@주3회 발행하는 유료 뉴스레터 [스타트업]입니다. 유료 구독자는 시즌8의 12곳 스타트업 창업자 이야기와 함께 이전에 발행한 100곳 이상의 스타트업 스토리를 볼 수 있습니다. 유료 가입 https://page.stibee.com/subscriptions/158656 입니다. 무료 가입은 https://page.stibee.com/subscriptions/143087 입니다. 감사합니다.
센스톤은 보안 기술을 파는 회사입니다. 보안 소프트웨어도 아니라, 원천 기술의 알고리즘을 제공하고 이를 기반으로 라이센스 사용 비용을 받습니다. 보안 산업을 담당했던 쫌아는기자들이 보기엔 한국은 보안 산업이 다른 분야에 비해 한참 뒤처져 있습니다. 매년 터지는 해킹 사고 때마다 고질병처럼 나오는 지적이죠.
창업 7년이 넘어간 센스톤은 다른 보안 회사와는 아예 다른 방식으로 시장에 접근했습니다. 남들의 기술을 가져와 솔루션을 만들지 않습니다. 오리지날 알고리즘을 만들었다고 합니다. OTAC, ‘One-Time Authentication Code’라는 기술입니다. 우리가 흔히 쓰는 OTP의 진화판이라고 하는데, 아직 널리 도입되진 못했습니다. 국제인증을 받고 인도네시아 조폐공사 등에서 이제 막 기술을 도입하는 단계라고요.
무엇보다 창업자 유창훈 대표는 조선공학과 출신에 실제 조선회사에서 일하다 창업했습니다. 그것도 첫 창업은 2000년대 초반 인터넷벤처붐 때. 이미 한번의 실패를 겪고 보안 업계에 있던 그가 불혹의 나이에 창업한 회사입니다. 알고리즘 설계 아이디어를 영화 인터스텔라의 한장면에서 얻었다고 합니다. 물론 암호학도, 컴퓨터 공학 전공자도 아닌 그의 알고리즘은 처음엔 핀잔만 받았습니다. 결국 영국으로 건너가 기술을 인증받고, 다시 해외에서 실증 사례를 쌓아 국내로 돌아온. 보안 업계 아웃사이더의 창업기입니다.
◇OTP에도 허점과 단점이... 코로나 때 QR인증의 진화판이 필요했던 이유
-센스톤이란 이름은 의미는요?
”한국말로 그냥 ‘센 돌’이라는 뜻입니다. SSEN, 그리고 STONE의 합성어죠. 돌처럼 센 스타트업이라는 그런 의미로요.”
-OTAC 부터 이해가 필요합니다. 우선 어떻게 불러야 하나요. OTAC, 철자를 하나씩 불러도 되고, ‘오탁’이라도 불러도 됩니다. 센스톤이 개발한 보안 원천 기술입니다. 창업 초기부터 개발했던 기술이죠. 보안 시장은 전통적으로 굉장히 폐쇄적입니다. PKI(공개키 기반구조) 기술이 1970년대 중반 발표됐으나 이게 보편적으로 사용되는데 20년이 걸렸습니다. 지금 우리가 쓰는 OTP 기술 개발이 언제인지 아시나요? 1980년대 개발한 기술입니다. 확산에 20년이 걸린 겁니다. 센스톤의 OTAC 기술은 과거 보안 업계에서 ‘불가능하다’고 여겨진 영역에 도전한 기술입니다. 개발부터 지금까지 약 7년이 걸렸고, 이제 시작인 기술이죠. 물론 매출은 적고 이제 시장을 서서히 설득하는 과정이지만, 시리즈A로 150억원 정도 자금을 확보했습니다. 기술 하나로 말이죠. 그리고 해외와 국내에서 이제 막 비즈니스 모델이 돌아가기 시작한 단계입니다.
-OTP라는 기술과 도대체 무엇이 다른가요. OTP에도 허점이 있다고요?
