소프트캠프 “AI 시대, 문서보안도 진화해야 한다”
[인터뷰] 배환국 소프트캠프 대표
“사람과 사람이 소통하는 도구로 문서가 사용됐다면, 이제는 사람과 대규모언어모델(LLM)의 소통도 문서로 이뤄집니다. 인공지능(AI)이 문서를 읽고 처리할 수 있기 때문입니다. 이제 문서보안은 AI가 문서를 읽고 행동하는 환경까지 통제하는 모델로 확장돼야 합니다.”
배환국 소프트캠프 대표는 22일 바이라인네트워크와의 인터뷰에서 이같이 말했다. 문서가 사람 사이의 협업 도구를 넘어 인공지능(AI) 에이전트가 업무를 이해하고 실행하는 통로로 바뀌면서, 문서보안 기업 소프트캠프도 AI·서비스형 소프트웨어(SaaS) 시대에 맞춰 보안 전략을 확장하고 있다는 설명이다.
소프트캠프는 오랫동안 문서보안 기업으로 알려졌다. 디지털저작권관리(DRM) 기술을 기반으로 내부 문서가 외부로 유출되는 문제를 막는 데 주력했다. 그러나 배 대표가 본 문서보안의 역할은 내부 정보 유출 방지에만 머물지 않는다. 외부에서 들어오는 악성 문서, 악성 웹, 클라우드 서비스 접속까지 통제해야 기업 보안이 완성된다는 것이다.
배 대표는 “보안은 크게 외부로부터의 공격을 막는 문제와 내부 정보가 밖으로 나가는 문제로 나뉜다”며 “문서보안은 내부 정보 유출을 원천적으로 막는 서비스였고, 이후 외부 위협을 어떻게 막을지 고민했다”고 설명했다.
이 고민은 AI·SaaS 보안 전략으로 이어졌다. 기업 업무가 내부망에 설치한 소프트웨어에서 클라우드 기반 SaaS로 이동했고, 생성형 AI 역시 사용자 관점에서는 외부 클라우드 서비스로 쓰인다. 내부 직원이 외부의 AI·SaaS 서비스를 안전하게 쓰도록 만드는 문제가 새로운 보안 수요로 떠오른 셈이다.
배 대표는 “이미 소프트웨어는 구독형으로 공급될 것이라고 보고 있었다”며 “설치형으로 쓰던 소프트웨어가 인터넷 기반 SaaS로 바뀌면 조직이 안전하게 외부 서비스를 쓰도록 돕는 데 초점을 둬야 한다고 판단했다”고 말했다.
배 대표는 1999년 소프트캠프를 창업한 국내 1세대 보안 벤처기업인이다. 컴퓨터공학을 전공한 뒤 문서보안, 정보유출방지, 망분리, 클라우드 보안으로 이어지는 회사의 기술 전략을 주도했다. 현재는 한국제로트러스트위원회(KOZETA) 위원장으로도 활동하고 있다.
AI 시대, 더 중요해진 문서보안의 역할
배 대표는 AI가 확산될수록 문서보안의 역할이 더 커질 것으로 봤다. 과거 문서는 사람이 읽는 정보였다. 데이터는 숫자와 로그처럼 기계가 처리하는 대상이었다. 그러나 LLM은 자연어로 된 문서 형식의 정보를 이해하는 방식으로 업무에 들어오고 있다.
기업이 AI를 실제 업무에 쓰려면 AI가 사내 문서를 읽어야 한다. 이때 어떤 문서를 읽게 할지, 어떤 문서는 열람하지 못하게 할지 정하는 권한 통제가 필요하다. 배 대표는 “업무에 AI를 도입하려면 결국 우리 문서를 읽게 해야 한다”며 “AI가 이 문서를 읽을 수 있는지 없는지 권한 관리를 해줘야 한다”고 말했다.
문제는 AI 에이전트의 권한 체계가 기존 사용자 인증과 다르다는 점이다. 에이전트는 독립적으로 일하는 것처럼 보이지만 실제로는 특정 사람의 권한을 위임받아 움직인다. 따라서 에이전트 자체도 확인해야 하고, 그 에이전트에게 권한을 맡긴 사용자도 확인해야 한다.
배 대표는 “에이전트가 모든 문서를 다 읽으라고 할 수는 없다”며 “에이전트도 인증해야 하지만, 위임한 사람도 인증해야 한다. 기존 인증·권한 관리 체계와 다른 부분이 있다”고 말했다.
소프트캠프는 이 지점을 문서보안의 확장 기회로 보고 있다. 배 대표는 “문서보안이 내부 조직에서 직원에게 적용하던 권한 통제를 AI 에이전트에도 적용하는 방향으로 확대할 필요가 있다”며 “기업들이 AI 에이전트를 쓰기 시작하면 가장 급하게 필요해질 영역”이라고 말했다.
