IoT 보안 플랫폼을 개발하는 국내 스타트업 시큐리티플랫폼이 세계적인 반도체 칩 회사 ST마이크로와 손잡고 세계시장 진출에 시동을 걸었다. TPM 보안 기술을 기반으로 한 IC 칩을 서버, 통신장비, 공장 기계장치 등에 적용해 안전한 IoT 환경을 만든다는 계획이다. 국내 대기업, 통신사와 다양한 IoT 보안 시범사업을 성공적으로 수행해 온 결과 글로벌 기업과 함께 세계 시장 진출의 발판을 마련하게 된 것이다. 시큐리티플랫폼이 가진 경쟁력과 향후 비전을 알아봤다. <편집자>

우리나라 스타트업이 글로벌 반도체 기업과 손잡고 IoT 보안 시장에 진출한다. 반도체 칩에 보안 OS를 탑재해 IoT 기기의 보안 내재화를 구현하고, 이를 IoT 기기 제조업체에 공급한다는 계획이다. 우리나라 스타트업은 시큐리티플랫폼, 글로벌 반도체 기업은 ST마이크로일렉트로닉스다.

양사 MOU 체결을 위해 방한한 모하메드 타벳(Mohamed Tabet) ST 보안 MCU 부문 마케팅 매니저는 “ST는 IoT 보안을 위한 솔루션 개발에 집중 투자하고 있으며, 이 분야 기술 기업과의 협력을 고민하고 있다. 그러던 중 시큐리티플랫폼의 ‘액시오(Axio)’ 솔루션을 알게 됐으며, 세계 그 어떤 보안 솔루션을 능가하는 탁월한 기술을 갖고 있다고 평가했다”며 “시큐리티플랫폼은 전 세계에서 가장 훌륭한 보안 기술을 갖고 있다. 양사의 협력을 통해 ST는 가장 안전한 IoT 보안 솔루션을 제공하는 기업으로 인정받게 될 것이다”고 말했다.

HW 보안 솔루션으로 글로벌 시장 진출
ST가 극찬한 ‘액시오’ 솔루션은 TPM(Trusted Platform Module)을 위한 OS와 플랫폼이다. TPM은 하드웨어 칩에서 암호화와 인증 기능을 수행하는 기술로, 디바이스가 부팅될 때  OS나 애플리케이션에 불법적인 변경이나 조작이 있는지 상태를 점검한다. 외부에서 디바이스 무결성 요청을 하거나 디바이스에 저장된 자료가 불법 유출되는 것을 막도록 암호화·인증하는 것도 TPM의 주요 기능이다.

TPM은 TCG(Trusted Computing Group)가 주도하는 하드웨어 보안 표준이며, TCG는 MS, 인텔, 구글, IBM, HP 등이 참여하는 국제 표준화 단체이다. 소프트웨어 기반 보안 기술은 취약점이 많아 해커가 쉽게 공격할 수 있다. 하드웨어는 해커가 공격하기 어려운 OS 아래에 위치하기 때문에 보안성을 크게 높일 수 있지만, 하드웨어 칩이나 보드에 보안을 위한 리소스를 사용하는 것이 어려우며, 다른 시스템 모듈과 충돌을 일으킬 수 있어 구현이 쉽지 않다.

보안 내재화한 IoT 구현
액시오는 TPM을 위한 보안 OS와 플랫폼을 제공해 기기 제조사들이 안전하게 TPM을 이용해 보안이 내재화된 기기를 만들 수 있도록 도와준다.

‘액시오 OS’는 ▲TPM을 위한 하드웨어 암호 모듈 ▲시큐어 부트 ▲단순화된 시스템 권한제어 ▲PKI, 네트워크 암호화, 파일 시스템 암호화, 코드 사이닝 업데이트, 디바이스 관리 등 보안 애플리케이션으로 구성된다. 삼성전자의 보안 플랫폼 녹스(Nonx)에 적용돼 있으며, iOS, 임베디드 리눅스에도 적용된다.