”OTAC는 ‘One-Time Authentication Code’의 약자로, OTP와 유사한 점이 많아 보일 수 있습니다. 하지만 OTAC는 ‘Dynamic One-Time Authentication Code’, 즉 동적인 원타임 인증 코드입니다. 기본적으로 토큰화(Tokenization)를 기반으로 합니다. 토크나이제이션과 OTP에 대한 이해가 선행되어야 기술을 설명할 수 있는데요.
은행 OTP는 다들 써봤을 겁니다. 은행에서 처음 OTP 기기 받고 나면 뒤에 시리얼 번호가 있습니다. 이걸 등록해야만 OTP를 쓸 수 있었습니다. 그러니까, 나의 시리얼 번호를 은행 서버에 초기 등록을 하고, 이체하기 전에 OTP의 시리얼 번호와 접속자가 일치하는 지를 한 번 더 확인하는 겁니다. 등록한 시리얼 넘버를 기반으로 은행 서버에서 알고리즘을 갖고 숫자를 만들어내고, 이걸 일치하는 지 확인하는 작업인데… 이 이해까지는 너무 어렵다면 아주 단순하게 설명하겠습니다.
우리는 OTP를 한 번 입력했지만, 사실 뒤에선 OTP에 뜬 6자리 숫자 외에도 접속자와 OTP 기기가 일치하는 지에 대한 2차 인증이 한 번 더 있었던 셈이죠. 이렇게 2차 인증이 가능했던 이유는 우리가 인터넷 뱅킹을 할 때 우선 로그인을 하기 때문에 가능했습니다.
그런데, 만약, 로그인을 안 한 상태에서 OTP만 입력하면 무슨 일이 벌어질까요. 은행 시스템은 누가 로그인을 했는지 알 수 없습니다. 코드를 통해 인증을 해야 하는데, 천만명의 OTP 시리얼 번호와 지금 OTP를 통해 입력된 번호를 대조하는 작업을 수행해야 합니다. 정말 낮은 확률로 중복되는 OTP 숫자 6자리가 나올 가능성도 있습니다. 그러니까 인증 절차가 두 번 있어야 한다는 투스텝의 불편함, 낮은 확률의 허점까지 있을 수 있다는 겁니다. 완벽한 보안 체계가 아니라는 것이죠.”
-그러니까 로그인이 없이도 사용자를 인증할 수 있는, 보안 시스템의 니즈가 있다는 것일까요. OTP의 한계를 뛰어넘을 수 있는? 은행 뱅킹이야 요새 지문 인증으로 로그인도 쉬운데… 이런 니즈가 있을까요
”계속 바뀌는 다이나믹 코드를 기반으로 한 일회성 인증의 사례. 여러분 가까운 곳에 있었습니다. 코로나 확산 시기 기억하나요? 식당이나 어딜가도 카톡이나 네이버로 폰을 흔들어서 QR 코드를 인증해야 했습니다. 그런데 저희가 식당이나 카페에서 로그인을 했나요? 아뇨. 안 했습니다. 그리고 그 QR코드는 매번 카카오 서버에 요청이 보내지면, 카카오 서버가 나를 증명할 수 있는 토큰을 날린 셈입니다. 당시 QR코드는 영구적인 것이 아니라 15초만 유효한 코드였습니다. 15초 안에 바코드로 찍혀서 인증됐던 절차였던 것이죠.하지만 당시 코로나 QR코드도 완벽한 다이나믹 코드는 아니었던 것이 한 달에 한 번씩 인증절차를 통해 스마트폰과 카카오톡 사용자가 본인과 일치하는 지를 식별했습니다. 절반의 다이나믹 코드였던 셈이죠. 어쨌든 우리는 코로나 QR 코드 인증 시기에 로그인이나 별도의 인증 절차 없이도 QR코드로만 양방향으로 우리를 인증하고 동선을 입력했습니다. 토큰화, 보안 기술이 어렵거나 멀리 있는 것은 아닙니다.”
◇영화 인터스텔라의 한장면이 암호학 고정관념을 깬 이유
-그러니까 사실은 투스텝 인증 절차가 필요한 OTP와 달리 OTAC는 한번에 끝낸다?
