[바스리] 공인인증서가 만들어낸 뜻밖의 기회
생체 인식은 비밀번호를 까먹거나 잃어버릴 일이 없다는 점에서 편리한 기술이다. 대신 그 편의를 누리려면 내 지문을 인식할 별도의 장치가 필요하다.
‘옥타코’는 이 장치를 만드는 스타트업이다. 이 회사는 공개키(PKI)에 기반한 지문 인식 하드웨어 ‘이지 핑거’를 개발했다. 생체 보안 인증을 하는 곳들은 대체로 소프트웨어 중심이거나 건물 출입 등의 영역을 중심으로 성장한지라, 하드웨어 전문 스타트업은 드문 편이다.
옥타코의 유미영 대표를 지난 21일 경기도 성남시에 위치한 LH기업성장센터에서 만났다. 오전 10시, 사무실 문을 열어주던 유 대표는 먼저 [바스리]에 소개된 와이키키소프트 조한구 대표의 인터뷰를 읽었다고 했다.
이 이야기를 꺼낸 이유는 두 회사가 파이도(FIDO·Fast IDentity Online) 기술 부문에서 각자 하드웨어와 소프트웨어로 협력 관계에 있기 때문이다. 와이키키소프트가 안랩 등 고객사에 제공하는 솔루션에는 지문을 인증할 수 있는 작은 단말기도 포함되는데, 바로 그 제품이 옥타코의 이지 핑거다. 홀로 모든 것을 해결하기 어려운 스타트업 간 협업 사례다.
유미영 대표는 인터뷰에서 생체 인증의 중요성과 가능성을 강조했다. 재미있는 점은, 많은 이들이 불편함의 대명사로 꼽아온 ‘공인인증서’가 국내 보안 기업들의 차세대 먹거리로 일컬어지는 파이도 분야의 성장 밑거름이 됐다고 말하는 점이다.
공인인증서도 파이도와 마찬가지로 공개키 기반의 보안 솔루션이다. 강제적으로 공인인증서를 써야 하는 바람에 공개키 기술이 국내에서 먼저 발전할 수 있었고, 이를 경쟁력으로 향후 파이도 기술 부문에서도 국내 기업이 앞설 수 있는 발판이 마련됐다. 어떤 부분에서 국내 파이도 기술이 유리한지, 그리고 옥타코는 이 시장에서 어떤 기회를 엿보고 있는지 등을 유 대표에게 물었다.
언제 창업을 생각했나?
2000년대 들어서 해킹 사건이 많았다. 해킹이 됐다는 얘기가 있어 뒤져보면 나도 그 피해자 목록에 다 들어 있더라. 물론 큰 피해는 없었지만, 해킹이 돼서 내 정보가 털렸다는 것이 불안하니까 내 정보를 내가 지켜야겠다고 생각했다. ‘패스워드(비밀번호)’ 시스템은, 비밀이어야 할 패스워드를 나만 갖고 있는게 아니라 서버하고 공유하는 것이다. 심지어 사람들이 계정과 패스워드를 하나만 갖고 있는 것도 아니다. ‘시큐리티 밋업 웨이브 2019’ 데모데이에 참여하면서 발표를 하려고 세어 봤더니, 내 개인 계정만 150개가 넘었다. 다 기억하기도 어렵고 해킹의 불안함도 있으니, 패스워드를 없애자는 취지로 창업하게 됐다.
옥타코나 와이키키소프트 모두 패스워드의 대안으로 생체 인식을 선택했다. 파이도 인증에 집중하는 이유가 무엇인가?
공인인증서 때문에 한국에서 공개키 기반 기술이 많이 발전했다. 그래서 공개키 기반인 파이도에 들어가는 것도 쉬웠다. 한국이 파이도 기술 자체가 발전한 나라고, 앞서가는 나라다.
공인인증서가 만들어낸 뜻밖의 기회 같다
그렇게 볼 수도 있겠다(웃음). 어떻게 보면, 공인인증서는 내부(한국)에서만 쓸 수 있는데, 파이도는 전세계적으로 쓸 수 있는 방법이다. 그러다보니 한국 같은 경우 공인인증서와 같은 기술로 기반을 닦았고, 이 산업 자체를 열어준 것은 파이도다.