단말의 무결성을 검증하기 위한 도구로 ‘액시오 RA’도 제공된다. IoT 단말이 해킹을 당하거나 악성코드가 유입되면 시스템 주요 파일이 변조되는데, 액시오 RA는 파일 해시 정보를 안전하게 생성·보관·전송해 위조된 파일로 인한 공격을 사전에 차단할 수 있다.

황수익 시큐리티플랫폼 대표는 “최신 TPM 2.0 라이브러리는 2014년 발표됐지만, 아직 완벽하게 TPM을 이용한 보안칩은 상용화됐다고 할 수 없다. TPM 표준이 있다고 해서 보안칩을 만들 수 있는 것은 아니며, 소프트웨어와 하드웨어 보안 기술을 모두 갖춰야만 안정된 수준의 기술을 개발할 수 있다”고 말했다.

“세계 유일의 HW 보안 기술 기업”
시큐리티플랫폼은 2015년 7월 설립된 신생기업으로, 구성원도 9명에 불과하다. 그러나 임직원 모두 20년 이상 반도체, OS, 보안 분야에서 근무한 전문가다. 시큐리티플랫폼은 2015년 IoT 기기를 위한 하드웨어 보안 플랫폼을 개발해 깃허브에 공개했으며, 이후 삼성전자, SK하이닉스, SK텔레콤 등과 IoT 보안 사업을 진행하면서 기술력을 입증 받았다.

시큐리티플랫폼이 가진 IoT 보안 역량과 국내 글로벌 기업과의 협업 성과를 높게 평가한 ST가 IoT 사업의 파트너로 선택했으며, ST의 IC칩에 시큐리티플랫폼의 보안OS와 보안 애플리케이션을 적용하게 됐다.

황 대표는 “하드웨어 보안 기술은 진입 장벽이 매우 높다. 하드웨어를 개발하는 사람들은 보안을 모르고, 보안을 아는 사람들은 하드웨어를 모른다. 또한 하드웨어 보안칩은 생산단가에 매우 민감하고, 리소스와 크기 제약도 높기 때문에 많은 리소스를 사용하는 보안기술은 사용할 수 없다”며 “생산단가를 크게 높이지 않고 쉽게 적용할 수 있으면서 안전하게 기기를 인증하고 사용할 수 있는 기술을 상용화한 곳은 시큐리티플랫폼이 유일하다고 자신한다”고 말했다.

다수 시범사업 통해 입증된 기술력
현재 상용화된 보안칩은 기기 정품인증, 콘텐츠 불법 유통을 막는 등의 영역에서 사용되고 있다. 스마트폰 PIN 번호나 생체인증을 통해 거래를 인증하는 최근 핀테크 서비스에도 사용될 수 있다.

보안칩의 활용범위는 무궁무진하지만 아직은 일부에서만 사용되고 있는 것이 사실이다. 칩 설계 자체가 어려우며, 대규모로 생산하지 않으면 제조 원가가 크게 높아진다. 대량으로 생산된 칩을 판매할 곳이 없으면 비즈니스에 실패하게 되는데, 수지타산을 맞출 만큼 대량으로 기기를 판매하는 제조사는 많지 않다.

황 대표는 “하드웨어 레벨의 보안 기술은 바이오스 단에서 연산이 일어나야 하고, 펌웨어에 이 기술을 넣으려면 시스템의 낮은 레벨에서 프로그램을 할 수 있는 전문가가 필요하다. 전문가의 수급이 어려워 하드웨어 보안 기술을 개발하는 것이 어렵다”고 말했다.

이어 그는 “시큐리티플랫폼은 하드웨어 보안 기술을 개발하기 위한 높은 수준의 전문지식을 가진 전문가들로 구성돼 있으며, 국내 대기업과 함께 보안 기술을 개발해 시범사업을 성공적으로 운영해 본 경험이 있다. ST와의 협력을 통해 상용화된 보안 IC를 성공시키면 전 세계에서 가장 독보적인 하드웨어 보안 기업으로 성장할 기회를 잡게 될 것”이라고 자신했다.

