데일리시큐는 2023년 창간 10주년을 맞아 분야별 핵심 보안솔루션을 소개하고자 한다. 이번 주제는 ‘클라우드 보안’ 분야다. 여기서는 클라우드 보안의 중요성과 국내 대표 클라우드 보안 전문기업인 에스지에이솔루션즈의 클라우드 보안 전략 그리고 최영철 대표와 인터뷰 내용을 전한다.
◆클라우드 보안 트렌드
최근의 기업 IT 환경은 전통적인 레거시 온-프레미스 방식에서 퍼블릭 클라우드 그리고, 프라이빗 클라우드 온-프레미스 방식이 혼재되어 사용되는 방향으로 진화하고 있다. 이러한 기업 IT 환경의 변화는 기존의 IT보안 관점의 변화도 요구하고 있다.
우선 가상화 방식의 일반화로 그 동안 단일 물리서버 구성방식에서 전통적으로 사용하는 네트워크 보안 방화벽(Firewall)이나 침입방지시스템(Intrusion Prevention System)을 사용할 수 없는 환경이 있을 수 있다. 공격자가 경계형 보안 체계를 뚫고 내부 시스템으로 침입한 후에는 횡적공격(Lateral Movement)이라는 방법으로 해킹된 서버 주변의 연결된 서버로 공격을 시도하게 되는데, 가상화 된 방식의 VM(Virtual Machine) 환경에서는 네트워크 보안 제품을 구동할 수가 없는 제약이 있다.
따라서 VM간 발생하는 워크로드에 대한 보안 기능을 제공할 수 있는 통합 보안기능 체계가 필요하게 된다. 예를 들면 VM마다 악성코드를 탐지/차단할 수 있는 Anti-Malware 기능이나 VM간 네트워크 연결을 차단하기 위한 호스트 방화벽 기능, 또는 VM간 취약점 공격을 방지하기 위한 호스트 IPS 기능 등이 필요하다. 가트너는 이러한 퍼블릭 및 프라이빗 클라우드 환경에서 워크로드 보안 기능을 CWPP(Cloud Workload Protection Platform)라고 정의하고 있다.
또한 최근에는 클라우드 환경이 하이퍼바이저(Hypervisor) 기반의 VM 방식이 아닌 클라우드 네이티브의 핵심 구조인 컨테이너 기반으로 진화하면서 단순히 CWPP 보안 기능만이 아니라 MSA(Micro Service Architecture)기반의 컨테이너 보안 기능도 요구하고 있는 상황이다.
클라우드 네이티브 보안이라고 부르는 보안 체계는 기존의 DevOps 환경을 DevSecOps 환경으로 전환하는 것을 의미하며, 이는 Build/Ship/Run 단계로 이루어지는 개발환경에서 각 영역마다 안전한 보안 체계를 포함시키는 것을 의미한다. 최근 가트너는 이러한 보안체계를 CNAPP(Cloud Native Application Protection Platform)이라고 정의하고 주요 보안 기능 요소를 CWPP, CSPM(Cloud Security Posture Management), CIEM(Cloud Infrastructure Entitlement Management)이라고 정의하고 있다.
◆에스지에이솔루션즈의 클라우드 보안 전략
최근 퍼블릭/프라이빗 클라우드 인프라 사용이 확대되고, 컨테이너 기반의 DevOps 사용이 확산되면서 클라우드 보안에 대한 필요성이 높아지고 있다. SGA솔루션즈는 호스트, 가상머신(VM), 컨테이너 환경을 모두 지원하는 CWPP(Cloud Workload Protection Platform) 보안 솔루션과 CNAPP(Cloud Native Application Protection Platform) 보안 솔루션을 함께 제공함으로써 확장성 있고 통합적인 클라우드 보안 플랫폼을 제공하고 있다.
또한 SGA솔루션즈는 호스트 OS의 보안을 강화하기 위해 서버보안(Secure OS) 솔루션도 함께 제공하여 기업들이 전통적인 레거시 온-프레미스 환경과 퍼블릭 및 프라이빗 클라우드 환경이 혼재된 하이브리드 클라우드 환경에서 최적화된 보안 체계를 구성할 수 있도록 지원하고 있다.
◆SGA솔루션즈 클라우드 보안 솔루션 ‘vAegis(브이이지스)’와 ‘cAegis(씨이지스)’
SGA솔루션즈는 2021년 호스트, VM, 컨테이너 환경을 모두 지원하는 CWPP 솔루션인 vAegis(브이이지스)를 출시하였고, 2023년 9월에는 컨테이너 환경의 DevSecOps 보안을 위한 cAegis(씨이지스)를 출시했다. ‘vAegis’는 기존의 컨테이너 보안 기업이 제공하는 CNAPP 플랫폼 내 CWPP의 일반적 기능인 안티멀웨어, 무결성 모니터링 기능 외에도, 호스트 방화벽, 호스트 IPS, 애플리케이션 제어, 사용자 접근제어 기능을 추가로 제공하여 보다 강력한 CWPP 기능을 제공하고 있다.
