날로 고도화하는 해킹에 장사는 없다. 굴지의 금융회사(국민은행, 롯데카드), 인터넷 기업(네이트, 넥슨, 인터파크)이 해커 공격에 당해 대규모 개인 정보를 줄줄이 털려 소비자 앞에 고개를 숙였다. 나날이 발전하는 해킹 기술을 보면, 보안이 가능한지 묻고 싶을 정도다. 마그네틱 카드보다 보안이 뛰어나다는 IC카드와 스마트폰을 통째로 복제하는 사례도 적지 않다.
사물인터넷(IoT) 시대의 해킹이 초래할 영향은 ‘재앙' 수준이다. 스마트폰 냉·난방을 조절하기도 하고 전기 차단, 현관문 개·폐 등을 조절하는 등 해커가 집주인 행세를 하며 고가품을 손쉽게 가져갈 수 있다. 원격 제어 스마트카를 상상해보라. 해커가 내 차를 열고 여기저기 돌아다닐 수도 있다.
홍채나 지문처럼 복제가 어렵고 각각 고유의 모양을 가진 칩을 기기마다 추가한다면? 기기에 복제할 수 없는 홍채를 하나 만들어 준다면? 해커들의 공세를 막을 수 있지 않을까. 이 아이디어에서 출발한 보안기술이 물리적 복제 방지 기능(Physical Unclonabl Function), PUF다. 소프트웨어 보안 방식이 아닌 하드웨어 기반 보안 기술이다. PUF 칩을 미국과 유럽 등에서 먼저 연구하기 시작했지만, 상용화는 국내 업체가 먼저 성공했다. ICTK가 바로 그 회사다. ICTK는 PUF칩을 대량생산할 수 있는 기술을 갖고 있다.
이 회사 김동현 대표는 9월 26일부터 28일까지 프랑스 마르세유에서 열리는 ‘연결 보안 세계 포럼(Connect Security World Forum)’에서 기조연설에도 나선다. 5번째 열리는 이 행사는 여러 나라에서 보안 기술과 관련된 업체들이 전시회를 열고 강연을 진행하는 행사다. 김 대표를 지난 12일 직접 만나 PUF 상용화의 과정과 그 의미를 들어봤다.
―ICTK의 PUF 상용화의 과정을 이야기해주십시오.
“회사는 2001년에 설립했습니다. 손상된 금융 IC카드를 분석하거나 은행권 스마트카드나 자동인출기(ATM)의 내구성, 카드와 결제 단말기의 상호 운용성을 확인해 주는 것이 주된 사업이었습니다.
보안이 점점 중요해지면서 2009년 한양대 SoC연구센터와 함께 PUF 원천 기술을 개발하기 시작했습니다. 산업통상자원부, 미래창조과학부 등의 연구 자금을 지원받으면서 원천기술 개발과 상용화에 매달려 왔습니다.
PUF칩을 개발할 때 힘든 점은 공정에서 필요한 미세한 기술을 모두 확인해서 가능한 한 단계별로 특허를 등록해야 하는 점입니다. 이미 해외에서 연구하고 있으기로 선점하는 것이 중요하기 때문이죠. 해외에서 연구하기 때문에 인력을 구하기도 쉽지 않았습니다. 반도체 보안기술을 연구하는 해외 회사가 규모가 큰 곳이 대부분이어서 국내 기업으로서 인재 등용에 한계가 있었기 때문입니다.”
―PUF의 원리부터 이야기해주십시오.
“PUF는 각각의 개체가 특수한 물리적 코드를 가지고 있는 반도체 칩입니다. 인간의 홍채가 각기 다른 모양으로 살아있는 동안에는 변화가 발생하지 않는 것처럼 PUF칩 역시 이 특수한 모양의 반도체 코드가 각기 다르고 변하지 않습니다.
반도체는 아주 얇은 소재의 판들이 겹겹이 쌓여 만들어집니다. 그리고 이 각 층(레이어)들을 물리적으로 뚫어 연결되게 만듭니다. 이 구멍을 VIA홀이라고 합니다. 이 VIA홀을 뚫는 과정에서 뚫리는 부분과 안 뚫리는 부분이 랜덤하게 생성됩니다. 칩이 각각의 모양을 갖게 되는데 이 모양을 코드화하는 것이죠.