“OTAC은 내 기기, 카드나 스마트폰에서 토큰이 만들어져서 이걸 서버로 보내서 대조를 하는 작업 한 번으로 끝납니다. OTP를 쓸 때는 사용자의 신원에 대한 인증 절차가 별도로 필요한 것과 다르죠. 두 번의 단계를 거치는 것이 단 한번의 단계로 인증이 끝나니까요. 예를 들어 OTAC을 카드에 적용한 시제품을 보면, OTAC이 매번 카드번호를 새로 생성합니다. 이걸 입력하는 것만으로도 결제가 가능합니다. 물론 카드 번호가 바뀌는 카드가 있습니다. 그런데 한 달에 한번 바뀝니다. 카드 회사 서버와 인증하는 별도의 절차가 필요하니까요. 완벽한 다이나믹이 아닌 것입니다. 그렇기 때문에 유출의 위험에 항상 놓여있죠.”
-누군가와 OTAC이 겹치는 일이 일어나면 큰일 아닙니까? OTP는 시리얼 넘버로 2단계 인증이지만 OTAC 방식의 원리대로라면 별도의 인증절차도 없이 그냥 스마트폰에 뜬 숫자나 QR만 보내도 내 신원을 인증하는 것인데. 아주 낮은 확률로 그렇게 생성된 숫자가 겹치면요?
”당연히 이 보안 기술로 누군가 내 토큰과 겹칠 확률은 제로여야 합니다. 제로에 가까워서도 안 됩니다. OTAC의 알고리즘은 중복 확률이 제로입니다. 알고리즘이 그렇게 설계되어 있어 확신할 수 있습니다. 원래 보안업계에서 이렇게 다이나믹 원타임은 불가능하다고 해왔습니다. 애초에 안 된다고 반포기 상태였던 기술에 매달렸던 것입니다.”
-암호학의 수많은 석학들이 불가능하다고 생각했던 이유가 있지 않았을까요. 대표님이 이 분야를 오래 연구한 것도 아닌데, 그걸 언제 어떻게 극복했나요.
”2016년에서 17년 사이, 개발했습니다. 제 전공은 조선공학이었지만, 수학을 좋아했고, 암호학에도 관심이 많았습니다. 실제로 제 전공이 암호학이 아니었기 때문에, OTAC 알고리즘을 개발했다고 생각합니다. 실제로 암호학, 수학 전공 교수님들은 OTAC에 무척 회의적이었습니다. 친한 교수님이 ‘이게 가능했다면, 진작 전 세계 석학들이 만들었을 것’이라고 했습니다. 심지어 저희 연구소장조차 이것이 불가능하다고 생각했습니다. 1년을 꼬박 연구를 하다가, 당시 여의도에 있던 빌딩에서 퇴근하면서 좌절이 찾아왔습니다. 아, 나는 별볼일 없는 스타트업의 대표에서 끝나겠구나.. 하면서 터벅터벅 돌아오는 길에 문득 영화 인터스텔라의 한 장면이 떠올랐습니다. 거기서 아이디어를 얻었습니다. 어렴풋이 결국 지금 문제는 기하학으로 풀어야 한다고 생각했는데, 정답이 그 영화에 있었습니다.”
-크리스토퍼 놀란의 영화 인터스텔라요? 어느 장면이 영감을 줬나요.
”영화 마지막쯤, 쿠퍼 스테이션이라는 우주 식민지가 나옵니다. 아버지 주인공이 노인이 된 딸을 보러 가는 장면에서 우주 식민지에서 야구를 하는 장면이 나옵니다. 공을 딱 쳤는데, 행성의 구조가 다차원 구조로 되어 있어 하늘로 치솟아 집의 유리창을 깹니다.