AI·SaaS 확산, 민감정보 유출 우려 키운다
생성형 AI와 SaaS 사용이 늘면서 고객이 가장 불안해하는 지점은 ‘민감 정보 유출’이다. 여기에 규제 대응, 계정 관리, 섀도우 IT 문제가 겹친다. 섀도우 IT는 회사가 승인하거나 파악하지 못한 클라우드 서비스와 IT 도구를 직원이 임의로 쓰는 현상을 뜻한다. 생성형 AI 시대에는 승인되지 않은 AI 서비스 사용까지 포함된다.
배 대표는 “AI나 SaaS를 쓸 때 고객이 가장 걱정하는 것은 민감한 자료가 나가는 문제”라며 “금융기관은 개인정보 같은 규제 대응도 해야 하고, 클라우드 서비스는 외부에 있기 때문에 계정 관리가 중요하다”고 말했다.
소프트캠프는 이 요구가 보안 서비스 에지(SSE) 시장과 맞닿아 있다고 본다. SSE는 웹, SaaS, 클라우드 서비스 접속 과정에서 보안 기능을 클라우드 기반으로 제공하는 보안 체계다. 배 대표는 “애초에 SSE라는 개념을 앞세워 제품을 만든 것은 아니지만, 고객 요구를 따라가다 보니 계정관리, 접속통제, 정보유출 방지, 가시성 확보가 하나로 묶였다”고 설명했다.
결국 소프트캠프가 보는 핵심은 ‘접점 통제’다. 외부 웹과 내부 업무 시스템이 만나는 접점, 사람이 문서를 읽는 접점, AI가 문서를 읽는 접점, SaaS 계정으로 외부 서비스에 들어가는 접점을 줄이고 검증하는 전략이다.
문서·웹·계정·AI 접점을 하나로 통제한다
소프트캠프의 현재 포트폴리오는 문서, 웹, 계정, 클라우드 접속을 각각 따로 보는 구조가 아니다. 배 대표가 말한 핵심은 기업 안팎의 접점을 줄이고, 검증하고, 필요한 경우에는 격리하는 것이다.
먼저 ‘실드디알엠(SHIELD DRM)‘은 소프트캠프의 기존 문서보안 기반이다. 디지털저작권관리(DRM)는 문서 열람, 편집, 반출 권한을 통제해 내부 정보가 외부로 나가는 것을 막는 기술이다. AI 시대에는 이 역할이 사람을 넘어 AI 에이전트까지 확장된다.
외부에서 들어오는 문서 위협은 ‘콘텐츠 무해화(CDR)’가 맡는다. CDR은 악성코드가 숨어 있을 수 있는 문서에서 글자, 그림, 도형 같은 정상 요소만 추출해 새 문서로 다시 구성하는 기술이다. 악성 여부를 패턴으로 찾는 방식이 아니라, 위험 요소를 제거한 깨끗한 콘텐츠를 다시 만드는 방식이다.
웹과 SaaS 접속 통제는 ‘실드게이트(SHIELD Gate)’가 담당한다. 실드게이트는 ‘원격 브라우저 격리(RBI)’ 기술을 기반으로 웹 콘텐츠를 서버에서 대신 처리하고, 사용자는 화면만 받아보도록 한다. 웹사이트에 악성코드가 있어도 사용자 단말에서 직접 실행되지 않도록 격리한다.
계정 관리는 ‘실드아이디(SHIELD ID)’가 맡는다. 실드아이디는 클라우드와 온프레미스 시스템을 오가는 계정을 통합 관리해 SaaS와 생성형 AI 사용 과정에서 누가 어떤 서비스에 접근하는지 확인하도록 돕는다. 클라우드 서비스가 기업 내부가 아닌 외부에서 동작하는 만큼, 계정 관리는 접속 보안의 출발점이 된다.
배 대표는 이 같은 접근을 “시그니처에 기대지 않는 보안”이라고 설명했다. 시그니처는 이미 알려진 악성코드의 특징값을 뜻한다. 기존 보안 제품은 이 특징값을 바탕으로 악성 여부를 탐지해 왔다. 그는 “한국의 한 보안 기업이 전 세계 위협 인텔리전스를 모두 확보해 시그니처 방식으로 막기는 어렵다”며 “악성 문서인지 아닌지 찾기보다 깨끗하게 다시 만들고, 웹사이트는 화면만 보도록 하는 RBI 방식을 통한 원천 차단을 고민했다”고 말했다.
N2SF 전환이 여는 RBI 시장
소프트캠프가 실드게이트를 앞세우는 이유는 공공과 금융의 보안 체계 전환과 맞물려 있다. 특히 공공에서 추진 중인 ‘국가망보안체계(N2SF)’는 내부망에서도 SaaS와 생성형 AI를 안전하게 쓰도록 하는 방향으로 설계되고 있다.
