jobsN

보안인증 신흥강자 '센스톤' 유창훈 대표
선박공학 전공→창업 실패→재취업→이직→다시 창업도전
창업 초기 “절벽에 매달린 거나 마찬가지”

투자회사인 스틱인베스트먼트와 지온인베스트먼트는 2015년 창업한 보안 기술 업체 센스톤(SSenStone)의 기업가치를 200억원으로 평가했다. 센스톤은 요즘 한창 뜨는 회사다. 2017년 매출은 11억원. 올 1분기 회사는 작년 전체와 같은 매출을 냈다. 헌법재판소·롯데카드·한화손해보험·국민건강보험공단 등 20여개 조직이 센스톤의 기술을 도입했다.

회사 주력제품은 보안인증솔루션 ‘스톤패스(StonePASS)’다. 그동안 보안인증은 사용자 정보를 감추고 지키는 기술이었다. 그러나 ‘스톤패스’는 이런 기존 보안 개념을 확 바꿨다. 기존 보안인증은 비밀번호 중심이었다. 사용자가 정한 비밀번호가 새나가면 대형사고가 터진다. 스톤패스는 비밀번호가 새나가도 문제가 생기지 않는 기술을 개발했다. 센스톤 창업자 유창훈(45) 공동대표에게 회사와 기술에 대해 설명을 들었다.

사용자·기업 모두 안전하고 편리하게

센스톤은 스톤패스에 적용한 기술을 ‘양방향 동적 키매칭 알고리즘’ 이라 부른다. 사용자가 모니터 로그인창에 아이디를 넣고 ‘확인’ 버튼을 클릭한다. 곧바로 휴대폰에 비밀번호 입력창이 뜬다. 비밀번호를 입력하면 1차 인증이 끝난다. 그다음 바로 2차 인증 값이 생긴다. ‘승인’ 버튼을 터치하면 모니터에 사이트가 사용자를 인식했다는 표시가 뜬다. 컴퓨터 키보드가 아니라 휴대전화로 비밀번호를 입력해야만 로그인이 가능하다. 누군가 내 비밀번호를 알아도 내 휴대전화가 없다면 로그인 할 수 없다.

-양방향 동적 키매칭 알고리즘이란 무엇인가

“사이트에 아이디를 입력하면 사용자 스마트폰으로 비밀번호를 입력하라는 알림을 보낸다. 사용자가 스마트폰에서 비밀번호를 입력하면 1차 인증이 끝난다. 그 다음 사이트로 다시 한번 계정정보를 전송해 2차 인증을 한다. 스마트폰에서 1번, 사이트에서 1번 총 2번 인증을 거치는 셈이다. 스톤패스는 인증할 때 필요한 값을 매번 변경한다. 사용자는 모르지만, 사이트와 스마트폰이 통신할 때 비밀번호가 수시로 바뀌는 셈이다. ”

-이전 보안인증기술과 다른 점은 무엇인가

“기존 보안인증기술은 사용자가 지정해 시스템에 저장한 비밀번호와 사용자가 로그인할 때 입력한 비밀번호 값을 일대일로 비교해 인증하는 방식이다. 이 경우 해커가 시스템 내부 저장소를 공격해 정보를 빼가면 대형사고가 터진다. 스톤패스는 이런 걱정이 없다. 비밀번호를 서비스 업체가 저장하는 중앙저장장치를 두지 않기 때문이다. 또 스톤패스는 사이트가 진짜인지 가짜인지 구분할 수어 피싱(기업 등을 사칭해 가짜 메시지 보내 개인 정보 유출 유도)를이나 파밍(정확한 웹페이지 주소를 입력해도 가짜 웹페이지가 뜨도록 해 정보를 훔치는 것)같은 문제를 막을 수 있다.”

-사용자 입장에선 큰 차이가 없지 않나

“바로 그게 차이다. 이전에는 아이디와 비밀번호를 입력하고 그 다음 문자, 보안카드 등 몇단계에 걸쳐 인증을 했다. 스톤패스의 경우, 사용자는 아이디와 비밀번호만 입력했지만 실상은 몇단계의 복잡한 인증절차를 거친 것과 같다. 또 비밀번호를 복잡하게 만들 필요가 없고, 사이트별로 다른 비번을 만들어 기억하는 번거로움도 없다. 비밀번호 입력이 아닌 홍채·안면 인식 등 생체인증, 보안PIN·패턴 등 간편 인증도 가능하다.”

