Arculus: Dr. Adam Lowe와 함께하는 비밀번호 없는 미래로의 전진

사이버 위협이 증가함에 따라, 우리의 보안 관행도 진화해야 합니다. 그렇다면 왜 우리는 더 안전한 솔루션을 도입하지 않았을까요? 아담 로우 박사는 “가장 좋은 보안은 사람들이 사용하는 보안”이라고 말하며, 사용성이 핵심임을 시사합니다.

코인데스크 팀은 이 아이디어를 분석하기 위해 로 박사와 인터뷰를 진행했습니다.

로우(Lowe)는 컴포시큐어(CompoSecure)의 최고 제품 및 혁신 책임자(Chief Product & Innovation Officer)로서, 혁신의 최전선에서 경력을 쌓아왔습니다. 그는 여러 기술 서적의 챕터를 집필했으며, 아큘러스(Arculus)를 포함해 500건 이상의 특허 및 출원 중인 특허의 발명자로 등재되어 있습니다. 아큘러스는 사람들이 디지털 자산과 신원을 안전하게 보호할 수 있도록 하는 차세대 디지털 보안 플랫폼입니다.

Lowe의 보안 전문성은 CompoSecure와 Arculus를 넘어 확장됩니다. 그는 이전에 미국 국방 및 정보 기관을 지원하는 비영리 단체에서 연구개발(R&D) 역할을 수행한 바 있습니다. Lowe의 경험은 개인부터 정부 기관에 이르기까지 사용자들을 위한 웹2 및 웹3 보안에 대한 깊은 이해를 제공합니다.

이번 대화에서는 사이버 보안의 현재와 미래 상태를 탐구하고, 로우가 왜 비밀번호 없는 미래를 믿는지에 대해 논의할 것입니다.

귀하의 배경이 CompoSecure에서 근무하며 Arculus를 개발하게 된 경위에 대해 많은 맥락을 제공한다고 생각합니다만, 제가 더 깊이 탐구하고 싶은 부분은 이러한 경험들이 어떻게 귀하를 웹3로 이끌었는지에 관한 것입니다.

물론입니다. 이 여정은 2011년경 제가 대학원에 다니던 시절부터 시작되었습니다. 그 당시 비트코인은 학계에서 서서히 입지를 다져가고 있었습니다. 저는 그때 비트코인을 많이 구매하지는 않았지만, 지금 생각하면 그때 좀 더 적극적으로 매수했더라면 좋았을 것 같습니다. 그곳에서 비트코인을 처음 접하게 되었습니다.

그 후 저는 방위 산업에 진출하여 사람들, 전투원들, 그리고 전체 정보 커뮤니티의 보안을 유지하는 암호학에 관심을 갖게 되었습니다. 그 분야에서 몇 년간 근무한 후 결제 분야로 전환하였습니다.

저는 모회사인 CompoSecure에서 약 10년간 프리미엄 금속 결제 카드 기술 분야에 종사해 왔습니다. 암호화폐가 성숙해지면서 저는 이를 결제와 디지털 신원의 미래로 인식하기 시작했으며, 이 두 요소가 웹3에서 어떻게 융합되는지에 대해 깊이 이해하게 되었습니다.

글로벌 결제 관점에서 저는 이 핵심 지점이 형성되는 위치를 어느 정도 파악했고, 이를 바탕으로 Arculus를 만들어 우리의 입지를 잘 다질 수 있었습니다. Arculus는 디지털 자산 및 디지털 신원 사업 부문으로, 프리미엄 금속 결제 카드 기술에 타원 곡선 암호화를 접목하여 다양한 기능을 가능하게 합니다. 이 카드는 결제 기능을 수행할 수 있으며, 소비자 인증도 가능합니다. 또한 모든 관련 최신 블록체인에 대해 완전한 하드웨어 서명기 역할도 수행합니다.

즉, 그런 비전입니다: 사람들은 자신의 디지털 정체성을 관리할 필요가 있으며, 우리는 그들이 이를 수행할 수 있도록 주머니 속에 보안을 제공하고자 합니다.

우리는 모두 2011년에 비트코인을 샀더라면 좋았을 텐데 하고 바랍니다. 그러나 귀하의 암호화폐 여정은 분명히 독특하며 개인, 기업 및 정부 보안에 대한 통찰력을 제공해왔습니다.

기업들이 고객 데이터를 고객이 비밀번호를 잊어버리는 것만큼 쉽게 잃어버리고 있는 것으로 보입니다. 왜 이런 일이 발생하고 있는 것일까요?

