“정말 치열하게 살았습니다.”
박지수 수호 대표. 업비트 운영사 두나무의 소프트웨어 엔지니어로 커리어를 시작한 그는, 퇴직 후 고려대학교 소프트웨어 보안 석 · 박사 과정에 진학해 블록체인 보안에 관한 연구를 진행했다.
그러다 작년 3월, 블록체인 보안 전문 회사 수호를 창업했다. 수호는 작년에 컨트랙트 분석 서비스 ‘오딘’과 자금세탁방지 솔루션 ‘헤임달’을 출시했고, 많은 사용자를 확보했다. 기쁜 상황이지만 박지수 대표에겐 한 가지 고민이 있었다. 블록체인 사업을 하는 프로젝트 수가 점점 줄고 있다는 것. 블록체인 기업을 대상으로 비즈니스를 하던 그는 ‘고객 소멸’이라는 위기를 맞았다.
“처음에는 블록체인이 보장된 미래라고 느꼈어요. 항상 화제의 중심에 있었고, 많은 사람들이 뛰어들었기 때문이죠. 그런데 주변에서 좌절하고 업계를 떠나는 사람이 늘어나다 보니 저도 많은 생각이 들더군요.”
박지수 대표는 이제 ‘집중해야 할 시기’가 온 것 같다고 했다. 수호의 서비스를 누가 사용할지에 대한 물음에 답을 제시할 때가 됐다며. 그러면서도 블록체인 업황에 관계없이 안정적으로 성장할 수 있는 모델을 찾기 위해 노력한다고 말했다.
힘겨울 법한 상황이지만 그는 오히려 확신에 차 있었다. 이미 충분히 많은 실험과 검증 과정을 거쳤다고. 덕분에 수호가 어디로 나아가야 할지 알 것 같다고 했다. 그는 지금까지의 노력을 바탕으로 ‘결과물을 수확하는 한 해’가 되도록 하겠다는 포부를 밝혔다.
박지수 대표를 만났다. 그가 어떤 관점으로 블록체인 사업을 해왔는지, 수호는 어떤 그림을 그리고 있는지 들을 수 있었다. 올해 나이 서른, 그의 표현대로라면 ‘전장(戰場)을 택하는 나이’였다.
– 블록체인에 관심을 갖게 된 계기가 궁금합니다.
블록체인은 세계화에 꼭 필요한 기술이라고 생각했습니다. 세계는 점점 가까워지고 있어요. 채팅을 통해, 공유 서비스를 통해 경계가 허물어지고 있죠. 그렇게 서로 가까워지고, 소통하면서 세계화가 이뤄지고 있는 것 같아요.
그렇다면 세계화로 인해 기업이 어려움을 겪는 부분은 무엇이 있을까, 고민해봤어요. 나라마다 법체계가 다르잖아요? 사람들 성향도 다르고. 그래서 기업이 다른 국가로 사업 범위를 확장할 때마다 어려움을 겪게 되는데요. 블록체인 기술이 이 부분을 해결하는 인터페이스 역할을 해줄 것으로 기대했습니다.
– 지금 블록체인 비즈니스를 하고 있는데요. 어떤 문제를 해결하려고 했나요?
세계화가 이뤄진다면 어떤 문제가 발생할까 생각해봤어요. 그중에서 블록체인 기술로 잘 해결할 수 있는 문제가 무엇인지 찾아보려고 했죠. 저는 송금 문제에 주목했어요. 예를 들어, 한국에서 미국으로 돈을 보내려고 하면 환전 문제가 생깁니다. 하지만 블록체인 플랫폼을 이용해 암호화폐로 보낸다면 환전 문제로부터 자유로워질 수 있죠. 기업 입장에서는 그만큼 불확실성을 줄일 수 있고요. 그런데 이 과정에서 해킹이나 자금 세탁 문제가 불거질 수도 있습니다. 저는 이런 문제를 해결하려고 합니다.
– 해킹이나 자금 세탁 문제를 어떻게 해결할 수 있을까요?
