[디지털데일리 이종현기자] “아파트 보안키. 아무리 강한 보안을 적용하더라도 3만원 정도 하는 복제기를 구입해 근거리무선통신(NFC) 칩에 옮겨놓으면 문이 쉽게 열린다. 이런 식의 보안 허점이 일상뿐만 아니라 금융, 운영기술(OT) 등 곳곳에 잠재해 있다. 보호돼야 할 사각지대가 계속 메워지지 않고 있는 상황이다.”(유창훈 센스톤 대표)

19일 <디지털데일리>가 개최한 차세대 기업보안 세미나 [NES2023]의 발표자로 나선 센스톤 유창훈 대표는 아이덴티티(Identity) 관점에서의 보안 이슈를 공유했다. 국민 생활을 위협하는 여러 보안 허점을 지적한 뒤 이를 해결하기 위해 센스톤이 제시하는 기술에 대해 발표했다.

센스톤은 사용자 인증 기술인 ‘OTAC(One-Time Authentication Code)’를 바탕으로 금융보안 등에서 두각을 드러내는 기업이다. OTAC는 네트워크 연결 없이 사용자를 인증할 수 있는, 중복되지 않는 일회용 코드를 생성하는 기술이다. 이를 바탕으로 한국과 영국을 중심으로 사업을 펼치고 있다.

토스뱅크가 센스톤의 대표 고객사다. 토스뱅크는 센스톤의 스위치 OTP를 이용해, 스마트폰에 체크카드를 태깅하는 것만으로 고액의 송금을 위한 인증을 할 수 있도록 구현했다. 편의성을 해치지 않으면서 보안성을 강화하는, 두 마리 토끼를 모두 잡은 케이스다.

2015년 사업을 시작한 센스톤은 2018년 영국 정부의 지원을 받아 스위치(swIDch)라는 이름의 영국 법인도 설립했다. 국내에서는 공인인증서가 인증 시장을 독점하고 있었던 만큼 해외에서 기술력을 검증받는 데 집중했고, 공인인증서가 폐지된 이후 국내에서도 사업을 본격화하는 중이다.

유창훈 대표는 해외에서 사업을 하며 직접 경험하거나 들은 국내외 사례를 소개했다. 한국과 다른 유럽연합(EU)의 통신 환경이나 최근 주목받고 있는 운영기술(OT) 영역에 대한 보안, 또 국민 개개인이 겪을 수 있는 위협 등에 대해 설명했다.

유 대표에 따르면 EU의 경우 네트워크의 연결에 대한 책임 주체가 건물 내부냐, 외부냐에 따라 달라진다. 가령 많은 관중이 몰리는 스포츠 경기장의 경우 경기장 내부에서의 통신 접근성은 구단주의 책임이다. 한국이라면 사용자가 집중되는 곳에 통신 중계차를 둔다든지 하지만, 해외의 경우 인터넷 환경이 굉장히 열악하다는 설명이다.

그는 “경기장에 사람이 많이 몰리다 보면 인터넷에 대한 지연시간(레이턴시)이 어마어마하다. 단순 편의성이 떨어지는 문제만 있는 것이 아니다. 가령 3~4명이 같은 출입증을 갖고 몇시 몇분 몇초에 동시에 입장하면 이를 막지 못한다. 휴대폰, 서버 모두 지연시간이 길어서 생기는 헤프닝”이라며 “EU는 굉장히 선진국이라고 하지만, 이런 부분에서 굉장히 취약한 상황”이라고 말했다.

이와 같은 문제가 마냥 방치된 것은 아니다. 프랑스 통신회사 오렌지텔레콤이 문제 해결에 착수했는데, 센스톤이 우선사업대상자로 선정됐다. 통신이 어려운 환경에서도 사용자 인증이 가능하다는 것이 강점으로 작용했다.

또다른 사례로 유 대표는 OT 보안, 그중에서도 OT 시스템을 운영하는 데 쓰이는 프로그래머블 로직 컨트롤러(PLC)의 취약한 보안에 대한 우려를 나타냈다. PLC가 오작동할 경우 중대한 산업재해로 이어질 수 있는 만큼 중요도가 높지만 10여년 전부터 지금까지 줄곧 보안 사각지대에 놓여 있다고 지적했다.

유 대표는 “OT 보안을 얘기하면 ‘폐쇄망인데 상관 없지 않나’라는 말이 자주 나온다. 그런데 자사망이 100% 폐쇄망이라고 생각하는 기업들은 2019년 27.9%에서 2021년 8.2%로 급감했다. OT 환경의 외부 연결이 굉장히 늘었다는 것을 알 수 있다”며 “연결되면 언제든지 사고가 날 수 있다. 사고가 나더라도 발표를 안 하다 보니 이슈가 안 될 수도 있는데, 굉장히 심각한 문제”라고 피력했다.

센스톤은 PLC 공급사인 LS일렉트릭과 함께 PLC 보안 취약점을 해결하는 작업에 착수했다. 동일한 패스워드를 사용하는 데다 사용자를 인증하지 못했던 PLC 환경에서 자사 OTAC 기술을 통해 누가 어떤 시스템에 접근했는지 식별할 수 있도록 구현하는 작업을 수행 중이다.

유 대표는 제로 트러스트에 대한 논의가 지나치게 기업·기관을 중심으로 진행되고 있다는 점도 꼬집었다. 그는 “국민 개개인이 중심이 된 인증 정책, 국민 생활을 위한 제로 트러스트 정책이 필요하다고 생각한다. 내가 나임을 검증하는데 왜 기관을 중심으로 해야 할까. 나를 중심으로 인증하는 것으로 여러 보안문제를 해결할 수 있으리라 본다”고 밝혔다.