칩 내부에는 보안 저장소(security strorage)와 함께 암호화, 복호화, 암호 해제 키 생성이 가능한 알고리즘도 담겨있습니다. 보호해야 할 정보(제품 시리얼 넘버, 비밀번호 등)를 넣어주고 암호화와 복호화를 위한 알고리즘도 탑재합니다.
PUF칩이 만들어지며 생성되는 키는 사람의 지문이나 홍채처럼 복제가 불가능합니다. 암호화된 데이터를 PUF칩 내 보안 저장소에 보호하고 칩에 탑재된 알고리즘을 칩 내에서 복호화합니다. 이런 식으로 키 유출을 방지할 수 있는 겁니다.
예를 들어 이 칩을 도어락을 제조할 때 기기 내부에 설치합니다. 이 PUF에는 도어락의 시리얼 넘버 등 민감 정보가 암호화해 저장돼 있겠죠. 이 도어락을 열어야 하는 스마트폰에도 PUF칩을 심어서 역시 필요한 번호를 PUF침에 암호화해 저장합니다. 스마트폰과 도어락의 PUF칩이 각각 비밀번호를 복호화 시켜 상호 확인후 기기가 작동하는 것이죠.
기기에 설치할 경우 소프트웨어 보안 시스템이 하던 보안 프로세스를 PUF가 하게 되기 때문에 별도 소프트웨어가 필요없어집니다.
보안의 기본은 암호화한 데이터를 복호화하기 위한 ‘키(Key)’를 안전하게 생성하고, 저장, 관리해야 하는 것입니다. IC마다 다 다른 ID가 부여되는 PUF이기 때문에 해킹이 불가능한 마스터 키 역할을 하게됩니다.
반도체는 공정에 따라 필요한 메모리 설정을 할 수 있기 때문에 제조사의 요청에 따라 아주 작고 적은 용량의 PUF칩부터 대용량 서버 등에 활용할 수 있는 PUF칩을 만들 수 있는데 기가바이트 단위까지도 만들 수 있습니다.”
―여러가지 보안 방법 중 PUF의 장점은 무엇인가요?
“IoT 데이터가 보안상 신뢰를 확보하기 위해서는 기기인증(M2M), 보안 저장소(storage), 데이터 암호화 등 보안 기능이 요구됩니다. 이런 요구사항을 충족시킨 보안기술은 무겁고 비싸면서 기기마다 적합하게 만들기가 쉽지 않습니다.
PUF 칩을 쓰게 되면 우선 IoT기기의 보안 개발을 하는 것이 쉬워집니다. PUF 칩을 기기에 내장하게 되면 ‘보안 저장소’와 ‘암호 연산 기능’을 동시에 제공하게 되는데요. 기존에 만들어야 할 별도의 보안 저장소와 데이터 암호화 소프트웨어를 복잡하게 만들지 않아도 되는 셈입니다. PUF칩 자체가 보안 저장소이면서 내부 알고리즘을 통해 암호화와 복호화, 키 생성 등을 하게되기 때문입니다.
기존에 보안 소프트웨어는 암호화한 데이터를 저장하는 저장소, 암호를 푸는데 필요한 열쇠를 위한 별도의 주소 등을 따로 마련하고 암호 연산을 위한 프로그램도 탑재해야 했습니다.
하지만 PUF칩을 부착하면 이런 번거로움이 사라지게 됩니다. 소프트웨어 보안 방식은 또 프로그램을 완성하더라도 보안 문제의 취약점을 따로 분석해야 했는데, 이것도 생략할 수 있게 됐습니다.
그러면 자연스럽게 비용이 줄어듭니다. 보안 소프트웨어 개발 비용도 줄어들게 되는데, 저희가 이 칩을 대량생산할 수 있으니 당연히 공급 가격이 기존 보안 방식보다 낮을 것이라고 자부합니다.”
― 소프트웨어 보안보다 안전하다는 이유를 좀 더 설명해주실 수 있을까요.
