"로그인 때마다 암호 스트레스…'스톤패스'면 고민 끝"

스타트업 리포트 - 패스워드 솔루션 스타트업 '센스톤'

아이디 입력하면 스마트폰 알림…암호 입력하거나 지문·홍채 인증
서버에 암호 저장 안해 '해킹 차단'

롯데·SBI저축·건보 등 솔루션 채택…투자 유치 후 해외 진출 나설 것

상당수 사람은 모든 사이트에서 동일한 아이디와 패스워드를 사용한다. 한 서비스가 해킹당해 패스워드가 유출되면 다른 사이트도 안전하지 않은 것이다. 이를 막기 위해선 사이트마다 다른 패스워드를 써야 한다. 하지만 가입한 서비스가 최소 수십 곳, 많으면 수백 곳에 이르다 보니 각기 다른 패스워드를 모두 기억하기란 쉽지 않다. 패스워드를 잊지 않도록 저장해두는 서비스를 쓸 수 있지만, 일이 하나 더 늘어나는 데다 이 서비스가 해킹될 경우 문제가 더 커질 수도 있다.

문제의 원인은 서비스 사용자가 내 패스워드를 갖고 있다는 점이다. 보안 스타트업(신생 벤처기업) 센스톤은 서비스 사업자 서버에 패스워드 자체를 저장하지 않는다는 ‘발상의 전환’으로 이 문제를 해결했다. 해킹을 당하더라도 패스워드가 없기 때문에 2차 피해를 막을 수 있다.

◆“대량 정보 유출 불가능하다”

센스톤은 B2B(기업 간 거래) 패스워드 솔루션 ‘스톤패스’를 만들고 있다. 이 솔루션을 적용한 사이트에선 로그인할 때 패스워드를 입력하지 않아도 된다. 아이디만 입력하면 가입할 때 등록한 자신의 스마트폰으로 알림이 온다. 스마트폰에서 본인 확인을 마치면 로그인된다. 기존의 로그인 과정이 사용자가 입력한 패스워드를 사이트에 저장된 암호와 매칭하는 단방향이라면, 스톤패스는 사이트에서 사용자에게 먼저 알림을 보내고 스마트폰에서 인증해 다시 사이트로 보내는 양방향이다.

스마트폰에서 본인 확인을 하는 방식도 다양하다. 자신이 설정한 패스워드를 입력해도 되고 지문이나 홍채, 안면인식 등 생체형 인증도 지원한다. 일회용 암호(OTP)를 쓸 수도 있다. 다양한 방식의 본인 확인 방법 중 두 가지 이상을 동시에 쓰도록 설정해 안전성을 높이는 것도 가능하다. 다른 사람이 내 아이디를 입력할 경우 알림이 오기 때문에 바로 알아채고 로그인을 잠그는 기능도 지원한다.

이 회사 창업자 유창훈 대표(사진)는 “패스워드를 아무리 복잡하게 만들어도 사이트가 해킹당하면 결국 사용자가 피해를 본다”며 “패스워드 관리도 내가 하고 사용도 쉽게 하자는 생각에서 이 같은 솔루션을 개발했다”고 설명했다.

이 서비스의 최대 장점은 해킹으로 인한 패스워드의 대량 유출이 불가능하다는 것이다. 유 대표는 “서버에 비밀번호를 저장하지 않아 수백만 명의 패스워드가 유출되는 일을 원천봉쇄할 수 있다”며 “사용자의 휴대폰까지 확보한다고 해도 그 사람의 정보만 빼내는 셈이어서 해커로선 수지타산이 맞지 않는다”고 말했다.

◆헌재·롯데·건보 등 고객사 확보

유 대표는 삼성중공업 조선사업부에 입사했다가 1년 만에 사표를 내고 1999년 공동구매 플랫폼을 운영하는 ‘학교앞’이란 스타트업을 만들었지만 2000년대 초반 벤처 거품이 꺼지면서 사업을 접었다고 했다. 이후 D2R이란 솔루션 회사에 들어가 신사업 개발을 담당했고 보안 솔루션 회사인 마크애니로 옮겨 10여 년간 일했다. 2015년 9월 퇴사해 11월 센스톤을 창업했다. 지난 12일에는 네이버에서 최고정보보호책임자(CISO)를 맡았던 이준호 씨를 공동대표로 영입하기도 했다.

창업한 지 만 2년도 되지 않았지만 다양한 고객사를 확보해 매출을 올리고 있다. 국민건강보험공단과 헌법재판소, SBI저축은행, 롯데멤버스, 한화손해보험 등이 스톤패스 솔루션을 사용하고 있다. 지난해 6억원의 매출을 올리며 손익분기점(BEP)을 넘겼고 올해는 30억원을 예상하고 있다. 유 대표는 “추가 투자 유치를 통해 서비스 고도화와 해외 진출을 시도하려 한다”고 말했다.

이승우 기자 leeswoo@hankyung.com

▶스타트업의 다양한 기사는 엣지스토리(www.edgestory.net)에서 볼 수 있습니다.