처음에는 해킹 자체를 원천봉쇄하는 건 어렵다고 생각했어요. 사람이 관리하는 계정은 해킹이 일어날 수밖에 없다고 봤죠. 프라이빗 키(개인키)나 리커버리 키(복원키)가 노출되면 구조적으로 해킹을 막을 수 없으니까요. 그래서 해킹 사고가 발생했을 때 피해를 줄이는데 집중했습니다. ‘사용자 계정이 해킹 당했을 때 어떻게 하면 빨리 암호화폐를 되찾을 수 있을까’, ‘거래소에서 훔친 암호화폐를 인정해주지 않으면 해킹 동기가 떨어지지 않을까’ 이런 관점에서 접근하려고 노력했습니다.
– 자금 흐름 추적 부문에 많은 자원을 투입한 느낌이네요.
작년까지는 범죄가 이뤄진 직후의 자금 흐름을 추적하거나 범죄 사실 여부를 확인하는데 주력했어요. 이더리움을 예로 들면, 사용자 계정과 컨트랙트 계정 두 가지 유형의 계정이 있어요. 여기서 사용자와 사용자, 사용자와 컨트랙트 간 트랜잭션이 발생하는데요. 저희는 컨트랙트 분석을 통한 감사 서비스 ‘오딘’과 트랜잭션 분석 기술을 이용해 만든 자금세탁방지 솔루션 ‘헤임달’을 출시했습니다. 한동안 이 두 서비스를 고도화하는데 집중했죠. 그 결과, 많은 사용자가 이용하고 있는데요. 마음 한 켠에는 아쉬움이 남았어요.
– 어떤 점에서 아쉬움이 남았나요?
해킹이 발생한 이후에 취하는 조치만으로는 한계가 있다는 생각을 했습니다. 자금 추적 기술은 수사기관에 도움이 될 뿐, 피해를 막기는 어려웠으니까요. 결국 피해가 발생하지 않도록 하려면, 해킹 자체를 근본적으로 막아야 한다는 결론을 내렸습니다. 물론 해킹을 완전히 막는 것은 불가능해요. 그렇다 해도 해킹을 막기 위한 노력은 필요합니다. 그래서 올해부터는 해킹을 예방하는 방향으로 모델을 수립하고 있습니다.
– 2020년에는 어떤 계획을 갖고 있나요?
불법자금세탁 방지를 위해 고객확인제도(CDD), 신원확인/자금세탁방지(KYC/AML), 의심거래 보고제도(STR) 등이 활용되는데요. 앞으로는 STR 부문에 집중하려고 합니다. STR을 하기 위해서는 의심스러운 거래가 무엇인지 판단할 수 있는 기술이 필요합니다. 이를 확장한 게 사기탐지시스템(FDS)이고요.
FDS는 쉽게 말하자면 사기 행위를 사전에 탐지하고 차단하는 시스템입니다. 모든 해킹 사고는 발생하기 전에 평소와 다른 패턴이나 징후를 보입니다. 그게 사막에서 바늘을 발견하는 것만큼 적은 빈도로 일어나서 감지하기가 대단히 어렵다는 게 문제지만요. 저희는 그런 패턴이나 징후를 좀 더 효과적으로 찾는 기술을 개발하고 있습니다. 지금까지는 데이터를 쌓고, 패턴을 추출하는 데 집중했는데요. 올해는 이런 노하우를 집약해 만든 티엑스레이(TX-RAY) 서비스를 제공할 예정입니다.
서비스 대상도 확장하고 있습니다. 지금까지는 기업과 기업 간 거래(B2B)에 초점을 맞췄는데요. 앞으로는 B2B뿐만 아니라 기업과 소비자 간 거래(B2C)도 결합한 B2B2C 형태의 비즈니스를 제공하려고 합니다.
– TX-RAY는 어떤 서비스인가요?
