"불확실성이 너무 크지만 블록체인이야말로 글로벌 시장으로 발돋움할 수 있는 기회를 열어 줄 기술이라는 관점에 공감한다. 우리는 소프트웨어(SW) 보안 취약점과 버그 정보가 선순환할 수 있는 블록체인 쓰렛인텔리전스(threat intelligence) 플랫폼을 만들려고 한다."
보안솔루션업체 수산아이앤티 이성권 대표가 블록체인을 활용한 SW보안취약점 위협인텔리전스 플랫폼과 서비스를 만들겠다는 뜻을 내비쳤다. 외부 보안 전문가와 기업이 SW보안취약점 문제를 함께 해결하는 선순환 모델을 활성화하겠다는 포부다.
이 대표는 국내 처음으로 국제공인 정보시스템보안전문가(CISSP) 자격을 취득하고 한국CISSP협회 초대 회장을 지낸 보안전문가다. 과거 삼성테크윈, 한국인터넷진흥원(KISA)을 거쳤고 보안업체 '정보보호기술기업'과 맞춤셔츠제공 스타트업 '패셔노믹스'를 설립하기도 했다.
그는 고려대학교 정보대학 SW벤처융합전공 교수로 재직 중 정석현 수산중공업 회장과 인연이 닿아, 지난해 12월 수산아이앤티 최고운영책임자(COO) 부사장으로 영입됐다. 올해 3월 수산아이앤티는 정석현 단독 대표 체제에서 정석현·이성권 각자대표 체제로 바뀌었다.
수산아이앤티는 1998년 설립된 트래픽필터링 기술 기반 네트워크보안 솔루션 및 서비스 공급업체다. 지난 4월말 출범한 오픈블록체인산업협회 이사사 중 하나로 이름을 올렸다. 이 대표는 블록체인전문업체가 아닌 보안솔루션업체로서 가능한 블록체인 연계 사업 계획을 구체화 중이다.
최근 이 대표에게 블록체인 관련 프로젝트 참여 현황을 묻자 그는 "아직은 없지만 계획하고 있다, 누굴 끌어들이지는 아직 결정되지 않았지만 뭘 할 것인지는 구체화돼 있다"면서 "취약점정보 제공과 블록체인 인프라 활용간 보안문제" 두 2가지를 고려 중이라 답했다.
■ "블록체인으로 보안취약점 정보 선순환 모델"
먼저 취약점정보 관련 블록체인 연계 사업 관련 설명이 이어졌다. 언뜻 듣기엔 SW개발업체나 보안업체 등 취약점정보가 필요한 곳에 제공하는 프로세스를 블록체인을 활용한 스마트컨트랙트 방식으로 만들어, 제공자와 수령자간의 정보 유통을 양성화하는 모델로 해석됐다.
"취약점 정보나 SW버그를 찾은 사람과 그 정보를 요청하는 사람을 매칭해서 (위협정보 유통을) 선순환시킬 수 있는 쓰렛인텔리전스플랫폼을 생각중이다. 정보를 먼저 요청한 조직에 일정기간 우선권을 주고 다른 곳은 후순위로. 기본 철학은 스마트컨트랙트로 공개하는 거다.
이런 플랫폼 활용이 좀 더 진전된다면 블록체인 인프라를 공급하는 서비스도 기획하고 있다. 사실 플랫폼이란 걸 만들기는 어렵지 않은데, 활성화시키는 게 힘들다. 이런 것을 하겠다고 제안했을 때 이해관계자들이 들어올 것인지, 그들을 어떻게 끌어들일지가 관건이다."
IT업계에 외부 전문가가 발견한 취약점이나 SW버그에 보상을 주는 '버그바운티'라는 제도가 있지만, 모든 보안취약점 발견에 보상이 되진 않는다. 어떤 건 '블랙마켓'에서 거래돼 사이버범죄에 악용될 소지도 있다. 이 대표의 구상을 실현한 결과로 이런 문제를 억제할 수도 있다.
이 대표는 여러 단체 중 오픈블록체인산업협회에 합류한 이유에 대해 "통신사, 인터넷, 금융사 등 멤버 구성이 다양하고 '블록체인이라는 기술이야말로 이걸 통해 우리도 글로벌로 갈 수 있는 수단'일 거란 협회장(SK텔레콤 오세현 전무)의 인식에도 공감이 갔다"고 언급했다.
■ "암호화폐 거래소 비롯 블록체인 인프라 보호"
이 대표는 수산아이앤티가 올해 출시한 새 보안솔루션이 블록체인 관련 인프라에 쓰일 수 있다고 언급하기도 했다. 가상화 게스트 운영체제(OS)에 에이전트를 깔지 않고도 악성코드를 차단하는 버추얼머신인트로스펙션(VMI) 기반 '이레드 하이퍼바이저 시큐리티' 얘기였다.