한국 기업이 파이도 기술 부문에서 유리하고 잘한다는 것은 알겠다. 그렇지만 파이도 자체가 글로벌로도 널리 쓰이는 건가?
예를 들어 ISO/IEC(정보 기술 표준안)는 강제 표준이라 정부 기관이나 산하기관이 규정에 맞춰 들어갈 수밖에 없다. 파이도는 강제 규정은 아니다. 그러나 재작년 말, ISO/IEC 규정에 파이도가 등재됐다. 이 기술 자체가 워낙 보안을 하는데 좋기도 해서 강제 표준에도 같이 협업해 들어가기도 한다.
또, 파이도에는 생체 인식 기반의 공개키 암호화 기술을 갖고 있는 곳은 모두 참여한다. 블루투스 협의회의 경우에는 주로 칩이나 블루투스 업체만 들어가 있는데, 파이도 얼라이언스에는 우리 같은 하드웨어 시큐리티 업체, 와이키키 같은 소프트웨어 업체, 삼성처럼 모든 걸 다 제조하는 곳, 구글이나 마이크로소프트, 아마존까지 다 들어가 있다. 미국의 정부 기관도 들어가기 때문에 어떻게 보면 전 산업을 망라한다. 하나의 기술만 한다기 보다 규정과 협업, 기술 발전 방향까지 모두 이야기하니까 전 산업이 같이 발전할 수 있는 기술이라고 볼 수 있다. 지난해에는 영국의 건강보험 서비스가 파이도2를 가장 높은 수준의 보안 인증을 위해 채택했고, 우리나라 정부도 디지털원패스에 파이도 기술을 적용했다.
인증 기술 중에서도 하드웨어를 선택한 이유가 있나?
전에도 하드웨어 분야에서 일했다. 이 분야에서 하드웨어를 하는 곳이 거의 없다. 저희 같은 시큐리티 키를 만드는 곳이 전세계적으로 다섯 개 업체가 있다. 그중에 어떻게 보면 윈도우 헬로(MS 윈도우의 생체 인식 기술)랑 파이도2 기술을 하나의 기기에 같이 넣는 건 우리가 최초다. 다른 하드웨어 같은 경우에는 파이도만 있거나 파이도2의 생체 인식 기술만 제공한다. 우리는 윈도우 헬로까지 지원하니까 마이크로소프트에서 제공하는 PC 로그인부터 오피스 365 등 열 몇가지 서비스에 쓸 수 있다. 트위터랑 드롭박스, 깃허브 등도 2차 인증으로 파이도2를 지원하므로, 옥타코의 제품으로 로그인 할 수 있다.
하드웨어를 하지만 그 안에 들어가는 인증 소프트웨어를 같이 만드는 건데, 외부 업체와 협력하는 이유는 무엇인가?
예를 들어서 네이버에 로그인을 하는데 파이도2 기술을 적용한다고 치면 우리의 제품을 그냥 사용하면 된다. 그런데 정부 기관이나 은행권 이런데서는 SI적인 부분이 같이 가야 하는 게 있다. 서버나 시스템에 적용하려면 이 부분에 경험이 있는 업체와 협업을 해야 하는 것들이 많다. 그런쪽에서 모자라는 부분을 협력 업체가 서포트 해주고, 우리는 그쪽에서 모자란 하드웨어 부분에 협업하는 것이다.
한컴 시큐어와 협업 발표를 하기도 했다
앞서 말한 것과 비슷하게 보면 된다. 우리는 한컴 시큐어에 하드웨어를 제공해주는 거다. 한컴 같은 경우에는 기관들에서 필요한 소프트웨어를 제공할 때, 옥타코의 기술을 가지고 클라우드 보안 상품으로 접목시켜 판매한다. 이 기술을 한컴 내부에서도 사용하고, 토털 솔루션으로 외부에 내보내기도 한다. 이때 옥타코의 하드웨어가 같이 간다.
그런데 요즘은 PC 생체 로그인을 할 때 스마트폰을 이용하기도 하지 않나. 이렇게 별도 하드웨어를 필요로 하게 될까?
모바일 기반으로 하는 것은 대국민 서비스, 개인들에 대한 서비스라고 보면 된다. 기업이나 정부 기관 내부에서 인증을 할 때는 모바일 기반으로 하지 않는다. 개인 기기를 기반으로 하다보면 보안에 허점이 생길 수 있다. 별도 하드웨어는 보안성을 높여주는 역할을 한다.