TX-RAY는 트랜잭션 엑스레이를 줄인 말입니다. 트랜잭션이 발생할 때마다 엑스레이(X-RAY) 보듯 들여다본다는 의미를 갖고 있죠. TX-RAY는 트랜잭션 흐름을 지켜보다가 이상 징후가 보이면 사용자에게 알람을 보내요. 그래서 사용자가 블록에 기록되기 전에 해당 트랜잭션을 취소할 수 있도록 합니다. 저희는 이더리움, 클레이튼 등 모든 플랫폼의 지갑에서 TX-RAY 서비스를 이용할 수 있도록 하는 게 목표입니다.
– 블록에 기록되기 전에 해당 트랜잭션을 취소한다?
저희는 사용자 계정을 24시간 모니터링하고 있는데요. 이상한 거래가 감지되면 해당 트랜잭션 기록이 실패 처리되도록 하는 방식입니다. 해커가 돈을 빼 가려면 트랜잭션을 만들어야 하고, 이 트랜잭션이 블록에 기록돼야 돈을 탈취할 수 있습니다. 저희는 채굴자가 채굴할 트랜잭션을 미리 확인해서 이상이 없는지 판단한 후, 이상이 있다면 경쟁 트랜잭션을 생성하거나 노드에 신호를 보내는 등의 다양한 방법을 통해 트랜잭션이 채굴되지 않도록 합니다. 해커가 만든 트랜잭션이 블록에 기록되지 않으면 돈을 빼앗을 수 없게 되죠.
TX-RAY 서비스의 핵심은 자동화되어 있다는 것입니다. 프라이빗 키가 노출된 상태에서 해킹이 일어나면 어찌할 방법이 없는데, 이에 대비하는 최소한의 보안 레이어를 누구나 쉽게 가질 수 있도록 합니다. 쉽게 표현하면 좋은 의미의 어뷰징이라고 볼 수 있어요.
– 사용자가 직접 트랜잭션을 막는 방법도 있지요?
사용자에게는 락(LOCK) 기능을 제공합니다. 락 기능을 켜 놓으면 암호화폐 인출 자체가 되지 않도록 모든 거래를 차단합니다. 자금을 옮기려는 모든 시도를 이상거래로 간주하는 거죠.
– 이상거래를 탐지한다는 관점에서 보면, 블록체인 바깥의 데이터를 수집해서 분석하는 것도 의미 있는 시도가 될 것 같습니다. 대부분의 금융거래는 온라인으로 처리되고 있으니까요. 이를테면 온라인상에서 발생한 이상거래의 자금 흐름을 추적하다가 연관된 암호화폐 계정을 발견할 수도 있어 보이는데요. 이와 관련한 계획도 있나요?
네, 그래서 저희가 보유하고 있는 기술을 좀 더 범용적으로 쓸 수 있도록 확장하는 작업을 하고 있어요. 블록체인 플랫폼뿐만 아니라 일반 데이터베이스의 데이터도 분석할 수 있도록 하기 위해 준비하고 있습니다. 금융거래를 비롯해 커머스, 게임 아이템 거래, O2O 서비스 등 온라인에서 발생하는 결제 데이터도 분석해서 이상거래를 탐지하려고 합니다.
– 온라인상에서 발생하는 거래 데이터를 활용해 사업 범위를 넓힐 수 있을 것 같습니다.
블록체인은 거래 내역에 관한 데이터베이스입니다. 저희는 거래 내역의 이상 여부를 탐지하는 기술을 갖고 있어서 거래가 발생하는 모든 분야에 해당 기술을 적용할 수 있어요. 그래서 지금은 암호화폐 사용자에게만 서비스를 제공하고 있지만, 앞으로는 은행이체나 인터넷 상거래를 이용하는 사람에게도 안전한 거래 환경을 제공하는 방향으로 나아갈 계획입니다. 좀 더 범용적으로 활용할 수 있도록 말이죠.
