최신 뉴스, 분석, 그리고 세션 사이사이에 들리는 이야기들. SSL의 사장 겸 CEO인 레오 그로브를 비롯한 현장 팀이 직접 작성한, 모스코네 센터 현장에서의 일일 보고서입니다.
목요일, 3 월 26, 2026
이와 같은 서비스: SSL의 전략적 파트너십 및 사업 개발 담당 부사장인 다니엘 렌돈:
RSAC 2026 마지막 날, 저는 CVE에 대한 세션에 참석했습니다. 클라우드 서명 컨소시엄 저는 이사회 구성원으로서 특히 공동 혁신과 효과적인 국경 간 소통을 증진하기 위한 표준 및 기술 상호 운용성에 관심이 많습니다.
CVE 이사회는 전략적 감독을 제공합니다. 공통 취약점 및 노출(CVE) 프로그램의 임무는 다음과 같습니다. 정부와 민간 부문 전반에 걸쳐 취약점을 식별, 명명 및 공유하기 위한 정책.
동안 MITER Corporation 해당 프로그램을 운영하는 미국 국토안보부는 역사적으로 이 프로그램에 자금을 지원하고 관리해 왔으며, 이를 통해 글로벌 사이버 보안 협력에 필수적인 공공-민간 혼합형 거버넌스 모델을 구축해 왔습니다. 그러나 최근 자금 안정성과 지정학적 분열에 대한 우려가 제기되면서 중앙 집중식 CVE 시스템이 약화되거나 분열될 위험이 커지고 있습니다.
CVE를 지속적으로 업데이트하고 효과적으로 관리하는 것은 취약점 관리의 보편적인 기준점이 되기 때문에 매우 중요합니다. CVE가 없다면 취약점 공개, 패치 적용, 그리고 국경을 넘나드는 위협 정보 공유가 느려지고, 일관성이 떨어지며, 효과도 크게 저하될 것입니다.
이번 회의에서도 이러한 어려움들이 제기되었으며, 참가자들은 급변하는 사이버 보안 환경에 대응하기 위한 표준 설정에 있어 정부의 역할에 대해 의문을 제기했습니다. 저 역시 패널들의 의견에 동의합니다. 공익이 중요한 고려 사항일 때, 그리고 상충되는 이해관계가 공통 표준 채택의 필요성을 저해할 수 있을 때 정부는 표준 개발에 참여해야 합니다. 이러한 과정에서 정치를 완전히 배제하기는 매우 어렵지만, 완전히 민간 주도로 이루어지는 표준 체계는 필연적으로 공익과 부합하지 않는 개인적, 재정적 동기를 내포하게 됩니다.
클라우드 시그니처 컨소시엄과 같은 조직의 맥락에서, 더 많은 무역 협정이 체결됨에 따라, 메르코수르/유럽연합 집행위원회 무역 협정점점 더 다극화되는 무역 환경에서 디지털 신원 및 디지털 서명에 대한 상호 운용 가능한 표준의 필요성이 커질 것입니다. 앞으로 있을 회의에서 나눌 대화들을 기대합니다. CSC의 국경 없는 신뢰 행사5월 13일부터 14일까지 콜롬비아 보고타에서 정부, 민간 산업 및 학계 이해관계자들이 모여 국경을 넘어 더욱 상호 운용 가능한 방안을 논의하고 실질적인 조치를 취할 것을 약속하는 회의를 개최할 예정입니다.
수요일, 3 월 25, 2026
이와 같은 서비스: SSL의 전략적 파트너십 및 사업 개발 담당 부사장인 다니엘 렌돈:
다음과 같은 질문을 생각해 보세요. LLM(언어 관리 시스템)은 사용자에게 제공하는 AI 생성 코드에 코드 서명 기능을 포함해야 할까요? LLM 기반 개발 워크플로에서 엔지니어는 어느 정도의 책임을 유지해야 할까요?
이번 주 RSAC에서 진행된 가장 통찰력 있는 패널 토론 중 하나는 소프트웨어 개발 분야의 GenAI(Generative AI)를 둘러싼 많은 논란을 명확히 정리했습니다. 이 토론은 GenAI가 코딩 속도를 높여주지만, 취약한 코드 패턴, 프롬프트 주입 공격, 안전하지 않은 종속성 등 새로운 위험 요소를 도입한다는 중요한 현실에 초점을 맞췄습니다. 거버넌스, 안전장치, 투명성의 중요성을 강조하면서 안전한 도입은 선택 사항이 아니라 필수적인 요소라는 점을 분명히 했지만, 실제 현장에서는 아직 갈 길이 멀다는 점도 강조했습니다.
