매출보다 혁신!
성공 기본요소는 '글쓰기'
수많은 데이터가 실시간으로 오고 가는 초연결시대, 보안은 고객의 개인 프라이버시 보호를 넘어 기업의 브랜드 평판에도 치명적인 영향을 끼치는 요소로 작용하고 있다.
하지만 10여 년 전만 해도 온라인상 개인정보보호에 대한 관심은 그다지 높지 않았다. 국내에서 개인정보 유출이 본격적으로 세상에 드러나고 사회적 이슈가 되기 시작한 것은 2000년대 중반 이후 부터로 개인정보보호를 소홀히 한 기업이 재판을 받거나 사회적 비용을 치르는 일이 해마다 발생하고 있다. 이 과정에서 일반 소비자는 언제나 약자의 위치에서 속수무책의 피해를 보고 있는 게 현실이다.
이러한 가운데 페이스북, 트위터 등 소셜 네트워킹 서비스 (SNS)의 확산으로 텍스트, 이미지, 녹취, 영상과 같은 비정형 데이터의 양이 급증하면서 보호해야 할 정보의 범위가 확장되고 있다. 다행이 2016년 행정안전부 가 마련한 ‘개인정보 안정성 확보조치 기준’에서 암호 화가 의무로 규정되면서 IT기업들도 보안 점검과 솔 루션 개발에 나서고 있다.
안타까운 점은 개인정보를 암호화해서 보호해주는 솔루션을 제공해주는 프랑스의 한 방산기업이 글로벌 시장의 약 90%를 독점하고 있다는 것이다. 이러한 독점적 시장 구조를 경쟁 구조 로 변화시킴과 동시에 수입대체 효과와 국내 정보보 안 환경을 안정화에 기여한 보안솔루션 전문기업 ㈜ 피앤피시큐어(이하 피앤피시큐어)의 기술혁신사례를 소개한다.
데이터 시대의 보안기술
IT 시장조사기관 IDC가 발간한 ‘Data Age 2025’에 따르면 2025년까지 전 세계 데이터의 양은 175ZB(제 타바이트)까지 늘어날 것으로 예측하였다. 1MB(메가 바이트)를 한 스푼 정도의 모래라고 가정하면, 1ZB는 미국 전체 해안선에 깔린 모래의 양과 같다.
매년 생 성되는 데이터의 양이 지수함수적으로 증가한다는 사 실은 전혀 새로울 것 없는 내용이다. 데이터의 생성, 유통, 저장, 가공, 활용이 매일같이 일어나고 있으며 만약 멈추거나 문제가 생기면 개인, 기업, 도시, 국가 활동에 심각한 영향을 주게 된다.
디지털 데이터 형태로 저장된 정보는 그 자체가 가치를 지니기 때문에 무단으로 취하거나 이용하지 못하도록 법으로 규제되어 있지만 매년 크고 작은 정 보의 유출 사건은 끊이지 않고 있다.
그래서 기업이나 관공서, 금융기관 등은 정보를 지키기 위해 많은 돈을 들여 여러 방안을 강구 하고 있다. 남의 정보를 빼내 거나 파괴하려는 창이 있으면 지키려는 방패도 있기 마련이다. 백신이나 방화벽, 침입탐지시스템(IDS), 침 입방지시스템(IPS), 암호화된 세션을 제공하는 VPN, 스팸필터솔루션, DRM(Digital Right Management, 디지털 저작권 관리) 등이 모두 PC나 서버 또는 네트 워크를 보호하기 위한 보안기술들이다.
폭발적인 데이터 양의 증가는 보안기술이라는 니즈를 필연적으로 동반하게 되며, 만약 보안기술이 없었다면 데이터 시대가 열리지도 못하고 막을 내려야 할 만큼 불가피한 존재다.
4차 산업혁명 시대를 맞아 많은 기업들이 디지털 트랜스포메이션을 하거나 디지털 기반으로 스타트업 기업들이 탄생하는 가운데 보안기술의 필요성은 데이터 양의 증가에 비례해 커질 것이 기 때문에 앞으로 더욱 유망한 사업 분야가 될 것이다.
