후웨 胡越 <차이신주간> 기자

▲ 2017년 4월 구글 소속 연구자들이 제시한 연합학습 모델. 중앙 데이터센터에 학습 데이터를 모으지 않고도 머신러닝(기계학습)이 가능하다. 구글 블로그

데이터가 새로운 시대의 석유가 되고 있다. 그러나 엄청난 양의 데이터와 함께 ‘데이터 사일로’(부서나 사업부 단위로 축적된 데이터를 다른 곳과 함께 쓰지 못하는 현상)가 생기고 전략적 자원이자 핵심 생산요소인 데이터를 보유한 사람은 데이터 공유를 원하지 않는다. 법률적 리스크 때문에 데이터 보유자는 데이터를 공유하지 못할 수 있다. 과거의 데이터 융합 방식은 제약 조건이 많았다. 또 과정이 복잡하고 진행 주기가 길어 데이터 공유를 불편하게 했다.

데이터 사일로
2021년 9월1일 시행될 ‘데이터보안법’과 입법 과정에 있는 ‘개인정보보호법(초안)’ 등의 법규는 데이터 분야의 수요를 반영한다. 관련 법규를 지키면서 데이터를 공유하려는 수요가 늘어 ‘개인정보 보호 컴퓨팅(연산)’이라는 다소 생소한 기술이 대중에게 알려지기 시작했다.
중국정보통신연구원에 따르면 개인정보 보호 컴퓨팅은 단일 기술이 아니라 인공지능과 암호학, 데이터 과학 등 여러 분야가 교차·융합된 다학제 과학기술 체계다. ‘데이터를 사용하면서도 눈에 보이지 않도록 하는 목적’을 실현한다. 핵심 기술은 연합학습(FL)과 다자간 보안 컴퓨팅(MPC), 기밀 컴퓨팅(CC), 차등 개인정보 보호(DP), 동형암호(HE) 등이다.
데이터를 눈에 보이지 않도록 하면서 사용하는 기술은 에너지와 의료, 전자정부, 금융 등 여러 분야에서 필요하다. 과거에는 특수한 분야였지만 시장 수요가 늘어나 기업들이 뛰어들었다. 정보통신연구원 통계에 따르면 2021년 7월 기준으로 50개 기업의 67개 제품이 연구원 클라우드컴퓨팅·빅데이터연구소의 개인정보 보호 컴퓨팅 시험을 통과했다.
“개인정보 보호 컴퓨팅의 수요는 금융, 의료, 스마트시티 분야에서 생겼지만 법규가 갖춰지지 않았고 기술에 대한 신뢰가 부족해 모범이 될 만한 사례가 나오지 않았다.” 리후이중 위뱅크(微眾銀行) 블록체인 개인정보 보호 컴퓨팅 기술 책임자는 “신기술인 개인정보 보호 컴퓨팅이 신뢰를 얻기는 쉽지 않다”며 “문제가 생기면 심각한 사고로 이어질 수 있기 때문”이라고 말했다.

▲ 중국의 개인정보 보호 컴퓨팅업체 화쿵칭자오가 개발한 다자간 보안 컴퓨팅 표준 플랫폼 이미지. 이 플랫폼은 인공지능(AI) 컴퓨팅, 협동연산 등 6개의 주요 기능 모듈로 구성돼 있다. 화쿵칭자오 누리집

