세계 최대 사이버보안 컨퍼런스인 RSAC 2024가 지난 5월 6일부터 9일까지 미국 샌프란시스코 모스콘센터에서 130여 개국 4만여 명의 정보보안 담당자 및 산업계 관계자들이 참석한 가운데 성황리 개최됐다.

데일리시큐는 RSAC 2024 현장에서 파고네트웍스(대표 권영목) 반룡(Ban Leong Ang) 디렉터를 만나 파고네트웍스의 차별화된 기술력과 해외 사업 전략에 대해 들어보는 시간을 가졌다.

파고네트웍스는 현재 국내 에너지, 반도체, 화학, 식음료, 리테일, 헬스케어, IT 인프라 공급기업 등 다양한 분야 대기업, 중견, 중소기업 400개 이상의 고객을 확보하고 있다. 특히 대부분 고객들이 EDR, NDR, XDR 제품 도입과 함께 파고 프리미엄 MDR 서비스 ‘파고 딥액트(PAGO DeepACT)’도 함께 도입해 활용하고 있다.

한편 2022년부터 해외 사업 타당성 조사를 통해 MDR 플랫폼 사업이 해외에서도 승산이 있다는 확신을 갖고 2023년 8월 8일 싱가포르에 법인을 설립했으며 싱가포르를 비롯해 인도네시아, 말레이시아, 필리핀, 베트남 등 5개국을 중심으로 협업할 수 있는 화이트라벨링 서비스 파트너 체계를 구축 완료한 상태다.

파고네트웍스는 사이버 시큐리티 분야에서 20여 년간 글로벌 비즈니스 활동을 해온 반룡을 최근 영입해 동남아 시장을 중심으로 세력을 확대해 나갈 전략이다.

다음은 반룡 디렉터와 RSAC 2024 현장에서 인터뷰한 내용이다.

■ 파고네트웍스에 합류하게 된 계기는?

“MDR 서비스 제공하는 파고네트웍스 접근법, 고객사 보안 이슈 함께 대응할 수 있는 최적의 방법론이라 판단”

파고네트웍스는 MDR 서비스 기업으로서 사이버 시큐리티 시장에서 매우 긍정적인 역할을 하고 있다. 코로나 직후인 2021년 상반기부터 약 2년에 걸쳐서 PAGO MDR ASEAN(동남아시아국가연합) 비즈니스 런칭을 위해 권영목 대표가 싱가폴 및 다른 국가를 방문할 때마다 우리는 항상 만나서 수많은 의견을 공유하고 논의를 했었다.

개인적으로 다른 IT 경력을 제외하고, 사이버 시큐리티 부문에서만 20여년간 활동하면서 수많은 파트너사와 고객사 경험을 해왔다. ASEAN 고객사 중 한 분이 이런 말을 한적이 있다. “지속적으로 보안 기업이 성장하고 솔루션도 많아지는데, 왜 고객사에서는 보안사고가 끊이지 않고 있는가?”. 한 때 이 부분을 아주 신중하게 생각해 보았고, MDR 서비스를 제공하는 파고네트웍스의 접근법이 고객사의 이슈를 함께 대응할 수 있는 최적의 방법론이 될 수 있겠다고 생각하게 되었다. ASEAN 국가들의 정부기관도 충분한 예산, 리소스, 제품 또는 기술을 보유하지 못한 기업들이 직면한 사이버 보안 체계에 대해서 많은 고민을 하고 있는 것이 사실이기도 하다.

PAGO MDR 전략은 제품을 이용해서 악성코드 탐지 및 대응하는 데만 그치지 않고, 그 악성코드 또는 악성행위에 대한 근본적인 침투 과정을 추적하고 추가적인 보안 대응 방안을 제시하고 있다. 모든 위협 조사 과정과 위협 헌팅 과정도 당연히 포함한다.

특히 최근 수많은 고객사들이 AI 기반 보안 솔루션을 도입했음에도 불구하고 그 제품을 성공적으로 잘 사용하는 사례를 찾아 보기 힘들다. 하지만 PAGO MDR은 전문가 기반의 역량이 합쳐져서 고객사가 도입한 AI 기반 보안솔루션이 완벽히 작동하도록 지원하고 있고, 이 부분이 시장에서 상당히 긍정적으로 작용하는 것을 직접 보고 있다.

