아쿠아시큐리티 CEO “클라우드 네이티브 세상에서 보안은 장애물 아닌 기회, ‘CNAPP’으로 보안 혁신”

드로 다비도프 창업자 겸 CEO 방한

“많은 기업들이 클라우드로 이전할 때 가장 큰 도전이자 장애요소가 보안이라고 말한다. 아쿠아시큐리티는 클라우드 이전시 보안은 도전과제인 동시에 기회라고 본다. 클라우드 네이티브 기술을 활용하는 세상에서 보안을 그 어느 때보다 강력하게 만들 수 있는 기회다.”

글로벌 클라우드 네이티브 보안 전문기업인 아쿠아시큐리티(Aqua Security)의 드로 다비도프(Dror Davidoff) 공동창업자 겸 최고경영자(CEO)가 방한해 15일 기자들과 만나 클라우드 시대에서 “보안이 IT의 변화 속도를 발맞춰 가지 못하고 뒤처지고 있다”고 지적하면서 이같이 강조했다.

그는 먼저 “모든 기업이 클라우드로 가고 있다. 클라우드로 이전하는 과정을 애플리케이션(이하 앱)을 현대화하는 기회로 활용하고 있다. 클라우드 네이티브 기술을 사용하는데, 이는 클라우드에서 태어나 클라우드를 위해 개발되고 발전하는 기술들”이라며 “전략적으로 클라우드로 이전하는 결정을 내리는 상황에서 보안은 이제 비즈니스 인에이블러(enabler)가 돼야 한다”고 말했다.

다비도프 CEO는 클라우드 환경에서 보안이 걸림돌로 작용하는 요인으로 “더이상 온프레미스 보안을 클라우드에 그대로 적용할 수 없다. 클라우드에 대한 가시성도 확보하지 못한다. 클라우드 환경을 제공하는 여러 역동적 요소를 기존 기술로는 대응할 수 없다. 현재 새로운 클라우드 네이티브 기술에 보안을 적용할 수도 없다”고 꼽았다.

그럼에도 지금이 가장 높은 수준의 클라우드 환경 보안을 달성할 수 있는 기회라고 단언한 이유는 아쿠아시큐리티가 그 방법을 제시할 수 있기 때문이다.

다비도프 CEO는 “전통적인(레거시) 보안의 특징은 바로 사일로(silo)로 개발, 인프라, 런타임용 보안이 각각 따로 존재한다”며 “클라우드 세상은 이같은 요소들을 모두 연결해 전체 보안 솔루션으로 가져갈 수 있다. 클라우드가 가진 퀄리티(품질)를 최대한 활용해 보안 강화할 수 있다”고 했다.

이어 구체적으로 “개발자들이 코딩할 때 취약점 스캐닝을 수행해 취약점을 파악하면 운영환경에서는 즉시 어떠한 워크로드에 영향 미치는지 찾아내 즉각적으로 보호할 수 있다. 전체 제어 역량이 강화되는 것”이라며 “다양한 요소들을 연결해 일관된 정보 출처(Single Source of Truth)를 확보하고 전체 맥락(Context)에 따라 우선순위를 제시해 보안을 강화할 수 있다”고 설명했다.

개발과 운영, 코딩에서 런타임까지 단일 플랫폼으로 보안 포괄적 지원

아쿠아시큐리티가 제공하는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)이 바로 “개발부터 운영 환경까지, 코딩에서 런타임까지 전체를 이제 하나의 플랫폼 상에서 포괄해 보안을 제공하는 솔루션”이라는 것이다.

2015년에 설립된 아쿠아시큐리티는 2년 전에 CNAPP을 개발해 선보였다. 다비도프 CEO는 아쿠아시큐리티가 CNAPP을 가장 최초로 제공한 기업이라고 강조한다.