대한민국 DB보안의 대명사,
피앤피시큐어
피앤피시큐어는 2003년에 설립하여 대한민국 최초 의 데이터베이스 보안 솔루션 디비세이퍼(DBSAFER) 를 개발한 이후 꾸준한 성장세를 이어가고 있는 강소 기업이다. DB, System, OS 접근통제 및 통합 계정 관리와 개인정보 접속기록관리, 실시간 DB/FILE 암호화 솔루션 등 현업에서 꼭 필요한 다양한 정보보안 솔루션을 국내외 약 4,000여 고객사에 공급하고 있다.
피앤피시큐어의 기술력은 국내 최고 권위의 기술 상인 장영실상을 두 번이나 수상한 이력에서도 확인할 수 있다. 2012년 대한민국 통합 접근제어 솔루션의 대명사 ‘DB세이퍼’에 이어 지난해 말 ‘실시간 DB/ FILE 암호화’솔루션 데이타크립토(DATACRYPTO) 로 장영실상을 수상하며 2관왕을 차지했다.
피앤피시큐어의 데이타크립토(DATACRYPTO) 출시 는 많은 의미를 갖는다. 독점적 시장 구조를 경쟁 구조 로 변화시켰고, 그 영향으로 수입 대체효과와 고가 외산 솔루션의 가격 하락 효과를 발생시킴으로써, 암호화 솔루션 도입 대상 기업에 큰 부담을 덜어주어 국내 정보 보안 환경 안정화에도 크게 기여했다.
데이타크립토(DATACRYPTO)는 어플리케이션 수정 없이 간편한 설치가 가능하여 성능저하 및 운영 부담을 최소화하며, 실시간 데이터 변환기술 및 대용량 데이터 분할 변환 기술 등을 이용해 서비스 가용성을 극대화했고, 2018년에는 ‘국정원 암호모듈 검증’도 완 료한 바 있다.
커널 파일 시스템 개발이 특별한 이유
피앤피시큐어는 2016년 개인정보보호법이 개 정되기 전인 2014년부터 실시간 데이터 암호화 변 환과 비정형 파일 암호화 기술 개발에 착수하였다. 피앤피시큐어의 암호화 솔루션인 데이타크립토 (DATACRYPTO)의 특별함을 이해하기 위해서는 우선 두 가지 배경지식이 필요하다.
첫째, 당시의 시장 상황은 비정형 데이터를 암호화할 수 있는 국산 제품이 전무하였고 고가의 외산제품이 국내외 시장을 독점하다시피 하였다는 점이다. 이러한 상황은 아직 현재진행형으로 글로벌시장을 압도적으로 독점하고 있다. 바꾸어 말하면 기술 수준이나 제품의 신뢰성 면에서 해당 제품에 대적할만한 상대가 적어도 지금까지는 없다는 뜻이다.
둘째, 왜 수많은 소프트웨어 개발기업이나 보안 솔루션 개발기업이 존재함에도 불구하고 이 아성에 도전하는 제품들이 없는가 하는 점이다. 기술적으로 여러 어려운 점들이 있겠지만 가장 중요한 한 가지만 꼽자면 다양한 OS의 커널 영역에서 파일시스템 형태로 동작하는 제품을 개발하기가 무척 어렵기 때문이다.
그림 2는 컴퓨터 사용자와 컴퓨터, 어플리케이션, 운영체제(OS, Operating System)의 관계를 간략하게 나타낸 것이다.
컴퓨터 사용자가 어플리케이션 프로그램을 통해 컴퓨터를 사용하려면 컴퓨터를 구성하고 있는 물리적인 하드웨어들과 어플리케이션 간에 소통과 운영을 맡는 운영체제가 필요하다. 우리가 흔히 사용하는 PC의 윈도우즈나 휴대폰의 안드로이드 같은 것이 운영체제다.
그러나 사실 우리가 윈도우즈나 안드로이드를 직 접 사용한다기보다는 사용자 입장에서는 그냥 앱이 나 프로그램을 사용하여 필요한 일들을 하는 것이지 만 운영체제 없이는 어떤 앱도 무용지물인 셈이다. 바로 이 운영체제의 핵심 영역을 커널(Kernel)이라 하는데, 운영체제의 다른 부분 및 응용 프로그램 수행 에 필요한 여러 가지 서비스를 제공하는 역할을 하며, 메모리나 저장장치 내에서 운영체계의 주소공간을 관리한다.