또한, ‘cAegis’ 솔루션을 통해 클라우드 컨테이너 환경에서(특히 DevSecOps 측면) 보안 위협에 효과적으로 대응할 수 있다. 대표적인 기능으로 컨테이너 환경 워크로드 보호 측면에서는 컨테이너 이미지 보증, 취약성 점검, 컨테이너 플랫폼 접근제어, 컨테이너 런타임 보호와 같은 기능을 제공한다. 특히 VM/컨테이너 플랫폼 접근제어 및 런타임 보호 측면에서 자사의 Secure OS 솔루션 보안 커널 기술을 기반으로 VM, 컨테이너 보안 위협에 보다 확실하고 적극적으로 대응을 할 수 있다.
◆클라우드 보안, 시큐리티 플랫폼 보안체계로 진화
클라우드 보안 솔루션의 경우 그동안 글로벌 보안 기업들이 주로 경쟁을 해오고 있는 상황이었으나 최근에는 국내에서도 SGA솔루션즈를 비롯한 다수의 기업이 클라우드 보안 솔루션을 개발 및 출시하고 있다.
국내 기업은 국내 IT 환경의 생태를 잘 이해하고 그에 맞는 제품을 개발해온 국산 솔루션을 선택하는 것이 가장 적절하다. 빠르게 발전하고 변화하는 환경에 대응하기 위해서는 국내 시장을 충분히 이해하고 환경을 충분히 반영하여 솔루션으로 제공할 수 있는 벤더사가 필요하다.
SGA솔루션즈는 엔드포인트부터 서버 시스템까지 모든 영역에서 다양한 보안 제품을 보유하고 있고, 최근에는 이를 기반으로 클라우드 보안과 제로 트러스트 보안까지 영역을 확장하여 국내 차세대 보안 시장을 선도하고 있다.
클라우드 보안은 시큐리티 플랫폼 보안체계로 진화하고 있으며 전통적인 레거시 환경의 시스템 보안과 프라이빗/퍼블릭 클라우드 보안 통합하여 제공할 필요가 있다. SGA솔루션즈는 레거시 환경과 클라우드 환경 모두를 포함하는 클라우드 시큐리티 플랫폼 전략으로 고객들에게 올인원 형태의 보안 솔루션을 제공할 수 있도록 최선의 노력을 다하고 있다.
◆최영철 에스지에이솔루션즈 대표 인터뷰
“통합보안 사업과 클라우드 보안 사업을 넘어 제로 트러스트 보안 사업까지 확대…국내 유일 통합보안 플랫폼 전문 기업으로 성장 목표”
▶에스지에이솔루션즈 2023년 주요 성과
2023년은 새로운 보안 패러다임으로 언급되는 제로 트러스트 보안이 국가 정책 차원에서 진행되어 그 결과물이 나온 한 해라고 말씀드릴 수 있습니다. SGA솔루션즈는 제로 트러스트 보안의 필요성과 중요성을 일찌감치 파악하여 2021년에는 과학기술정보통신부 주관의 국책과제를 준비하고 수주하였습니다. 이를 기반으로 하여 올해에는 제로 트러스트 보안 솔루션인 SGA ZTA를 정식 출시하였습니다.
또한, 과학기술정보통신부 산하 한국인터넷진흥원(KISA)에서 주관하는 제로 트러스트 보안 모델 실증 지원 사업의 컨소시엄 주관사로 참여하여 수요기관을 대상으로 제로 트러스트 보안을 도입 및 적용하기 위한 실증사업을 수행하였습니다. 이 결과 기술적·사업적 측면에서 상당히 의미 있는 성과를 거두었으며, 향후에는 더욱 구체적이고 고도화된 형태로 고객에게 제로트러스트 보안솔루션을 제공할 수 있는 만반의 준비작업을 완료하였습니다. 2024년 SGA솔루션즈는 이런 성과들을 바탕으로 제로 트러스트 아키텍처 보안 시장에서 리더 기업이 될 수 있도록 노력하겠습니다.
▶에스지에이솔루션즈 주요 솔루션 소개
먼저, IT보안에서 가장 뜨거운 주제인 ‘제로 트러스트 보안과 관련한 제로 트러스트 보안 솔루션 ‘SGA ZTA’를 소개하겠습니다.
SGA솔루션즈는 지난 5월 기자간담회를 열고 국내 최초로 ‘제로 트러스트 아키텍처’ 솔루션인 ‘SGA ZTA’를 선보였습니다. ‘SGA ZTA’ 제로 트러스트 보안 솔루션은 타사 단품 형태의 제품과 다르게 ZTA(Zero Trust Architecture)에 입각한 국내 유일한 풀스택(Full-Stack) 제로 트러스트 보안 솔루션입니다. 이는 NIST(미국 국립표준기술연구소) SP 800-207과 국내 제로 트러스트 가이드라인 1.0에 가장 잘 부합할 수 있는 솔루션이라 할 수 있습니다. SGA ZTA는 제로 트러스트 아키텍처를 가장 잘 준용하여 구현된 솔루션으로 국내 제로 트러스트 보안 시장에서 선도적 역할을 기대할 것으로 기대되고 있습니다.
