[금융경제신문=최진승 기자] 디지털금융이 보편화되면서 보안의 중요성은 커지고 있지만 국내 보안산업은 낙후된 상태를 면치 못하고 있다. 대표적인 예가 HSM(Hardware Security Module) 장비다. HSM은 기업용 서버의 각종 데이터를 암호화하거나 복호화할 때 필요한 '암호키'를 생성하고 보관하는 장치다. 금융권은 물론 가상자산 거래소들도 HSM에 의존해 암호키를 생성 및 보관하고 있다. 하지만 HSM은 대부분 외산 제품에 의존하고 있는 실정이다.

HSM 국산화를 통해 외산 제품과의 경쟁에서 저변을 넓히고 있는 기업이 있다. 이삼열 엑스비젼(Xvision) 대표는 "외산 정책에 휘둘릴 수 있는 위험으로부터 국내 4차산업 기반 생태계를 지켜야 한다"고 강조했다.

암호기술은 기반 기술이기 때문에 4차산업 분야에서 빼놓을 수 없는 분야다. 제대로 된 보안 상태계가 만들어져야 하고 국가 차원의 투자도 필요하다. 국산화도 같은 맥락이다. 그간 국내 보안산업은 외산 제품들의 각축장이 되면서 왜곡된 시장을 형성해 왔다. 과거 비싼 외산 장비와 낮은 암호키 보관 인식률로 인해 국내 HSM 시장이 축소되면서 보안에 구멍이 생기기 시작했다.

이삼열 대표는 "개인정보보호법 시행으로 데이터의 암호화가 의무화됐지만 보안 기업들이 장비 도입 부담을 줄이기 위해 HSM을 제외하면서 암호화된 데이터의 핵심인 '암호키'까지 서버에 저장하고 있다"고 지적했다. 이 대표에 따르면 현재 기업 보안의 가장 큰 문제점은 DB관리 업체들이 암호키 관리까지 맡으면서 암호키를 분리 보관하지 않고 같은 서버에 저장하고 있다는 점이다.

◇ 외산제품 경쟁 속 불완전 보안 기술 초래... 4차산업 기반 생태계 한계

HSM은 공인인증서가 도입되기 시작한 2000년대 초반 국내 소개됐다. 당시 행안부에서 처음으로 공인인증서의 운영규격이 나오면서 전자인증이 막 적용되기 시작한 때였다. 금융권과 공공기관에서 전자인증서에 대한 관심이 높아지면서 HSM은 이슈가 됐다. 전자인증서는 암호화 기술이 필수적으로 요구됐고 이에 암호화된 데이터의 암호키를 안전하게 보관하는 문제가 업계 이슈였다.

"당시 해외에서 암호키 보관 및 생성장치로 HSM이 알려져 있었습니다. 국내에서는 한국인터넷진흥원(KISA)이 처음으로 HSM을 장착했습니다. 이후 공인인증서 사업이 진행되면서 금융기관(5대 발급기관)이 인증서를 금융권에 발급하고 이용자들이 사용하면서 인터넷뱅킹이 활성화되는 단계로 넘어갔습니다."

이삼열 대표는 처음에 HSM의 국내 유통을 담당했다. 이 대표는 2005년 미국 SafeNet사와 한국 총판 계약을 맺고 HSM을 국내 보급하기 시작했다. 이후 외산장비들이 경쟁하는 시대가 열렸다. 이 대표에 따르면 전세계 HSM 총판 가운데 '슈퍼세일러'에 오를 정도로 우수한 영업 실적을 쌓았다. 하지만 외산장비 의존도가 높아지면서 라이선스 비용도 덩달아 오르기 시작했고, 총판 마진이 줄면서 국내 시장은 위축됐다. 중소기업들은 HSM 구매에 어려움을 호소했다.

"외국기업들이 국내 파트너십에 대한 정책을 계속 바꾸면서 무리한 요구를 하기 시작했습니다. 해마다 장비 가격이 20~30%씩 오르면서 총판 마진은 줄어들었고, 중소기업들도 장비 구매에 어려움을 겪으면서 시장은 위축될 수밖에 없었습니다."