피앤피시큐어의 데이타크립토(DATACRYPTO)는 이 커널에서 파일시스템 형태로 동작하기 때문에 사용자 입장에서는 어플리케이션을 사용하기만 하면 된다. 운영환경에 아무런 변화를 주지 않고 복잡하지도 않다.
반면 개발자 입장에서는 대단히 어려운 문제가 있는데 그림에서도 보듯이 운영체제의 종류가 하나가 아니라는 것이다. 기업이나 관공서나 금융기관 등 사 용자의 목적이나 필요에 따라 다양한 운영체제가 존재 하기 때문에 이 모든 운영체제에서 동작하도록 만들어 야만 한다.
오픈 소스인 리눅스를 제외하고 다른 운영체제들은 상용제품이기 때문에 OS의 내부 커널이 어떻게 작동 하는지가 공개되어 있지 않을 뿐만 아니라 종류 또한 여러 가지다. 출입 되는 데이터를 커널에서 암호화 또는 복호화하는 기술이 왜 어렵다는 것인지, 왜 지금까지 전 세계적으로 한 회사가 시장을 독점할 수 있었던 것인지 이제 짐작할 수 있을 것 같다.
데이타크립토(DATACRYPTO)개발의 성과
그렇다면 꼭 커널에서 데이터를 암호화해야만 하는지 의구심이 들 수도 있다.
앞서 언급한 것처럼 정 보를 보호하기 위한 솔루션들은 다양하다. 가장 기본 적인 것은 허가받지 않고 함부로 정보에 접근하는 것 을 찾아내고 차단하는 솔루션들이 있을 것이다. 튼튼 한 문을 만들고 출입을 엄격하게 통제하고 순찰을 함으로써 정보에 접근하지 못하게 하는 개념을 생각해 볼 수 있다.
또 달리 생각해 볼 수 있는 솔루션은 정보 자체를 암호화하여 아무나 사용할 수 없는 형태로 바꾸어버리는 기술이다. 데이터를 암호화 할 수 있는 곳 은 그림 2 상에서 어플리케이션과 운영체제 두 군데서 가능하다. 그러나 어플리케이션에서의 암호화 기술은 해당 어플리케이션에서만 사용이 가능하기 때문에 모 든 어플리케이션에 대해 각각 암호화 기술을 개발할 것인가 하는 문제에 봉착하게 된다.
반면에 OS의 커 널에서 암호화 또는 암호화된 데이터를 다시 풀어주 는 복호화를 할 수만 있다면 어떤 어플리케이션을 사 용하든 데이터를 보호할 수 있다. 지금까지 여러 기업들이 이 기술 개발에 도전장을 내밀었지만 중도에 포기하거나 또는 완성도가 떨어져 아직까지 글로벌 1위 제품의 아성을 넘지 못하고 있다.
반면 피앤피시큐어가 개발한 암호화 솔루션은 기본적으로 글로벌 1위 제품과 기술적인 면에서 같은 방식이며 성능적인 면에서 동등 이상의 보안성, 편의성, 가용성을 달성하였다. 한발 더 나아가 다른 여러 보안 솔루션들과 상호 시너지 효과를 낼 수 있도록 설계되 었다는 점은 더욱 특별하다.
핵심 개발진 절반이 투입된 개발 과정
그렇다면 데이타크립토(DATACRYPTO)의 개발 과정은 어떠했을까? 피앤피시큐어의 현재 직원 수는 122명 정도이며 이 중 기술직을 포함한 연구개발 인원은 96명이다.
하지만 개발을 시작한 2014년에는 연구소 전체 인원이 30명이 채 되지 않았다고 한다. 모든 운영체제에서 동작이 가능한 암호화 솔루션을 만든다는 것이 워낙 도전적인 목표였으며 기술적·사업적 성공 여부가 매우 불투명한 상황이었음에도 당시 전체 연구 인원의 절반이 넘는 15명을 개발에 투입하 는 파격적인 결정을 내렸다.
