[디지털투데이 황치규 기자] 클라우드 중심으로 IT인프라 판이 바뀌면서 보안 시장에도 변화의 바람이 거세다. 내부에 IT시스템을 직접 구축하는 이른바 '온프레미스'(On-premise)에서 원격 클라우드에 접속해 IT자원을 쓰는 것은 IT 공급업체와 사용자 모두에게 패러다임이 바뀌는 수준의 세대교체로 통하고 있다.

IT환경을 관리하는 입장에서 보면 온프레미스와 클라우드 패러다임의 공존과 동거는 복잡성은 커지고 보안 위협에 노출될 가능성은 그만큼 높아졌다는 것을 의미한다. IT인프라의 세대 교체를 겨냥한 보안 기술과 개념들이 이미 여기저기에서 쏟아지고 있다.

최근에는 새시(SASE: Secure access service edge)가 IT인프라 세대교체에 최적화된 보안 개념으로 부상했다. 클라우드 기반 서비스형 소프트웨어(SaaS)와 코로나19 상황 이후 확산된 원격 근무 환경에 효과적으로 대응할 수 있는 보안 전략으로 새시를 주목하는 흐름이 가속화되고 있다.

업계 판세 역시 새시 중심으로 재편됐다. 거물급 글로벌 보안업체들이 앞다퉈 새시를 승부수로 던지고 있다. 국내 보안업체들도 새시가 몰고올 다양한 시나리오를 분석하고 저마다 대응책을 마련하느라 분주하다.

네트워크 보안업체 지니언스도 새시로의 패러다임 전환에 일찌감치 대응하기 시작한 케이스다. 지니언스는 인프라를 보유한 통신업체 및 클라우드 서비스 회사들과의 협력을 강조하며 한국 시장에 맞는 새시 전략의 디테일을 다듬고 있다. 이동범 지니언스 대표는 "올해는 새시 관련 제품을 출시할 것이다"면서 조만간 레이스에 본격 가세할 것임을 분명히 했다.

"보안 제품 골라 쓰는 대신 한 회사서 해결하는 흐름 두드러져"

그에 따르면 새시는 보안 뿐만 아니라 네트워크와 엣지 등을 포함하는 IT인프라 전반을 아우르고 있어, 보안업체 혼자 다 커버하기가 현실적으로 쉽지 않다. 지니언스가 잘하는 건 직접하지만 그렇지 않은 건 적극적인 협력을 통해 내공을 키우겠다는게 그의 설명이다. 그는 특히 "한국 시장 공략을 위해서는 국내에 광범위한 인프라를 가진 국내 통신사 및 클라우드 서비스 업체들과 협력이 중요하다"면서 "구체적으로 밝힐 수는 없지만 이와 관련해 이미 논의도 하고 있다"고 전했다.

이 대표가 새시 전략을 추진하면서 국내 플랫폼 업체들과의 협력을 강조하는 것엔 나름 이유가 있다. 그는 새시가 확산되면 기업들이 여러 업체 보안 솔루션을 버무려 쓰는, 이른바 베스트 오브 브리드(Best-of-Breed) 아니라 가급적 한 회사한테 통째로 맡기는 흐름이 두드러질 것으로 보고 있다. 이 대표는 "새시는 기본적으로 승자독식형 시장이다. 보안 스타트업들이 독자 성장해서 상장하는 게 아니라 대형 업체에 매각되는 사례가 많은 것도 이와 무관치 않다"고 말했다.

경쟁의 판이 보안 시장을 넘어선다는 것도 기존 보안 업체 입장에선 위협적일 수 있다. 아마존웹서비스(AWS)나 마이크로소프트 애저로 대표되는 대형 클라우드 서비스 업체들이 보안 시장에서도 큰 손 노릇할 가능성이 예전보다 커졌다는 얘기다. 그는 "제품 라인업만 놓고 보면 마이크로소프트는 이미 막강 라인업을 갖췄다. 리눅스, 인증, 데이터 유출 방지, 백신, 방화벽, 휴대폰 관리에 이르는 모두 커버하고 있다. 마이크로소프트 보안만 써도 다른 업체들거 쓰기 쉽지 않다"면서 "마이크로소프트 같은 클라우드 업체들에게도 보안 시장에서의 헤게모니는 전략적으로 중요해질 것이다"고 말했다.

새시로 인해 다양한 제품 라인업과 규모의 경제가 갖는 영향력이 커지는 상황은 국내 보안업체들에게는 불리한 요소로 작용할 수 있다. 특정 보안 제품에 주력하는 업체들에게는 특히 그럴 수 있다

이와 관련해 이 대표는 미국은 퍼블릭 클라우드에 새시 컨트롤타워가 탑재되는게 대세겠지만 한국은 판이 좀 다르게 짜일 것으로 보고 있다. 그는 "한국은 퍼블릭 보다는 프라이빗 클라우드에 새시 통합 관리 인프라가 배치될 가능성이 높다. 국내 공공 기관들과 금융 회사들은 자체 클라우드에 기반한 통제 모델을 선호할 것이다"고 말했다.

글로벌 보안업체들은 새시 전략을 위해 글로벌 각국 통신사업자나 클라우드 서비스 업체에 현지 새시 수요를 지원하는 인프라를 이미 배치해 놓고 있지만 한국은 지리적으로 레이턴시(Latency: 네트워크 지연) 문제가 크지 않아, 기업들을 지원하는데 큰 문제가 없다는 점도 부각했다.