N2SF는 공공의 업무 정보를 기밀·민감·공개 등급으로 나누고, 등급에 맞는 보안 통제를 적용하는 새로운 보안 체계다. 기존처럼 망을 단순히 나누는 방식에서 벗어나, 데이터 등급과 접속 환경에 따라 통제를 다르게 적용하는 쪽으로 방향이 바뀌고 있다.
배 대표는 “내부망에서 SaaS나 생성형 AI를 써야 하는데 어떻게 안전하게 쓸 것이냐가 N2SF의 문제의식”이라며 “소프트캠프가 준비해 온 방향과 맞아떨어졌다”고 말했다.
그는 기존 ‘가상 데스크톱 인프라(VDI)’보다 RBI가 더 현실적인 대안이 될 수 있다고 봤다. VDI는 사용자가 가상 PC에 접속해 인터넷을 쓰는 방식이다. 반면 RBI는 가상 브라우저만 격리해 웹 콘텐츠를 처리한다. 인터넷 사용이 대부분 웹 기반으로 바뀐 상황에서는 가상 PC 전체를 띄우는 것보다 브라우저만 격리하는 방식이 더 효율적이라는 설명이다.
배 대표는 “지금 인터넷은 대부분 웹으로 쓴다”며 “웹만 보면 되는데 왜 비싼 가상 컴퓨터 전체가 필요하느냐는 게 RBI의 개념”이라고 설명했다.
RBI의 핵심은 화면 전송 속도다. 서버에 격리 브라우저를 띄워 웹 콘텐츠를 처리하고, 사용자에게는 화면만 전달한다. 반응 속도가 느리면 실제 업무에 쓰기가 어렵다. 소프트캠프는 이 문제를 풀기 위해 6년가량 RBI 관련 기술에 투자했다고 설명했다.
배 대표는 RBI에서는 “원격 화면을 얼마나 빠르게 사용자에게 반영하느냐가 관건”이라며 “방송 송출 기술을 보안에 맞게 다듬어 로컬 브라우저와 비슷한 사용자 경험을 제공하는 수준까지 왔다”고 말했다.
소프트캠프는 올해부터 RBI 관련 수주와 매출이 본격화될 것으로 보고 있다. 배 대표는 N2SF 실증 과제와 지방자치단체 시범사업, 금융권 개념검증(PoC) 수요를 언급하며 “작년에는 매출이 크지 않았지만 올해부터 본격화될 것으로 본다”고 말했다.
파트너 전략으로 공공·금융 시장 넓힌다
소프트캠프는 영업 방식도 바꾸고 있다. 과거 문서보안 제품은 엔드포인트 설치와 기술 지원 부담이 컸다. PC 환경이 다양해 파트너가 제품을 팔고 유지보수하기 어려웠다. 그러나 제품이 SaaS와 서버 기반으로 바뀌면서 파트너가 다룰 수 있는 범위가 넓어졌다는 설명이다.
배 대표는 “문서보안은 엔드포인트에 설치해야 해 손볼 것이 많았다”며 “이제는 SaaS와 클라우드 서버 형태가 되면서 파트너를 통해서도 충분히 지원할 수 있다고 봤다”고 말했다.
소프트캠프의 기존 매출은 대기업 비중이 높다. 배 대표는 대기업 고객이 80~90%를 차지하고 금융권은 그보다 낮은 비중이라고 설명했다. 공공 시장 비중은 아직 작지만, N2SF 전환과 실드게이트의 공공 조달 기반이 맞물리면서 새로운 시장이 열릴 가능성이 있다.
실적도 개선됐다. 소프트캠프는 2025년 연결 기준 잠정 매출 259억원을 기록했다. 전년보다 53.4% 늘었다. 같은 기간 영업이익은 29억원으로 흑자전환했다. 배 대표는 올해 목표로 작년 대비 약 20% 성장을 제시했다.
그가 내세우는 방향은 ‘AI 전환을 가능하게 하는 보안’이다. 보안이 AI 사용을 막는 규제가 아니라, 기업이 AI를 안전하게 쓰도록 돕는 기반이 돼야 한다는 뜻이다.
배 대표는 “예전에는 보안이 규제처럼 느껴졌지만 지금은 AI를 도입하려 해도 보안 때문에 두려워하는 기업이 많다”며 “소프트캠프는 AI 전환을 가능하게 해주는 보안을 하려 한다”고 말했다.
소프트캠프는 1999년 설립된 국내 사이버보안 기업이다. 문서보안을 기반으로 성장했으며, 현재는 클라우드 문서보안, 계정관리, 원격 브라우저 격리, 콘텐츠 무해화 기술을 중심으로 제로트러스트 보안 사업을 확장하고 있다. 회사는 AI와 SaaS가 업무의 중심이 된 환경에서 사내 자원과 민감정보 접근을 지속적으로 검증해야 한다는 전략을 내세우고 있다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
