MS·디즈니도 실패한 일, 한국 스타트업이 해냈다

주식회사 크리밋 김동현 대표

기업가 정신으로 무장한 사람들이 창업에 뛰어들며 한국 경제에 새 바람을 일으키고 있습니다. 그들의 이야기를 소개합니다.

온라인상 금고 열쇠를 안전하게 지켜주는 보안 솔루션을 개발한 주식회사 크리밋의 김동현 대표. /더비비드

최근 월트디즈니 사내 직원들 간의 메신저 내용이 온라인에 유출돼 논란이었다. 광고 집행과 소프트웨어 개발, 면접 후보자에 관한 논의 등 비즈니스 관련 내용은 물론 직원들의 개인적인 대화까지 유출돼 파장이 일었다.

 

클라우드 산업이 빠르게 발전하면서 크리덴셜(Credential) 해킹 등 보안 위협이 늘고 있다. 크리덴셜은 금고의 열쇠로 비유할 수 있다. 주민등록번호, 신용카드 번호 등의 개인정보가 대표적인 크리덴셜이다. IT 개발 분야에서 크리덴셜은 데이터 암호화를 위한 인증 정보를 의미한다.

 

주식회사 크리밋(이하 크리밋)은 온라인상의 금고 열쇠를 안전하게 지켜주는 보안 전문 기업이다. 크리밋의 김동현 대표(29)를 만나 문을 안전하게 지키는 법을 들어봤다.

 

◇ 게임 커뮤니티 운영하던 중학생이 해킹을 배운 이유

크리밋은 900가지가 넘는 크리덴셜을 탐지하고 조치한다. /김동현 대표 제공

크리밋은 ‘구글 드라이브’와 같은 저장소나 ‘슬랙’ 같은 협업 도구를 통해 노출되는 보안 정보를 탐지하는 솔루션을 개발했다. 위험에 노출된 크리덴셜을 탐지하고 적절한 조치를 취해 900가지가 넘는 크리덴셜을 보호한다.

 

여기에서 탐지란 저장소나 협업 도구에 노출된 크리덴셜로 비밀번호처럼 로그인 가능한 정보를 찾는 과정이다. 탐지 과정에서 노출된 정보를 발견하면 인증 정보를 변경해 보안을 유지한다.

 

김 대표는 중학생 때 해킹 공부를 시작했다. /더비비드

김 대표는 게임 스타크래프트를 좋아했다. 중학생 때 게임 커뮤니티를 만들어 운영할 정도였다. 어느 날 김 대표가 운영하던 서버가 해킹당했다. “‘내 놀이터 하나가 없어졌구나’라는 생각에 화가 나더라고요. 동시에 해킹이 뭔지 궁금하기도 했죠. 그렇게 해킹 공부를 시작했더니 작은 놀이터가 사라졌다는 분노는 사라지고 큰 세상이 열린 기분이었어요. 해킹이 참 재밌었거든요.”

 

고등학교 입학 후 본격적으로 해킹 공부를 시작했다. “수학 문제 풀듯 정답이 정해진 게 아니라 다양한 경로로 해킹을 할 수 있다는 게 매력적으로 다가왔어요. 매주 해킹 대회에도 나갔습니다. 진로도 이쪽으로 결정했어요. 학점은행제로 정보보호학 전공 후 고려대 대학원에서 컴퓨터정보통신공학을 수료했습니다. 해킹은 특정 문제를 해결하면 이후에 더 복잡한 문제로 다가오는데요. 도전 욕구를 자극해 해킹에 푹 빠졌습니다.”

 

김 대표는 10년간 보안업계에서 일했다. /더비비드

석사 수료 후 약 10년간 무선 보안, 보안 교육 등 여러 보안업계에서 일했다. “첫 직장은 무선 보안 회사였습니다. 와이파이나 블루투스 등을 사용하는 단말기의 보안 위협을 보호하는 역할을 수행했죠. 다음은 정보 보안 컨설팅 회사에서 근무했어요. 초기 멤버로 합류해 간접적으로 창업을 경험했습니다. 약 4년 동안 보안 교육, 컨설팅, 솔루션 제공 등 다양한 업무를 하며 경험치를 쌓았어요.”