총 3년의 개발 기간 동안 개발 인원이 바뀌기는 했지만 줄어들지 않고 오히려 보강되었으며 회사 차원에서도 인센티브를 비롯한 지 원을 아끼지 않았다. 성공을 확신하기 어렵고 개발 과정은 더디고 어려운데 꾸준히 하나의 프로젝트에 전폭적인 지원을 했다는 것은 박천오 대표이사의 확고한 의지와 당시 연구소장을 비롯한 연구원들의 믿음 과 노력 덕분이었다.
오픈되지 않은 운영체제의 소스를 알아내고 이해하기 위해 수십, 수백 번의 오류를 감당해야 했고, 관련 정보를 조금이라도 귀동냥할 수 있다면 몇 다리를 건너서라도 찾아가 만나야만 했으며, 한 페이지의 소스를 얻기 위해 엄청난 양의 조사와 공부를 병행했다. 그럼에도 대부분의 연구원들은 프로젝트에서 탈퇴하는 한이 있어도 이직을 선택하지는 않았다.
업계의 평균 이직률이 약 30%를 웃도는 반면 피앤피시큐어의 이직률은 9%이하라고 한다. 이는 개발 과정이 중노동처럼 고되더라도 배우며 도전하는 즐거움과 보람 때문이지 결코 강요에 의한 희생이 아니었음을 의미한다. 보통 많은 연구원들은 월급이나 복지제도 같은 물질적인 보상보다 일 자체에서 더 큰 의미를 찾고 있음을 증명해 준다.
기업들의 기술 혁신 사례에서 자주 볼 수 있는 공통점 가운데 단기적인 성과에만 집착하지 않고 장기적이고 도전적인 목표를 설정해서 끝까지 달성하는 사례들이 많은데 데이타크립토(DATACRYPTO) 개발 사례 또한 동일한 과정을 보여주고 있다.
장기적이고 도전적인 목표가 수립되고 달성되기 위해서는 몇 가지 전제가 필요하다. 최고경영진을 비롯하여 개발에 관여한 모든 사람들의 목표 공유와 공감이 첫 번째고, 합리적인 수행과정이 두 번째 요건이며, 마지막으로 흔들림 없는 지원과 확신이 필요하다. 혁신이 이루어지기 위해선 상대적으로 긴 기간이 필요한데 계속 흔들리게 되면 결국 용두사미에 그칠 수 있다.
기술 혁신 성공의 가장 큰 요소 ‘글쓰기’
데이타크립토(DATACRYPTO)의 개발 과정에서 혁신에 가장 결정적인 영향을 준 요소를 꼽으라면 주저 없이 글쓰기를 꼽고 싶다. 연구개발을 하는 대부분의 기업들은 나름의 개발 프로세스를 갖추고 있다. 피앤피시큐어 역시 개발 프로세스가 있는데 자세한 내용을 보면 교과서적이라는 느낌이 들 정도로 표준적인 프로세스를 갖추고 있다.
여기에서 중요한 사실은 많은 기술 혁신 기업들은 기본에 충실했다는 점과 일관성 있게 추진을 했다는 점이다. 그래서 궁금했던 것은 이 회사의 연구원들은 과연 개발 프로세스를 잘 준수하고 실행하고 있는가 하는 점이었다.
그림 4의 신제품 개발 프로세스를 보면 각 단계가 모두 중요하지만 특히 기술 혁신 성공의 요소로 본 것은 3번째와 4번째로 글로써 콘셉트 개발(Concept Development)을 하는 단계다.
시장에서 신제품이 성공하려면 아이템 자체가 좋아야 한다. 품질이나 내구성, 디자인, 차별성, 신뢰성 등 여러 가지 요소가 모두 필요하겠지만 무엇보다도 아이템 자체에 대한 니즈가 가장 우선일 수밖에 없다.
그 다음으로 중요한 것은 개발하려는 아이템을 어떻게 구체화 시킬 것인가 하는 문제다. 예를 들어 연구원 A가 훌륭한 아이디어로 아이템에 대한 이미지를 떠올렸다고 가정해보자. 혼자서 개발하는 것이 아니라 여러 사람이 참여해야 하고 아직은 더 많은 아이디어의 보완도 필요한 상황이다.
