게임 개발자들과 대화를 나누다보면 종종 게임 보안에 대한 흉흉한 이야기들을 듣곤 한다. 어느 인디 게임은 하루 사이 매출이 수천만 원 찍혀 있어서 놀라 확인해보니 몇 천 원 빼고는 해킹 조작 당한 거였다더라 하는 이야기에서부터, 중국 퍼블리셔에 게임을 보여줬더니 몇 주 뒤에 똑같은 소스코드를 쓴 게임을 그 회사에서 출시했다더라 하는 무시무시한 괴담도 듣는다. 문제는, 이 대부분의 흉담이 현실이라는 것이다.

애써 만든 수많은 애플리케이션들 만큼 그 애플리케이션을 지키는 것이 중요하지만, 대부분 개발자들에게 바쁜 개발 일정과 빠듯한 환경 속에서 보안은 사치처럼 느껴진다. 하지만 그렇다고 아예 신경쓰지 않으면 그 노력이 모두 물거품이 되니 보안 문제는 언제나 개발자들의 머리를 아프게 한다. 더 지끈지끈한 것은 마땅한 왕도를 찾기 어렵다는 것이다.

그런 개발자들의 고충을 익히 들어 알고 있는 와중, 미국에 진출한 인벤 글로벌 팀에게 한 회사가 눈에 들어왔으니, 다름 아닌 에스이웍스(SEWORKS) 였다. 이들은 '앱솔리드(AppSolid)' 라는 이름의 보안 솔루션을 제작, 서비스하고 있다. 그렇게 지난해 GDC 2016 에서 'What To Do When Your Game's Being Pirated in Asia' 라는 제목으로 어플리케이션 무단 도용 및 보안 문제에 대해서 강연을 하기도 했던 에스이웍스의 민인숙(Mary Min) 부사장과 연락이 닿아, 다양한 이야기를 들어볼 수 있었다.

에스이웍스 민인숙 부사장(좌)과 JP 루아 세일즈 총괄(우)

마침 이전한지 얼마 안되었다는 에스이웍스 미국 헤드쿼터의 사무실도 구경할 겸, 방문하여 인터뷰를 진행했다. 민인숙 부사장과 함께 새로이 에스이웍스 미국 헤드쿼터의 세일즈를 담당하는 JP 루아(JP Rua) 총괄도 동석했다.




Q. 에스이웍스는 어떻게 창립되었으며, ‘앱솔리드’를 개발하게 된 계기는 무엇인가?

민인숙 : 에스이웍스가 창립된지도 이제 4년 째다. 에스이웍스의 홍민표 대표이사는 이전에 쉬프트웍스라는 보안 업체를 설립하여 운영해왔는데, 그 회사를 매각하고 바로 에스이웍스를 설립했다. 15년이 넘는 기간 동안 ‘와우해커’라는 비영리단체를 운영해 왔었고, 그를 토대로 새로운 해커를 발굴하고 영입하여 최정예 해커를 선발, 회사를 설립 할 수 있었다.

설립 6개월 만에 20여 억원 규모의 시드 투자를 유치했으며, 작년에는 82.5억 규모의 시리즈 A 투자를 완료했다. 에스이웍스에 투자한 투자사들은 소프트뱅크벤처스, 퀄컴 벤처스, 삼성벤처투자, 스마일게이트인베스트먼트, 원익투자파트너스 등이 있다. 2016년 초 출시한 ‘앱솔리드(Appsolid)’ 뿐만 아니라, 작년 7월에는 유니티 엔진을 위한 보안 플러그인을 출시했다. 또한, 2017년 1분기에는 iOS 보안을 공식 출시할 예정이다.

회사명의 SE는 시큐리티, 세일즈 등등 여러가지 뜻을 내포하고 있다. 초기에는 핀테크 쪽 앱을 개발하려고 했었다. 요즘 인기 있는 송금 앱 ‘토스’ 같은 것을 말한다. 그런데 한창 개발하는 와중에 아무래도 이런 앱은 보안에 민감하다보니 해커들이 계속 보안 테스트를 하면서 여러 취약점을 발견하고 이를 다시 보완하고 그렇게 해 왔는데, 딱히 보완을 위한 마음에 드는 솔루션이 없었다. 그래서 우리가 직접 만들어 쓰자! 라고 해서 개발하기 시작한게 우리 보안 솔루션의 시작이다.