이에 약 2년간 PAGO MDR 서비스의 접근 방식을 이해한 후, ASEAN 시장을 함께 개척하고 고객사의 실질적인 보안 이슈를 해결하는데 보탬이 되고자 합류하게 되었다.

■ ASEAN 시장에서, 파고 MDR 비즈니스를 어떻게 안착시켜 나가고 있나?

"ASEAN 각 국가별로 적합한 파트너 협력사 구축 확대"

ASEAN 시장은 문화가 서로 다른 여러 국가가 존재하며, 각 국가별로 시장 접근법도 확연히 틀리고, 비즈니스 관계 형성하는 방법도 틀리다. 저도 지난 20여년간 여러 글로벌 벤더기업 입장에서 ASEAN 사이버 시큐리티 시장을 개척을 해왔지만, 글로벌하게 정말 접근하기 어려운 시장이 아닌가라고 생각한다. 이런 상황에서 ASEAN 시장을 개척해 나가기 위해, 먼저 인지해야 할 부분이 있었다.

△파고네트웍스는 제품 리셀러가 아니고, 서비스 기업이라는 것을 짚고 넘어가야 했다. 서비스 기업으로서, ASEAN 으로의 새로운 사업을 확장한다는 것은 일반 제품 수출 개념과 확연히 다르다.

△ASEAN 시장에서 그 누구도 파고네트웍스의 존재를 알지 못했다.

△파고네트웍스 회사 규모도 처음부터 글로벌 비즈니스를 하던 기업이 아니라, 작은 기업이라는 것도 명심해야 했다.

이렇게 작고 알려지지 않은 기업이면서, ASEAN 국가의 다양한 고객과 관계도 형성되어 있지 않고, 기업 브랜딩 또는 서비스 브랜딩도 되지 않은 상태에서 무엇부터 시작해야 할까를 고민해야 했다.

이에 파고네트웍스의 최우선 미션은 ASEAN 각 국가별로 적합한 파트너 협력사 구축이 필요했다. 다행스럽게도 MDR 서비스에 대한 이해도와 필요성에 대해서 정확히 인지하고 있는 파트너를 만날 수 있었다. 기존 제품 리셀링 및 유지보수만 제공하던 영업방식에서 탈피하고, 명확하며 품질 높은 MDR 서비스를 제공하는 방식으로의 변화를 수용하는 파트너사들과 함께 매우 전략적인 파트너쉽을 체결하고 긴밀하게 협업해 나가고 있다.

■ PAGO MDR 서비스의 차별화 포인트는 무엇인가?

“PAGO MDR, AI Brain + Human Expert Brain을 동시에 제공하는 전략으로 차별화”

MDR 시장은 고객사들에게 이미 많은 혼동을 주고 있다. 주위를 둘러보면 모든 사이버 시큐리티 벤더가 MDR서비스를 제공한다. 마치 과거의 UTM, 차세대 방화벽, XDR 등의 개념이 나왔을 때와 비슷한 현상이다. 그만큼 누구나 다 제공할 수 있는 서비스인 것처럼 보이지만, 결코 만족할 만한 수준의 서비스를 제공하기가 쉽지 않고, 고객사로부터 제대로 된 서비스로 인정을 받는 것도 쉽지 않다.

이번 RSAC 2024에서도 수많은 보안기업이 MDR을 함께 제공한다고 홍보하고, 단독 MDR 벤더 부스도 많이 있는 것을 확인할 수 있었다.

PAGO MDR은 여러 글로벌 보안기업 대비, 명확한 마켓 포지션으로써 “AI Brain + Human Expert Brain”을 동시에 제공하는 전략을 제시한다. 많은 MDR 벤더가 고객사에서 기존에 사용중인 보안솔루션을 그대로 사용하면서 서비스만을 제공하는 방안을 채택하고 있지만, PAGO MDR은 최적의 AI 기반 보안솔루션인 EDR, NDR, XDR을 함께 제공하면서 전문가 그룹의 위협분석, 유효성검증, 위협헌팅, TI 추출/공유 및 위협 커뮤티니 등의 서비스를 동시에 제공하는 것이 차별화 포인트의 시작이다.

■ PAGO MDR이 앞으로 변화해 나가는 방향성은 무엇인가?

“프로세스 기반의 서비스 실행 관점을 ‘통합 MDR 플랫폼 관점’으로 전환시키는 것”

PAGO MDR은 지난 7년간 지능화된 위협에 대한 탐지 및 대응 방법론을 제시해왔고, 고객과 함께 위협 공동대응 협업 프로세스를 꾸준히 정립해 오고 있다.

