찢어서 보관하는 보안 기술, ‘정보 파편화’
상태바
찢어서 보관하는 보안 기술, ‘정보 파편화’
  • 최형주 기자
  • 승인 2020.03.11 10:45
  • 댓글 0
이 기사를 공유합니다

와임 조래성 대표이사

[CCTV뉴스=최형주 기자] 정보보안의 본질은 안전하게 정보를 지켜내는 것에 있다. 그런데 몇 년 전 국내 기업 와임이 정보를 찢어서 보관하는 ‘정보 파편화 기술’을 출시했다.

이 기술은 기본적으로 내부에서의 정보 유출을 막기 위한 기술이지만, 해킹을 당해도 찢어진 정보로는 온전한 정보 확인이 불가능하다.

본지는 와임 조래성 대표를 만나 정보 파편화 기술에 담긴 와임의 정보보호 철학과 향후 방향성에 대해 들어봤다.

Q. 정보 파편화 기술은 어떤 기술인가

대부분의 보안 기술은 암호화 기술을 기반으로 한다. 정보를 알아볼 수 없는 형태로 뒤섞어 보호하는 것이다. 그런데 이렇게 암호화된 정보를 누군가 가지고서 암호만 풀어내면 정보는 유출된다. 간단히 말해 금고에 중요한 문서를 넣어서 보호하는데 금고의 비밀번호를 알아내면 금고 안의 것을 온전히 가져갈 수 있는 것이다.

파편화 기술은 정보 자체를 분쇄하여 형태를 알아볼 수 없도록 만들고 이렇게 분쇄된 정보를 둘 이상으로 나누어 보관한다. 중요한 문서를 잘게 세절하여 마구 섞은 뒤 둘 이상으로 나누어서 각각을 금고에 보관하는 것이다. 

따라서 만약 누군가 어느 한 금고의 비밀번호를 알아내어 금고 안의 것을 모두 가져가도, 온전한 정보를 파악하기란 불가능하다. 파편화 기술은 우선 정보 그 자체를 아무 의미 없는 것으로 만들어 보호하는 기술이다.

 

Q. 이같은 기술을 구상하고 개발하게 된 계기가 있나

훌륭한 보안 기술과 솔루션들이 많이 있지만, 보안을 하면서 해결하고 싶은 두 가지 문제가 있었다. 첫 번째는 내부자를 막는 기술이 필요했다. 특정 조직 내에 한 내부자가 높은 권한을 가질 경우, 얼마든지 그리고 아무도 모르게 어떤 정보든지 가져갈 수 있다. 이것을 막을 수 있는 방법이 마땅치 않았다.

두 번째로는 나에 관한 정보를 누군가 사용하는데 정작 나 자신만 모르고 있는 불편한 상황을 막고 싶었다. 누군가 내 정보를 언제·어디서·어떻게·왜 사용하는지 정작 나만 모른다는 것이 말이 되지 않는다고 생각했고, 이렇게 개인의 정보가 사용될 때 당사자가 권한을 가질 수 있는 방법은 없을지 고민했다.

이런 고민을 하던 중, 지난 2014년 1월 국민카드 등 금융권에서 개인정보 대량 유출 사고가 발생했다. 당시 나와 함께 뉴스를 시청하던 아들이 “정보를 저렇게 한 곳에 모아두지 않으면 안돼요?” 라고 물었고, 이를 계기로 파편화 기술을 구상해 나가기 시작했다.

 

Q. 정보 파편화 기술은 어떻게 활용할 수 있나

조직의 정보보안 책임자는 모든 내·외부의 유출 위협에서 정보를 보호하려 한다. 그리고 조직은 정보를 보호하는 보안책임자조차 의심해야 하는 상황도 있다. 더 나아가 고객은 정보를 보유하고 취급하는 조직을 의심할 수 있다. 파편화 기술은 이런 불편한 상황을 해결할 수 있다고 생각한다.

회사는 직원을 의심하지 않을 수 있고, 직원은 정보에 대한 강박에서 벗어날 수 있고, 고객은 회사를 의심할 필요가 없게 된다. 기술적으로는 암호화와 비교해 상대적으로 더 빠르고 안전하게 정보를 보호할 수 있게 된다.

 

Q. 기술 상용화는 어떻게 진행되고 있나

자체적으로 4개의 솔루션을 출시했다. 우선 Privacy WAEM은개인정보를 안전하게 수집·보관·폐기할 수 있도록 정보 분할 보안기술을 적용한 개인정보보호 서비스다.

개인정보 열람 기록이 각 개인에 통지되고 제어되기 때문에 실제 업무와 관련없는 불법 정보 열람을 통제할 수 있고, 파편화되는 만큼 유출이나 해킹에도 안전하게 개인정보를 보호할 수 있다.

다음으로 OTP Bio는 각종 생체 정보의 유출 시 재사용이 가능하도록 일회성으로 만들어주는 기술이다. 생체정보를 이용하는 곳이라면 어디든 쉽게 적용이 가능하고, 이 역시 정보분할 보안 기술이 적용됐다.

대중을 위한 서비스인 Hapi CAM도 출시 중이다. 사진이나 동영상 등의 정보를 공유 대상과 분할 보관해 일방적인 유출과 배포를 막고, 사진 열람이나 동영상 재생까지도 막을 수 있다. 또한 한쪽에서 데이터를 삭제하면 사진과 동영상의 복원이 불가능해 리벤지 포르노 등에 대처할 수 있다.

마지막으로 Live CERT는 실시간 연속분할 보안처리 기술로 비밀번호 설정없이 간편한 로그인이 가능한 인증서비스다. 이 솔루션은 작년 9월 출시 후 C도시가스사와 계약해 12월 실무에 적용됐다. 이외에도 현재 많은 실험적 솔루션 협업이 이루어지고 있다.