이게 창업 초창기의 일이라, 핀테크를 만들다 바로 전환해서 회사 초기부터 쭈욱 보안 솔루션을 만들어오고 있는 셈이다. 당시 이름은 ‘메두사’ 였고, 아무래도 그것 만으로는 부족하다보니 많은 새로운 아이디어와 최신 트랜드를 적용시켜가며 발전시키다보니, 현재의 ‘앱솔리드’ 가 만들어졌다.

그러니까, 원래 생각했던 것에 뭔가 덧붙이다 보니 이렇게 되었달까. 업무에 많이 쓰는 메신저로 ‘슬랙(Slack)’이 있는데, 사실 이들을 만든 회사는 게임 회사다. 그런데 게임은 성공하지 못했고, 직원들끼리 IRC로 업무 이야기를 하다 불편해서 우리가 메신저 만들어 쓰자, 라고 개발된 것이 바로 ‘슬랙’이고, 그게 성공을 거뒀다. 우리도 제품을 만들다가 툴로 돌아서게 된 거고, 그만큼 우리 입맛에 맞는 것들만 만들어오고 있는 느낌이다.

현재 미국 샌프란시스코의 헤드쿼터와 한국 서울에 연구개발센터를 두고 있고, 인력은 미국 헤드쿼터에는 대표까지 5명이 있고, 한국에는 20명이 넘게 있다. 한국 인원들은 소수 인원을 제외하고 모두 연구 개발에 투입되는 엔지니어들이다.



Q. 현재 회사에서 어떤 역할을 맡고 있는가?

민인숙 : 회사에 합류한지는 3년째가 되어가는데, 게임 개발자 출신으로 회사에 영입되었다 보니 ‘우리의 솔루션을 이용하는 게임 개발자들이 원하는 형태로 어떻게 만들어야 하는가?’ 하는 부분에 많이 관여하고 있다. 사실 우리의 솔루션 자체가 본래는 우리끼리 사용하려고 만든 것인 만큼 이를 어떻게 다른 이들이 쓸 수 있게, 편하게 쓰기 좋게 만들까 하는 부분을 많이 보완해야 했다. 어떤 이슈가 가장 빈번한지, 또 편의성은 어떤지, 그런 부분을 보완해서 게임 쪽 보안으로 특화된 것이 ‘앱솔리드’ 다.

이제 현지 직원인 JP 도 합류했고, 이제 본격적으로 미국에 우리 솔루션을 선보일 계획이다.

한국 시장에서의 세일즈는 제가 관여하지 않는다. 물론 필요하거나 소비자 쪽에서 요청하는 경우 한국 쪽 세일즈를 연결시켜주거나 하기도 하는데, 일단 근본적으로 글로벌 트렌드는 콘텐츠 싸움이다. 연구를 계속 해나가면서 제품을 발전시켜야 한다. 그런 프로그램을 만드는 개발자들이 소비자인데, 그 소비자들은 이런 세계적인 트렌드에 모두 밝기 마련이다. 단순히 마케팅 수완을 발휘하는 것 뿐만 아니라, 소비자들이 직접 이 제품에 매료되고 선택하게 만들어야 한다.



Q. 사용중인 한국 업체들의 이야기를 들려줄 수 있는지? 또 ‘앱솔리드’ 가 다른 보안 솔루션과 다른 점은 무엇인가?

민인숙 : 한국 회사들은 보안이 뚫리면 찾아오는 경우가 많다. 크랙 당하거나 보안에 구멍이 생기거나, 어떤 회사는 매출이 매우 높게 나와서 기뻐했는데, 알고보니 모두 조작이었다. 이런 사례가 흔하고, 그런 사건이 터지면 찾아오는 분들이 꽤 된다. 물론 국내에서도 다양한 마케팅 활동과 인지도가 있다보니 먼저 찾아오는 분들도 다수 있다.