하지만 고객과의 커뮤니케이션 방법을 포함해서 다양한 위협대응 프로세스와 MDR 보안 모듈들이 하나의 단일 통합 MDR 플랫폼이 아니라, 분산된 단위별 모듈로써 추가되어 왔고, 반수동/반자동으로 서비스를 제공하고 있는 것도 사실이다. 더불어 서비스는 무형의 자산으로 표현되는 사례가 많고, 명확한 서비스 기준 및 활동 내용을 제시하는 것이 쉽지 않은 것도 PAGO MDR이 현재 풀어나가고 있는 부분이다.

이에 2023년 하반기부터 PAGO MDR서비스의 지적재산(IP : Intellectual Property)에 대해서 논의 및 단일 MDR 플랫폼으로 통합하는 가시적인 실행 단계로 나아가고 있다.

PAGO MDR 플랫폼의 목표는 고객이 좀 더 쉽고 능동적으로 PAGO MDR 서비스에 대한 가치를 파악하고, 고도화된 위협에 공동 대응할 수 있도록 하기 위해서 “프로세스 기반의 서비스 실행 관점을 통합 MDR 플랫폼 관점으로 전환”시키는 것이다.

예를 들어, 글로벌 TI 서비스를 구독하는 것을 살펴보자. 이는 마치 과거에 모든 잡지/신문을 구독하는 것과 동일한 내용으로 해석할 수도 있다. 즉, 외부 TI를 참조는 할 수 있으나 현재 우리 기업에서 발생하고 있는 위협에 대한 TI를 직접 생성해 내고 대응할 수 있는가에 대한 관점을 생각해야만 한다. 이런 잡지/신문을 Global Threat View에 비유한다면, PAGO MDR 플랫폼은 Customer Local Threat View에 더 중점을 두면서, 동시에 모든 PAGO 고객사에 실시간 공유할 수 있는 PAGO MDR Community Threat View를 제공하고, 실질적인 위협 탐지 대응 활동에 대한 가시성 및 협업 프로세스를 제공하게 될 것이다.

■ 현재 준비하고 있는 ‘PAGO MDR 플랫폼’의 추가적인 사용 목적도 있는가?

“ASEAN의 모든 파트너사, PAGO MDR 화이트 라밸링 서비스 파트너로 활동”

MDR 서비스의 가치는 “서비스의 결과를 고객사에 어떻게 잘 표현해 줄 수 있는가”에 달려 있다고 본다. 즉 PAGO MDR 플랫폼은 파고 위협분석팀이 제공하고 있는 모든 서비스 활동 내용과 위협 탐지 및 대응 과정들이 일목요연하게 표현되고 고객사에서 실질적인 보안운영센터(SOC–Security Operation Center)의 핵심 모듈로 작동할 것이다.

또 다른 PAGO MDR 플랫폼의 사용 목적은 긴밀한 파트너쉽을 체결한 또 다른 MDR 서비스 사업자가 고객사에 제대로 된 서비스를 제공할 수 있도록 플랫폼을 제공하는 것이다. 즉, 파고네트웍스가 보유한 서비스 방법론과 함께 MDR 플랫폼을 동시에 제공함으로써, PAGO MDR 화이트 라밸링 서비스 파트너 체제를 구축하고자 한다. 이미 ASEAN의 모든 파트너사는 PAGO MDR 화이트 라밸링 서비스 파트너로 활동을 시작하고 있고 이들에게 동일한 서비스 수준을 제공하는 플랫폼으로 활용될 것이다.

■ PAGO MDR이 ASEAN 시장에서 어느 정도로 성장해 나아 갈건지에 대한 기대치가 있는가?

“ASEAN 시장, 3년 내 파고의 한국 비즈니스 규모보다 3배 이상 성장할 것으로 확신”

ASEAN 국가들은 경제성장 측면에서 아주 빠르게 안정화되어 가고 있다. 싱가포르와 말레이시아 뿐만 아니라, 인도네시아, 필리핀, 베트남도 쉽게 체감할 수 있는 수준으로 긍정적인 변화를 해 나가고 있다. 2024년 4월, 글로벌 기업인 마이크로소프트가 인도네시아, 말레이시아, 태국, 베트남 등의 주요 ASEAN 국가를 위해서 클라우드와 AI분야에 엄청난 규모로 투자하겠다고 발표한 것도 동일한 맥락으로 인식해야 한다. 더불어 전반적인 사이버 시큐리티 뿐만 아니라, MDR 서비스에 대한 인식도 크게 변화하고 있는 것을 직접 체감하고 있다.