악순환은 계속됐다. 외국기업들은 국내 총판을 여럿 두면서 출혈 경쟁을 유도했다. 결국 장비 수입 비용 증가에 따른 부담을 국내 기업들에게 전가하는 불합리한 시장구조가 지속됐다. 이 대표가 HSM의 국산화를 결심하게 된 이유다.

◇ 총판 사업으로 시작해 HSM 국산화에 도전

HSM 개발은 암호기술과 하드웨어 기술 두 가지가 필요하다. 이삼열 대표는 본래 소프트웨어 엔지니어 출신으로 아키텍처 구조에 대한 이해가 있었다. 문제는 하드웨어 기술이었다. 2015년 HSM의 국산화를 결심했지만 막상 하드웨어 설계 기술자를 찾기 어려웠다. 결국 이 대표가 직접 설계에 나섰지만 수년간의 시행착오는 피할 수 없었다. 자체 HSM 개발에 6년이 소요됐다.

"2021년도에 암호키를 저장할 수 있는 하드웨어 저장장치(PCI타입)가 나왔습니다. 이를 근간으로 국제표준 암호운영 소프트웨어와 기존 저장장치를 탑재한 네트워크 타입 장비(KeyGuard HSM D, 타이탄-Cy, 타이탄-Dc) 등을 22년 3월까지 공식 출시했습니다."

때마침 2020년 12월 공인인증서가 폐지(다양한 사설인증서 허용)되면서 이 대표와 엑스비젼에 기회가 왔다. 공인인증서의 폐지는 은행들이 전자인증을 독자적으로 관리 운영하게 됐다는 뜻이다. 이 대표 입장에서는 기업용 HSM 시장이 오히려 넓어지게 된 계기였다.

하지만 문제는 또 있다. 금융시스템이 점차 클라우드 환경으로 변하고 있었던 것. 온프레미스 환경에서 필요한 HSM 장비가 과연 클라우드 환경에서도 역할을 할 수 있을까? 이에 대한 물음에 이 대표는 세 가지 이유를 꼽았다. 기업의 개인정보와 투자수익률(ROI), 그리고 DB관리에 대한 책임 소재가 그것이다.

"먼저 계정 및 개인정보는 클라우드에 저장하지 않습니다. 고객정보를 클라우드에 올린다는 것은 금융권 입장에서 리스크입니다. 두 번째로 클라우드 환경은 비용대비 효과면에서 적자입니다. 세 번째로 클라우드는 DB관리 책임이 명확치 않은 문제가 있습니다."

이 대표에 따르면 현재 클라우드 비즈니스 환경은 투자가 필요하고 투자에 대한 책임도 모두 개발사가 가져가는 구조다. 문제가 생겨도 클라우드 사업자(KT, 네이버 등)는 책임지지 않는다는 얘기다. 또 인증을 할 때마다 클라우드 사업자와 해외제품 라이선스 비용이 같이 나간다. 이 대표는 "자체 운영비용과 클라우드 비용 간 ROI를 비교했을 때 초기 투자비용은 클라우드가 싸지만 유지보수 비용은 훨씬 높아진다"고 말했다.

비용도 비용이지만 더 큰 문제는 망/DB관리 책임 소재가 명확치 않다는 점이다. 현재는 클라우드 사업자와 기관 간 계약으로만 책임 소재를 정해놨기 때문에 문제가 생겨도 애매하게 대처할 수밖에 없는 상황이다. 기업들의 고민도 여기에 있다. 이 대표는 "비용과 운영면에서 책임소재가 불명확하다"면서 "클라우드법도 디테일이 부족해 민간 계약만으로 해결할 수밖에 없는 실정"이라고 말했다.

공공기관도 입장은 마찬가지다. 정부가 2025년까지 클라우드 활성화 정책을 내놨지만 정작 중요한 데이터는 클라우드에 올리지 못하고 있다. 대민 서비스나 홍보 정보에 한해 클라우드에 올리다보니 공공기관도 클라우드 도입에 망설이고 있다는 설명이다.

"로컬 환경을 선호하는 기관과 기업들이 여전히 많습니다. 현장에서는 정부 시책과 다른 생각을 가진 곳이 많습니다. 아직까지 로컬 서비스가 활성화되어 있고 많은 기업들이 중요한 암호키를 전산실에 놓고 싶어합니다."

