‘클라우드’와 ‘제로트러스트’, 두 마리 토끼 잡는 SGA솔루션즈

“현재의 IT 보안 트렌드는 클라우드와 제로트러스트, 크게 두 축으로 구성돼 있습니다. 과거 국내 보안 업계는 해외의 클라우드 보안 기술과 격차가 있었던 것이 사실입니다. 하지만 SGA솔루션즈는 이제 클라우드 보안 시장에서 글로벌 기업과 경쟁할 수 있는 수준에 와 있습니다. 제로트러스트도 마찬가지입니다. 이제는 국가의 중요한 정책이 됐습니다. 단순히 한두 개의 제품을 붙인다고 되는 것은 아닙니다. 플랫폼 형태로 변화에 대응해야 합니다.”

최영철 SGA솔루션즈 대표는 <바이라인네트워크>와 인터뷰 내내 특유의 달변으로 보안 시장 트렌드와 회사 전략을 이야기했다. 복잡한 보안 아키텍처는 물론이고 현재 보안 시장의 나아갈 길도 제시했다. 무엇보다 자신들의 제품에 대한 자신감은 대단했다. 사실상 SGA솔루션즈만큼 클라우드 보안을 잘 할 수 있는 곳은 없다고도 했다. 마냥 자랑만은 아니었다. 실제 SGA솔루션즈는 민간은 물론 공공에서도 조언을 구할 만큼 대표적인 종합 보안 기업으로 자리하는 모습이다.

최근 서울 송파구의 SGA솔루션즈 사옥에서 만난 최영철 대표는 “(보안 솔루션 용어들이) 마케팅 관점으로 쓰여진 것도 많다”고 말했다. 업체별로 다른 이름과 기능 설명, 그에 따른 혼란이 오히려 성공적인 보안 시스템 구축을 가로막을 수 있다는 게 그의 생각이다.

SGA솔루션즈는 최근 클라우드 네이티브 환경을 지키는 보안 솔루션 확산에 힘 쏟고 있다. 사실 이 분야도 정확히 어떤 솔루션을 어디에 붙여야 할지 구체적인 방법론 없이 새로운 시장을 여는 ‘말의 잔치’로 흐르는 경향이 없지 않다.

최 대표는 이러한 편견을 통합 플랫폼으로 타파한다. 우선 클라우드 워크로드 보호 플랫폼(CWPP·Cloud Workload Protection Platform)이 선두에 선다. CWPP는 호스트 기반 방화벽, 침입방지시스템(IPS), 로그 관리, 애플리케이션 컨트롤, 무결성 탐지, 멀웨어 차단, 워크로드 가시성 확보 등 클라우드 인프라 전반에 대한 보안 기능을 제공하는 솔루션이다. 하이퍼바이저 취약점이나 가상머신(VM) 내부 공격 등으로 일어난 클라우드·가상화 환경 위협으로부터 기업 워크로드를 보호하는 솔루션으로 보면 쉽다.

SGA솔루션즈의 ‘브이이지스(vAegis)’는 CWPP가 갖춰야 할 모든 요소를 아우르면서 보안 비용 절감도 꾀할 수 있다. 이미 트렌드마이크로 등이 글로벌 시장에서는 두각을 나타냈지만 우리나라에서는 안랩 정도가 발을 뗐을 뿐 딱 눈에 띄는 대표 주자가 없었다.

SGA솔루션즈가 집중한 건 운영 효율성이다. 별도의 대시보드로 한 눈에 워크로드를 볼 수 있고 이 과정에서 플랫폼 기반의 보안 관리를 통해 관리자의 업무 효율성을 높인다. SGA솔루션즈에서 자체 분석한 보안패턴을 제공해 관리 부담도 최소화한다. 장기적으로는 보안 비용을 줄일 수 있는 셈이다.

최 대표는 “예전이라면 서버 보안, 안티바이러스(백신) 등을 따로 써야 했지만 이를 통합해 클라우드 워크로드를 지키는 필요성이 늘어났”며 “민간은 물론 지난 2019년에는 국가정보자원관리원 대구센터에 공급하며 성능을 인정받았다”고 말했다.

최 대표의 자신감은 클라우드 네이티브 애플리케이션 보안 플랫폼(CNAPP·Cloud Native Application Protection Platform)으로 이어진다. 가트너는 CNAPP를 ‘개발과 프로세스 전반에 걸쳐 클라우드 네이티브 애플리케이션을 보호하고, 보안을 유지하도록 긴밀하게 설계한 보안 통합 세트’로 정의한다. 컨테이너 스캔은 물론, 클라우드 상태 관리나 코드형 인프라 스캔, 클라우드 인프라 권한 관리, 런타임 워크로드 보호와 취약성 스캔 등 사일로화된 기능을 통합하는 것이 특징이다.