“소프트웨어 보안방식의 경우 암호를 해제하기 위한 열쇠를 만들게 되면 기기 메모리 상에 위치시키게 되고 그 위치에 따라 ‘주소’가 부여됩니다. 당연히 이 위치는 암호화되지만 최근에는 해커들이 이 키를 탈취하는 기술이 빨라졌습니다.
실제로 지난 2010년 미국에서 열린 정보보안 관련 행사 ‘블랙햇 기술 보안 컨퍼런스’에서 IC칩을 해킹해 분석하는데 6개월이 걸렸고, 2015년 행사에서는 자동화된 반도체 역공학 기술을 이용해 3개월이면 가능하게 됐습니다. 앞으로는 이 키 탈취 해킹 기술이 더 빨라질 거라고 예상하고 있습니다.”
― 해외 동향은 어떻습니까.
“PUF칩을 제작할 때 공정을 거치고 나면 칩마다 지문과 같은 DNA를 가지게 됩니다. 반도체를 만들 때 레이어와 레이어를 이어주는 VIA홀을 만드는데 이게 바로 핵심입니다. 반도체 공정에서 VIA기술을 이용해서 공정에서 발생하는 무작위 난수가 인간의 홍채와 같은 고유의 코드를 만들어 주게 됩니다.
여기에 그치지 않고 이 반도체가 아주 높거나 낮은 온도 또는 큰 충격에서 버틸 수 있는 ‘항상성’을 유지해야 합니다. 이런 항상성을 유지하면서도 대량 생산할 수 있는 기술을 보유하게 된 것이죠. 자체 생산은 물론 주문자상표부착생산(OEM)도 가능하게 만들었습니다. 그래서 이 VIA PUF 칩을 국내외에 공급할 수 있게 됐습니다. 이 기술은 미국과 유럽이 먼저 원천기술을 연구했으나 대량생산은 한국이 먼저하게 된 것입니다.”
― 현재까지 사업 진척 상황이 있습니까.
“ICTK는 LG CNS를 비롯해 국내외 통신, 가전, 자동차, IT서비스 기업에 연구용 VIA PUF칩을 제공할 계획입니다. 올해 안에 PUF칩을 적용한 IoT 기기나 서비스가 나올 전망입니다. 실제로 LG CNS가 IoT 보안 기기에 데이터 칩을 적용하는 기술 개발에 나섰고 이와 관련한 ‘IoT 보안표준기술사업에 관한 양해각서(MOU)’를 체결했습니다.
앞으로 이외에도 IoT 관련 기기는 물론 스마트 카 기술이나 각종 금융 보안 서비스에 적용할 수 있는 상용화 제품을 만들 계획 입니다.
또 PUF 제작 기술과 관련한 특허 등록은 총 36건입니다. 한국 24건, 미국 6건, 대만 3건, 중국 2건, 유럽 1건이죠. 특허 출원 현황은 국내외 86건이 진행 중 입니다. 이것으로 기술 유출 우려를 줄이는 것은 물론 기술 관련 라이센스 판매를 통한 수익 창출에도 도움이 될 것으로 보고 있습니다.”
― 앞으로 사업 계획에 대해 간략히 말씀해주시죠.
“앞으로 여러 IoT 플랫폼 업체와 협업해서 PUF를 업무 표준화할 수 있도록 만들고 ISO 국제 표준화 진행도 함께 추진해 보안의 새로운 표준이 되도록 만들 계획입니다.
그리고 중국 제조사 등에 PUF칩을 판매할 계획을 세우고 현지 법인을 설립했습니다. 프랑스와 독일 등은 현재 IoT기술 개발이 한창이고 스마트카 기술도 앞서고 있습니다. 이런 시장에 PUF칩을 공급하려는 목적을 가지고 룩셈부르크에 법인을 설립했고, 미국에서는 현재 법인을 설립하지 못했는데, 법인 설립 을 위해 인력 채용을 시작했습니다.”
-1970년 출생
-1989년 시흥고등학교 졸업
-1997년 아주대학교 산업공학과 졸업
-1997년 한국표준협회 입사
-2001년 ICTK 대표이사
-2003년 아주대학교 산업대학원 산업시스템공학 석사
-2007년~2010년 브라이트사이트아시아 대표이사(겸직)