보안 분야 올해 화두는 “제로트러스트와 SDP가 될 듯”
[시사뉴스 박성태 대기자] <시사뉴스>는 엄중한 코로나19 상황에서도 위기를 극복한 히든기업, 강소기업을 찾아 그들의 생존과 미래, 실천전략 등에 대해 기획특집 시리즈 기사로 지난 2020년 9월부터 2021년12월까지 모두 6차례에 걸쳐 총 90여개의 히든기업을 소개한 바 있다. 특히 대기업군은 아니지만 해당 분야에서 경쟁력을 갖고 있는 중소기업, 스타트업, 산학협력우수기업을 취재 보도하여 소비자는 물론, 정부, 학계, 산업계까지 전 방위적으로 히든기업과 스타트업의 성공을 확산시키고자 했다.
본지는 2022년을 맞아 그동안 본지에 게재된 히든기업 중 지난 1년간 코로나19 상황을 잘 극복하여 오히려 경영상황이 개선되고 발전한 기업들을 포함하여 새로운 신기술 개발 등으로 새롭게 성장전략을 짜고 있는 유망 중소기업들을 찾아 그들의 신기술을 소개하고 경영전략 등에 대해 신년 기획특집 시리즈 기사로 보도하고자 한다.
그 두 번째로 클라우드시스템 보안전문기업인 ㈜엠엘소프트를 소개한다. [편집자 주]
"미래는 사이버월드를 지배할 수 있는 기술패권주의시대가 될 것이다. 새로운 시대 새로운 산업은 xTECH가 매우 중요한 산업으로 자리매김 될 것이다. 현재 금융분야는 핀테크, 생명과학쪽은 바이오테크, 교육쪽은 에듀테크, 국방쪽은 밀리테크 등인데 언택트, 초연결 · 초지능시대에는 xTECH산업이 주를 이루게 되면 클라우드 네트워크 시스템을 제어할 수 있는 나라, 기업만이 살아남게 될 것이다. 클라우드 시스템의 보안이 보장되지 않는다는 것은 국방이나 치안이 보장되지 않는 나라와 다름없다.
실제로 작년 6월 북한에 의해 방위산업체 전산망이 해킹당했는데 VPN(Virtual Private Network : 분산된 사설망들을 공중망을 이용하여 사설망처럼 사용하는 것)서버의 중요 정보가 해킹당했다. 이 사건은 당시 국회에서 사이버테러 비상사태선포를 촉구할 정도로 심각했는데 이 사건을 계기로 정부나 금융기관, 군에서 사이버보안의 심각성에 대해 인식하고 제로트러스트와 SDP구축에 관심을 갖기 시작했다. 그동안 규제 일변도였던 사이버보안정책의 변화가 감지되고 있다.
실제로 지난 연말 금융위원회가 사이버보안에 제로트러스트 개념 도입을 도입해 금융플랫폼 혁신을 하겠다고 발표하는 등 규제완화를 하겠다고 나서 늦었지만 정말 다행이라고 생각한다."
엠엘소프트 기업 소개를 하면.
엠엘소프트는 한마디로 네트워크접근제어, 보안 전문기업이다. 휴대폰, PC등 다양한 통신단말기들을 시스템에 연결하는 엔드포인트(Endpoint)분야에서 선두를 달리며, 네트워크접근제어(NAC) 전문기업으로 2년 전 한국전자통신연구소의 원천기술을 도입, SDP(Software Defined Perimeter)기술을 개발, 상용화에 나서면서 인터넷기반에서 인프라에 구애 받지 않고 모든 연결을 보호하는 제로트러스트(Zero Trust Network Access : ZTNA)를 달성하고 있는 기업이다.
2018년에 새롭게 개발한 ‘티게이트 SDP’가 새로운 기술력으로 인정받으면서 2020년 미국 CSA(Cloud Security Alliance) 솔루션 공급사(Solution Provider)분야에 국내 기업으로는 최초로 가입하여 세계적 경쟁력을 갖추게 되었다.