컨테이너 기반의 마이크로서비스아키텍처(MSA)로 구성한 클라우드 네이티브 환경에서는 온프레미스에 통으로 구성하는 기존 시스템과 달리 컨테이너 각각에서 보안 취약점이 나올 수 있다. 작게 쪼갠 컨테이너라 해도 같은 호스트 안에서 구동되는 경우 컨테이너 간의 네트워킹 과정에서 위협이 전염될 수도 있다. 전체를 조망하는 가시성 확보도 상대적으로 어렵다. 누가 무슨 권한으로 어떤 작업을 수행하는 지 체크하고, 확인되지 않은 워크로드 실행 여부도 들여다봐야 MSA의 장점은 살리면서 보안을 지킬 수 있다.

지난달 선보인 ‘씨이지스(cAegis)’는 브이이지스와 함께 적용하면 CNAPP으로 활용할 수 있는 솔루션이다. 브이이지스가 하이퍼바이저 기반 VM에 집중한다면, 씨이지스로는 컨테이너에 초점을 맞춘다.

함께 사용하면 VM과 컨테이너 환경 모두를 아우르는 보안 인프라 구축이 가능한 셈이다. 한 마디로 말하면 개발보안운영(DevSecOps)을 지원하는 솔루션 성격이다. 최 대표는 “앞으로의 로드맵은 클라우드 보안 시장의 넘버원이 되는 것”이라고 말했다.

제로트러스트 선두주자로의 발걸음

지난 여름 SGA솔루션즈의 이름이 IT 뉴스란을 빽빽이 채운 날이 있었다. 우리나라 제로트러스트 전략의 한 축에 SGA솔루션즈가 자리해서다. 제로트러스트는 ‘신뢰하지 않고 검증한다(Never Trust, Always Verify)’는 원칙을 바탕으로 한 보안 아키텍처를 말한다.

SGA솔루션즈는 현재 CNAPP뿐 아니라 ‘제로트러스트 아키텍처(ZTA)’ 보안 솔루션을 제공하고 있다. 최 대표는 “제로트러스트가 단순한 트렌드에 그치지는 않을 것”이라고 말했다. 정부도 지난 7월 가이드라인 1.0을 내놓으며 확산에 집중하고 있는 만큼 신선함을 넘어 보안의 핵심 요소로 자리잡을 거란 기대다.

SGA솔루션즈는 컨소시엄을 통해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관한 ‘제로트러스트 보안 모델 실증지원’ 사업자로 선정됐다. 뉴스를 채웠던 게 바로 이 소식이다. 프라이빗테크놀로지 컨소시엄과 함께 우리나라 제로트러스트 보안 모델을 실제 산업 분야에 구현해보고, 효과를 검증할 예정이다. 민간을 넘어 공공도 손을 내민 건 그간 제로트러스트에 쏟아온 노력의 결과다.

한편 최 대표는 보안 기업의 수장이면서도 업계의 과도한 마케팅은 경계했다. 양자보안이나 AI보안 등 또 새롭게 떠오르는 보안 기술들이 많지만 실질적인 효과나 솔루션 없이 ‘제목’으로 승부하는 풍토에 대한 지적이다.

그는 “보안은 이미 각각의 요소 기술이 자리잡은 분야”라며 “혼재된 시스템 환경의 복잡성을 아우르는 보안을 추구해야 한다”고 말했다.

해외 진출도 마찬가지다. 주목 받고 성장하는 기업이라면 누구나 노리는 게 해외 시장이다. 하지만 SGA솔루션즈는 신중하다. 무턱대고 진출에만 방점을 찍기 보다는 정말 자사 제품이 필요한 곳에 집중하는 전략이다. 모두가 ‘세계로!’를 외치는 상황에서 오히려 신선하게 비친다.

최 대표는 각 나라의 시장 상황은 어떨지, 얼마나 잘 자리잡을 수 있을지에 대한 물음표를 먼저 해결해야 한다고 했다. 이에 앞서 국내 시장의 1인자가 돼야 함은 물론이다.

그는 “현재 일본 시장을 두드리고 있는 단계”라며 “반응을 확인한 뒤 구체적인 진출 시기를 조율할 것”이라고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network