세 갈래 기술
수십 년 전 탄생한 개인정보 보호 컴퓨팅이 최근에야 관심받은 것은 데이터의 준법 이용이 중요해졌기 때문이다. 하지만 투기와 거품도 상당하다. 데이터 사일로 문제를 해결하려면 기술도 필요하지만 참여자의 의지와 결단, 법규의 뒷받침이 더 중요하다. 데이터보안법에서 규정하듯이 ‘데이터 보안을 보장하면서 데이터 개발과 이용을 촉진하는 것’은 해결하기 어려운 문제다.
“사용할 수 있지만 보이지 않고 제어할 수 있지만 계량할 수 없다는 게 무슨 뜻인가? 청과시장에 가면 토마토와 달걀을 살 수 있지만 식당에 가면 주문한 음식만 먹어야 하는 것과 같다. 식당에서 유통되는 건 완성된 요리지 재료가 아니다. 주문한 사람이 재료인 토마토와 달걀을 집으로 가져가 병아리를 부화시키거나 토마토를 심을 수 없다. 컴퓨터 이용자의 데이터 남용이 가능하지 않다는 뜻이다.”
장쉬둥 화쿵칭자오(華控清交) 최고경영자는 이런 비유를 들어 개인정보 보호 컴퓨팅을 설명했다. “물론 암호학자는 날 비판할 것이다. 토마토를 익히면 빨간색이고 달걀을 볶으면 노란색이어서 일부 정보가 노출되기 때문이다. 그렇다면 빵으로 비유할 수 있다. 밀가루와 효모, 기름, 설탕을 한데 섞어 만드는 빵의 원료가 뭔지 그냥 알아볼 수는 없다.”
이런 비유가 완벽하진 않지만 개념을 직관적으로 이해하는 데 도움이 된다. 간단히 말해, 데이터가 자기 자리를 떠나지 않는다는 전제에서 여러 사람이 데이터를 분석하고 컴퓨팅하는 방법을 제공하는 것이 개인정보 보호 컴퓨팅이다. 이 기술은 1982년 컴퓨터 과학자 야오치즈 박사가 논문에서 제기한 ‘백만장자 문제’에서 시작됐다. 백만장자 두 사람 가운데 누구의 재산이 더 많은지 알고 싶지만 이들이 재산 공개를 싫어한다면 어떤 방법이 있을까? 야오치즈 박사는 이 논문을 통해 다자간 보안 컴퓨팅 분야를 개척해 2000년 튜링상(미국 최대 소프트웨어 학회인 ACM이 이 분야에서 뛰어난 업적을 올린 연구자에게 수여하는 상)을 받았다.
1980년대에는 기술적 한계가 컸다. 컴퓨팅 시간이 10만~100만 배로 늘어 현실에 적용할 수 없었다. 연산능력이 개선되면서 개인정보 보호 컴퓨팅의 효율이 향상됐고 내용도 풍부해졌다. 지금은 다자간 보안 컴퓨팅과 연합학습, 신뢰 실행 환경(TEE)의 세 가지 방향으로 발전했다. 암호학에서 출발한 다자간 보안 컴퓨팅은 서로 신뢰하지 않거나 제3자를 신뢰하지 않는 독립된 데이터 소유자가 데이터를 노출하지 않은 채 공동으로 함수를 계산하고 데이터 분석 결과를 사용하는 방식이다.
연합학습은 인공지능과 암호학의 교차 영역으로 본질은 분산식 기계학습이다. 다수의 참여자가 사전에 약정한 분석모형에 따라 훈련하고 데이터를 이용하되 모델링 데이터와 분석한 데이터가 개별 참여자에게 전송되지 않는다. 2012년 한 학자가 연합학습 연구 결과를 발표했고, 2016년 구글이 이 개념을 제시한 뒤 관심받았다.
신뢰 실행 환경의 핵심은 운영체제에서 독립돼 신뢰할 수 있고 격리된 비밀 공간을 만드는 것이다. 이런 안전한 환경에서만 데이터 컴퓨팅을 진행하고 신뢰할 수 있는 하드웨어를 통해 보안을 보장한다. 엄밀하게 말하면 이 방법은 ‘데이터를 사용할 수 있지만 보이지 않는 것’에 속하지 않는다. 하지만 범용성이 높고 개발 난도가 낮고 융통성이 있어 데이터 보호 조건이 특별히 엄격하지 않은 환경에서 큰 구실을 할 수 있다.
2020년에는 개인정보 보호 컴퓨팅의 ‘문파 싸움’이 화제였다. 누군가 다자간 보안 컴퓨팅에 ‘소림파’라는 이름을 붙였다. 역사가 길고 비밀 공유와 불확정 전송(OT), 왜곡 회로(GC) 등 기본적인 보안기술을 제공하기 때문이다. 연합학습을 ‘무당파’로 지칭하는 사람도 생겼다. 한발 늦게 출발했지만 실력이 출중하고 암호학과 분산식 컴퓨팅을 결합해 다자가 협업하는 기계학습을 실현했다. 신뢰 실행 환경은 ‘화산파’에 비유됐다. 알고리즘과 암호학을 깊게 연구하지 않아도 신뢰할 수 있는 하드웨어에 의존해 개인정보를 보호할 수 있다.
각 문파는 서로 승복하지 않았다. 다자간 보안 컴퓨팅 옹호자들은 “이 기술이 암호학의 완결성을 갖췄지만, 연합학습에선 일부 정보가 누출될 수 있다”고 주장한다. 연합학습 지지자들은 “다자간 보안 컴퓨팅이 복잡한 컴퓨팅과 훈련 모형에서 효율성이 낮다”고 지적한다. 신뢰 실행 환경에 대해서는 “데이터를 평균중심화(각 변수에서 평균값을 빼는 것 -편집자)해야 해서 하드웨어와 유지·보수의 보안에 절대적 신뢰가 필요한데 ‘뒷문’이 없다고 확신하기 어렵다”고 비판한다.