보안 문제 상 어느 회사의 어느 제품들이 사용하고 있는지는 구체적으로 말씀드릴 수가 없다. 아무래도 고객의 보안이 최우선이고, 어플리케이션 보안이라는 특성상 정보가 무척 중요하다. 어떤 공격이든 100% 차단을 한다는 업체는 믿을 수 없는 것이, 비유하자면 아무리 울타리를 많이 둘러쳐 놓더라도 상대가 탱크를 들고와 버리면 밀릴 수 밖에 없는거다. 그래서 보안의 발상이 다르다. 절대 깨어지지 않는 벽을 세우는 것이 아니라 접근하는 길을 엄청나게 꼬아두는 것이다. 전문 해커도 결국 나름의 이익을 보고 해킹을 시도하는 것이기 때문에, 예를 들자면 풀다가 지쳐서 ‘내가 이걸 하느니 다른 걸 공격하겠다’ 고 돌아가게 만드는 거다.

한국에 다른 회사의 모바일 보안 솔루션이 몇 곳 있는데, 어떤 곳은 데프콘이나 블랙캣 같은 해커 그룹에게 뚫린 경우가 있다고 들었다. 그런 해커 그룹이 저희 솔루션도 뚫어냈다고 주장하고는 있는데, 이미 1년도 더 지난 버전이고, 애초에 어플리케이션 보안이란 특성상 매번 새로운 트렌드와 새로운 방법을 담은 최신 버전을 사용하기 때문에 크게 의미가 없는 주장이라고 생각한다.

보안의 방법에 대해서 이야기하자면, 소스코드 보안은 비유하자면 집안의 금고만 잠그는 개념이다. 하지만 그렇게 되면 집 안에는 마음대로 들락거릴 수 있고, 금고라는 확실한 목표가 있는 이상 어떤 수단이든 동원해서 나중에는 결국 뚫릴 가능성이 있다는 거다. 반면에 바이너리라는 것은 집 주변에 차라리 울타리를 친다고 보면 된다. 아예 그런 도둑들의 표적이 될 가능성 자체를 낮춰버리는 것이다. 도둑들도 겉보기에 허술하거나 침입하기 쉬운 쪽을 노리기 마련이니까.

앱솔리드는 앱이 가지고 있는 취약점을 스캔하여 알아본 후, 프로텍트를 통해 고도화된 보안을 적용한다. 그 후 트랙 단계를 통해 실시간 보안 현황을 알아볼 수 있는데, 이는 일종의 상시 보안책이다. 경비를 세운다고 할까. 누군가 크랙을 시도하면 바로 알람이 뜨고, 공격 사실 자체를 바로 알 수 있다. 그리고 공격에 쓰인 디바이스의 고유 코드를 확인해서 그 디바이스만 차단할 수 있도록 툴이 제공된다.

해킹하는 이들은 자기가 사용하는 디바이스가 막히면 동일한 디바이스를 새로 사야한다. 하지만 대부분 그런 디바이스는 무척 비싸기 마련이고, 귀찮은 일이다. 그러니 그런 비용을 또 지불하고서 굳이 이 프로그램을 공격해야 할 이유가 줄어드는 것이다. 또한 에뮬레이터의 접근 또한 추적, 차단하며, 메모리 조작을 실시간으로 모니터링하고, 보완하도록 한다.

‘앱솔리드’ 를 만들면서 보호 받는 프로그램을 개발하는 사람들의 개발 자유도를 많이 생각했다. 만약 보안 솔루션 쪽에서 보안을 위해서 ‘이건 이렇게 해주세요’ 하고 제한을 해버리면, 보안 솔루션을 사용하는 의미가 크게 퇴색된다고 생각한다. 그래서 우리의 모토는 이것이다. ‘You make Apps, We protect them.’ 뭐든 만드시면, 우리가 보호 해드릴 수 있다. 보안 솔루션을 붙이는 과정도 그리 오래 걸리지 않는다. 분석 후에 바로 적용 가능하고, SDK 등 추가적으로 도입해야 할 부분도 없다.