이에 2024년 1월 PAGO SKO(Sales Kick-Off)에 참여했었고 전체 임직원 대상으로 “만약 파고네트웍스가 ASEAN 비즈니스를 위해 수립한 전략을 제대로 실행한다면, 현재 파고의 한국 비즈니스 규모보다 훨씬 크게 성장할 것으로 확신한다”라고 발표했었다.

굳이 숫자로 보면, PAGO MDR ASEAN 비즈니스가 3년 이내에, 한국 비즈니스보다 3배정도 더 크게 성장하리라 확신한다.

■ RSAC 2024에도 많은 MDR 벤더 부스가 존재하는데, 어떤 부분을 살펴봤나?

“보안 솔루션 기술 자체에 집중하기 보단, 얼마나 더 잘 사용해야 하는가에 대한 인식 변화 체험할 수 있었다”

최근 2~3년간 글로벌 보안 컨퍼런스에 MDR 벤더 부스가 많이 보이는 것은 사이버 시큐리티 서비스 부문에서 큰 변화의 한 축을 담당하고 있다고 본다. 보안 솔루션 기술 자체에 집중하기 보다, 얼마나 더 잘 사용해야 하는가에 대한 인식의 변화를 체험할 수 있는 현장이었다. 대표적인 MDR 벤더는 Expel, eSentire, Kroll, Red Canary, ReliaQuest, CriticalStart, ArticWolf 등이다.

하지만 공통적으로 파악된 부분은 마치 NG-SIEM처럼 플랫폼을 작동시키고, 수집된 수많은 이벤트 중에서 실질적인 위협 이벤트가 무엇이었으며, 얼마나 빨리 조치하기 위한 탐지 대응 활동을 하는지에 중점을 두고 있다는 것이다. 즉, “고객사의 현재 사용중인 모든 IT/보안 솔루션에 변화를 주지 않고, 기존 고객이 도입한 솔루션으로부터 발생되는 모든 이벤트를 수집한 다음에, 위협 탐지 대응 활동을 제공한다”라는 부분이 공통적인 부분이었다. 특히 MTTD(Mean-Time-To-Detect)와 MTTR(Mean-Time-To-Response)에 많이 집중하고 있으며, 이는 다양한 솔루션 기반으로 발생한 이벤트에 대해서 실질적인 위협유효성을 검증하고, 그 이후 각 알람 이벤트에 대한 케이스 클로징에 더 집중하는 듯한 느낌도 받는다.

여기서 한 가지 짚어봐야 할 점은 “과연 고객사의 기존 보안솔루션 체계가 고도화된 지능형 위협을 잘 탐지하고 대응하는 것에 최적화 되어 있는가에 대한 의문점을 던져야 한다는 것이다”. 즉, 무조건 연동되는 솔루션의 범위를 넓히고, 모든 솔루션의 이벤트를 한 곳으로 수집하고, 이를 바탕으로 탐지 대응 활동을 한다는 것은 제대로 된 결과가 보여지지 않을 수도 있다는 생각을 해야 한다.

PAGO MDR 서비스는 고객사 환경에 필요하다면 엔드포인트, 네트워크 및 다른 부문에서도 최적화되고 지능화된 AI기반 보안 솔루션도 함께 제시하면서, 위협 탐지 대응 프로세스를 제공해야 한다는 관점을 유지하고 있다. 즉 최근 몇년간 시장에서 EDR, NDR, XDR이 왜 그토록 오랫동안 다루어져 왔는지도 생각해 보아야만 한다는 측면에서 MDR 시장을 접근하고 있다.

■ 글로벌 MDR 벤더 대비, PAGO MDR 서비스의 차별화 포인트는 무엇이라고 생각하는가?

“탐지 및 대응된 위협으로부터 더 많은 위협 인사이츠 도출…고객사에 공유해 추가적 보안 대응 전략 수립할 수 있도록 지원”

보안 솔루션에서 발생한 알람 이벤트 케이스를 클로징 하는 것도 중요하지만 “이 위협이 어떻게 고객사 인프라스트럭쳐에 도달했고, 위협의 목적은 무엇이며, 만약 막지 못했다면 어떤 상황이 발생했을까”라는 부분을 함께 제공하는 것이 PAGO MDR의 가장 큰 특징이라고 말할 수 있겠다. 이 부분을 위협 인사이츠(Threat Insights)라고 지칭하고 있다. 즉, 탐지 및 대응된 위협으로부터 더 많은 인사이츠를 도출하고 고객사에 공유하여 추가적인 보안 대응 전략을 수립할 수 있도록 지원하는 것을 지향한다.