드디어 엠엘소프트가 마이크로소프트와 같은 세계 유수의 기업들과 어깨를 나란히 하게 된 것이다. 엠엘소프트가 가입한 CSA는 지난 2008년 12월 미국 시애틀에 본부를 설립, 약 8만명의 회원을 확보하고 있는 ‘보안의 WHO(세계보건기구), NATO(북대서양 조약기구)’ 같은 역할을 한다.
엠엘소프트의 주요 기술, 콘텐츠, 특장점은.
회사 설립이후 자산관리(TCO), 접근통제(NAC) 등 단말기를 관리, 통제하는 솔루션 기술과 많은 고객지원 경험으로 ZTNA 분야에 독보적인 경쟁력을 확보했다. 보안문제를 성공적으로 해결하려면 세계 추세에 따라야 하며 글로벌 보안시장 추세인 ZTNA 와 SDP 개념을 국내에서도 적극 도입해야 한다.
SDP는 미 국방성의 GIG(Global Information Grid) 프로젝트를 클라우드 보안 연합(CSA)이 상용화 한 것과 구글의 비욘드코프가 설계한 모델을 기반으로 한다. 두 접근 방식은 크게 다르지 않지만, CSA는 엔드포인트에 가깝고 비욘드코프는 서비스에 가까운 편으로 구분된다.
보안의 패러다임을 바꾸는 기술이 SDP다. SDP는 사용자 기기에서 애플리케이션 · 서버까지 안전한 네트워크를 연결해 보안과 유연성을 모두 다 보장한다. 원격 · 재택근무 뿐 아니라 ATM, POS, CCTV, 커넥티드카, 분리된 업무망까지 보안연결을 제공할 수 있으며, 강력한 사용자와 엔드포인트 통제로 VPN보다 강화된 보안을 제공할 수 있다.
지난 2년간 VPN 등 핵심 보안솔루션들의 해킹 피해가 속출하는 등
사이버 팬데믹이 예상되는데.
재택근무 등 사외에서 SSL_VPN을 통해 망 분리된 사내 업무망으로 접근해 정보 유출의 빈도가 높아졌기 때문이며 이는 시작에 불과하고 조만간 사이버 팬데믹이 발생할 가능성이 높아 이에 대한 대비가 시급히 필요하다.
실제로 지난 2020년 8월 초 약 900개 이상 국내 기업 VPN 서버 암호가 해커에 의해 다크웹(일반 인터넷 검색 엔진에서 검색되지 않고, 특정 환경의 인터넷 브라우저에서만 접속되는 웹사이트)에 유출되었고, 방위산업체 전산망이 해킹당해 방산업체들이 초비상이 걸린 사건이 있었다.
VPN은 2000년 초부터 20년간 전용선을 대체한 최고의 범용 네트워크 보안 솔루션이었지만 게이트웨이가 퍼브릭IP로 노출되어 있어 필연적으로 디도스 뿐 아니라 해커로부터 각종 공격을 받을 수밖에 없는 구조로 설계되어 있다.
그동안 정부와 금융권에서 적극 추진해 온 망분리, CC 등은 폐쇄망을 기본으로 하는 정보화 시대에는 최고의 보안 정책이었지만 초연결을 기본으로 하는 지능화 시대에는 대대적 수정과 보완이 필요하다. 현재의 보안 방식은 네트워크 경계망 위주로 되어 만약 해커가 경계망 안으로 침입하면 권한의 횡적이동(Lateral Movement)이 가능해 경계망내의 모든 정보가 유출될 수 있는 치명적인 문제를 가지고 있다.
이러한 이유로 국내의 경우 사이버 보안인식에 대한 대대적인 전환이 필요하다. 4차 산업혁명, 디지털뉴딜, 클라우드, 빅데이터, AI 등 미래전략 추진에 가장 큰 걸림돌이 현재의 망분리와 CC 위주의 보안체제이다. 더 이상 안전하지도 않고 오히려 위험을 증가시키고 있어 산업발전에 저해가 되고 있다.