Q. 미국시장에 대한 현황은?

JP 루아 : 미국에서는 어플리케이션 뿐만 아니라 소비자 정보를 다루는 여러 회사에 접촉하고자 하고 있다. 한국에서는 소비자 정보의 가치를 거의 인정하지 않고, 혹여 대형 쇼핑몰이나 금융사를 통해 개인정보가 대량유출 되더라도 그 회사들이 책임을 지지 않는다. 그러나 미국에서는 소비자의 개인 정보를 유출시키면 그에 맞는 보상을 지불해야 하고, 정부에서도 제제를 가한다. 때문에 업계의 분석으로는 그런 개인 정보 유출 사고가 일어났을 때 순수 보상 비용만으로만 최소 200만 달러가 들어간다고 판단한다. 여기에 더해 브랜드 가치의 손상이나 유저 손실은 더더욱 피해가 크기 마련이다.

미국에서는 그런 사고가 일어나면 그 사실을 피해자 고객들에게 일일이 서면 상으로 통지해야 하는데, 그걸 위한 우편 비용만 해도 어마어마하다. 만약 유출 내용에 피해자의 금융, 신용 관련 정보가 있다면 금융 피해나 신용 악용 사례가 생기지는 않을지 모니터링 서비스도 제공해야 하고, 그 책임과 비용이 무척 크다. 그래서 그런 사고를 방지하는 솔루션을 마련하고 있다.

현재 일종의 모니터링 서비스를 제공하는데, 최근 Yahoo 의 사례 등 미국의 보안사고를 살펴보면 일단 개인 정보가 유출되고 나서 한참 시간이 지난 뒤에서야 알게 되는 것이 대부분이다. 분명 누군가 해킹을 시도할텐데, 이게 언제 뚫렸는지를 모르면 피해가 더욱 커지고 부차적인 피해들을 막기 어려워진다. 모니터링을 하게 되면 해킹 시도가 있을 경우 이를 알려주고, 또 그 시도의 성공여부도 확인하고, 어떤 부분이 취약한지를 파악할 수 있다. 장기적으로는 이런 부분을 하나씩 보완해나가고 이후의 피해도 줄일 수 있는, 매우 뛰어나고 혁신적인 시도다.

10억 개에 달하는 개인 정보가 유출되었던 야후! 사고와 같은 사례를 방지할 수 있다


Q. 앱솔리드가 다른 보안 솔루션에 비해 가지는 특장점에 대해서 알려달라.

민인숙 : 우선 앞서 자주 설명한 모니터링 기능이 있다. 실시간 모니터링은 매우 중요하지만, 제공하는 곳이 별로 없다.

‘앱솔리드’ 자체가 데프콘을 5번이나 참여한 팀이 만든 솔루션이고, 그만큼 퀄리티에는 자신이 있다. 다들 보안이라고 하면 얼마나 그 보안 로직, 알고리즘을 잘 짜고 이를 노출되지 않게 잘 커버하느냐로 급을 나누는데, 당연히 계속해서 트렌드와 새로운 기술에 맞추어 업데이트와 보완을 해나가야 하는데, 이를 전담하는 연구팀이 있다. 이 팀은 현재 해킹 트렌드를 파악해 익히고, 직접 우리 솔루션을 공격해보기도 하고, 그 연구 결과를 개발팀에 넘겨 같이 제품을 향상, 발전시킨다.

그렇게 솔루션을 공격하고 막아내는 것으로 커피 내기 같은 걸 정말 많이 한다. 한국 사무실 주변의 커피숍들은 우리 회사가 아니었으면 살아남기 힘들었을 거다(웃음).

개발자분들에게 말씀드리고자 하는 부분은, 보안 솔루션을 선택할 때 중요한 것은 당연히 가격보다 성능이라는 것이다. 우리는 최대한 어플리케이션 성능에 지장을 주지 않도록 노력한다. 앱의 로딩이 1초 늘어나면, 유저의 20%가 사라진다. 그만큼 로딩 타임을 비롯한 앱 성능에 지장을 주지 않고자 엄청나게 옵티마이징을 했다. 아무래도 보안 솔루션이 있으면 앱을 로딩할 때 암호화를 풀어내다보니 지연이 생기기 마련인데, 그런 부분을 최소화하는 퍼포먼스 최적화에만 6개월 매달렸었다. 그만큼 앱 성능을 계속 보완하고 최상으로 유지하고자 한다.

그리고 이런 이야기를 하면 솔루션 가격이 엄청난거 아닌가 하실 분도 계실텐데, ‘앱솔리드’ 는 MA 기반이다. 많이 벌면 많이, 적게 벌면 적게 받는다. 그리고 초반 무료 구간도 존재한다. 얼마 동안은 무료로 사용하고, 그 이후에 장사가 잘되면 값을 지불해주시면 된다.