 

창업 전에는 미국의 B2B 채팅 솔루션 회사 샌드버드에서 보안 엔지니어로 약 1년 반 동안 일했다. 이때 서로 다른 팀이나 직급끼리 소통에 마찰을 겪는 것을 자주 목격했다. “팀마다 지향점이 다르다 보니 소통의 격차가 생기더라고요. 주로 팀별로 우선순위가 달라서 발생하는 갈등이었습니다. 예컨대, 개발팀이 서비스 고도화에 몰두하다가 배포하는 과정에서 크리덴셜이 적힌 파일을 노출해 버린 사고가 더러 발생했습니다. 아이디나 비밀번호 같은 중요한 정보가 회사 홈페이지나 서비스에 노출됐다고 생각하면 됩니다. 이런 사건은 해커를 끌어들이는 유인책이 돼요. 보안 위험이 커지는 거죠. 회사 구성원 모두가 보안의 중요성을 자각할 계기가 필요하다고 생각했어요.”

 

◇ 900가지의 크리덴셜을 보호

올해 1월 보안 솔루션 크리밋 서비스를 정식 발매했다. /더비비드

2023년 5월 주식회사 크리밋을 설립했다. 작년 초부터 보안 솔루션 개발을 시작해 2023년 10월 베타 버전을 출시하고 올해 1월에 정식 발매했다. 처음엔 시장성부터 검증했다. 첫 6개월간 클라우드를 사용하는 기업을 찾아가 모르는 사이에 노출될 가능성이 있는 정보를 보호하고 유지해 줄 솔루션이 있다면 사용할 용의가 있는지 확인했다. 이후 액셀러레이터 ‘프라이머’가 주최하는 스타트업 창업 지원 프로그램에 선정돼 초기 투자를 받았다.

 

설치 없이 인터넷으로 사용할 수 있는 서비스형 소프트웨어(SaaS)로 개발했다. 적용 범위를 넓히기 위한 전략이다. “이용법은 간단합니다. 문서 저장소나 협업 도구 등 기업에서 크리덴셜 보안이 필요한 서비스를 저희 솔루션과 연동하면, 여기저기 흩어져 노출돼 있던 크리덴셜을 실시간으로 찾아냅니다. 또 발견된 크리덴셜이 실제로 사용할 수 있는 유효한 정보인지 검증합니다. 예컨대, 네이버나 카카오 같은 웹사이트에 실제로 로그인이 가능한 인증 정보라는 걸 알려주는 거죠. 기업 보안팀에 로그인 성공 여부를 알려주고 정보 변경 등의 후속 조치를 진행합니다.”

 

크리밋의 보안 솔루션은 기업 보안팀의 업무 효율을 높인다. /김동현 대표 제공

보안 정보가 유출된 기업은 규모에 상관없이 큰 타격을 입는다. “작년 11월 마이크로소프트는 크리덴셜 해킹 사고를 겪었습니다. 개발자가 오픈 소스(Open Source) 공유 차원에서 올린 자료에 크리덴셜이 숨겨져 있던 게 화근이었어요. 이 안에는 3만건 이상의 임직원 대화 내용과 아이디와 비밀번호, 심지어 마이크로소프트의 핵심 사업 전략인 오픈에이아이(Open AI)의 영업 비밀까지 담겨있었습니다. 마이크로소프트는 순식간에 신뢰도에 타격을 입었죠. 스타트업도 예외는 아닙니다. 한 고객사는 과거 크리덴셜 노출로 해킹을 당해 1000만원 가량의 클라우드 사용료를 부담하기도 했어요.”

