- 개인정보를‘주지 않고 시작’하는 것으로 디폴트 수정
- 상용되던 온디바이스(On-Device) 기술을최초로 개인정보에 적용
- 개인정보가기업의 중앙서버로 이동하지 않고 개인의 단말기 안에서만 오가기 때문에 정보 유출 가능성차단
- NH농협은행과 개방형 마이데이터 플랫폼 개발
[한경 잡앤조이=이도희 기자] 에스앤피랩(SNPLab, Security and Privacy Laboratory)은 삼성, LG, 한컴시큐어 등 출신시니어로 구성된 스타트업이다. 이들이 따뜻한 자리를 박차고 나와 새로운 길을 가고 있는 단 하나의 이유는 바로 ‘가능성’이다. 국내 굴지의 보안 전문가들을 움직인 이 가능성이란 과연 무엇일까.
기업명: 에스앤피랩
설립일: 2019년 12월
사업 아이템: 온디바이스(On-Device) 마이데이터 플랫폼
주요 성과: 기술역량 우수기업 인증, 벤처기업 인증, KISA 핀테크 API 지원사업, ‘코리아 핀테크 위크 2020’ 핀테크 스타트업 선정, 과학기술정보통신부 ‘2020 마이데이터 실증 서비스 지원사업’ NH농협과의 컨소시엄 사업자 선정
위치: 서울 서초구 매헌로 24 NH디지털혁신캠퍼스 5층
직원수: 8명
자본금: 1억5000만원
연혁:
2020년 2월 기업부설연구소
2020년 4월 벤처기업인증, KISA 핀테크 API사업 협약
2020년 6월 과기정통부 마이데이터 실증 사업, K-스타트업 정보보호 초기창업 기업 선정
국내 최정예 멤버로 꾸려진 삼성전자 시큐리티팀 핵심멤버들은 연구를 하면 할수록 개인정보 유출이 현대사회에서 피할 수 없는 숙명이라는 것을 깨달았다.
그러던 어느 날, 당시 무선사업부 시큐리티팀 수석연구원이었던 이재영(45) 대표는 유럽의 개인정보보호법(GDPR)을 공부하다가 우연히 영국 의료보호법 수정안을 보고 무언가 머리를 크게 치고 지나간 듯한 큰 충격을 받았다.
“영국 등 많은 EU국가들은 기증에 동의한 사람의 장기만 가져가는 우리나라와 달리, 동의하지 않는 사람의 장기만 가져가지 않아요. 즉 ‘비기증’ 선택을 하지 않은 사람의 장기를 무조건 기증한다고 전제한건데 덕분에 장기 기증률이 100%에 달할 뿐 아니라 이들 나라는 장기밀매나 인신매매도 드물어요. 사회적 디폴트(사용자가 별도의 명령을 내리지 않았을 때 시스템이 미리 정해진 값이나 조건을 자동으로 적용시키는 것)의 엄청난 힘을 알게 된 거죠.”
이 원리를 개인정보에도 대입할 수 있지 않을까. “지금처럼 개인정보를 무조건 주고 시작하는 판 자체를 ‘주지 않고 시작’하는 것으로 뒤집어버리면 생각보다 많은 실마리가 풀릴 수도 있겠다”는 가설에서 그의 연구가 시작됐다.
영화 티켓 팔 듯 기업에 개인정보를 ‘열람권’으로 제공
이재영 대표는 삼성전자 무선사업부 개발실 시큐리티팀(구 모바일 보안 기술그룹) 출신이다. 이 대표는 또 국제공인 GDPR 개인정보보호전문가(CIPP/E), 국제공인 보안전문가(CISSP), 국제공인 윤리적 해커(CEH) 등 국제공인 자격도 보유하고 있다. 그런 그가 업무를 위해 여러 공부를 하던 그는 영국 의료보호법에서 얻은 아이디어를 검증하기 위해 2018년 7월, 삼성전자의 사내 벤처 육성 프로그램 ‘C랩’에 크리에이티브 리더로 참여했다.
가장 시급한 건 기존의 개인정보 이용 아키텍처(컴퓨터 시스템 설계방식)를 전부 뒤집는 일이었다. 단순히 뒤집는 것만으로는 부족했고, 새로운 아키텍처에서 기업을 무단 정보도용으로 고소하는 등의 악의적인 개인에 대한 대응책도 필요했다. C랩에서의 모든 시도가 전에 없던 것이었다. 하지만 도전하면 할수록 점점 ‘이건 되겠다’는 확신이 섰다.
13개월의 C랩 프로젝트 종료 후 휴직을 하면서 긴 고민을 했지만, 45세라는 젊은 나이에 안정적인 직장을 뛰쳐나오는 건 쉽지 않았다. 고과도 좋았고 시큐리티팀 자체가 그가 일군 것이나 다름없었다. 이는 반대로 생각해보면 그만큼 자신이 있다는 방증이기도 했다.