국내 최고 전문가의 역량으로 세계 최고  IoT 보안 기술 개발     ▲황수익 시큐리티플랫폼 대표 Q.시큐리티플랫폼의 경쟁력은. 시큐리티플랫폼의 가장 강력한 경쟁력은 전문성이다. 우리는 통신, 반도체 칩, 보안 분야의 최고 전문가로 구성된 스타트업이며, 하드웨어와 소프트웨어 기술을 두루 갖추고 있어 IoT 보안이 필요로 하는 기초지식을 갖추고 있다. 하드웨어 레벌 보안 기술을 개발하기 위해서는 하드웨어 지식과 보안 지식을 갖고 있어야 하며, 시큐리티플랫폼의 구성원은 이분야에서 최고의 전문성을 제공할 수 있는 인력들이다. ▲ Q.시큐리티플랫폼이 개발한 솔루션은. TPM 기술을 잘 사용할 수 있도록 도와주는 보안 플랫폼이다. 액시오 OS는 시스템의 안전한 부팅을 도와주는 기술이며, 액시오 RA는 시스템 파일의 위변조를 탐지해 시스템이 해킹당하지 않도록 도와주는 기술이다. 이 기술을 SDK로 제공해 칩 벤더와 기기 제조사가 보안 내재화된 IoT 기기를 만들 수 있도록 지원할 수 있다. Q.경쟁사가 있나. 정확하게 말해 시큐리티플랫폼과 경쟁할 수 있는 완성된 솔루션을 상용화한 기업은 없다. TPM을 이용한 보안 기술을 시범적으로 개발하는 과제는 많았지만, 실제로 상용화하기 까지는 많은 과정을 거쳐야 한다. 시큐리티플랫폼은 국내 대기업, 통신사와 수년간 사업을 진행하면서 보안칩 기술을 개발해 성공해왔으며, 이 성과를 인정받아 ST마이크로와 IoT 보안 파트너십을 체결할 수 있게 된 것이다. Q.시큐리티플랫폼 기술을 이용하면 어떤 상품을 만들 수 있나. 기기 제조사들이 TPM 보안칩을 쉽게 이용해 제품을 만들 수 있다. 셋톱박스, 드론, 헬스케어 장비, 센서, 스마트폰, POS 단말 등 모든 기기에 적용될 수 있다. 액시오 플랫폼이 적용된 TPM 기반 보안칩을 탑재하면 기기 해킹 여부를 탐지하고, OS와 애플리케이션의 불법적인 위변조를 감지해 공격을 원천 차단할 수 있다. 하반기 국내 통신사와 5세대 통신 보안 모듈에 탑재할 예정이며, 국내 대규모 제조사, 중국·대만의 제조기업에도 제품을 공급할 계획이다. Q.향후 계획은. IoT 시대가 본격화되면 메모리가 아니라 SOC에 집중해야 한다. 초대형 기기부터 초소형 센서까지 수많은 종류의 기기가 인터넷에 연결되며, 각종 해킹과 보안사고가 끝없이 발생할 것이다. 이를 막기 위해서는 하드웨어 레벨에서 철저하게 검증하고 보호해야 한다. 동시에 적은 리소스를 사용해 단순한 아키텍처를 이용한 보안 플랫폼이 필요하며, 시큐리티플랫폼이 제안하는 보안 기술이 각광받게 될 것이다. 시큐리티플랫폼은  다양한 반도체 칩 회사와 IoT 기기 제조사와의 협력을 강화해 제품 공급 범위를 넓혀가면서 IoT 시대의 보안을 이끌어갈 예정이다.

국내 통신사 5G 서비스에 보안모듈 공급
시큐리티플랫폼과 ST마이크로의 첫 번째 협력 사업은 임베디드 보안 칩을 제작해 FIDO 단말, 인공지능 스피커, 산업용 기계, 통신장비 등에 제품을 공급하는 것이다. 복수의 국내 대형 제조기업과 제품 공급 계약을 마쳤으며, 이들이 개발을 시작하는 신제품에 적용돼 생산된다. 중국, 대만 등의 제조 기업에도 공급해 글로벌 시장에 판매할 계획이다. 보안이 IoT 기기 생산과 작동을 방해하지 않으면서 진화하는 해킹 공격으로부터 중요 시스템을 보호할 수 있는 환경을 만들어 나갈 예정이다.

