[K핀테크] “공인인증서 대체 기술 만들었어요, 얼떨결에”

가 +
가 -

“원래는 명품의 정품 여부를 인증하는 데 쓰려던 기술이었어요. 그걸 상용화해서 특허 내고 사업을 진행했는데, 명품 제조사에 연줄을 대지 못해 접었어요. 그러다 2014년 초 공인인증서 대체 인증수단 얘기가 나오는 걸 보고 이 기술을 금융 쪽에 적용할 방법이 있겠다는 생각이 들더라고요. 그래서 처음으로 전체 그림을 그린 게 세이프터치입니다.”

김덕상 에잇바이트 대표

▲김덕상 에잇바이트 대표

김덕상 에잇바이트 대표가 멋쩍게 웃었다. 에잇바이트는 공인인증서를 대체하는 인증 기술을 만든 1인 스타트업이다. 공인인증서를 IC칩이 달린 인증카드로 대체하는 ‘세이프터치’ 기술을 내놓았다.

공인인증서 의무 사용 조항이 폐지된 뒤 대체 인증수단을 찾는 이가 많아졌다. 정부가 핀테크 산업을 육성한다며 그동안 전자금융 발전을 가로막은 각종 규제를 걷어냈다. 공인인증서도 그 중 하나다. 에잇바이트를 비롯해 대체 인증 기술을 가진 스타트업이 주목받는 이유다. 김덕상 대표는 보안 전문가도 아닌 자신이 그저 때를 잘 만난 것 같다고 말했다. 3월24일 오후 서울 마포구 에잇바이트 사무실 근처 커피숍에서 그를 만났다.

대체 인증수단이 무엇일까. 인터넷 뱅킹 앱을 쓴다고 치자. 로그인할 때 공인인증서를 내고 암호를 입력하라고 요구한다. 송금할 때도 공인인증서를 제시하고 암호를 입력하는 단계를 거친다.

은행에서 공인인증서 대신 세이프터치 기술을 채택하면 두 단계를 IC 인증카드를 스마트폰에 갖다 대는 간단한 일로 대신할 수 있다. 공인인증서를 쓰지 않으니 사용자는 1년에 한 번씩 공인인증서를 갱신하려고 각종 플러그인으로 도배된 인터넷 뱅킹 웹사이트에서 신음할 필요가 없다. 또 작은 화면에서 영문 대소문자와 숫자, 특수문자를 뒤섞은 암호를 입력하느라 전전긍긍하지 않아도 된다. 인증 단계를 간소화하기만 해도 온라인 결제와 뱅킹 서비스를 훨씬 간편하게 이용할 수 있다는 얘기다.

세이프터치가 바꾸는 인증 절차 (에잇바이트 제공)

▲세이프터치가 바꾸는 인증 절차(에잇바이트 제공)

세이프터치가 바꾸는 인증 절차 (에잇바이트 제공)

▲세이프터치가 바꾸는 인증 절차(에잇바이트 제공)

명품 인증 기술 활로 막히자 핀테크로 ‘차선변경’

김덕상 대표는 서버 뒷단 개발자로 17년 동안 일했다. 1999년 지인과 차린 개발사에선 금융회사와 통신사 서버 솔루션을 만들기도 했다. 2006년에는 소프트웨어 일회용 비밀번호(OTP)를 만들어 넥슨과 한게임에 공급했다. 그러면서 암호화 기술에 눈을 떴다.

2013년, 김 대표는 잘 다니던 회사를 관뒀다. 공동창업자로서 가만히 있어도 직급이 올라갈 상황이었지만, 조직을 관리하는 일에 파묻히다보니 코딩에서 멀어지는 상황이 마음에 들지 않았다. 직접 코드를 짜며 새로운 걸 만들던 때가 그리웠다.