◇ 해킹의 주 원인은 '암호키' 관리 부실

암호화된 데이터와 그것을 풀기 위한 암호키는 따로 분리해야 한다. 한국인터넷진흥원(KISA)과 금융감독원도 이것을 원칙으로 하고 있다. 그런데 당연한 듯 보이는 이 원칙이 제대로 지켜지지 않고 있다고 한다. 어찌된 일일까.

"국내 보안시장은 외산 하드웨어 제품들이 경쟁을 벌이고 있었습니다. 과거 암호화 인증서가 확산되는 과정에서 외산 장비의 비중이 크고 암호키 보관 인식률도 떨어지다보니 하드웨어보다 DB 암호화 소프트웨어에 의존하게 됐습니다."

문제는 DB 암호화에 지나치게 의존한 나머지 암호화된 데이터의 '암호키'를 분리 보관하지 않는다는 점이다. 예를 들어 '금융경제신문'이라는 텍스트를 서버에 저장하면 해킹 사고시 텍스트가 해커에게 그대로 노출된다. 따라서 데이터를 암호화해서 저장하라는 게 개인정보보호법이다. 그런데 암호화된 데이터를 풀려면 원래 암호키가 필요하고 이 암호키는 당연히 분리 보관돼야 해커로부터 데이터를 지킬 수 있다.

하지만 DB 암호화 기업들은 암호키 관리를 하면서 데이터와 암호키를 같은 서버에 저장한다는 게 이 대표의 설명이다. 기업 데이터의 핵심인 암호키를 유지 관리업체가 보관한다는 것도 안이한 발상이다.

"정석이 아닌 편법이 쓰이게 됐습니다. 과거 공인인증서에 액티브엑스를 썼듯이 보안 기업들이 DB 암호화 시장에 뛰어들어 또 다시 편법을 펼치고 있습니다."

◇ 진성난수 및 양자난수 암호기술 공급 확대

엑스비젼은 이제 막 HSM의 국산화에 성공한 기술기업이다. 후발주자인 만큼 아직 매출은 크지 않지만 고객사는 꾸준히 늘고 있다. 2년 남짓 동안 20개 기업에 제품을 공급하고 있다. 분야별 레퍼런스도 늘었다. 올해는 양자난수와 진성난수 분야에 HSM을 특화시켰다.

진성난수(TRNG)는 CPU열잡음을 수치화 등 하드웨어를 기반으로 한 난수를 암호키의 시드값으로 활용하는 것을 말한다. 엑스비젼은 업계 최초로 이것을 HSM 안에서 시드값으로 사용했다. 이를 활용해 덴소(DENSO)코리아의 리모콘 키에 TRNG 난수 암호키를 주입하는 프로젝트를 수주했다. 덴소코리아는 현대기아차에 자동차 리모콘 키를 생산 공급하고 있다. 이 대표는 "올해 창원 공장의 생산라인 16곳에 적용 공급했고, 내년부터 생산라인 50여곳에 확대 공급할 계획"이라고 말했다.

엑스비젼은 양자난수 분야에서도 파트너십을 갖고 있다. 현재 양자난수(QRNG)는 국내 기업인 EYL의 방사선동위원소를 이용한 양자 엔트로피 추출 기술에서 생성된 난수를 공급하고 있다. 엑스비젼은 이것을 활용해 HSM 내부에서 양자기반 KCMVP 검증 모듈을 이용해 암호키를 생성한다. 양자키는 무선통신 분야에서 주로 활용성이 높아지고 있다. 엑스비젼은 드론 분야에서 양자키 관리 프로젝트를 맡았다. 무선통신을 이용한 좌표이동 명령정보와 영상정보를 암호화하는 데 퀀텀기술을 적용, 상용화했다.

"올해와 내년까지 안정화에 집중하면서 융합기술을 확보해나갈 계획입니다. 우리 제품은 커스터마이징이 가능하다는 장점이 있습니다. 내년부터 사물인터넷(IoT) 및 모빌리티 서비스 등 국내 시장에서 안정성과 신뢰성을 쌓은 후 다양한 분야로 확산 가능할 것으로 기대하고 있습니다."