기업의 데이터 유출 문제가 심각하다. IBM 시큐리티가 발표한 ‘2022 데이터 유출비용 연구 보고서’에 따르면 지난 1년간 전세계 550개 기업이 데이터 유출로만 평균 435만달러의 피해를 입을 정도다. 한국도 마찬가지다. 데이터 유출 사고가 빈번하게 벌어지는 가운데 기업은 물론 개인의 피해도 눈덩이처럼 커지는 중이다.
데이터 유출 원인은 다양하지만, 가장 심각한 문제는 사이버 보안 인증 시스템의 허술함에 따른 해킹 등에 있다. 이를 탄탄하게 구축해야 데이터 유출의 공포에서 조금이나마 벗어날 수 있다는 뜻이다.
여기서 핵심을 관통하는 것은 역시 기존 보안 시스템의 상징인 비밀번호 체계의 대체재다. 꿈은 현실이 될 수 있을까? 그 대답을 듣기 위해 전승주 에프엔에스벨류 대표이사를 23일 서울 마포 사옥에서 만났다.
"비밀번호, 없어도 된다"
우리는 디지털 공간에서 모바일 뱅킹을 하거나 택시를 예매할 때, 혹은 상품을 주문할 때도 아이디와 비밀번호를 입력한다. 당연하게 생각한다.
문제는 이 대목에서 데이터 유출 사고가 빈번하게 발생하는 점이다. 실제로 해킹 기술이 점점 고도화되며 전통적인 비밀번호 체계는 일종의 공격 취약점이 되어가고 있다. 인증의 단계에서 정보를 탈취하는 것이 상대적으로 간편하기 때문이다.
전승주 에프엔에스벨류 대표가 보안인증 솔루션인 'Guardian-CSS'을 개발한 이유다.
해당 솔루션은 블록체인 기술을 활용해 인증의 단계에서 강력한 보안을 전제하면서도 비밀번호 시스템을 사용하지 않는다. 전 대표는 "회원 가입의 단계에서 아이디와 이메일 주소를 사용하며, 핸드폰 본인 인증 시 필요한 이름과 전화번호 외에는 개인정보를 수집하지 않는다"면서 "비밀번호도 없는 솔루션"이라고 단언했다.
최소 개인정보만 취합하고 비밀번호가 필요없는 솔루션은 어떻게 가능할까. 전 대표는 "로그인 요청을 받으면 시스템에서 자동으로 추출한 핸드폰 고유정보 조합의 일회성 암호체계를 사용하고, 그 즉시 폐기하는 방식"이라며 "회원이 비밀번호를 만드는 것이 아니라, 로그인 요청과 동시에 시스템 내부에 일회성 비밀번호가 생선된 후 바로 사라지는 개념"이라고 설명했다.
블록체인 기술을 사용하기에 가능한 일이다. Guardian-CSS는 로그인 요청 후 인증이 필요한 순간 노드(회원 가입한 사용자들의 핸드폰)들 간의 다자합의를 통한 인증 검증 방식으로 블록체인을 활용한다.
전 대표는 "금융사 내부의 민감한 정보는 프라이빗 블록체인을, 다수의 업체들이 연계되어야 하는 검증에 있어서는 퍼블릭 블록체인을 활용해 프라이빗 블록체인만 활용했을 때의 지연문제 등을 해결했다"면서 "인증이 필요한 경우 노드를 무작위로 선발해 시스템을 가동하면서도 수시로 정보가 변하는 방식으로 강력한 보안성을 키웠다"고 말했다.
흥미로운 접근이다.
전 대표에 따르면 Guardian-CSS 솔루션 방식은 각 휴대폰이라는 디바이스를 '노드'로 삼아 탈 중앙화 방식을 차용해 특유의 강력한 블록체인 보안성을 담보한다. 그러면서도 프라이빗과 퍼블릭 방식을 혼용하는 한편 인증 요청 시 전체 노드가 아닌 일부 노드만 움직이는 프로세스로 효율성을 보여준다.
블록체인 보안을 바탕으로 보안 안전성과 효율성을 동시에 담보해 전통 비밀번호 체계를 대체하겠다는 각오다. 이를 위해 예상가능한 리스크들을 선제적으로 제거한 분위기다.
전승주 대표는 "기존 비밀번호 체계를 뛰어넘을 수 있는 솔루션이라 자부한다"면서 "블록체인 보안이 비밀번호에서 우리를 해방시킬 수 있다고 생각한다"고 말했다.
동남아에서 먼저 터졌다
Guardian-CSS 솔루션은 한국이 아닌 동남아시아, 특히 말레이시아 시장에서 먼저 가동됐다. 이유가 뭘까?
전승주 대표는 "말레이시아는 2018년 진출 당시 세계 3위 사이버보안지수를 기록할 정도로 잠재력이 풍부했다"면서 "이슬람 문화국가의 금융 허브 역할을 하고 있다는 점도 매력적이었다"고 말했다.