회사를 그만둔 김덕상 대표에게 지인이 함께 사업을 해보지 않겠냐고 제안했다. 정품 인증 기술을 만들어달라는 얘기였다. 지인은 영업은 자신이 할테니 김 대표는 기술을 만들어달라고 했다. 김덕상 대표는 여기 활용할 만한 기술을 찾아 논문을 뒤졌다. 2048비트 RSA 공개키 암호화 기술을 활용한 인증 방법을 다룬 논문이 눈에 띄었다. 수학과를 졸업한 김 대표는 이 논문을 모교 은사에게 검증해달라고 부탁했다. 학문적으로 안전하다고 확인받은 뒤 이 이론을 상용화했다.

“값비싼 가방 만들 때 작은 칩 하나 넣으면 스마트폰만 가져다 대도 진짜인지 가짜인지 판명되게 하는 거죠.”

이름은 복잡하지만 활용법은 간단하다. 명품 가방을 만들 때 그 안에 스마트폰 NFC 안테나로 인식할 수있는 IC칩셋을 넣는다. IC칩 안에는 암호화해 위조가 힘든 정품 인증 정보를 담아둔다. 사용자는 스마트폰을 가방에 태그해 그 가방이 진짜라는 걸 확인할 수 있다. 겉모양은 엇비슷하게 만들 수 있어도 IC칩까지 위조하긴 힘들다. 그래서 한국과 미국 정부도 마그네틱 신용카드를 IC칩을 단 IC카드로 대체하는 중이다. 김 대표는 이 기술을 스마트 칩 인증 서버 및 그 방법이라는 이름으로 특허도 냈다.

기술은 다 만들었으니 이제 팔 차례다. 여기서 문제가 생겼다. 명품 제조회사에 인증기술을 팔아야 하는데 연이 닿지 않았다. 개발자로 살아온 김 대표는 명품 시장을 몰랐다. 결국 상용화를 접었다.

한쪽 문이 닫히자 다른 문이 열렸다. 2014년 3월 박근혜 대통령이 ‘천송이 코트’ 발언을 하자 공인인증서를 걷어내고 대체 인증수단을 도입해야 한다는 목소리가 높아졌다. 김덕상 대표는 명품 정품 인증용으로 만든 기술을 대체 인증수단으로 개조할 수 있겠다고 생각했다. IC칩으로 정품을 인증하듯 사용자를 인증하면 되겠다고 그는 생각했다. 공인인증서를 IC칩으로 대체한 세이프터치가 탄생했다.

세이프터치 작동 원리 (8바이트 제공)

▲세이프터치 작동 원리 (8바이트 제공)

매체 분리·E2E 암호화로 공인인증서보다 안전한 인증 수단

김덕상 대표는 세이프터치가 공인인증서에 비해 2가지 장점이 있다고 말했다.

우선, 사용자 컴퓨터에 비밀키를 불러낼 데이터를 저장하지 않으니 컴퓨터가 해킹당해도 안전하다. 인증 단계에 카드를 인식하게 해 자연스레 이중 인증을 거친다. 사용자가 본인 휴대폰과 IC인증카드 2개 매체를 모두 소지하고 있는지 확인하기 때문에 아이디와 비밀번호만 확인하는 것보다 안전하다.

두 번째, 처음부터 끝까지 주고받는 데이터를 2048비트 암호화키로 보호하기 때문에 해커가 중간에 데이터를 빼돌려도 거래를 위·변조할 수 없다. 카카오톡도 도입한 종단간 암호화(E2E) 기법이다. NFC나 블루투스 등 무선으로 거래 데이터를 주고받는 인증 기술은 모두 중간에 데이터를 빼돌릴 위험성을 안고 있지만, 김덕상 대표는 무선으로 전송하는 데이터를 모두 암호화해 보호하는 방법을 찾았다고 설명했다.

핀테크 스타트업, 중소기업과 협력해야

“기술이 좋다고 쓰는 게 아니더라고요. 서비스 만드는 건 가능한데, 은행 시스템 안으로 들어가는 건 어렵겠다고 생각했어요. 기술도 필요하고 사람도 필요하고 여러 조건이 맞아야 일이 진행되는데, 저는 혼자잖아요. 개인이 움직이는 것과 조직이 움직이는 건 차이가 크니까요. 함께 일해 시너지를 내보려 합니다. 저도 1인 스타트업이니까 회사 대 회사, 전략적 제휴죠.”