특히 흥미로웠던 순간은 패널들 사이에서 GenAI 기반 코딩에서 엔지니어가 어떤 역할을 해야 하는지에 대한 열띤 의견 대립이었습니다. 일부는 엔지니어가 코드 생성과 검토에 깊이 관여해야 하며, LLM(언어 관리자)은 의사 결정자가 아닌 생산성 도구로 활용해야 한다고 주장했습니다. 다른 일부는 LLM이 코드 생성의 상당 부분을 처리하고 엔지니어는 주로 감독 및 검토 역할로 전환하는 보다 자동화된 미래를 지지했습니다. 심지어 특정 언어나 프레임워크에 대한 전문 지식이 더 이상 중요하지 않다는 논의까지 나왔습니다.
이러한 긴장감은 업계가 속도와 통제 사이의 균형을 여전히 찾고 있음을 보여줍니다. 제가 내린 결론은 GenAI가 단순한 도구의 변화를 넘어 근본적인 거버넌스 과제를 제시한다는 것입니다. 성공할 조직은 명확한 책임 소재를 설정하고, 강력한 검토 프로세스를 시행하며, 시기상조의 과도한 자동화를 피하는 조직일 것입니다.
그래서 다시 한번 묻겠습니다. LLM(Learning Language Manager)은 사용자에게 제공하는 코드에 코드 서명 기능을 포함해야 할까요? LLM 기반 개발 워크플로에서 엔지니어는 어느 정도의 책임을 져야 할까요? 여러분의 의견을 듣고 싶습니다.
이와 같은 서비스: 람 키쇼어, 글로벌 솔루션 아키텍트 총괄:
둘째 날은 세션과 파트너 미팅으로 꽉 찼으며, 오늘 두 번째로 중요한 주제는 양자 컴퓨팅이었습니다. 모든 세션에서 분명한 메시지는 “나중에 처리하자”는 시대는 끝났다는 것이었습니다. 양자 컴퓨팅으로의 전환은 이제 시작되고 있습니다. 포스트 양자 암호화 (PQC)는 이미 진행 중이며, 시작 신호를 기다리는 기업들은 이미 뒤처지고 있습니다. 양자 컴퓨팅 위협은 이론적인 미래의 문제가 아닙니다. 선제적으로 대응하는 것은 보안을 유지하고, 민첩성을 확보하며, 규정 준수 및 생태계 변화에 앞서 나가는 것을 의미합니다.
바로 이 부분에서 SSL.com이 중요한 역할을 합니다. 저희 SSL.com은... 디지털 신뢰 플랫폼 단순한 인증서 발급을 넘어섭니다. 암호화 유연성 계획부터 미래를 위한 견고한 신뢰 기반 구축에 이르기까지, 양자 컴퓨팅 이후의 여정의 모든 단계에서 기업과 협력하고 있습니다.
오늘 RSAC에서 나눈 거의 모든 대화가 에이전트형 AI에 관한 것이었습니다. 자율 시스템이 인간 팀이 따라잡을 수 없는 속도와 규모로 워크플로우를 처리하면서 기업 운영 방식이 완전히 바뀌고 있습니다. 하지만 여러분을 대신하여 행동하는 모든 에이전트는 잠재적인 공격 경로가 될 수 있으며, 위협 행위자들은 이미 이러한 시스템의 취약점을 찾고 있습니다.
더 큰 위험은 외부적인 요인에 있는 것이 아닙니다. 명확한 정체성, 정의된 권한, 또는 책임 통제 장치 없이 운영되는 AI 에이전트는 내부에서부터 심각한 피해를 초래할 수 있습니다. 기계가 자율적인 결정을 내릴 때, 디지털 신뢰는 필수적입니다. 생산성 혁명은 현실이며, 그에 따른 책임 또한 막중합니다.