더불어 보안 솔루션에서 위협이 발생하지 않은 경우에도, 능동적인 위협 헌팅(Threat Hunting) 프로세스를 적용해서 잠재적인 보안사고 발생 가능성을 사전에 단절시키는 역할도 아주 중요한 차별화 포인트이다.

■ MDR 서비스가 글로벌하게 확장하고 있다면, 기존 대형 MSSP 또는 보안 SI 기업들 또한 MDR 시장으로 직접 확장해서 나올 것으로 예상하는데, PAGO MDR의 대응 전략은 무엇인가?

“기존 대형 MSSP 또는 보안 SI 기업들을 경쟁사로 보지 않고 상호 협력할 수 있는 파트너사로 인식”

흥미로운 질문이다. 이와 관련하여 이미 ASEAN 시장에서 MDR 서비스를 제공하고 있는 대형 MSSP와 대형 보안 SI 기업들을 대상으로 PAGO MDR 소개 세션을 여러차례 가지는 기회가 있었다. 놀랍게도 공통적인 피드백은 “PAGO MDR 서비스 방법론은 지금까지 우리가 해결하지 못했던 부분을 직접적으로 실행하고 있다. 협업 방안을 찾아보자”라는 부분이다.

즉, PAGO MDR은 처음부터 차별화되기 위해 노력해 왔고, 꼭 필요하지만 여러가지 여건상 실행하기 힘든 서비스 프로세스를 정착시키기 위해 노력해 왔다. 이에 기존 대형 MSSP 또는 보안 SI 기업들을 경쟁사로 보지 않고, 상호 협력할 수 있는 파트너사로 인식하고 시장에 접근하는 것이 또 다른 방식의 대응 전략이라고 본다. 이미 ASEAN 시장에서 대형 MSSP 파트너사와 함께 실질적인 협업 사례가 나오고 있으며, 더 긍정적인 협업 모델이 만들어 질 것으로 예상한다.

■ PAGO MDR 서비스가 ASEAN 지역에서 확장하기 위해, 각 국가별로 어떻게 위협분석가 등 전문가 인력을 확보하고 있는가?

“위협 탐지 및 대응 프로세스 자동화…MDR 서비스 파트너 교육 프로그램 강화”

첫째, PAGO MDR은 지난 7년간 내부 위협 탐지 및 대응 프로세스 자동화에 많은 투자를 해왔다. 즉 모든 업무를 위협분석가에만 의존하는 것이 아니라는 것이다. 이는 고객수가 실제로 증가하는 비율 대비, 파고네트웍스 위협분석가의 수가 월등히 적음에도 불구하고, PAGO MDR 서비스가 잘 유지되는 것으로써 증명이 되고 있다. 특히 서비스 비즈니스는 확장성이 엄청 중요하기 때문에, 갑자기 고객의 수가 늘거나, 처리해야 할 위협의 숫자가 늘더라도 유연하게 대처할 수 있는 방안이 존재해야 한다. 이런 부분을 대응하기 위해서, PAGO MDR이 내부 프로세스 자동화에 투자하고 있는 근본적인 이유이다.

둘째, ASEAN 국가별로 PAGO MDR 화이트 라벨링 서비스 파트너 체계를 구축했고, 2023년 하반기부터 단순 제품 기술 교육이 아니라 MDR 서비스 파트너 교육 프로그램을 제공하고 있다. 지난 7년간의 경험이 모두 들어가 있는 교육 프로그램이며, ASEAN 파트너사를 위해서 차근히 실행해 나가고 있다.

셋째, ASEAN 국가의 고객들로부터 MDR 서비스에 대한 수요가 더 많아질 것이라는 것을 이미 체험했기 때문에, 영어를 이용한 원활한 지원과 빠른 서비스 지원 체계를 제공하기 위해서 PAGO ASEAN SOC/MDR 센터를 직접 설립하기로 결정했다. 위치는 필리핀으로 결정했으며, 인력들도 모두 필리핀에서 채용될 예정이고 ASEAN PAGO MDR 비즈니스의 중추적인 역할을 담당할 것이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★