국내 통신 서비스 회사나 클라우드 서비스와 협력을 잘 한다면 한국에 적합한 새시 모델을 만드는 것은 물론 시장도 이전보다 키울 수 있다는게 그의 설명이다. 이 대표는 "지니언스 새시 전략은 혼자서 다가겠다는 것이 아니다. 국내 클라우드 업체들도 자신들 플랫폼에서 제공하는 서비스를 늘릴 필요가 있다. 보안에 대한 요구사항들도 맞춰줘야 하는데, 직접 다할 수는 없을 것이다"면서 협력의 중요성을 거듭 강조했다.  

개별 요소들을 잘 개발하는 것이 중요하지만 방향은 클라우드 및 통신 사업자와 결합해 쓸 수 있는 서비스로 가는 것이 중요하다는 것이다. 그는 또 통신 및 클라우드 사업자들과의 협력을 통해 공공과 엔터프라이즈를 넘어 중소기업(SMB) 시장으로 영토를 확장할 수 있을 것이라는 기대감도 보였다.

지니언스 네트워크 전략에서 핵심은 간판 제품인 네트워크 접근 제어(NAC) 솔루션 '지니안 NAC'다. 이 대표는 "회사 내부에서 쓰는 환경을 새시 모델로 바꿨다. 재택 근무자들이 그전에는 가상사설망(VPN) 타고 들어왔는데, 지금은 새시를 통해 들어온다. 기반은 NAC다. 데이터 흐름과 유출에 초점을 맞춘 관점으로 새시에 접근하는 경우도 있는데, 통합된 접근 제어 모델도 필요하다"면서 "지니언스 새시 전략이 모든 걸 커버하는 건 아니지만 망분리를 대체하고 재택 근무를 클라우드 환경에서 지원할 수 있을 것이다"고 말했다.

"보안 비즈니스, 정책 차원에서 구독 모델 확산 필요"

지니언스는 NAC에 이어 최근에는 엔드포인트 위협 탐지 및 대응(EDR: Endpoint Detection and Response) 사업 확대에도 속도를 내고 있다. EDR은 안티 바이러스로는 안되는 디바이스 보안 위협에 대응하는데 초점이 맞춰져 있다. 

눈에 띄는 점은 지니언스가 EDR 사업과 관련해 2018년 사업을 시작할 때부터 '서브스크립션(구독) 퍼스트' 모델을 적용했다는 것이다. 지니언스는 고객이 굳이 원하면 구축형 EDR도 제공하지만 기본적으로는 연단위로 갱신하는 정액제 서비스 모델에 무게를 두고 있다.

이 대표는 서브스크립션에 대해 할말이 매우 많다는 표정이다. 한국정보보호산업협회장도 맡고 있는 이동범 대표는 서브스크립션이 보안업계 체질을 개선하고 국내 보안 시장에서 해묵은 문제 중 하나인 유지보수 현실화 이슈에 현실적인 대안임을 강조한다. 그는 "협회에서 유지보수요율 현실화 문제가 계속 나왔지만 지금도 크게 달라진게 없다. 정부가 서브스크립션 활성화에 적극 나설 필요가 있다. 새로운 공격들에 대응해야 하는 보안은 특히 서브스크립션으로 가야 한다. 비용 측면에서도 저렴하고 대응 역량도 키울 수 있다. 정부에도 이와 관련해 많이 건의하고 있다"고 말했다.

국내 기업들과 공공기관들은 시스템 통합(SI)나 패키지 소프트웨어 구축에 익숙하다 보니 서브스크립션 방식으로 소프트웨어를 이용하는 것에 익숙치 않다는 지적도 많다. 하지만 이 대표의 생각은 좀 다르다. 서브스크립션에 대한 국내 기업들 스탠스에서 생각보다 변화를 빠르게 체감할 수 있다는 것이다.

이 대표는 "NAC는 내놓은지 오래되다 보니 서브스크립션 모델을 적용하기가 쉽지 않은데, 신규 시장에서 들어갈 때는 이제 해볼만 하다고 보고 있다"면서 "국내 기업들이 서브스크립션에 여전히 익숙치 않은 면은 있지만 생각보다 빠르게 바뀌고 있다. 2019년에만 해도 "왜 빌려 써야 하냐?"고 묻는 고객들이 많았는데, 지난해 이미 절반 이상의 EDR 고객들이 서브스크립션 방식으로 서비스형 제품을 이용하고 있다. 이 비중은 앞으로 더욱 커질 것이다"고 말했다.

이 대표는 보다 많은 정부의 역할도 주문했다. 민간 차원의 보안 투자는 늘었지만 정부 시장은 여전히 양과 질적으로 풀어야할 숙제들이 있다는게 그의 생각이다.

그는 "미국처럼 정부가 보안업체들에게 좋은 시장이 되어줘야 한다. 최고정보보호책임자(CISO) 제도를 정부기관에도 도입해야 한다. 개인정보 많은 곳이 정부인데, 보안담당 임원은 아직 없다. 공공기관에서 CISO가 책임감 갖고 일하도록 하면 보안업체들 간 가격이 아니라 퀄리티 경쟁을 유도할 수 있을 것이다. 국회에 법안이 올라가 있는데, 통과되면 시장 활성화에 도움이 될 것이다"고 말했다.