[디지털데일리 서정윤 기자] "모든 게 디지털화 되고 있다. 어딜 가든 전부 데이터다. 소프트웨어와 데이터가 무너지면 기업의 근간이 무너진다. 보안은 앞으로 중요해질 수밖에 없다."

기업 IT 시장에 클라우드 서비스가 빠르게 확산되며 클라우드를 기반으로 한 보안도 중요하게 여겨지고 있다. 클라우드 관리 서비스 사업자(MSP)인 베스핀글로벌은 자체 개발한 '옵스나우 시큐리티'를 토대로 클라우드 시대에 대응하고 있다.

지난 12일 서울 강남구에서 만난 정현석 베스핀글로벌 최고보안책임자(CISO)는 클라우드 보안에 있어 가장 중요한 것으로 제로트러스트와 보안 자체의 자동화, 전체적인 정책 강화 등을 꼽았다. 또한 앞으로 클라우드 보안은 서비스형 소프트웨어(SaaS) 형태로 이뤄져야 한다고 강조했다.

정 본부장은 "보안은 180도 변할 것"이라며 "기술도, 정책도, 전문가의 역량도, 툴도 모두 완벽하게 바뀔 것"이라고 밝혔다. 그러면서 "IT 서비스가 클라우드 기반으로 옮겨가는 것처럼 앞으로 클라우드 보안은 더욱 중요해질 것"이라고 덧붙였다.

◆ "클라우드는 언제 어디서나 접속 가능해…보안 정책도 바뀌어야"

클라우드를 기반으로 하는 서비스는 언제 어디서나 접속할 수 있다. 또한 계정이 탈취됐을 때 모든 데이터를 잃을 수 있다는 문제도 있다. 정 본부장은 "예전에는 네트워크만 탈취됐다면 클라우드 기반 서비스는 계정 하나만 탈취돼도 모든 것이 유출될 가능성이 있다"며 "충격의 규모가 훨씬 크다"고 설명했다.

정 본부장은 클라우드를 기반으로 한 서비스는 레거시와는 설계부터 다르기 때문에 완전히 새로운 접근이 필요하다고 설명했다. 정책적인 부분을 세울 때에도 새롭게 접근해야 한다. 정 본부장은 "클라우드 리소스가 레거시에는 존재하지 않는 경우가 50% 이상"이라며 "어떤 기술을 사용할 것인지, 어떤 것을 기준으로 삼고 기술적 보안을 해야 하는지 등을 고민해야 한다"고 말했다.

제로 트러스트의 중요성도 강조했다. 예전에는 외부망은 신뢰하지 않는 구간, 내부망은 신뢰하는 구간으로 설정하는 경우가 많았다. 데이터센터 등이 외부에 위치하게 되며 모든 것을 비신뢰구간처럼 다루는 걸 제로 트러스트라고 말한다. 정 본부장은 "한 번 인증하고 끝나는 게 아니라 계속해서 모든 것들을 검증해야 보안을 강화할 수 있다"고 지적했다.

정 본부장은 "예전에는 보안을 위해 회사 내부에서만 일할 수 있었고, 외근을 할 때에는 새 노트북을 지급받는 식이었다"며 "지금은 회사 내부에서 근무를 하든 외부에서 근무를 하든 제로 트러스트를 통해 똑같은 환경이 제공된다"고 설명했다.

◆ "보안의 SaaS화 트렌드…하반기 글로벌 진출할 것"

베스핀글로벌은 재작년 SaaS 기반 보안 솔루션인 옵스나우 시큐리티를 선보였다. 옵스나우 시큐리티는 벌써 30여 고객사를 확보했다. 옵스나우 시큐리티는 저렴하면서도 사람 손이 많이 가지 않는 보안 툴로 포지셔닝을 잡고 기획됐다. 정 본부장은 "클라우드 보안은 많은 사람이 모르는 영역인 만큼 솔루션을 운영하기 위한 담당자도 많이 필요하다"며 "베스핀글로벌은 MSP가 전신인 만큼 운영에 대한 기본적인 서비스가 포함돼 있어 그런 부분이 편리하다"고 말했다.

옵스나우 시큐리티의 강점으로는 보안의 설정 상태를 보여주는 걸 꼽았다. 사용자는 사전에 설정한 보안 정책 카테고리 중에서 무엇을 어겼는지, 그게 왜 중요한지, 필요한 조치 방법 등을 쉽게 확인할 수 있다. 정 본부장은 "설정 오류가 잘못될 경우 해커들이 계속 스캔하다 그 부분을 공격해 들어갈 수 있다"며 "클라우드 해킹의 80%가 설정 오류에서 발생하는 만큼 보안의 설정 상태를 꼼꼼하게 확인하는 게 중요하다"고 강조했다.

정 본부장은 보안의 SaaS 전환 트렌드가 앞으로 가속화될 거라고 전망했다. 정 본부장은 "보안 업계 대표 행사인 RSA 컨퍼런스에 다녀와 보니 팔로알토 등 현지 유망 보안기업들이 SaaS 솔루션을 중심으로 생태계를 확장하고 있었다"며 "우리 보안기업들도 SaaS 서비스를 내놓으며 함께 뭉쳐야 살아남을 수 있다"고 말했다. RSA의 주제인 '함께할수록 강해진다'(Strong Together)를 벤치마킹해 보안 기업들도 SaaS를 중심으로 함께 뭉쳐야 한다는 설명이다.

베스핀글로벌은 올해 하반기 글로벌 진출을 목표로 삼고 서비스 고도화를 준비 중이다. 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)도 올해 공개를 목표로 개발 중이다. 정 본부장은 "국내 고객들의 니즈와 글로벌 고객들의 니즈가 비슷하다고 생각한다"며 "MSP 기반이라는 강점이 있는 만큼 고객이 직접 운영하는 걸 최소화하고 꼭 필요한 기능만 담은 보안 소프트웨어로 접근할 것"이라고 강조했다.