다비도프 CEO는 “개발과 데브옵스 보안을 개선해 공격을 예방하고 보호하는 동시에 실제 공격이 발생하면 즉시 탐지해 차단하는 기능을 모두 제공한다. 양쪽 두 가지를 연결해 제공하는 것이 아쿠아 CNAPP 플랫폼의 장점으로, 클라우드 네이티브 환경을 보호할 수 있는 가장 포괄적인 솔루션이자 플랫폼”이라며 “엔지니어, 개발자, 애플리케이션 배치, 클라우드 인프라, 보안 담당자 등 조직 내 다양한 사용자 페르소나와 보안 관련 요소들을 모두 지원해 단일한 솔루션으로 제공한다”고 장점을 부각했다.

예방 차원에서 제공되는 보안 기능으로는 공급망 보안, 컨테이너 이미지 스캐닝, 코드 스캐닝, 다이내믹 위협 분석 등이 있으며, 공격시 탐지·차단 제공 기능으로는 클라우드 보안 형상관리(CSPM), 클라우드 워크로드 보호 플랫폼(CSPP), 워크로드 스캐닝, 마이크로세그멘테이션 등이 있다.

아쿠아 CNAPP은 아마존웹서비스(AWS), 마이크로소프트 애저, 구글 클라우드 플랫폼(GCP), 레드햇 오픈시프트, 쿠버네티스 등 다양한 환경을 지원한다. AWS와 마이크로소프트, IBM, 레드햇과는 전략적 파트너십을 확보하고 있다. 마이크로소프트는 아쿠아시큐리티 투자사이기도 하다.

캐피털원, 넷플릭스, 테슬라, 아마존, 코스트코, 보잉, 스탠다드차타드, 페덱스, GM 등 북미 시장을 주축으로 전세계에 500여개 고객사를 확보하고 있다.

아쿠아시큐리티는 아쿠아 엔터프라이즈 플랫폼도 제공해 퍼블릭 클라우드 환경뿐 아니라 하이브리드 클라우드를 운영하는 환경의 워크로드 보안을 모두 지원한다.

다비도프 CEO는 아쿠아시큐리티의 강점으로 “아쿠아는 클라우드 네이티브 기업이다. 우리가 가진 전문성과 하는 일은 모두 다 클라우드 네이티브로 이뤄지는 혁신적인 기업이다. 이 분야에서 굉장히 많은 특허를 출원하고 있고, 역량이 매우 뛰어난 리서치팀도 운영하고 있다. 아쿠아는 CNAPP 분야 오픈소스 커뮤니티에서 가장 활발하게 활동하고 있다”는 점을 꼽았다. 아쿠아가 공개한 오픈소스 클라우드 보안 기술은 전세계에서 10억건 이상 다운로드돼 활용되고 있다.

CNAPP을 포함해 주요 클라우드 네이티브 보안 시장 경쟁사로 팔로알토네트웍스와 트렌드마이크로를 꼽은 그는 이들과의 차별점으로 “두 기업은 인수를 통해 CNAPP을 제공하게 됐다. 작은 솔루션을 인수해 시장에 진출했기 때문에 하나의 플랫폼이 아니라 여러 솔루션을 묶은 포트폴리오 형태”라면서 “아쿠아는 단일 플랫폼상에서 클라우드 네이티브하게 유기적으로 개발한 솔루션을 제공해, 조직이 보안을 개선할 수 있는 기회를 최대한 활용할 수 있는 솔루션 역량을 제공한다”고 덧붙였다.

아울러 레드햇이 스택록스를 인수해 오픈시프트에서 통합 제공하는 CNAPP에 대해 묻는 질문에는 “레드햇이 오픈시프트 보안 오퍼링과 보안성을 강화해 경쟁력을 높이기 위한 전략으로 인수한 것으로, 오픈시프트 플랫폼에 내장된 형태로 CNAPP을 제공한다. 클라우드 네이티브 환경 전체를 지원하는 단독(Stand alone) 솔루션으로 지원하지는 않는다”라며 “아쿠아 고객사의 3분의 1 정도가 오픈시프트를 사용하고 있는데, 고객사 운영 환경이 다양하다. 오픈시프트만 사용하는 고객도 있지만 다른 플랫폼을 하이브리드로 사용하는 경우도 있다. 아쿠아는 오픈시프트 보호뿐 아니라 이를 넘어서는 영역, 그리고 쿠버네티스 환경만이 아니라 런타임과 클라우드 인프라까지 더 포괄적인 보안을 지원하기 때문에 함께 사용할 수 있다”고 말했다 .