-어느 정도 안전한가?

“정보보안컨설팅 회사 타이거팀에서 모의해킹 테스트를 했지만 스톤패스를 뚫지 못했다. 금융보안원 보안적합성 검증도 통과했다.”

-보안성이 높다는 것 이외에 기업에 이점은 무엇인가

“기업이 텍스트 비밀번호·문자인증·OTP(일회용 비밀번호)·지문인식·보안카드 등 인증수단을 도입할 때마다 비용을 들였다. 번거롭고 비용 부담이 컸다. 반면 스톤패스는 이런 모든 인증시스템을 패키지화 했다. 즉, 스톤패스만 도입하면 모든 인증수단을 쓸 수 있다. 블록체인·IoT(사물인터넷) 환경에서도 가능하다.”

진로 시행착오 겪다 보안기술자 되기까지

유 대표는 인하대 선박해양공학과 92학번이다. 그 무렵엔 조선공학과를 나오면 취업 걱정을 할 필요가 없었다. 한국 조선산업은 최고 기술력을 자랑하고 수주물량 세계 1위를 차지하는 시절이었다. 1998년 제대 후 삼성중공업 조선사업부에 입사했다. 하지만 입사 1년 만에 그만뒀다. 그리고 대학생 대상 공동구매 서비스를 만들었다. 하지만 2년만에 사업을 접고 억대 빚을 졌다. 뒤늦게 취업 준비를 해 문서관리솔루션 개발사 D2R에 입사했다.

-조선공학을 전공했는데 어쩌다 보안쪽으로 발을 들였나

“전공은 조선이었지만 컴퓨터 프로그래밍에 자신이 있었다. 대학생 때 컴퓨터 동아리에서 활동해 프로그래밍을 공부했다. 신입생·복학생 대상으로 코딩 강의도 했다. 첫번째 창업 실패 후 입사한 D2R에서 문서 보안 일을 했다.”

-첫번째 창업 계기는

“아버지가 전문경영인이었다. 어릴 때부터 ‘네 사업을 하라’는 소리를 많이 들었다. 벤처붐 영향도 받았다. 조선소가 거제도에 있는데, 결혼하면 평생 그곳에 있어야 할 것 같았다. 도전을 미루고 싶지 않았다. 첫번째 사업을 접고나서 D2R에서 6년간 일하다 보안 솔루션 업체 마크애니로 이직했다.

팀장으로 입사한 그는 10여년 동안 일해 부문장까지 승진했다. 보안 솔루션 사업을 총괄했다. 회사 직원이지만 항상 ‘내가 대표’라고 생각했다. 스스로 주인이라는 생각으로 열성을 다하니 ‘내 사업’에 대한 바램은 작아졌다. 하지만 중년에 접어들자 다시 창업 욕구가 솟았다.

-다시 창업을 택한 이유는

“모든 직장인이 결국엔 창업을 한다고 생각한다. 정년퇴직 후에도 30~40년을 살아야 하는 시대다. 그동안 모아둔 돈으로는 어림도 없고 결국 새 진로를 찾아야 한다. 기왕이면 빨리 시작하자고 생각했다.”

-기술 스타트업 치고는 성과가 빨리 난 편이다

“절실했다. 절벽에 매달린 거나 마찬가지였다. 전 직장 동료 6명과 함께 창업했다. 다들 배우자와 자녀가 있고 가정을 책임져야 하는 무거운 위치에 있었다. 올인할 수밖에 없었다. 운영 자금도 항상 빠듯 했다. 선배 창업가들의 조언을 들으러 갔는데, 자금 여유가 있으면 게을러진다고 하더라. 성과를 내는데 걸리는 시간을 줄이고 싶었다. 첫 아이템은 스톤패스와는 다른 인증솔루션이었는데, 기업들 반응이 안좋았다. ‘이걸 누가 쓰냐’며 면전에 대놓고 말했다. 계속 고쳐서 다시 찾아가고 또 고쳐서 찾아가고를 반복했다.”