성과는 상당했다. 말레이시아 국영 석유기업인 페트로나스가 현재 Guardian-CSS 솔루션을 활용하고 있으며 동남아 시장 및 이슬람협력기구(OIC)가 선정하는 Global Cyber Security Award에서 지난해 11월 화웨이와 공동으로 대상을 수상하기도 했다.
한국의 보안 스타트업이 동남아로 진출해 단기간에 거둔 성과로 보기에는 놀라운 수준이다. 실제로 전 대표는 "동남아 시장의 눈으로 볼 때 외국 기업이, 그것도 대기업이 아닌 스타트업이 민감한 보안 시장에 들어가는 것은 정말 어려운 일이었다"면서 "솔직히 자신이 없었던 것도 사실"이라고 말했다.
그는 다만 "기술력을 차근차근 쌓아올리면서 진정성을 보여준 것이 통하지 않았나 생각한다"면서 "말레이시아 등 동남아 국가들이 새로운 기술과 트렌드를 받아들이는 것에 상당히 개방적으로 생각하는 측면도 있다고 본다"고 말했다.
전 대표는 이어 "현지에서 영향력을 발휘할 수 있는 국영 통신기업인 텔레콤말레이시아(Telekom Malaysia)와 협력하는 등 파트너들을 확보하고 그들과 인재 교류도 하는 등 스킨십에도 신경을 썼다"면서 "OIC와 같은 중요한 거점을 확보한 것도 큰 도움이 됐다"고 말했다.
여세를 몰아 글로벌 경영의 드라이브를 건다. 전 대표는 "쿠웨이트, 사우디아라비아, UAE 등 중동 시장을 개척하는 한편 지난 3월 스위스에 있는 양자암호화 전문 startup ITK.Swiss와 업무협약을 체결했다"면서 "미국 핀테크 업계에서도 직접 우리를 찾아와 논의할 정도로 영역이 커지는 중"이라고 강조했다. 실제로 지난 9월 말 한국의 코트라에 해당되는 미 버지니아주 소재 EDA(Economic Development Authority) 관계자는 금융위 주최 한국핀테크위크에 참석차 서울을 찾아 Guardian-CSS 솔루션을 소개받은 후 현지 기업들과의 협업을 적극적으로 추진하는 중이다.
상장 계획도 진행되고 있다. 2021년 4월 미래에셋증권과 기업공개를 위한 주관 계약을 체결했고 2025년 말에 증시 입성을 목표로 하고 있다. 전 대표는 "최근 시장상황이 나빠 무리한 상장을 시도하지는 않을 것"이라며 "보안 인증 시장에 대한 수요는 꾸준히 오르고 있어 긍정적으로 상황을 지켜보고 있다"고 말했다.
한국 시장도 도전한다. 전 대표는 "솔루션 출시 당시 한국의 보안 인증 시장은 공인인증서라는 제도, 나아가 높은 진입장벽으로 특정 사업에만 국한된 인증사업이 벌어지고 있어 운신의 폭이 좁았기에 동남아 시장에 먼저 진출한 것"이라며 "한국 시장에서도 차근차근 협력 사례를 만들어가고 있다"고 말했다.
글로벌 프로토콜의 길
디지털 시장의 영토가 넓어질수록 보안에 대한 수요는 점점 커질 수 밖에 없다. 그 연장선에서 Guardian-CSS는 블록체인 기반 보안 인증 솔루션으로 활동하며 금융, 통신, 일반 기업의 인트라넷이나 자동차 등 영역을 넓힐 계획이다.
전승주 대표는 "아직 국내에서 블록체인 보안 인증은 크게 대중화되지 않았으나 기술의 발전도 빨라지고 있어 멀지 않은 미래에 마이크로소프트나 구글에서 추구하고 있는 '비밀번호 없는 시대'가 올 것으로 생각한다"면서 "이미 진출한 말레이시아 및 인도네시아 등 현지에서의 매출 증대와 더불어 글로벌 시장 전반에 대한 드라이브도 강하게 걸 것"이라고 말했다.
회사의 전략적 방향성도 명확하다. 그는 "금융위원회 산하 한국핀테크지원센터와 추진하고 있는 전자금융거래법(제2조 제10호/ ) 및 전자금융감독규정 (제34조 제3호) 특례 완료를 통해 금융거래시 당사의 인증 솔루션 도입을 위한 기반을 마련할 것"이라며 "이를 바탕으로 여러가지 이유로 전통적인 비밀번호 체계를 벗어나지 못하는 금융분야에서 가시적인 성과를 낼 생각"이라고 말했다.
더 큰 꿈은 인증 분야의 글로벌 프로토콜이 되는 것이다. 전 대표는 "Guardian-CSS를 각 국 주요 은행들의 지급과 송금 업무를 서로 연결하는 스위프트(SWIFT)처럼 키워 '인증의 글로벌 프로토콜'이 될 것"이라며 "2년 내 완료를 목표로 국제전기통신협회(ITU-T)의 보안 인증 세계 표준화를 주도하고 있으며, 이를 통해서 다양한 성과를 내는 것이 중요한 이유"라고 말했다.