사실 의아했다. 인터뷰 약속을 잡았는데 다른 회사 사무실로 오라는 게 아닌가. 김덕상 대표는 아이투맥스라는 중소 SW 개발사 사무실에서 일하고 있었다. 김덕상 대표는 아이투맥스와 전략적 제휴를 맺었다고 얘기했다.

1인 스타트업으로서 한계를 아이투맥스의 조직력을 빌려 해결한 경우가 많다. 안드로이드 앱도 아이투맥스 쪽 개발자가 시간을 쪼개 김 대표와 함께 만들었다. 은행과 거래를 트기에도 1인 스타트업보다는 업력 있는 개발사가 유리하다. 지난 2014년 9월말 JB전북은행이 모바일 뱅킹 앱에 세이프터치 기술을 채택할 때도 계약은 아이투맥스와 JB전북은행이 맺었다. 김덕상 대표는 아이투맥스와 따로 계약했다. 그는 금융권과 제휴하려는 핀테크 스타트업이라면 더 큰 조직과 손잡는 일도 적극 검토할 필요가 있다고 조언했다.

“스타트업이라고 하면 보통 투자 받아 사무공간 마련하고 사람 뽑는 모습을 생각하잖아요. 그런 방법도 있지만 다른 길도 있다고 봐요. 저는 개발을 다 했기 때문에 굳이 투자를 더 받을 필요는 없었거든요. 그보다 큰 비용 안 들이고 리스크를 줄이면서 금융권과 제휴할 방법이 필요했죠. 기존 중소기업은 조직도 있고 금융권과 관계도 있으니 조언도 받을 수 있잖아요. 그렇게 실행 리스크를 줄이는 것도 스타트업으로서 택할 수 있는 한가지 방법이라고 생각합니다.”

웨어러블 시대, 만능 인증수단 꿈꾼다

지금은 IC칩을 스마트폰에서 인식하는 데 NFC 기술만 쓰지만 앞으로는 블루투스로도 읽을 수 있도록 할 계획이다. 블루투스 통신 기능은 IC칩을 통합 인증수단으로 활용하기 위한 포석이다.

김덕상 대표는 세이프터치 기술을 웨어러블 기기에 녹여넣으면 번잡한 로그인 과정을 모두 생략할 수 있다고 내다봤다. 스마트워치에 세이프터치가 들어갔다고 쳐보자. 사용자가 IC칩이 들어간 스마트워치를 차고 컴퓨터에 가까이 다가가면 알아서 로그인이 된다. 컴퓨터를 다 쓰고 자리를 뜨면 거리가 멀어진 걸 인식하고 알아서 로그아웃된다. 사용자는 아이디나 비밀번호를 입력할 필요가 없다. 스마트워치만 잘 차고다니면 로그인으로 대변되는 인증절차를 손가락 하나 까딱하지 않아도 처리할 수 있다고 김 대표는 설명했다.

“전에는 그런 기기를 차고 다니는 게 먼 세상 얘기 같았는데, 지난해 말부터 웨어러블이 트렌드가 돼 이제는 시도해도 되겠다 싶더라고요. 그렇게 되면 편의점에서 저렴한 스마트밴드를 하나 산 다음 옆에 은행에 가서 ‘앞으로 이 걸 인증기기로 쓸 게요’ 해서 등록하고 쓰면 된다는 거죠. 이런 방법을 만드는 게 마지막 목표입니다.”

스마트워치를 공인인증서 대체 수단으로 만드는 게 김덕상 에잇바이트 대표의 최종 목표다

▲스마트워치를 공인인증서 대체 수단으로 만드는 게 김덕상 에잇바이트 대표의 최종 목표다.

 

한국 핀테크 스타트업 ‘K핀테크’ 릴레이 인터뷰

네티즌의견(총 10개)