글로벌 시장 본격 확장하며 한국 시장 본격 진출, 국내 보안·클라우드 법제도 지원

아쿠아시큐리티는 지난해 하반기 지사를 설립하고 한국 시장에 진출했다. 초대 지사장은 체크포인트코리아 지사장을 역임한 이은옥 지사장이 맡고 있다.

다비도프 CEO의 이번 방한 역시 새롭게 진출한 한국의 시장 동향을 파악하고 주요 고객사를 만나는 동시에 한국지사의 사업에 힘을 실어주기 위한 일환으로 보인다.

그는 “가트너는 앞으로 3~5년 이내에 CNAPP이 사이버보안 분야에서 250억달러 규모의 가장 큰 보안 영역으로 성장할 것으로 전망하고 있다”며 “제품 출시 후 클라우드가 가장 발전한 북미 시장을 가장 먼저 공략해오다 3년 전부터 본격적으로 글로벌 확장을 추진하기 시작했다. 아시아 시장에서 클라우드 도입이 가장 활발하고 빠르게 성숙도가 커지는 지역은 한국, 싱가포르, 호주라고 파악했다. 한국은 클라우드 네이티브 기술 도입이 가장 활발하며, AWS와 애저, 구글같은 하이퍼스케일러뿐 아니라 로컬 클라우드제공업체(CSP)들도 빠르게 성장하고 있다”고 분석했다.

회사측에 따르면, 클라우드 네이티브 애플리케이션을 보호하고, 클라우드 네이티브 공격을 차단하도록 설계된 포괄적인 보안 툴인 아쿠아 CNAPP 플랫폼은 한국 정부가 규정하고 있는 컴플라이언스 요건의 이행점검을 수행하는 것이 특징이다. 정보통신망법과 개인정보보호법에 따라 정보보호를 위한 일련의 조치와 활동을 인증하는 정보보호관리체계(ISMS-P)와 금융보안원의 가이드를 지원해 금융권 고유의 컴플라이언스도 점검할 수 있다.

이에 더해 아쿠아시큐리티는 클라우드 보안인증(CSAP) 컴플라이언스도 곧 지원할 예정이다. CSAP은 한국인터넷진흥원(KISA)이 클라우드 컴퓨팅 발전 및 이용자보호에 관한 법률 제23조 제2항에 근거해 마련한 제도로, 클라우드 서비스 제공자가 제공하는 서비스에 대해 정보보호 기준의 준수 여부를 인증기관이 확인·평가하고 인증해 이용자들이 안심하고 클라우드 서비스를 이용할 수 있게 해주는 제도다.

아쿠아시큐리티는 한국에 아쿠아 CNAPP 출시를 계기로 국내 시장에 맞게 현지화 작업을 진행해 국내 공공, 금융 및 기타 규제산업에 속하는 기업들이 원활한 서비스 이용을 할 수 있도록 기술과 서비스를 지원할 방침이다. 또한 국내 CSP와 협력해 통합용 플러그인을 개발하는 등 국산 클라우드에 대한 지원도 병행하는 한편, 매니지드서비스제공업체(MSP)들과 협력해 영업을 확대 강화할 방침이다.

이은옥 아쿠아시큐리티코리아 지사장은 “작년 하반기에 진출해 사업을 시작하자마자 고객사 레퍼런스를 확보했다. 금융사와 리테일(유통), 스타트업 분야에서 활발히 개념검증(POC)을 진행 중이다”라면서 “본사에서 한국에 많은 투자를 하고 있다. 한국 시장에 맞게 서비스를 지원한다. CSP, MSP, 다양한 파트너사들과 협업을 활발히 진행하고 있다. 앞으로 한국 시장을 확대해나갈 것”이라고 밝혔다.