“국내에 같은 서비스가 없기도 했고 저만큼 이 문제에 이해도가 높은 사람은 국내에 없겠다는 자신감도 있었어요.”
데이터는 무한복제가 가능하다. 한 번 넘어간 정보는 온전히 남의 것이 돼 버린다. 개인은 늘 정보의 악용가능성을 염려할 수밖에 없다. 번거로운 건 기업도 마찬가지다. 개인정보는 개인의 것이기 때문에 제3자인 기업이 다루기에는 필요한 절차가 많고 까다롭다.
에스앤피랩 ‘my:D(마이디) 플랫폼’의 핵심은 개인정보를 기업의 서버가 아닌 개인의 스마트폰에 저장해 처리하는 것. 마치 영화배급사가 필름이 아닌 영화 관람권을 판매하는 것과 같다. 에스앤피랩은 국내 최초로 특정개인정보차등보호(LDP)를 적용한 온디바이스(On-Device) 처리 기술을 개인정보에 도입했다. 기업의 앱을 다운받을 때 ‘접근권한’을 허용하기만 하면 이 앱이 마이디에 넣어둔 내 개인정보를 자유롭게 확인할 수 있다. 대신 이 정보는 기업의 서버로 이동하지 않고 개인의 단말기 안에서만 오가기 때문에 정보 유출 가능성이 차단된다. 이 같은 온디바이스 기술은 기존에도 활용돼왔으나 이를 개인정보에 접목한 건 처음이다.
“마이디 플랫폼을 활용하면 우선 정보가 기업의 중앙 서버가 아닌 각 본인의 스마트폰에 분산 저장돼있기 때문에 개인정보 유출 리스크가 획기적으로 줄어듭니다. 열심히 해킹해도 1명분의 정보만 획득 가능하니, 해킹 매력도가 현저히 낮아지죠. 또한 복잡한 개인정보동의 절차도 사라지니까 기업과 개인 모두 정보를 단말 내에서 이용하기에 부담이 없어요. 개인 입장에선 가입한 서비스별로 개인정보를 관리해야 하는 번거로움도 없어집니다. 개인정보가 변경되면 각각 사이트에 들어가 수정해야 했는데 이 모든 게 필요 없어진 거예요. 내 단말기에서 정보를 한 번만 업데이트하면 기업은 바로 수정된 정보를 볼 수 있는 거죠.”
창업 반년 만에 NH농협은행과 ‘동반자’로
에스앤피랩은 현재 NH농협은행과 함께 DID(탈중앙화 신원식별) 시스템을 활용해 개인의 금융데이터와 비금융데이터를 스마트폰 내에 수집 및 통합 관리할 수 있는 개방형 마이데이터 플랫폼을 개발 중이다. 농협 컨소시엄은 올 6월, 과학기술정보통신부 ‘2020년도 마이데이터 실증 서비스 지원 사업’ 중 금융 부문 사업자로 선정됐다. 에스앤피랩은 이 사업의 플랫폼 제공을 맡았다.
이 같은 에스앤피랩의 마이디 플랫폼을 통해 기업은 개인의 단말기에서 결합된 고품질의 개인데이터를 활용해 맞춤형 상품이나 서비스 등을 개발할 수 있다. 예를 들어, 소비자의 금융데이터를 통해 이후 소비 패턴을 예측하고 적절한 금융 상품을 추천할 수 있다. 비금융 분야에도 적용 가능하다. 사용자의 어학시험 결제 목록을 통해 해외 유학 상품을 소개할 수도 있다.
이 대표는 현재 해외진출을 위해 특허 포트폴리오를 구축하는 데도 심혈을 기울이고 있다. 애플과 특허 소송으로 내공이 쌓인 삼성전자의 특허팀 임원, 변리사 및 연구원 출신으로 구성된 외부 특허팀은 특허 출원 및 등록뿐만 아니라, 실제 가치가 있는 특허 포트폴리오를 만들어 가고 있다.
만들어 가고 있다.
“마이디 플랫폼은 국내에만 머물 기술이나 비즈니스 모델이 아닙니다. 그래서 지금 가장 신경 쓰는 게 해외 특허예요. 기존 시스템을 완전히 뒤집는 아이디어에 기반하고 있기 때문에 특허 포인트가 많기도 하고 어렵기도 하지만, 가장 많은 비용을 투자하고 있죠. 작년 여름 홍콩에서 열린 국제보안학회에서 이미 많은 주목을 받았고, 본격적으로 해외에 선보이면 이 새로운 개인데이터 이용 메커니즘에 대해 금방 반응이 나올 겁니다.”
tuxi0123@hankyung.com
[사진=이승재 기자]
< 저작권자(c) 캠퍼스 잡앤조이, 당사의 허락 없이 본 글과 사진의 무단 전재 및 재배포를 금합니다. >