네, 저는 이 주제에 대해 항상 강연을 하는데, 최근에 한 가지 약간 농담조의 강연 제목은 '비밀번호는 구식이다'였습니다. 왜냐하면 실제로 그렇기 때문입니다.

제가 자주 말씀드리듯이, 그리고 이는 사실입니다, 집이나 아파트의 현관문 열쇠를 신뢰하듯이 디지털 열쇠를 디지털 삶에 신뢰해야 합니다. 비밀번호가 아니라.

대부분의 이러한 시스템들이 규모에 상관없이 근본적으로 안고 있는 문제는 바로 지식 기반이라는 점입니다. 비밀번호란 단지 공유된 비밀에 불과하며, 중학교 시절을 겪어본 사람이라면 누구나 알겠지만, 공유된 비밀은 오래가지 않습니다. 따라서 이는 본질적으로 설계상의 결함입니다.

그리고 말씀하신 바와 같이 사람들은 종종 이를 잊어버리며 재설정이 필요합니다. 전체 콜센터 활동의 약 절반이 비밀번호와 관련되어 있습니다. 기업 입장에서는 이는 매우 비용이 많이 들 수 있습니다.

그렇다면, 비밀번호는 구식이 되었는데, 다른 대안으로는 무엇이 있을까요?

지식 기반의 비밀번호 대신 현대 시스템들은 키 기반 솔루션으로 이동하고 있습니다.

여러분은 이미 Facebook, Coinbase 및 기타 기업들이 디지털 키를 사용하여 디지털 생태계를 관리하는 것을 보셨을 것입니다. 이는 이더리움 거래를 디지털 키로 서명하는 것과 동일한 방식이지만, 대신 본인임을 증명하는 도전을 디지털 서명하는 것입니다.

보안 분야에서의 대대적인 도약입니다.

비밀번호보다 점진적으로 나은 것은 구글 인증기와 같은 것이지만, 훌륭한 사용자 경험은 아닙니다. 탭을 벗어나 여섯 자리 숫자를 가져와야 하고, 다시 탭으로 돌아와 시간과 싸우며 정확히 입력하기를 바라는 방식입니다. 이는 결코 좋은 경험이 아닙니다.

우리가 이야기하는 이 제로 트러스트, 키 기반 접근법은 올해 모든 국방부에 의무화되었으며, 시간이 지남에 따라 더 많은 정부 기관에도 의무화될 예정입니다.

CISA는 이를 금본위제로 칭하며 금을 선택해야 한다고 말했습니다. 우리는 이것이 최선의 접근법이라고 진심으로 생각하며, Apple, Google 등 많은 이들이 이에 동의합니다. 이 때문에 모든 Android 및 iPhone 기기가 이를 지원하고 있습니다.

저희가 패스키와 Fido WebAuth 패스키 시스템 내에서 진행한 방식은, 고객에게 제공할 수 있도록 기업의 브랜딩이 적용된 아름다운 외부 금속 카드에 패스키를 탑재하는 것입니다.

저위험에서 중간위험 수준의 사항에 대해서는, 휴대폰에 앱이 있습니다: 선호하는 웹사이트나 앱의 잠금을 해제하기 위해 휴대폰을 보게 될 것입니다.

중간에서 고위험 거래의 경우, 카드를 사용하며 외부 키를 사용하여 보안을 더욱 강화합니다. (패스)키(카드)를 휴대폰에 터치하면, 챌린지에 서명이 이루어지고 접근이 허용됩니다.

귀하께서 이전에 “가장 좋은 보안은 사람들이 실제로 사용하는 보안이다”라고 말씀하신 것이 떠올랐으며, 이는 저의 부모님께서 익숙한 방식을 고수하시는 모습과도 닮아있습니다.

귀하의 기술 채택에 대한 관점은 무엇입니까? 이것이 부모님께서 사용하실 만한 보안 솔루션인가요?

Arculus에서는 ‘아담스 엄마 테스트(Adams Mom’s Test)’라는 것을 운영하고 있습니다. 이는 제 어머니가 별도의 교육 없이도 할 수 있어야 한다는 원칙을 의미합니다. 만약 어머니께서 할 수 없고 교육이 필요하다면, 그만큼 간단하지 않다는 뜻입니다.

Arculus의 세 가지 핵심 요소는 안전, 간편, 그리고 보안이며, 그중 간편함이 특히 매우 중요합니다.