연구원 A가 자신의 아이디어를 다른 연구원들과 가능한 객관적으로 공유하고 추가적인 아이디어를 수집하여 모두가 다 이해하고 발전시킬 수 있는 수단은 ‘글’밖에 없다. 물론 보조적인 수단으로 그림과 숫자 그리고 토론 같은 방법이 있을 수 있지만 가장 핵심적인 수단은 글이다. 글로 쓸 수 없는 것은 만들 수 없다. 말로 장황하게 설명하는 것보다 명확한 문장으로 정의하는 것은 대단히 중요하다. 그러나 글로 명확하게 어떤 생각을 표현하고 최대한 객관적으로 이해하게 만든다는 것은 생각보다 어려운 일이다.
3번째 단계인 요구사항 분석은 그 산출물이 문서의 형태로 나오는 것이며 제품에 반영되어야 할 구체적인 사항들을 글로 정리해 놓은 것이다.
피앤피시큐어의 프로세스 설명서를 보면 ‘작성자별로 문서의 품질이나 실효성의 편차가 커서 반드시 여러 사람이 모여 리뷰를 통해 문서를 향상시키는 과정을 거쳐야 한다. 그런데도 전파 및 공유에 문제가 있다면 주기적인 교육과 평가를 병행하여 콘셉트 개발의 완성도를 높인다’고 되어 있다. 교육과 평가를 통해 문서의 품질을 올린 후 다음 단계로 넘어간다는 부분은 새겨볼 필요가 있다.
만약 이 과정이 제대로 되지 않은 상태에서 상세설계 및 코딩 단계로 넘어갈 경우 재작업 시간이 늘어나고 제품의 완성도가 떨어질 가능성이 매우 높다. 그러나 상당수 기업의 연구개발 현실을 보면 개발하고자 하는 제품에 대해 구체적인 콘셉트가 충분히 개발되고 공유되지 않은 채 개발에 착수하는 경우가 많다. 빨리빨리 문화 탓일 수도 있고 과거의 경험상 쉽게 할 수 있다는 자신감일 수도 있지만 이런 시행착오 접근법으로는 결코 좋은 결과가 나올 수 없다.
개발하고자 하는 제품을 글로 써서 구체적으로 표현한다는 것은 제품 개발의 시작이자 기본인 셈이다. 피앤피시큐어의 개발 프로세스는 이 기본을 충실히 반영하였고 그 결과물이 기술 혁신으로 돌아온 것이라 생각한다.
매출보다 혁신이 우선
데이타크립토(DATACRYPTO)는 피앤피시큐어의 가시적인 매출 성장을 견인하고 있으며, 무엇보다도 독점적인 지위에 있는 외산 경쟁제품의 아성에 균열을 냈다는 것만으로도 그 우수성을 인정받고 있다. 이름만 들어도 알 수 있는 금융회사나 증권사, 대기업들이 보안성이나 편의성이 떨어지는 제품을 구매할 리 없다. 2018년부터는 국내 시장에 만족하지 않고 일본, 유럽을 비롯한 세계시장을 향해 뛰고 있다. 가까운 미래에는 클라우드에 대한 서비스도 확대할 계획을 가지고 있다.
그러나 무엇보다도 지난 3년여 간의 개발을 통해 얻게 된 기술 혁신의 가장 큰 성과는 컴퓨터 운영체제의 핵심인 커널에 대한 심도 있는 학습이 이뤄졌다는 점이다. 말하자면 학습을 통해 단단한 껍질에 쌓인 OS의 지도를 얻은 셈이고 다르게 표현하면 원천기술을 확보한 것이다. 이 원천기술을 이용하여 이미 또 다른 신제품인 OS 접근통제 디비세이퍼 OS(DBSAFER OS)에 커널 계층의 TCP 트래픽 및 파일 접근제어 기술에도 적용하였다.
‘땀은 배신하지 않는다’는 말이 있듯이 어려운 과정을 거쳐서 이루어낸 기술 혁신은 좋은 성과로 돌아온다는 평범하지만 의미심장한 메시지를 피앤피시큐어 사례를 통해 새삼 깨닫게 된다.
글/ 박천오 대표
㈜피앤피시큐어
2003년, 보안솔루션 전문기업 ㈜피앤피시큐어를 설립했다. 국내 최초의 데이터베이스 보안 솔루션 디비세이퍼를 개발한 이래 꾸준히 기술혁신을 이루며 국내외에서 인정받고 있다. 국내 최고 권위의 기술상인 장영실상을 두 번 수상했다.