가깝게는 사이버 팬데믹에 대비해야 하며 디지털 무역 등 국제 통상문제에도 전향적인 대응을 해야 한다. 보안이 더 이상 걸림돌이 되어서는 안 되고 선제적인 조치와 함께 과감하게 디지털영토를 넓혀야 할 때이다.
어떤 대책이 있을 수 있는가? 제로 트러스트개념과 SDP 기술을
도입하면 해결책이 될 수 있나?
전 세계적으로 제로트러스트가 사이버 보안의 핵심 대안으로 추진하고 있다. 미국 바이든 정부가 2021년5월 ‘국가 사이버 보안개선에 관한 행정명령’을 내리면서 제로트러스트개념을 도입하고 SDP구축을 독려하는 정책을 펴고 있다.
제로트러스트는 “아무도 믿지 않는다”라는 상징적인 보안의 개념이며 포괄적인 원칙을 제시하고 있고 기술적 구현 방안으로는 미국 CSA(Cloud Security Alliance)에서 SDP(Software Defined Perimeter)가 산업표준으로 시장을 선도하고 있다.
제로트러스트에는 7가지의 원칙을, SDP에는 5가지의 프로토콜과 6가지의 아키틱처를 제시하고 있으며 핵심은 망위주의 보안 지양, 망내에서 권한의 횡적이동 금지, 실시간 인증과 민첩한 동적정책 수행 등으로 사용주체(Subject)와 정보자원(Resource)간 가장 효율적이고 가장 높은 수준의 보안을 유지하는 데에 주안점을 두고 있다.
정부나 군 금융기관 등에서 제로트러스트와 SDP 기술을 구축한 사례는.
정부나 군 공공기관에서는 아직 VPN과 망분리 위주의 보안을 하고 있는데 금융보안원을 중심으로 내년부터는 제로트러스트에 대한 검토와 도입이 활발히 진행될 것으로 예상된다.
작년 12월 15일과 12월 22일 연이어 금융위에서 발표한 자료를 보면 금융보안원의 내년도 10대 과제 중에 2가지가 디지털 팬데믹에 대한 대비와 제로트러스트보안 정책 활성화로 되어 있다.
핀테크, 마이데이터 등 국내 산업 육성뿐 아니라 세계 디지털 경제에서 주도권을 갖으려면 세계 보안 표준에 맞춰 나가되 핵심 중요 정보에 대해서는 확실한 보안대책을 병행할 것으로 예상된다. 정부나 군 공공기관은 금융권 보다 보수적이어서 시간이 걸릴 것이나 궁극적으로는 금융권을 모델링하여 보완할 것으로 예상된다.
현재 SDP를 구축한 기관과 기업은 하나금융투자, 한국신용정보원, 빗썸, 강릉아산병원, 반도체기업인 CHEMTRONICS, STEMCO, 대한항공C&D 등이며 올해 구축 기관과 기업이 대폭 늘어날 것으로 전망된다.
기업 경영철학과 최종 목표가 있다면.
공중에 떠다니는 기술, 즉 우주왕복선개발 등은 미국 등 선진국이 우위를 갖고 있지만 땅에 굴러다는 기술, 즉 자동차 등은 우리나라가 경쟁력이 있다.
마찬가지로 사이버 월드, 즉 AI, 빅데이터, 클라우드 등은 미국 등이 앞서 나갔지만 피지컬 월드(physical world), 즉 드론, 단말기, 자율자동차 등에서는 우리가 우위를 점할 수 있다.
사이버월드와 피지컬 월드를 연결하는 것이 인터넷을 기반으로 하는 네트워크인데 보안이 보장되지 않으면 안 된다. 그래서 엠엘소프트를 전 세계적인 보안전문기업으로 만드는 것이 최종 목표다. 수익을 추구하는 기업으로서가 아니라 국가 경쟁력 강화에 도움이 되는 기업을 만들고 싶다.
