외국인과 잠깐 스몰토킹을 하기도 했다.

컨퍼런스

가장 큰 컨퍼런스 회의 장소였다. 사람도 많고, 방송장비도 많고, 실시간 녹화도 진행되고 있었다.

듣고 싶은게 많았는데 몸은 하나라, 가장 생소한 내용의 강연을 하는 트랙1 : 신기술 보안과 신뢰를 듣기로 했다.

첫번째 강연은 Atlantis: an Autonomous LLM-Powered Bug Finding and Fixing System으로, 올해 DEF CON 33에서 진행되었던 AIxCC(AI를 활용한 차세대 해킹 시스템 경연대회)에 참가하여 우승한 Team Atlanta의 KAIST 윤인수 교수님 강연이었다.
내용은 대회를 하면서 LLM 기반 Agent의 CRS(사이버추론시스템) 역량을 키우기 위해 어떤 노력을 했는지에 대한 기술적인 부분이 많았다.
이 강연을 통해서 AI 보안 자동화가 멀지 않았다는 것을 느끼게 되었다.

두번째 강연은 Samung SDS의 권영준 연구소장님의 Security of LLM and Agentic AI Systems 이었다.
LLM의 기본적인 구동 방식과 Prompt Injection, jailbreaking, data leak, generation of insecure code 등의 LLM이 불러올 수 있는 보안 상의 Risk를 설명하셨다.
또한 Agentic AI라는 수준이 한단계 더 올라간 AI를 소개하시며, OWASP Agentic AI Threat Model 등 발전된 AI에 대한 위협 모델을 말씀하셨다.
상당히 재밌는 주제였고, AI에 대한 공격, 그리고 이러한 공격에 대한 대비책은 어떤 것이 있고, 어떻게 조치하는지 궁금해지는 강연이었다.

오후의 세번째 강연은 국제 사이버 훈련에 대하여 NATO CCDCOE(사이버 방위센터) 소장 Tõnis Saar의 강연이 있었다.
Locked Shields 훈련 소개와 앞으로의 방향에 대한 내용을 들을 수 있었다.
이어서, NATO CCDCOE Locked Shields 사이버 훈련 책임자인 Dan Ungureanu와 캐나다 사이버사 공보과 Christopher Daniel 소령, NSR(국가보안기술연구소) 맹영재 선임연구원의 패널 토론이 있었다.
APEX의 전술, 작전, 전략에 대한 접근법에 대한 주제를 가지고 토론을 진행했으며, APEX 훈련의 긍정적인 측면이 무엇인지, APEX를 Locked shields의 훈련과 같이 되기 위해 어떤 것을 해야하는지, 기술적인 부분에서 실력을 올릴 방법에는 어떤 것이 있는지에 대한 토론이 이어졌다.

홍보부스

등록 안내 데스크에 가면 이렇게 굿즈도 준다.

ENKI 화이트햇과 안랩, NNSP, LIG, LG CNS, NAVER Cloud, 한국전력공사, Genians, 국가보안기술연구소, WINSTECHNET, S2W, HUNESION의 회사에서 부스를 운영했고, 각종 보안제품군 체험과 경품과 선물이 많이 있었다.

그중 제일 기억에 남았던 것은 한국전력공사의 시설점검 4족보행 로봇과 S2W의 XAVIS, QUAXAR이었다.

한국전력공사에서 만든 시설점검 로봇은 돌아다니면서 변전설비 점검을 하는데, 통신장비 및 변전설비, 발전장비 등의 점검할 소요가 많이 있는 우리 회사에서도 파견지마다 하나씩 도입되었으면 좋겠다고 생각했다.

S2W의 XAVIS, QUAXAR는 평소 관심이 있었던 회사의 제품군으로 사실상 수사기관이 아니면 볼 기회가 없는 사이버 범죄 인텔리젼스 솔루션인 XAVIS와 기업용 CTI 툴인 QUAXAR에 대해서 눈으로 체험해보는 기회가 되었다.
그밖에도, NAVER Cloud의 제로트러스기반 보안서비스, 안랩의 EDR과 차세대 엔드포인트 보안 플랫폼인 EPP, 인텔리젼스 플랫폼인 EIP에 대한 설명을 들을 수 있었다.

받은 책자 중 공부할 때 볼만하다고 생각했던 것은 LG CNS의 AD 공격/방어 분석 보고서와 NSR의 사업화 유망기술 소개서였다.

마무리

이렇게 공식적이고, 큰 행사에 참여하는 것은 거의 처음이었다.
보안 업계 종사자들과 관련된 각 기관에서 나온 공무원들을 비롯해 자신의 분야에서 많은 경험을 한 사람들의 강연과 홍보를 통해 잘 몰랐던 부분을 새로이 알 수 있었던 시간이었다.
행사 참여자들과 같이 소통할 수 있는 자리도 있었는데, 적극적으로 참여하지 못해서 아쉬웠다. 다음에도 이런 행사에 참여할 기회가 생긴다면, 보안 관련 종사자들과 같이 이야기 해보는 시간을 가지도록 해야겠다.
또한 AI 보안 분야에 대해 관심을 갖는 동기가 된 시간이었고, 영어 공부 좀 해야겠다…..
끝.