다음은 클라우드 보안 솔루션인 Aegis(이지스) 시리즈입니다. SGA솔루션즈에서는 레거시 환경에서 클라우드 기반으로 옮겨가고 있는 기업의 IT 환경에 필수적인 CWPP(Cloud Workload Protection Platform) 보안 솔루션인 vAegis(브이이지스)와클라우드 네이티브 컨테이너 플랫폼 보안을 위한 CNAPP(Cloud Native Application Protection Platform) 보안 솔루션인 cAegis(씨이지스)를 개발하여 제공하고 있습니다.
서버보안(Secure OS)은 SGA솔루션즈의 핵심 솔루션 중 하나로, 기업에서는 서버를 기본 자원 공급 도구로 계속 사용하는 한 필수 솔루션입니다. 이는, 레거시 환경이든 클라우드 환경이든 필수적으로 필요한 대체불가한 솔루션이라고 할 수 있습니다.
SGA솔루션즈는 앞서 소개한 솔루션들을 지속적으로 제로 트러스트 보안 솔루션인 SGA ZTA와 통합하여 제공하는 형태로 계속 발전시켜 나가고 있습니다.
▶에스지에이솔루션즈 제로트러스트와 클라우드 보안 전략
제로 트러스트와 클라우드 보안 시장은 별개의 시장이라고 볼 수 없습니다. 제로 트러스트는 보안의 관점을 재정립하는 것으로 클라우드 환경 또한 주요한 보호 대상으로 간주되며, 제로 트러스트 보안으로 통합하여 제공할 수 있습니다.
사업적인 측면에서 클라우드 보안은 독립적으로 클라우드 및 레거시 환경에서의 워크로드 보호와 클라우드 네이티브 환경의 애플리케이션 및 컨테이너 보호에 특화된 서비스를 제공할 수 있습니다. 또한, 제로 트러스트 보안 관점에서는 기업 자원(Enterprise Resource)의 시스템을 보호 대상으로 보고 기존의 레거시 및 클라우드 인프라 환경을 모두 지원할 수 있는 핵심 보안 기능이 될 수 있습니다.
▶에스지에이솔루션즈 2024년 사업 전략과 전망
2024년은 국내 제로 트러스트 보안 및 클라우드 보안 시장에서 리딩 기업으로 자리 매김하고 동시에 국내 1위 제로 트러스트 보안 및 클라우드 보안 솔루션 기업으로 도약하기 위한 중요한 이정표가 되는 한 해가 될 것입니다. 이를 위해, SGA솔루션즈는 클라우드 보안 사업을 비롯하여 제로 트러스트 보안 사업의 활성화 위한 기반 마련에 최선을 다하겠습니다.
가시화되고 있는 제로 트러스트 보안 시장과 클라우드 네이티브 수요 증가에 따른 클라우드 환경 보안에 대한 고객의 니즈를 파악하고 분석하여 국내 IT 환경에 적합한 통합보안 사업을 추진할 것입니다.
▶에스지에이솔루션즈 중장기적 비전
기존 IT 보안 솔루션 사업 구조는 시스템 보안, 엔드포인트 보안, 네트워크 보안 등 각 유형의 보안 제품을 개발하고 판매하는 형태였지만, 현재는 통합 보안 솔루션 플랫폼 사업 형태로 진화하고 있습니다. 국내 정보보호 시장 규모는 크지 않은 데 반해 정보보호 솔루션 기업들 간 경쟁은 치열합니다. 이에 각각의 정보보호 영역에서 강점을 가지고 있는 기업들이 사업적 시너지를 확대할 수 있도록 인수합병 등의 방식으로 규모를 키우면서, 기술력을 제고할 필요가 있습니다.
현재 코스닥 시장에 상장된 국내 IT 정보보호 기업들은 많지만, 이는 일반 IT 소프트웨어 기업들에 비해 상대적으로 적은 규모입니다. 2010년 경부터 대두되어 온 APT 공격에 대응하기 위해 통합보안의 필요성이 부각되었으며, IT 업무환경이 클라우드로 전환되면서 보다 다양성 있는 정보보호 요구사항이 발생하고 있습니다. 이는 최근 이슈가 되고 있는 제로 트러스트 보안을 필두로 IT 통합보안 플랫폼 사업의 방점을 찍을 수 있는 중요한 시기라 할 수 있습니다.
SGA솔루션즈는 이미 2008년경부터 IT 통합보안 솔루션 전문기업으로 발돋움하기 위한 노력을 기울이고 있습니다. 통합보안 사업과 클라우드 보안 사업을 넘어 제로 트러스트 보안 사업을 확대하면서 국내 유일한 통합보안 플랫폼 전문 기업으로서 자리매김할 것이며, 글로벌 정보보호 기업과도 견줄 수 있는 토종 IT 정보보호 기업으로서 자리를 견고히 할 것입니다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