또, 모바일 하는업체가 워낙 많으니까 우리는 PC의 하드웨어단을 선점해서 독보적으로 가겠다는 계획도 있다.
자주 로그인 하는 사람이라면 스마트폰보다는 편의성 면에서도 더 나을 것 같다는 생각도 든다
맞다. 또, 개인 사이트에서 쓰던 비밀번호를 기업의 그룹웨어에도 가져와 쓰는 경우가 많다. 해킹 사건으로 개인 정보가 털렸을 때 기업 내부에도 해킹의 위험이 생긴다. 이런 점을 막아주기 위해서 생체인식 파이도 기술을 적용한다.
일반 개인도 사서 쓸 수 있나?
네이버나 옥션, 지마켓 같은 오픈마켓에서도 판매한다. 아마존에서도 팔고. 소비자가격이 6만6000원인데, 한 달에 20~30%씩 판매량이 올라간다. 네이버 같은 경우에 상품평도 4.5점 이상이다. 단말기 안에 보안칩이 들어 있어 나만 쓸 수 있다는 점, 그리고 여러 PC를 쓰더라도 이 단말기 하나면 로그인이 된다는 점 등을 편하게 생각하는 것 같다.
아직 국내서는 파이도2가 적용된 사이트나 서비스가 많이 없다는 게 한계 같다. 물론, 빨리 확산된다면 시장의 기회도 넓어지겠지만.
가장 많이 쓰이는 곳이 PC 로그인이다. 마이크로소프트의 서비스들이나 스카이프에도 적용이 됐다. 아직 오픈한 곳이 많지 않지만 지금 현재로는 업체들이 파이도2를 적용한 서비스를 개발하고 있는 상태다. 올해 행정안전부에서도 파이도2 서비스를 하려고 개발 중에 있는 것으로 안다. 오픈된다면 이지 핑거로 100개 정도 정부 서비스를 쓸 수 있다.
확실히 B2B 시장에서 먼저 안착이 될 것 같다. 주요 협력사는 어떤 곳이 있나?
지난해 말 삼성생명에서 이지핑거를 전 사원 인증용으로 채택했다. 이지핑거가 개발되어 나온지 1년이 안 됐는데, 좋은 레퍼런스가 생겼다. 다른 기관들은 아직 ID와 패스워드를 쓰고 2차 인증으로 OTP 같은 걸 쓰는데 삼성생명은 최초로 지문으로 1차 인증을 한다. 또, 대형 운수 회사에서 기사들의 본인 인증 용도로도 이지핑거를 쓰고 있다.
글로벌 성과는 어떠한가?
지난해 영국에 수출이 나간 상태다. 그곳도 보안 인증 기술 전문 업체다. 두달의 테스트를 하면서 여러 상품을 써보고는 우리 제품이 최고라고 평가를 했다. 이 외에도 논의 중인 기업들이 있다. 올해 글로벌 시장은 더 열릴 것이다. 대표적으로 라인 같은 곳이 파이도2 기술을 탑재하기도 했고, 애플도 관련 솔루션을 공개를 했다.
앞으로의 계획을 말해달라
하나의 기기로 여러 서비스를 편리하고 안전하게 사용할 수 있게 하는게 우리 목표다. 많은 사람이 해킹의 위협에서 벗어날 수 있도록 비밀번호를 줄여가는 거다. 이지핑거를 기획하고 만들면서 사용하는 분들이 느꼈으면 하는 부분이 “단말기 하나로 편하고 안전하게 사용할 수 있다”는 것이다. 사용해 본 분들이 인증을 다 이걸로 하고, 이걸로 또 뭐가 되느냐고 물어보는 일이 많다. 그 경험을 늘려 가고 싶다.
글. 바이라인네트워크
<남혜현 기자> smilla@byline.network
드라이버나 별도의 유틸리티를 제공해서라도 일반 웹사이트에서도 사용이 가능하면 좋겠습니다. 시중에서 2~3만원 이면 구입 할 수 있는 유사한 제품의 경우에는 크롬이나 익스플로러에서 추가기능 형태로 웹사이트 로그인을 지원 합니다. 두배가 넘는 비싼 제품이 이지핑거 인데 활용도는 훨씬 떨어진다는것이 납득이 가지 않습니다.