'앱솔리드'는 그 어떤 앱에도 적용할 수 있다


Q. 보안 솔루션을 사용하는 개발자들이 이 솔루션을 사용하기 위해서 맞춰야 하는 부분, 혹은 ‘앱솔리드’에 맞추어 요구하는 부분이 있는가?

민인숙 : 우리는 그런 요구사항을 전혀 제시하지 않는다. 우리 회사 차원에서 배려를 하는 부분이다. 다른 솔루션들은 자신들이 먼저 개발 가이드라인을 제시한다. 그 안에서만 게임이나 어플리케이션을 개발하라는 뜻이다. 그렇게 환경 자체를 컨트롤하려고 한다. 그리고 그렇게 환경을 컨트롤하니까 보안이 더 잘된다고 설명한다.

하지만 그렇게 하게 되면, 우리들의 고객, 개발하는 분들은 돈에도 쫓기고 시간에도 쫓기고 다 쫓기는데, 그걸 언제 다 맞춰서 개발해서 출시하나. 빌드는 항상 바뀌고, 개발은 항상 시간과 인력이 부족하기 마련이다.

만약 어떤 어플리케이션이 출시할 빌드를 다 만들었는데, 거기에 뭔가 새로운 요소를 테스트를 하고자 살짝 바꾸었다 치자. 그렇게 테스트 할 부분을 넣고, 거기에 자신만 접속할 수 있도록 비밀번호 등 보안 내용도 임시로 추가해서 테스트 했다. 그런데 이후에 최신 버전을 낼 때 실수로 그런 테스트 내용과 보안 정보를 깜빡하고 제거하지 않고 업데이트 한다면? ‘스냅챗’ 이 그런 식으로 뚫렸다. 이런 부분들을 고려하다 보면 굉장히 많은 인력과 시간이 추가로 소모된다. 하지만 우리의 솔루션은 그런 특수한 상황에서도 보안을 제공할 수 있다.

안드로이드 OS 에서는 추가로 필요한 부분이나 제약 없이 모든 것에 적용시킬 수 있고, 다만 iOS는 SDK 를 제공한다. 안드로이드처럼 무제한 적용 가능하도록 만들고자 했는데, 그렇게 만들어보니 따라오는 에러 코드만 300개였다. 그걸 잡으려고 정말 엄청 고생했다. 그래서 어쩔 수 없이 iOS는 SDK 를 통해 적용하고 있다.

사실, 우리가 아무리 이렇게 배려를 하고자 노력을 기울여도 개발자들은 불편하기 마련이다. 어플리케이션의 패키징까지 끝내고 거기에 싸이닝을 하고 내면 되는데, iOS 는 코드 단계에서 싸이닝을 해야 하는 부분도 있고, 보안 솔루션을 쓴다는 것 자체로 신경을 써야하는 부분이 필연적으로 생긴다. 그런 것조차 최소화 하고자 노력하고 있다.



Q. 개발자가 기본적으로 앱의 보안을 위해서 신경써야 하는 부분은 무엇인가?

민인숙 : 누구든 결국 사람이기에 실수를 하기 마련이고, 100% 막을 수는 없다. 버그가 없는 프로그램이란 없듯이 말이다. 보안은 항상 예측하지 못한 부분에서 새어나가기 마련이고, 때문에 별도로 보안 솔루션을 쓰지 않더라도 최소 레벨의 보안은 유지하는 것이 맞다. 어플리케이션 보안을 위한 최소의 가이드를 우리도 만들고 있는데, 그런 것들은 최소한 따라가며 만드는 것이 좋다.

최상은 당연히 아예 뚫리지 않는 것이지만, 그건 확실히 장담할 수 없는 부분이다. 아무리 뛰어난 방패라도 계속해서 분석당하고 작정하고 대포를 가져와버리면 막을 수 없다. 그래서 계속해서 새로운 트렌드를 발굴하고 거기에 맞춰 새로운 대응을 하며 업데이트를 하는 것이다. 한 번 막고 끝나는 것이 아니라, 여러가지 보완책을 세워야 한다. 처음 출시를 할 때 이를 테면 외장 메모리에는 세이브를 못하게 한다거나 하는 사소한 부분도 신경을 써주는게 좋다. 루팅된 스마트폰을 막는 것은 워낙 루팅 유저가 많기 때문에 많은 분들이 선택하지 않더라.