시큐리티플랫폼은 ST뿐 아니라 다른 글로벌 칩 벤더에도 기술을 공급하고 있다. 특히 IoT 기기를 위한 MCU(Micro Controller Unit)를 제작하는 칩 벤더들이 많은 관심을 갖고 있으며, 일부 시범사업에서 성과를 내고 있다. 국내 통신사의 5세대 통신사업에도 보안모듈을 제공해 하반기에 정식 소개할 예정이다.

황수익 대표는 “지금까지 메모리 기술을 이용해 시스템 성능을 개선하고 보안 기능을 작동시켰지만, 메모리 기술 발전은 한계에 이르렀으며, 성능도 충분히 개선되지 못하고 있다. 이제 시스템온칩(SoC)에 투자해야 할 때다. 첨단 기술을 집약해 최소한의 폼펙터와 리소스를 이용해 효율적으로 작동하는 것이 필요하다. 좁쌀만한 칩이 슈퍼컴퓨터가 되는 시대가 오고 있다”며 “안전한 연결이 가능한 칩 기술을 개발해 IoT 시대의 기술을 선도해야 한다”고 말했다.

IoT 보안인증, 성장 기회 될 것
시큐리티플랫폼은 IoT 보안인증이 본격적으로 시행되면 시장이 더욱 크게 열릴 것으로 기대한다. 이 인증은 IoT 기기 설계 단계부터 보안을 적용하는 ‘보안 내재화’를 촉진시키기 위한 인증 규격이며, 우선은 기업의 자율참여를 유도하면서 보안 내재화가 기기 설계의 기본으로 채택될 수 있도록 할 방침이다. 우리나라 뿐 아니라 미국, 일본, 유럽 등 세계 각국에서도 IoT 보안 강화를 위해 인증 표준을 제정하는 추세다.

더불어 정부는 IoT 서비스 기업과 기기 제조기업, 보안업체, 학계, 공공기관 등의 전문가가 참여하는 ‘사물인터넷(IoT) 보안 얼라이언스’를 발족하고 지난해 ‘IoT 공통 보안가이드’를 발표한데 이어 지난 7월 ‘홈·가전 IoT 보안가이드’를 발표했다. 여기에는 애플리케이션, 데이터 보안과 물리적 보안 기준을 포함시켰으며, 플랫폼단의 보안 요소도 포함시켰다. IoT 디바이스 무결성 검증, 안전한 업데이트, 디바이스 인증과 접근통제, 안전한 암호 알고리즘, 키관리 등이 포함됐다.

황 대표는 “IoT 보안인증이 확산되면 IoT 보안 기술이 다양하게 확산될 것으로 기대한다. 규제가 있으면 기업들은 규제준수를 위해 보안에 투자하게 되고, 이를 통해 시장이 생겨나게 된다. 첫 단계는 자율규제이지만, 그래도 시장을 주도하는 기업들이 이를 준수하기 위한 노력을 진행해 나가면 다른 기업들도 경쟁에서 뒤처지지 않기 위해 따라가게 된다”며 “해외에서도 이와 같은 추세가 나타나고 있다. IoT 보안인증은 시큐리티플랫폼 성장에 날개를 달아줄 것”이라고 밝혔다.

그는 “이제 서서히 IoT 보안 시장이 열리기 시작했다. 시큐리티플랫폼은 이미 3년 전 업계 최고의 전문가들로 개발조직을 구성하고 다양한 파트너와 함께 시범사업을 진행하면서 기술력을 인정 받았다. 이번 ST와의 협력은 우리 기술을 본격적으로 상용화하는 첫 단계가 될 것이며, 향후 높은 성장을 기록하게 될 것”이라고 자신했다.