무협지 방불
“2021년 사람들이 기술 융합을 논의하기 시작했다. ‘문파 싸움’은 거짓 명제다.” 인사이트원(洞見科技) 창업자 야오밍은 “스마트 데이터 서비스 제공업자는 하나의 기술로 모든 문제를 해결할 수 있다고 강조하지 않는다”며 “고객 상황에서 필요한 것이 무엇인지, 그런 수요를 어떤 기술적 방안으로 해결하는 것이 적합한지 먼저 고민한다”고 말했다. “개인정보 보호 컴퓨팅 개념을 일반화하면 안 된다. 단순하게 ‘애플리케이션 프로그래밍 인터페이스’(API)를 암호화하는 것을 개인정보 보호 컴퓨팅이라고 생각한다면 잘못됐다.”
기업들이 내놓은 제품에서는 융합과 적용이라는 흐름이 보인다. 연합학습 모델링 플랫폼이나 다자간 보안 컴퓨팅 플랫폼도 익명화 조회와 검색 등 비슷한 기능을 제공한다. 천모 클러스타(星雲) 최고경영자는 “현재 단일 기술로 모든 상황에서 필요한 수요를 해결할 수 없다”며 “다양한 수요를 지원하려면 풀스택(전체 영역) 기술을 제공해야 한다”고 말했다.

▲ 다자간 보안 컴퓨팅 분야를 개척해 2000년 튜링상을 받은 컴퓨터 과학자 야오치즈 박사가 중국 칭화대학에서 학생들을 가르치고 있다. 칭화대 누리집