2016년 6월 첫 납품을 한 이후 여러 기업,기관에서 인정 받았다. 한화생명이 지원하는 드림플러스63 기업으로 뽑히기도 했다. 덕분에 1년 넘게 사무실을 무료로 쓸 수 있었다. 계열사와 투자사를 소개받기도 했다. 경쟁 입찰에 참여할 기회도 얻었다. 전세계 보안·핀테크 전시회에 참가해 네트워크를 쌓기도 했다.

카드번호 수시로 바뀌는 기술 세계 최초 개발

센스톤은 16자리 카드번호가 매번 바뀌는 VOTC(Virtual One-Time Codes) 기술을 개발해 3월 싱가포르에서 열린 핀테크 컨퍼런스 ‘머니 20/20 아시아’에서 공개했다. VOTC 기술을 적용한 카드를 자세히 보면 카드번호가 있어야 할 자리에 작은 액정이 있다. 그 옆에 있는 버튼을 누르면 액정 속 번호가 계속 바뀐다.

VOTC 기술은 실물 카드 없이 카드번호와 비밀번호만 알면 입·송금할 수 있는 ‘무카드 거래(CNP Fraud)’ 사기를 막을 수 있을 것으로 보인다. US페이먼트 포럼 조사를 보면 전세계에서 한해 25조원 이상의 무카드 거래 사기 피해가 난다. 이커머스 시장이 커지면서 피해 규모는 매년 늘고 있다. 우리나라에도 인터넷 은행이 생기고 무카드 거래 이용자가 늘면서 사기 피해가 증가하고 있다.

센스톤은 VOTC 관련 특허 10건 이상을 5개국에서 출원 했다. 컨퍼런스에 참여하고 나서 여러 글로벌 기업과 기술 협력 중이다. 이중엔 독일 카드 제조사 기섹&데브리언트(Giesecke&Devrient)도 있다. 전세계 32개국에 72개 자회사와 1만명 이상의 직원을 둔 글로벌 업체다. 스마트카드·화폐 제조·모바일 보안 등의 사업을 주도하고 있다.

-VOTC는 어떤 기술인가

“카드에 새겨진 번호는 카드 복제와 무카드 거래 사기에 취약하다. VOTC는 난수를 이용해 매번 카드번호를 바꾸는 기술이다. ‘여러 카드의 번호가 중복되면 어떨까’하는 걱정도 할 필요 없다. 번호가 겹치지 않도록 설계했다. 또 오프라인에서도 쓸 수 있다. 삼성페이를 비롯한 모든 간편결제 서비스는 통신 연결을 끊으면 쓸 수 없다. VOTC를 쓰는 기업은 별도 통신 인프라를 구축할 필요가 없고, 통신 비용을 줄일 수 있다. 마지막으로 기존 시스템을 바꾸지 않아도 된다.”

-VOTC가 세계 최초 기술이라던데

“2017년 초 한화에서 지원받아 일본 보안 전시회에 갔다가, 해외에 무카드 거래 사기가 많다는 걸 알았다. 우리나라에선 큰 이슈가 아니지만, 해외 카드사들은 이 문제를 해결하기 위해 오랫동안 고민했다더라. 해외에서 무카드 사기 방지 기술에 대한 수요를 알았다. 우리나라는 과거 카드 복제 사기가 많았다. IC카드(마그네틱 대신 EMV칩을 사용한 카드)를 의무적으로 사용하면서 카드 복제 피해는 줄었지만, 그래도 무카드 거래 사기는 막지 못한다. VOTC는 처음부터 해외시장을 노린 기술이다. 개발 초기 다들 안된다고 했다. 우리 연구소 직원들도 포기하라고 했다. 한국에 돌아와서 수개월 동안 밤낮을 바꿔가며 연구했다.”

-앞으로 계획은

“비행기로 치면 이제 중간고도쯤 올라왔다. 아직 안정궤도는 아니다. 비행기가 중간궤도에 오래 있으면 폭발한다더라. 기술로 세상을 바꾸겠다고 선언했으니 그 약속을 지키고 싶다. 책임이 막중하다.”

글 jobsN 이연주

디자인 플러스이십일

jobarajob@naver.com

잡스엔