평균적인 거래는 귀하의 어머니께서 그녀의 기기에서 생체인식을 사용하기만 하면 됩니다. 그녀는 단지 휴대폰을 바라보거나 엄지손가락 지문을 사용할 뿐이며, 비밀번호를 기억할 필요가 전혀 없습니다. 이 기술의 큰 장점이라고 생각합니다.

우리가 스마트 카드가 이와 같은 훌륭한 수단이라고 생각하는 이유 중 하나는 모두가 스마트 카드를 가지고 있기 때문입니다. 전 세계적으로 스마트 카드는 아이폰보다 20배에서 25배 더 보편화되어 있습니다. 모두가 모두가 아이폰을 가지고 있다고 생각하지만, 실제로는 스마트 카드가 아이폰보다 20배 더 많습니다.

암호화폐로 돌아가서, 저는 정기적으로 전체 포트폴리오를 모든 서비스에 연결하는 동일한 지갑에 보관하는 사람들에 대해 듣습니다.

최고의 보안은 실제로 사람들이 사용하는 것이라는 관점을 고려할 때, 웹3에서 이러한 채택이 어떻게 전개될 것으로 보며, dApp과 상호작용하는 사용자들의 보호를 어떻게 강화할 것이라고 기대하십니까?

곧 핫 월렛에서 변화가 있을 것으로 생각합니다. 구식 및 이전의 콜드 스토리지 방식, 즉 명목상의 USB 스틱은 사용하기에 너무 복잡하다는 문제가 있었습니다. 사용자 친화적이지 않고, 지속적인 업로드 및 다운로드가 필요하며, 실용성이 떨어졌습니다.

Arculus와 함께라면 많은 핫월릿보다 사용이 더 용이해졌습니다.

귀하는 다기능 플랫폼에서 최대의 보안을 갖춘 사용 편의성을 누리실 수 있습니다. 앞서 언급한 바와 같이, 저희는 카드에 결제 기능을 탑재할 수 있으며, 앞서 말씀드린 웹2 플랫폼 로그인용 FIDO 인증기로도 활용할 수 있습니다.

귀하의 모든 디지털 생활은 평소에 휴대하는 카드 안에 담길 수 있으며, 가장 좋아하는 핫월렛만큼 사용이 간편합니다. 하지만 키는 귀하의 주머니 속에 있습니다. 개인 키가 존재하는 유일한 장소가 그 카드뿐이기 때문에 해킹될 가능성은 전혀 없습니다.

또한, 3FA이지만, 간편한 3FA입니다:

• 귀하가 보유한 것: 귀하의 휴대전화와 동기화된 해당 특정 카드,
• 당신이 사용하는 것: 기기 상의 생체인증, 그리고
• 당신이 알고 있는 것: 귀하의 핀 번호.

귀하는 암호화폐를 안전하게 보호하는 독립적인 방어 깊이를 보유하고 있으며, Web3 환경 내에서 완전하게 기능할 수 있습니다. WalletConnect를 사용하여 선호하는 DEX에 접속한 후 원하는 거래를 자유롭게 수행할 수 있으며, 원활하게 진행할 수 있습니다.

향후 몇 년 동안 예상되는 새로운 사이버 위협은 무엇이며, 아클루루스(Arculus)는 이러한 위협에 어떻게 대응하고 있습니까?

물론, 모두가 AI를 언급합니다. 사이버 공격의 허들을 낮추기 때문에 관심을 기울이는 것이 합리적이라고 생각합니다.

AI 덕분에 사이버 공격을 합리적으로 실행하는 데 필요한 역량이 과거보다 낮아질 수 있습니다. AI가 코드 작성과 실행을 지원하여 더 적은 지식으로도 공격을 수행할 수 있기 때문입니다. 따라서 우리는 이러한 요인으로 인해 더 큰 규모와 더 많은 공격이 발생하는 것을 보게 될 것입니다.

우리는 그 정도의 공격량에 대비할 수 있도록 시스템을 준비해야 합니다. 우리는 키를 갖고 있거나 갖고 있지 않은 상황이기 때문에, 앞서 언급한 SIM 스왑 피싱 가능 자격 증명 문제를 제거함으로써 미래의 공격으로부터 보호하고 있습니다.

공격자는 그 벽을 아무리 두드려도 소용이 없습니다. 계정이나 권한을 해제할 수 있는 암호화 키가 없으면 침입할 수 없습니다. 그렇기 때문에 공격자가 침입할 수 있는 지식 기반 시스템에서 벗어나는 것이 매우 중요한 임무입니다.

웹3 및 암호화폐 분야에서는 어떠한가?