이레드 하이퍼바이저 시큐리티는 연초 등장했다. 수산아이앤티는 올해 2월 정식 출시에 앞서 프리세일즈를 시작한 1월말께 이 제품을 '암호화폐 거래소 보안 솔루션'으로 소개했다. 마침 이 대표와의 만남 전후로 국내 거래소가 해킹을 당해 수백억원대 피해를 당한 상태였다.
"앞으로 기업들이 블록체인 관련 IT인프라 구축과 운영을 하는 과정에서 계속 보안문제가 발목을 잡게될 거다. 기존 IT인프라에서 블록체인이 최적화할 수 있는 나머지 기술이 있겠지만, 그에 더해 (이레드 하이퍼바이저 시큐리티처럼) 보안을 잘 갖추게 할 수단이 필요하다.
(펜타시큐리티처럼 아예 암호화폐거래소 보안솔루션 공급사로 나선 거냐고 묻자) 딱 그런 방향으로 하겠다는 건 아니지만, 그와 비슷한 사업 모델이 가능하긴 하다. 이레드는 암호화페거래소나 전자지갑뿐아니라 강력한 데이터 보안을 필요로하는 인프라를 보호할 수 있다."
이 대표는 일단 블록체인 플랫폼을 활용한 서비스와 암호화폐거래소용 보안솔루션 시장에서 새로운 사업 기회를 찾고 있다. 기업공개(IPO)대비 ICO 장점을 언급했지만, ICO 추진 여부에는 말을 아꼈다.
"IPO는 과거 아이디어 기반으로 대규모 투자를 유치할 방법이었다. 실행에 수년이 걸렸다. ICO는 더 쉽게 자본을 끌어들여 투자하고 인력과 사업을 성숙시키며 초기 선도기업으로 성장할 수 있다. 퍼블릭하게 ICO를 하지 않고 기관 투자자들만 끌어들여서 끝내는 형태도 있다. 실제로 많은 기업들이 ICO를 하고 있다. ICO는 정해진 사업 계획을 가지고 (역량을 쏟아) 밀어부쳐야 한다. 이게 우리 수산그룹에서 요청하는 것과 방향성이 좀 달라 고민이다. 하지만 그런 게 내가 여기 온 이유 아닐까 생각도 든다. 어렵지만 새로운 걸 해야하는 것 말이다".
■ "들어는 봤나, 업무효율 높여주는 보안솔루션"
수산아이앤티는 최근 출시한 이레드 하이퍼바이저 시큐리티 외에도 인터넷접속관리솔루션 이워커시큐리티V7, 보안이메일게이트웨이 이워커시큐리티V7M, SSL복호화솔루션 이워커SSL, 정보유출방지솔루션 이레드버추얼실드S1, 모바일관리솔루션 미가드 등을 공급하고 있다.
회사는 근로기준법 개정으로 하반기 중견 및 대기업의 화두가 된 주52시간제 시행에 맞춰 기업 보안솔루션 시장에 새로운 접근법을 찾고 있다. 기존 보안웹게이트웨이(SWG) '이워커SWG'를 업무 효율 개선 솔루션으로 제안 중이며, 이 메시지가 받아들여지고 있다고 했다.
"이워커SWG는 기업 네트워크에서 업무와 무관한 인터넷 사이트를 차단하거나 접속통제를 관리해 주는 제품이다. 기존 URL필터링 기술을 활용하고 있다. 없던 솔루션은 아니지만, 사람들이 기술을 바라보는 관점을 달리 해주는 방식으로 접근한 사례다.
지금껏 보안 솔루션이 업무에 도움 된다는 평을 들은 적은 없잖나. 보안 솔루션이 항상 성능문제 일으키고 번거롭게 했지. 하지만 그게 효율을 높여준다고 경영진이 인정하면 새로운 시장이 열린다. (이 메시지로 마케팅한 뒤) 실제 기업 요청이 많이 들어오고 있다."
관련기사
- 수산INT, 이호스트IDC와 VMI클라우드센터 구축 업무협약2018.06.25
- 수산INT, 신개념 보안 솔루션 'eRed' 출시2018.06.25
- 오픈베이스, 수산INT와 SSL복호화솔루션 총판계약2018.06.25
- 수산INT, SK인포섹과 위협정보DB 제공 협약2018.06.25
회사는 솔루션에 더해 트래픽필터링 기술을 활용한 인터넷서비스제공자(ISP) 협력사업을 수행해 왔다. 국내 통신3사와 매출공유방식으로 공유단말접속관리, 유해정보차단 등 서비스를 운영하고 있다. 2017년 회사 전체 매출은 164억원, 영업이익은 44억원을 기록했다.
이 대표에게 올해 상반기 실적의 분위기를 묻자 "상반기 매출 자체는 지난해와 비슷했지만 수익성이 좋아졌다"며 "매출 비중에서 서비스 쪽은 (예전과) 비슷했고, 보안(솔루션) 쪽은 생각보다 작았지만 유통 채널을 많이 확보했으니 하반기, 내년까지 봐야 할 것"이라고 말했다.