창업 블루오션
중국 국내에서 개인정보 보호 컴퓨팅 관련 기업은 크게 네 유형으로 나뉜다. 먼저 대형 기술기업이다. 앤트그룹의 앤트체인(螞蟻摩斯鏈)과 텐센트 클라우드 개인정보 보호 컴퓨팅(CSPC) 등이 있다. 다음은 개인정보 보호 컴퓨팅 전문 신생벤처기업(스타트업)이다. 화쿵칭자오와 수두커지(數牘科技), 이팡젠수(翼方健數), 눠와이커지(鍩崴科技), 란샹즈롄(藍象智聯) 등이 있다. 세 번째 유형은 빅데이터에서 전환한 푸수커지(富數科技), 인사이트원, 퉁둔커지(同盾科技) 등이다. 마지막은 블록체인 업체로 매트릭스엘리먼트(矩陣元)와 임펄스온라인(衝量科技), 포인트테크놀로지(光之樹)가 있다. 그 밖에 대형 금융기관과 핀테크 기업이 이 분야 기술을 연구한다.
지금 단계에서 개인정보 보호 컴퓨팅 기업의 매출은 어디에서 나올까? 야오밍 인사이트원 창업자는 수익원을 몇 가지로 분류했다. 첫째는 플랫폼 구축이다. 정부나 대기업에 개인정보 보호 컴퓨팅에 기반한 데이터 플랫폼을 구축해주고 그 비용을 받을 수 있다. 다음은 데이터 운영 수입이다. 마지막은 고객사의 응용환경을 기반으로 모델링 자문서비스를 제공하고 비용을 받는다.
아직 초기 단계여서 기업의 매출액이 많지 않다. 쉬민 란샹즈롄 최고경영자는 현재 업계의 매출액 규모를 10억위안(약 1790억원) 정도로 예상했다. 하지만 위뱅크와 KPMG의 보고서는 중국 개인정보 보호 컴퓨팅 시스템의 판매와 서비스 매출이 3년 안에 100억~200억위안까지 성장할 것으로 전망했다.
쉬민 란샹즈롄 최고경영자는 “사업모델에 대한 생각이 다양해지고 있다”고 말했다. “금융 분야 매출액만 계산해도 2025년까지 정보기술(IT) 제품과 서비스 비용이 100억위안에 근접할 것이다. 데이터 분야에선 2025년까지 빅데이터 거래 규모가 500억~600억위안이 되고 데이터 운영 매출액이 100억위안에 이를 것이다.” 사업 매출액 100억위안까지 더하면 시장의 전체 매출액 규모가 300억위안에서 350억위안으로 늘어난다. 하지만 많은 업무가 가능성을 탐색한 뒤 구체적으로 추진해야 하므로 시장 전망은 가변적이다.
“개인정보 보호 컴퓨팅 자체가 하나의 분야가 되기는 어렵다.” 개인정보 보호 컴퓨팅 기업에 투자했던 투자자는 “이 기술의 목표는 마케팅이나 리스크 관리 등 데이터 응용 문제를 해결하는 것”이라고 말했다.
야오밍 인사이트원 창업자는 “여러 해 동안 금융기관에 서비스한 경험을 통해 보면 앞으로 업무를 처리하는 부서에서 진정한 유료 서비스 수요가 발생할 것”이라며 “개인정보 보호 컴퓨팅 기술의 가치는 업무 현장에서 나타난다”고 강조했다. 예를 들어 리스크 관리 또는 마케팅 효율을 개선하면 사용자가 더 많이 투자할 동력이 생긴다. 그리고 신기술의 교육과 보급, 업계의 이해와 인식의 발전에는 시간이 걸린다. 금융기관 현장에서 기술을 도입하려면 일정한 시간을 두고 효과를 검증해야 한다. 개인정보 보호 컴퓨팅 시장은 아직 대규모 상업적 응용 단계에 이르지 못했다.
장웨이치 푸수커지 창업자의 생각도 비슷하다. “2020년은 시장을 교육하는 해였다. 기존 시장에 없던 신기술을 도입하기 전에 검증하기 위해 사용하는 개념증명(PoC)을 통해 개인정보 보호 컴퓨팅이 감독 당국과 학계, 시장의 인정을 받았다. 2021년에는 연구과제급 프로젝트가 시작됐고 일부 앞선 영역에서는 생산시스템에 도입됐다. 대규모로 생산시스템에 도입되려면 시간이 필요하겠지만 오래 걸리진 않을 것이다.”