 

기업 보안팀의 일부 업무를 대신해 업무의 효율성을 도모한다. “보안팀은 신경 쓸 일이 정말 많아요. 개인정보를 관리하고, 서버의 취약점을 파악해야 해요. 사용 중인 컴퓨터의 비밀번호가 안전한지도 주기적으로 확인해야 하고요. 이런 상황에서 보안 정보의 유출까지 신경 쓰는 게 쉽지 않아요. 비효율적이라고 생각합니다. 보안 전문 회사의 도움을 받는 게 훨씬 효율적이죠. 예컨대, 크리밋을 이용하면 로그인 가능한 인증 정보를 쉽게 알 수 있잖아요. 하지만 이런 서비스를 이용하지 않는다면, 노출된 정보로 로그인이 가능한지 회계 장부를 맞추듯 하나하나 확인해야 합니다. 크리밋은 900가지의 크리덴셜 패턴을 데이터베이스화했기 때문에 10분 이내에 노출 여부를 알 수 있어요.”

 

6개월간 크리밋이 탐지한 크리덴셜은 7600건 이상이다. /김동현 대표 제공

2023년 10월부터 올해 4월까지 6개월 동안 크리밋이 탐지한 크리덴셜의 개수는 7600건이 넘는다. 그 안에서 36만개 이상의 개인정보를 발견했다. 36만개의 개인정보가 노출될 위험에 놓여있었다는 의미다. “저희 서비스를 도입하기 전 220개의 크리덴셜 노출 위험이 있는 기업이 있었어요. 두 달 동안 주 3회 이상의 보안 조치로 크리덴셜 위험을 3개까지 줄였습니다. 100분의 1 수준으로 감소한 거죠. 보안 위험이 있는 정보를 모두 교체하는 게 제일 좋지만, 현실적으로 어렵습니다. 해당 기업의 시스템을 일시 중단해야 한다거나 시간이 오래 걸린다거나 하는 부담이 있기 때문이죠. 이때는 위험을 감수하고 계속 모니터링하거나 장기적인 계획을 잡아서 조치합니다.”

 

◇ 글로벌 기업으로 성장하고파

50여개의 기업이 크리밋 서비스를 이용 중이다. /더비비드

아직 초기 단계인 보안 탐지와 조치 시장을 개척했다는 점을 높게 평가받았다. 지난 6월 은행권청년창업재단(디캠프)의 창업경진대회 ‘디데이’ 본선에 진출했다. 지난 1월 서비스를 발매해, 지금까지 50여개의 기업이 크리밋의 보안 솔루션을 사용 중이다.

 

초기 시장인 만큼 운신의 폭이 넓다. 크리밋의 경쟁사는 미국과 유럽의 신생기업 세 곳이 전부다. 12조 수준의 글로벌 보안 시장을 목표로 한다. “미국이나 싱가포르 등 해외 기업에 진출하고 싶어요. 경쟁 기업과 비교했을 때 크리밋의 서비스 연동 범위가 더 넓어요. 다룰 수 있는 크리덴셜 패턴도 다양하고요. 해외 고객사의 후기를 보면 크리밋의 사용자 경험(User Experience, UX) 만족도가 높더라고요. 과거 해커로서, 개발자로서, 보안 연구자로서 일하며 해킹의 창과 방패를 모두 겪어봤기 때문에, 그들의 불편함을 잘 알고 있다는 게 강점으로 작용했습니다.”

 

지금은 주인을 잘못 찾을 뻔한 열쇠를 주인에게 돌려주는 일을 하고 있지만, 금고가 되는 게 목표다. “보안 정보를 탐지하고 조치하는 것을 넘어 안전하게 ‘보관’하는 기업으로 키우고 싶어요. 금고 역할을 하는 거죠. 사용 용도 외에는 정보가 노출되지 않게 막아주는 기술을 만드는 게 목표입니다. 민감한 데이터를 쓰지 말라는 게 아니에요. 민감한 데이터를 안전하게 사용할 수 있는 방식을 알려주는 거죠. 크리밋으로 사이버 세상을 지키는 데 기여하고 싶습니다.”

 

/진은혜 에디터, 주서현 에디터