 

Q. 국내 시장에서의 상용화에 어려움은 없었나

국내 B2B 시장을 공략하기 위한 최우선 과제는 CC인증과 GS인증을 받는 것이다. 이 중 CC인증을 받으려면 정보통신망 법에 따라, 개인정보를 저장할 경우 암호화 알고리즘을 사용해야 한다.

그런데 정보 파편화 기술 자체는 암호화가 아닌 분할이기 때문에 사실상 CC인증이 불가능하다. 우리 기술에도 암호화를 도입할 수는 있지만, 암호화는 속도의 제약을 받는다.

 

Q. 분명한 제도적 한계가 있음에도 정보 파편화 기술을 개발하게 된 이유는?

파편화 기술은 ‘기반 기술’이다. 이름을 암호화하거나, 파일을 암호화하는 것과 같이 이름을 파편화 하거나, 파일을 파편화 하는 것도 당연히 가능하다. 즉, 형태에 관계없이 정보를 안전하게 보호하고 싶다면 어떤 분야에서도 사용할 수 있기 때문에 시장성도 무한하다.

파편화 기술을 이용한 다양한 시도를 지속하고 있고, 현재는 시장의 요구가 있는 간편인증 솔루션 제품을 출시한 상태다. 이외에 DB암호화 솔루션과 비교되는 DB분할 솔루션의 제품화도 준비하고 있고, 개인 사용자들을 위한 파편화 기술 솔루션도 준비하고 있다.

 

Q. 기반 기술인만큼, 인프라 구축에 어려움은 없었나

우리가 모든 일을 독자적으로 해낼 수 있다고 생각하지 않는다. 다양한 솔루션을 제공하는 조직 혹은 기업들과 협력해 더 안전한 제품과 솔루션을 만들어 가고 싶다.

현재는 네트워크, 의료정보, 클라우드 보안 등의 서비스에 파편화 기술을 적용하는 협력 관계를 만들어 가고 있다. 이렇게 파편화 기술의 적용 범위를 넓혀 가는 것을 우선적인 목표다.

 

Q. 블록체인과도 닮은 듯 한데, 차이점은 무엇인가

블록체인이 대중의 관심을 한 몸에 받으며, 정보 파편화 기술은 ‘블록체인과 유사하다’는 말을 통해 조금 더 쉽게, 직관적 이해가 가능해졌다. 그러나 분명 블록체인과는 다른 기술임에도 블록체인이라고 오해를 받기도 한다.

블록체인 기술은 ‘복제분산저장’ 기술이다. 이는 원본과 동일한 복제 정보를 참여자들이 모두 하나씩 가지고 있게 된다는 것이고, 다수결로 작동하게 된다.

반면 파편화 기술은 ‘분할분산저장’ 기술이다. 하나의 원본을 이해 당사자 수만큼 분할해 각자가 나누어진 조각을 가지고 있게 된다. 해당 정보를 모두 하나로 합쳤을 때 정확하게 원본으로 복원되어야 원본임을 증명할 수 있다.

블록체인은 참여자 중 누군가 정보를 잃어버리거나 삭제하여도 얼마든지 원본을 증명할 수 있지만, 파편화 기술은 중간에서 정보가 수정되면 절대 원본으로 복원할 수 없다. 또한 하나라도 조각 정보를 잃어버리거나 삭제를 한다면 원본을 복구해 낼 수 없다.

물론 아얘 복구가 불가능 한 것은 아니다. 이런 경우 원본을 복구하기 위해서는 모든 참여자의 동의가 필요하다. 그러나 이런 상황이 발생하기 전, 조각에 대한 백업 등의 데이터 보호 조치가 선행돼야 할 것이다.

블록체인과 가장 큰 차이점은 정보의 공개 여부를 결정할 수 있다는 점이다. 블록체인의 경우 어느 한 사람이 정보를 공개하고 싶어하지 않더라도 다수에 의해 공개된다. 거기에 비해 파편화 기술은 어느 한 사람이라도 정보의 공개에 동의하지 않는다면, 그 누구도 정보를 볼 수 없다.

 

Q. 업계의 평가는 어떤가

블록체인과 다르게 정보를 어느 한 쪽에 편향되지 않게, 동등한 권한으로 안전하게 공유할 수 있다는 점에서 높은 평가를 받고 있다.

특히 파편화 기술은 지금까지의 보안 기술을 대체하는 기술이 아니다. 다른 보안 기술과 함께, 더 안전하게 정보를 보호할 수 있는 기술이다. 다른 기술과 차별화되는 부분들을 주의해서 보시고 공유 상대를 의심하지 않아도 되는 것에 좋은 평가를 해주고 있다.

 

Q. 앞으로의 포부 혹은 목표는

아무도 가본 적이 없는 길을 가고 있다고 생각한다. 암호화를 기반으로 만들어진 법과 체계 속에서 어려움이 많다. 암호화 알고리즘을 사용하도록 강제된 법 구문 때문에 파편화 기술뿐만 아니라 암호화도 추가 적용해야 하는 등의 어려움도 있다. 신기술을 개발하는 분들이 얘기하는 규제가 이런 것이구나 뼈저리게 느끼고 있다.

그럼에도 비교적 최근인 2019년 12월엔 한국정보통신기술협회(TTA) 자문을 받아 정보 파편화기술이 국내 바이오 정보보호 표준화 기술로 등재되기도 했다. 이를 토대로 국제 표준화 기술 등재도 차근차근 준비해, 한국의 기술이 세계에서 널리 사용되도록 만들고 싶다.

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.