월요일, 3 월 23, 2026
이와 같은 서비스: SSL 기술 담당 부사장인 더스틴 워드:
RSA 컨퍼런스(RSAC)는 세계 최대 규모의 사이버 보안 행사입니다. 매년 수만 명의 보안 전문가들이 샌프란시스코의 모스코네 센터에 모여 개발 중인 기술, 문제점, 그리고 해결 방안에 대해 논의합니다. 이곳은 업계가 의제를 설정하는 자리입니다.
업계 전반에서 들리는 이야기는 다음과 같습니다.
- 조직들은 알고 있다 포스트 퀀텀 암호화 곧 시작될 예정인데, 어디서부터 (또는 어떻게) 시작해야 할지 모르겠어요.
- AI는 새로운 공격 표면과 새로운 신뢰 요구 사항을 동시에 만들어내고 있습니다.
- C2PA와 콘텐츠 출처 정보는 이제 "흥미로운" 요소에서 "필수적인" 요소로 자리매김하고 있습니다.
- 공공 신뢰 기관과 일반 기관 모두에서 인증서 수명 주기 관리가 점점 더 복잡해지고 있습니다. 사설 PKI
- 대부분의 팀은 위의 모든 사항을 구식 도구로 관리하고 있습니다.
특히 한 세션이 제게 깊은 인상을 남겼습니다. 바로 인증서 유효기간이 47일로 단축되는 과정에 대한 내용이었는데요, 기존 398일에서 200일, 100일, 그리고 최종적으로 47일로 줄어드는 것입니다. 이는 인증서 교체 빈도가 8배나 증가하는 것을 의미하며, 단순한 규정 준수 문제가 아니라 운영상의 문제입니다. 만약 여전히 수동 프로세스와 느슨하게 연결된 도구에 의존하고 있다면, 이미 뒤처지고 있는 것입니다. 24시간 안에 전체 인증서를 교체해야 할 수도 있는 상황에서 단일 CA에 대한 의존성은 심각한 위험 요소가 될 수 있습니다.
SSL.com에서는 이러한 점을 적극적으로 활용하고 있습니다. 사설 PKI 공개 신뢰 모델이 적합하지 않은 사용 사례, 그리고 유효성 검사가 이미 완료되고 발급 경로가 설정되어 있으며 필요할 때 트래픽을 전환하거나 병렬로 발급할 수 있는 진정한 백업 CA 준비 상태를 위해 사용됩니다.
인증서 외에도 오늘 거의 모든 대화에서 두 가지 주제가 지배적이었습니다. 바로 AI와 PQC였습니다.
인공지능 분야에서는 에이전트형 인공지능이 오늘날 도처에 등장했습니다. 생산성 혁명을 가져왔지만, 인공지능 기반 공격부터 사용자를 대신하여 행동하는 자율 에이전트를 관리하는 문제에 이르기까지 심각한 위험도 내포하고 있습니다. 우리는 어떻게 해야 할까요? AI가 생성한 콘텐츠를 인증할 수 있을까요? 모델 자체는 어떻게 보호할까요? 바로 이 부분에서 다음과 같은 표준이 필요합니다. C2PA 그리고 강하다 PKI 단순히 있으면 좋은 것이 아닙니다. 이제는 필수적인 요소가 되어가고 있습니다.
PQC 측면에서 보면, NIST 양자 컴퓨팅 이후 보안 표준을 최종 확정했습니다. 마이그레이션 시한이 다가오고 있습니다. 공개 신뢰 인증서 등 인증서와 관련된 업무를 담당하고 있다면, 마이그레이션을 서둘러야 합니다. TLS/SSL, 개인 PKI코드 서명, C2PA 콘텐츠 진위성 검증 등 여러 측면에서 PQC 전환 계획이 필요한지 여부가 아니라, 이미 보유하고 있는지 여부가 핵심입니다.
이것은 저희 팀이 SSL.com에서 매일 다루는 내용입니다. 궁금한 점이 있으시면 언제든지 문의해 주세요.
이 저널은 RSAC 주간 동안 매일 업데이트됩니다. 내일 2일차 소식을 확인하시고, 저희를 팔로우해주세요. 링크드인 경기 현장의 실시간 하이라이트를 확인하세요.
조직에서 단축된 인증서 수명 주기, 다중 CA 준비 또는 양자 컴퓨팅 이후 보안 계획에 대해 논의하고 싶으신가요? 연락 주세요.