저는 특히 웹3에서 위협 중 하나가 사람들이 더 많이 유입되도록 시도하는 큰 움직임에서 비롯된다고 생각합니다. 우리는 더 많은 사람들을 이 공간에 유입시키고 그들을 온보딩해야 합니다. 이러한 점은 분명하지만, 온보딩을 더 쉽게 만들기 위해 많은 플랫폼들이 소셜 로그인으로 전환하는 것을 볼 수 있습니다.

만약 해당 계정들이 안전하지 않다면, 이는 웹2의 문제들을 웹3 세계로 가져온 것에 불과합니다. 결국 비밀번호, 이메일, 그리고 기존의 문제들로 다시 돌아가게 되는 셈입니다.

해커가 ‘2FA를 잊어버렸어요’라고 말하고 해결책이 이메일 링크 전송이라면 무슨 일이 벌어질까요? 해커는 단지 SIM 스왑만 하면 되고, 결국 우리는 처음 상태로 돌아가게 됩니다.

우리는 웹2의 불안정을 웹3로 전이시킬 수 없습니다.

이 논의는 “키를 소유하지 않으면, 암호화폐도 소유하지 않은 것”이라는 신념을 반영하고 있습니다. 그렇다면 수탁자와 DAO는 어떻게 되는 것일까요? Arculus는 멀티시그와 같은 다자간 시스템을 지원할 수 있을까요?

저희는 다수의 파트너들과 협력하며 여러 시스템과 함께 일하고 있습니다. 저희는 가장 안전하고 사용하기 쉬운 암호화 엔진이라고 자부하므로, 사람들이 이를 어떻게 사용해야 하는지에 대해 일방적으로 제시할 이유가 없습니다.

예를 들어, Gnosis Multi-Sig와 같은 프로젝트에 대해 작업할 수 있습니다. 이 프로젝트에서는 해당 계약 중 하나에 서명하고, 멀티시그 생태계에서 M중 M 서명자로 활동할 수 있습니다. 이 때 Fido WebAuth 로그인을 사용하여 플랫폼에 로그인할 수 있습니다.

저희는 기업 환경이나 중앙 집중식 환경뿐만 아니라 소비자 환경에서도 쉽게 사용할 수 있고 유연한 암호화 시스템이라고 확신합니다. 이러한 다양한 문제에 대한 해답은 각각 다르다고 생각합니다. 저희는 적절한 도구를 꺼내 문제를 해결할 수 있는 스위스 군용 칼과 같은 존재입니다.

저는 Arculus가 전통적인 결제 솔루션과 웹3 기업 모두와 파트너십을 맺고 있는 것을 확인했습니다. 이에 대해 자세히 설명해 주실 수 있나요?

물론입니다. 저희는 Solana, Aptos, Sui 등과 같은 프로젝트들과 활발히 협력하며 Web3와 결제를 결합하는 데 중점을 두고 있습니다. 앞서 언급했듯이, 저희는 이러한 체인들이 채택하고 있는 Fido 웹 인증 표준을 활용하여 간편한 ZK 로그인 방식으로 신원 관리를 할 수 있습니다. 또한, 이러한 네트워크를 활용한 결제 지원도 가능합니다.

저희는 세계에서 몇 안 되는 비자(Visa), 마스터카드(MasterCard), 아메리칸 익스프레스(American Express) 카드를 제작할 특권을 가진 기업입니다. 지난 솔라나 해커 하우스(Solana Hacker House) 행사에서 저희는 발표를 통해 저희 카드를 탭하여 비자 결제망을 통해 결제하거나, 솔라나 결제망을 통해 솔라나 페이(Solana Pay)로 송금할 수 있는 방식을 시연하였습니다.

결제 시스템을 진정으로 통합하고 스테이블코인을 결제 및 청산 수단으로 활용하며, 웹3를 실질적인 일상 활용 사례에 접목시키는 것은 정말 환상적이라고 생각합니다.

마무리하기 전에 추가로 하실 말씀 있으신가요?

저는 사용 편의성에 보안성과 단순성이 결합된 점이 아큘러스(Arculus)를 이 분야의 선두주자로 자리매김하게 한다는 점을 다시 한 번 강조하고 싶습니다. 누군가가 자체 관리나 콜드 스토리지가 너무 어렵다고 말할 때마다 아큘러스를 그들의 손에 쥐여주면, 반드시 신뢰를 얻을 수 있습니다.

당사의 기술로 우리는 진정으로 Web3에 “탭”하여 결제를 간편하고 안전하게 만듭니다. 당사의 기술은 사람들의 디지털 자산과 신원을 보호하기 위해 존재합니다.