현재 암호학은 XYZ 축이 모두 직선이라는 전제로 답을 풀고 있습니다. 수평선에서 제가 대포를 쐈습니다. 한 20km 넘어 지평선 너머 어느 곳에 포탄이 떨어졌습니다. 포를 맞은쪽에선 포탄을 쏜 위치를 정확하게 알 수 없습니다. 추측만 가능할 뿐이죠. 그래서 인간은 인공위성이라는 기계를 개발합니다. 지평선 너머의 좌표를 알기 위해 지구 위에 거대한 거울을 띄워 둔 셈이죠. 저 너머의 정보를 알기 위해서요. 하지만 XYZ가 직선이 아니라, 거대한 구라면 어떨까요. 그러니까 야구공이 하늘로 치솟는 것처럼, 우리가 알고 싶은 좌표가 거대한 구 속에 다 있다면? 우리가 서있는 자리에서 모든 곳의 좌표가 한 눈에 들어올 겁니다. 원형 좌표계를 사용하면, 중심점을 기준으로 모든 지점이 서로 연결되어 있기 때문에 어느 위치에서든 신호를 보낼 수 있고, 그 신호의 출처를 정확하게 파악할 수 있습니다. OTAC 알고리즘은 이러한 다차원 구조를 이용한 것입니다. 기하학적인 접근이 달라서 가능합니다.”
쫌아는기자들이 만드는, 뉴스레터 [스타트업]은 주 3회 발행하는 유료레터입니다. 오늘의 무료 콘텐츠는 여기까지 입니다. 전문의 절반을 공유합니다. 아래는 전문에 나온 부제와 질문입니다. 어떤 분이 ‘절반이나 공유하는데 누가 돈을 내고 보냐’고 걱정하십니다. 본래 쫌아는기자들의 시작은 ‘스타트업을 응원하는 기자들이 네이버나 구글에선 못보는 찐 스토리를 전달하는 뉴스레터’입니다. 그래서 상당부분을 무료 구독자께도 공유합니다. 다른 분들께도 널리 전파해주세요. 감사합니다.
◇인도네시아 정부가 센스톤의 OTAC 기술을 쓰는 이유...IoT 시대에 더 늘어날 수
-비즈니스에 대한 이야기로 넘어가봅시다. 과연 OTAC 기술, 시장에서 필요로 하나요? 보수적인 보안 업계에 새로운 기술을 도입한다는 것은 그 기술이 돈이 되거나 확실한 혁신이어야 할 것입니다.
-단방향 통신과 IoT 기기에 대한 이점이 있군요. 특이하게 인도네시아 조폐공사과 사업을 함께 하고 있습니다. 이미 인니 정부 조세 시스템에 도입이 됐는데...이 정도로 신뢰를 쌓은 것인가요.
-저도 토스 카드를 애용하는데, 스마트폰 뒤에 물리적 카드를 접촉해 인증하는 방식이 센스톤의 기술이었군요. 이 기술이 필요한 이유는요?
-LS일렉트릭의 산업용 장비에도 센스톤 기술이 들어갑니다. 공장 현장에 OTAC 기술이 필요한가요.
-우리 생활과 더 가까운 방식은 없나요?
◇“배는 바다에서 무수히 많은 변수 만나...이론적으로 ‘안 되는 이유’보다 현실에서 ‘되는 방법’을 찾아야 한다”
-스타트업은 속도가 생명이라는데...거의 7년 동안 얼마 없는 매출로 버텼습니다.
-조선공학과를 나와 삼성중공업에 다니다 창업했습니다. 1999년 첫 창업의 이름은 ‘학교앞’이네요. 이때 BM이 궁금합니다.
-43세에 두번째 창업입니다.
-조선소의 경험이 알고리즘 설계에 도움을 줬다면서요. 바다에서 배를 자르고 이어 붙였던. 이론보다 현실이 더 중요하다는 깨우침?
◇전공의 벽 깨기와 불혹의 창업
-비전공자의 혁신은 두배로 힘듭니다.
-적은 매출로도 영국 법인을 차렸습니다.
-십여년이 지나 한 두번째 창업, 그것도 불혹이라는 40대에 했네요. 두번째 창업 어떻습니까.