“안랩이 투자한 보안 스타트업이란, 백종원이 선택한 요리사 같은 거다.”

와이키키소프트는 ‘보안 인증 기술’을 다루는 스타트업이다. 지난해 2월, 안랩이 첫 전략 투자를 실시해 이름을 알리기도 했다. 안랩은 국내 대표적인 보안 기술 회사지만, 보안 인증 기술을 다루지는 않아 왔다. 이 분야의 중요성이 커지자, 안랩은 자체적으로 보안 인증 기술을 개발하는 대신 와이키키소프트에 투자해 기술협업을 하는 방식을 택했다. 이 회사 조한구 대표는 “보안 회사가 투자한 보안 스타트업”이라는 점에서 와이키키소프트를 “백종원이 선택한 요리사”에 비유했다.

15일 서울 삼성동에 위치한 와이키키소프트에서 조한구 대표를 만났다. 은행권을 비롯한 여러 기업에서 비밀번호를 대체할 ‘파이도(FIDO·Fast IDentity Online)’ 인증이 빠르게 확산되고 있는데, 이 시장이 어떻게 흘러가고 있는지 묻기 위해서였다. 안랩이 투자한 회사라는 점도 관심을 끌었다. 마침 최근 있었던 ‘시큐리티 밋업 웨이브 2019’에서 조 대표가 생체 인증 기술을 발표하기도 했다.

조한구 와이키키소프트 대표

파이도는 기본적으로 ‘비밀번호 방식’에서 탈피하자는 움직임이다. 개인이 아무리 복잡하게 비밀번호를 바꾼다고 하더라도 키보드 해킹이나 위변조 사이트 공격에는 속수무책이다. 서버라도 털리면 대형 유출 사고가 된다. 국제적으로 파이도 기술표준이 정해지고 최근 만들어진 브라우저나 단말기 등에서 파이도 2.0이 표준으로 채택되어 기본 탑재된 것도 이같은 문제의식을 공유하고 있기 때문이다.

새로운 보안 인증이 꼭 ‘생체 인식’인 것은 아니지만, 가장 관심이 많은 분야인 것은 맞다. 은행의 모바일 뱅킹에도 요즘은 지문인식이 들어가고 있고, 공항의 출입국 수속에도 정맥 확인이 활용된다. 조 대표에 따르면 기업의 관심도 크게 늘어나고 있다. 기업 입장에선 비밀번호 유출에 대한 부담이 큰 데다, 비밀번호 관리로 인해 생기는 비용 낭비를 막을 수 있어서다. 조 대표가 IBM과 파이도 얼라이언스 조사 결과를 근거로 말한 바에 따르면 “패스워드로 인한 경제적 손실이 기업당 연간 60억원 수준(종업원 1만5000명 기준)”이다.

판이 바뀔 때 새로운 기업에게도 기회가 생긴다. 조 대표는 특히 기업 시장에서 스타트업이 승산이 있을 것으로 판단했다. 서버와 단말기, 웹 스크립트 모듈 등 전 분야에서 검증 프로그램을 만들어 세트로 파는 것을 회사의 강점으로 삼았다. 조 대표는 안랩과 파트너십을 맺으면서, 안랩의 내부 시스템을 바꾸고 보안 인증을 적용한 경험치가 고객사 확보에 유리한 부분이 될 것으로 봤다. 기업 시장에서 자사 기술의 안전성과 효율성이 확인이 된다면 차츰 해당 기업이 소비자를 상대로 만드는 서비스에도 와이키키소프트의 기술이 탑재될 수 있을 것으로도 확신했다.

지문 인식 단말기. USB처럼 노트북에 꽂아 사용할 수 있게 고안됐다. 와이키키소프트는 이 단말기 안에 들어가는 인증 프로그램을 개발했다.

모바일 뱅킹과는 달리 PC랑 연동되는 부분에서 생체 인증 적용이 잘 안 되어 있다는 것도 와이키키소프트가 주목하는 부분이다. 조 대표는 “PC와의 연동 부분을 저희가 하려고 한다”면서 “기존의 공인인증서를 받던 서비스들이 대체 가능한 영역”이라고 설명했다.

와이키키소프트가 가진 기술 중에서는, 인공지능(AI)을 활용해 생체 인증 부정사용을 막는 알고리즘도 독특하다. 2018년 국정감사 때 송희경 의원이 주민등록증 뒷면의 지문을 이미지로 뜬 후 이를 실리콘에 입혀 타인의 스마트폰 잠금 해제를 한 일이 있었다. 의도는 ‘주민등록증 뒷면에 지문 정보를 삽입하지 말라’ 였지만, 생체 인증의 취약점을 알리는 계기가 되기도 했다. 생체 인증은 기본적으로 “본인이 맞는지” 여부를 확률로 결정하는 것이기 때문에, 안전성을 높이는 도구로 AI를 택한 것이다.

조 대표에 따르면 이 기술의 원리는 이렇다. 해커가 타인의 단말을 이용해 본인 인증을 하려고 한다면, 평소와는 다른 패턴이 나올 가능성이 크다. 예컨대 엑셀러레이터 기능을 통해서 스마트폰이 평소와는 다르게 주머니에서 빠져 나왔다는 정보를 알 수 있다. 지문을 찍는 각도, 위치와 시간 정보를 포함해 이상 행동을 예측할 수 있는 단서가 열 몇 가지가 된다. 이를 종합해서 AI가 본인 인증을 시도하는 사람이 정말 본인이 맞을 것인지 여부를 점수로 낸다. 점수가 일정 수준 밑으로 떨어지면 인증을 차단하고, “이 사람, 평소와는 뭔가 다른데? 이상한데?”의 애매한 수준이라면 추가 인증을 요구하거나 경고를주는 시스템을 만들었다.

2015년 창업한 와이키키소프트는 지난해 4분기 기업에 판매할 제품을 만들어냈다. 안랩을 비롯해 메가존, 핸디소프트, 누리텔레콤, 한국정보인증, 코스콤, 금융결제원 등이 고객사다. 앞으로는 GDPR로 인해 개인정보에 관심이 높아진 유럽이나, 동남아 등 국외 진출하는데도 관심을 두고 있다. 인터넷진흥원이 보안 스타트업을 대상으로 실시한 ‘K글로벌 시큐리티 스타트업’에 선정되어 인도네시아와 런던에 다녀왔는데, 당시 만났던 기업들에서 와이키키소포트의 기술에 관심을 갖고 연락을 주고 받고 있는 상태다.

글로벌 시장에서도 보안 기술에 대한 관심은 크다. 일례로 시스코가 지난해 8월 네트워크 보안 업체인 ‘듀오’를 23억달러에 인수한 일도 있었다. 듀오의 기업 가치가 1조원을 넘긴 셈이다. 그런데 한국은 공인인증서 때문에 대체 인증이 빠르게 발전한 나라다. 파이도의 경우에도 한국에 인증 기업이 가장 많은 편이다. 달리 말하면 국내 기업도 생체 인증 등 새로운 보안 기술 분야에서 유니콘이 될 수 있다는 뜻이다.

조 대표는 “글로벌로 시장이 생겨나는 타이밍이고 파이도에 대한 관심도 많지만 아직까지 적용 사례가 없었다는 점에서 국내 기업이 글로벌 진출을 하기 좋은 기회”라며 “그럼에도 해외 진출에는 스타트업이 단독으로 진행하기 어려운 점이 많기 때문에 실질적인 성과를 낼 수 있도록 정부나 기업 등에서도 계속적인 지원이 필요하다”고 강조했다.

글. 바이라인네트워크
<남혜현 기자> smilla@byline.network