▲ 2021년 7월 중국 상하이 세계인공지능회의(WAIC) 행사장에 마련된 앤트그룹 홍보관. 앤트그룹의 앤트체인과 텐센트 CSPC는 개인정보 보호 컴퓨팅 기술을 다루는 대표 대기업이다. REUTERS

잇따르는 자금조달
취재 결과 신기술을 시험하고 검토하는 프로젝트라면 건당 비용이 50만~100만위안 든다. 지금 대다수 개인정보 보호 컴퓨팅 기업의 매출이 이런 상황이다. 이 분야 주요 기업이 평가받은 기업가치가 30억위안(약 5400억원) 정도다. 아직 절대적인 강자가 없어 누가 먼저 앞서나갈지 알 수 없다. 개인정보 보호 컴퓨팅 기술과 산업 응용, 제품화 능력, 데이터 소스에 접근하는 능력을 핵심 요소로 평가한다.
개인정보 보호 컴퓨팅이 결국 데이터 지능 분야에 편입될 것으로 보고 빅데이터 분석과 리스크 관리 분야의 실력을 평가해야 한다는 기업도 있다. 이런 측면에서 빅데이터 기술에서 전환한 기업은 빅데이터 리스크 관리 경험이 있어 유리하다. 투자자들은 구체적인 응용 프로젝트에 투자하는 것 외에 가치사슬 상단의 연산처리능력 제공업체도 눈여겨보고 있다. 어느 기업이 성공하든 연산처리 수요는 늘 있기 때문이다.
“개인정보 보호 컴퓨팅 기술이 부상하면서 관련 기업의 가치도 수억위안으로 올랐다. 어떤 기업이 성공할지 판단하려면 기술과 시장 외에 자본 운용 능력도 봐야 한다.” 개인정보 보호 컴퓨팅 오픈소스 프레임워크 FATE의 커뮤니티기술관리위원회 천톈젠 의장은 이렇게 말했다.
2017년 7월15일 푸수커지는 수억위안 규모의 시리즈C와 시리즈B 자금조달을 완료했다고 밝혔다. 시리즈C 자금조달에는 국가인터넷정보판공실과 재정부가 조성한 중국인터넷투자기금, 코윈캐피털, 시리즈B 자금조달에는 보안프로그램 업체 야신안취안(亞信安全)과 천샨캐피털이 참여했다.
칭화대학 교차정보연구소와 칭화우다오커우금융대학(清華五道口金融學院)이 공동 설립한 화쿵칭자오는 중국인터넷금융협회와 홍콩증권거래소, 레노버그룹, 가오롱밴처캐피털의 투자를 받았다. 수두커지는 세쿼이아캐피털 시드펀드로부터 에인절투자(자금이 부족한 신생 벤처기업에 자본을 대는 일)를 받았고, 차이나머천트벤처와 레드포인트차이나벤처스가 투자에 참여했다. 이팡젠수의 투자자는 중신쥐위안(中芯聚源)과 미라클플러스, LDV파트너스다. 란샹즈롄에는 완샹블록체인과 GSR벤처스, 레전드스타가 투자했다.
“이들 기업이 단기간에 상장하기 원한다면 매출액이 시장의 자연적인 성장 속도보다 빠르게 늘어야 한다. 그렇게 되면 개인정보 보호 컴퓨팅 전문 기업이 아니라 빅데이터 3.0과 4.0 기업으로 바뀌고 기존의 빅데이터 시장을 차지할 것이다.” 천톈젠 의장은 “개인정보 보호 컴퓨팅의 기술 경쟁이 자금조달을 끝낸 뒤 사업과 인력, 지역, 매출액을 확대하는 경쟁으로 바뀌었다”고 지적했다. 개인정보 보호 컴퓨팅 기술이 주목받기 전에 빅데이터 업계도 이런 과정을 거쳐 소수의 기업만 살아남았다. 앞으로 경쟁이 치열해지는 개인정보 보호 컴퓨팅 분야의 시장 구도 또한 재편될 것이다.

ⓒ 財新週刊 2021년 제29호
隱私計算風起
번역 유인영 위원