다만 어떤 개발사들은 치팅을 어느 정도 허용하면 좋겠다고 이야기하는 곳도 있다. 불법 다운로드 같은 2차 시장을 만들어서, 그런 음지의 것들이 있어야 자신들에게도 이득이 된다는 논리인데, 저는 정말 좋은 게임은 알아서 돈을 번다고 생각한다.

일단 가능하다면 보안에 최대한 신경을 쓰는게 최선이다. 개발의 데드라인이 당연히 우선이지만, ‘일단 개발하고 보안은 나중에 하자’ 고 하지 말고 초기부터 꾸준히 보안에 신경을 써야 한다. 별도의 보안 솔루션이 없는 앱은 한 번 뚫리면 그 버전은 더 이상 안전을 보장할 수 없다. 아예 버전 업을 해야만 한다.

무엇보다, 자신의 소스코드를 소중히 생각하고 보안을 유지하는게 매우 중요하다. 어떤 악질 퍼블리셔들은 게임 한 번 보자고 해서 게임을 보내면, 소스코드를 뜯어 디컴파일해서 자기네들 게임에 유용해서 내고, 그런 곳도 있다. 항상 조심해야 한다.

그리고 궁극적으로는 에스이웍스 ‘앱솔리드’ 를 사용하면 된다(웃음).



Q. 올해, 그리고 또 앞으로 에스이웍스의 목표가 있다면?

민인숙 : 한국 국내에서 더 고객을 늘리고 시장을 넓히고, 일본과 아시아 시장을 개척해 나가고자 한다. 무엇보다 올해부터 미국시장에 본격적으로 진출하는데, 미국으로 본사를 이전하고 미국을 집중 공략하는 이유는 바로 미국 미드 레벨의 가능성 때문이다. 미국에서는 작은 개발사들도 직접 만들어 직접 서비스하고, 개발자들이 이익을 가져간다. 유통구조가 무척 간단하다. 모바일 시장이 개척되면서 찾아온 아무나 앱을 만들고, 퍼블리싱하는 혁명이 그대로 유지되고 있다.

하지만 한국, 중국, 일본은 유독 유통과정이 복잡하고 더 꼬여있다. 퍼블리셔가 들어와 있고, 중간 유통 과정에서 더 많은 이익이 분배된다. 개발사에 이득이 돌아가지 않고, 수익 분배가 잘 되지 않는다. 한국에는 정말 소규모 마이크로 스튜디오와 거대 기업만 있고 중간이 비어 있다고 할까. 중간을 채우려면 양쪽에서 많이 노력해야 하는데, 마이크로 스튜디오는 보다 자체 퍼블리싱에 겁내지 말고 더 많은 시도를 하고, 대형 퍼블리셔들은 보다 좋은 조건과 대우로 스튜디오들을 풀어주어야 하고, 펀드와 인재가 잘 순환하는 생태계가 마련이 되어야 하는데, 그게 무척이나 어려운게 현실이다. 성과도 잘 내고 적절히 자신들의 입지를 다져가는 중견 스튜디오가 없달까.

하지만 미국은 그런 중산층 회사가 많다. 생태계 중앙에서 중간을 유지하는, 자체 퍼블리싱도 하고 성과도 좋은 회사들이 많다. 그래서 우리 솔루션에 대한 수요가 훨씬, 훨씬 더 많을 것이라고 봤다. 미드 레벨 시장이나, 앞서 언급했던 B2B 시장도 크고, 우리 회사의 솔루션이 어필하기 좋은 환경이라고 생각한다. 미국에서 큰 성과를 거두고 싶다.

Q. 마지막으로 수많은 게임 개발자들과 예비 고객들에게 한말씀 부탁드린다.

민인숙 : 긴 말 보다는 앞서 언급했던 우리의 슬로건으로 마무리 하고 싶다. ‘You make apps, We protect them.’ 마음대로 만드시면, 우리가 보호해드리겠다.