현재는 게임과 전자결제대행(PG) 부문에 주목하고 있어요. 게임 내에서는 아이템 복사나 버그로 인해 시장이 교란되는 일이 발생하기도 하는데요. 이런 일을 감지하는데 이상거래 기술이 활용되고 있습니다. PG 회사도 계정 도용이나 분실카드를 통한 거래를 탐지할 때 이상거래 기술을 활용하고 있고요. 이처럼 다양한 분야에서 이상거래 기술을 필요로 하기에, 많은 범위를 커버할수록 수요도 함께 증가할 것으로 기대하고 있습니다.
– 블록체인 비즈니스를 하면서 가장 잘했다고 생각하는 일은 무엇인가요?
토큰 공개(ICO)를 하지 않은 것입니다. 애초부터 제가 블록체인 기술을 활용하려고 했던 방향과 ICO는 무관하다고 봤기 때문이죠. ICO는 사람들이 겪는 문제를 블록체인 기술을 통해 해결하는데, 이에 동참하는 사람에게 자금 조달을 받는 것이라고 생각해요. 저희 사업은 B2B 비즈니스에 가까운데요. 개별 사용자가 직접 누릴 수 있는 성격의 것이 별로 없습니다. 그렇다 보니 접점이 없어요. 자금 조달을 쉽게 할 수 있다는 건 분명 달콤한 유혹이었지만, 하지 않는 게 맞다고 생각했습니다.
– 자금조달은 어떻게 했나요?
컨센시스 벤처스로부터 초기 투자를 받았고요. 그 외에는 자기자본으로 충당하고 있습니다. 자본을 조달하는 것도 중요하지만, 현재는 비즈니스에 집중하는 시간을 갖고 있어요. 다만 저희 비전에 공감하는 분들과는 계속 이야기를 나누고 있습니다.
– 수많은 데이터를 저장하고 관리하려면 드는 돈이 만만치 않을 텐데요. 비용 부담은 없나요?
보통의 경우였다면 데이터 저장 · 관리 비용이 지출의 대부분을 차지했을 겁니다. 그 정도로 돈이 많이 들어요. 하지만 지금은 아마존과 구글의 스타트업 지원 프로그램 덕분에 부담을 덜고 있습니다. 아마존에는 아마존웹서비스 액티베이트(AWS ACTIVATE), 구글에는 구글 클라우드 플랫폼 포 스타트업스(GOOGLE CLOUD FOR STARTUPS)라는 프로그램이 있는데요. 각 프로그램은 클라우드를 일정 용량 이용할 수 있는 크레딧을 제공합니다. 아마존은 AWS 크레딧, 구글은 구글 클라우드 플랫폼 크레딧을 주죠. 이 크레딧 덕분에 클라우드를 무료로 이용하고 있습니다. 그래서 현재는 기술 개발 및 인프라 구축 위주로 비용을 투입하고 있어요.
– 마지막으로 전하고 싶은 이야기가 있나요?
요즘에는 안전함과 쉬움에 대해 많이 생각하고 있습니다.
안전함 만으로는 부족하다고 느껴서요. 어떻게 보면 안전하게 만드는 것 자체가 대단히 어려운 일입니다. 이런 노력의 결과도 밖으로 잘 드러나지 않고요. 그래서인지 사용자에게 기술력만 뽐내는 서비스가 많은데요. 대부분 결과가 좋지 못합니다. 사실 보안 부문에서 안전함은 당연히 갖춰야 하는 거죠. 안전하지 못하면 애초부터 사업을 할 수 없으니까요.
결국 안전함과 쉬움을 동시에 달성한 서비스가 성공하는 것 같아요. 대표적으로 안랩의 V3가 있죠. V3는 사용자가 진짜 쉽게 사용할 수 있도록 만들었어요. 성능도 좋으니 많은 사람들이 이용하는 서비스가 됐고요. 저희도 보면서 많이 배우고 있습니다. 어떻게 하면 사용자가 쉽게 사용하는 방향으로 기술을 적용할 수 있을까 고민하고 있어요. 장래에는 저희도 V3처럼 많은 사람에게 오랫동안 사랑받는 서비스를 만들고 싶습니다.