8일 오후 서울 종로 SK서린빌딩에서 ‘IT현안 설명회’에서 문병기 SK인포섹 시큐리티 비즈니스 아키텍처(Security Biz. Architecture)팀장이 발표를 하고 있다. <사진=SK>

보안시스템 선택부터, 운영·관리까지 책임

클라우드 사용자엔 '희소식'...기술 부족시엔 양날의 검 될 수도

[위클리오늘=김성현기자] SK엔포섹이 클라우드 종합 보안 서비스 사업자로 변신을 선언했다. 클라우드 서비스 사업자(CSP)와 사용자 중간에서 보안관제, 위협 인텔리전스, SECaaS, 컨설팅 등 클라우드 보안에 필요한 모든 기능을 플랫폼 기반 서비스로 제공한다는 전략이다.

SK인포섹은 8일 오후 서울 종로 SK서린빌딩에서 ‘IT현안 설명회’를 열고 이 같은 내용을 밝혔다.

클라우드란 데이터를 인터넷과 연결된 중앙컴퓨터에 저장해서 인터넷 접속만으로 시간·장소에 구애받지 않고 데이터를 이용할 수 있는 기술을 말한다.

시장 조사기관 IDG에 따르면 올해 국내 기업의 39%가 클라우드를 사용하고 있으며 74%가 도입을 검토하고 있다.

클라우드를 사용하는 기업 중에서도 82%는 복수(Multi)의 클라우드를 사용하는 것으로 나타났다. 여기에 클라우드 도입대상도 웹 서버 등 IT시스템 일부로만 한정되었던 것에서 기간계 시스템, 제조·서비스 산업 분야의 OT(Operational Technology) 시스템까지 확대되고 있다.

국내 클라우드 시장은 2018년 2조원 이상으로 성장 될 것으로 예측되고 있다. 그럼에도 기업들이 선뜻 클라우드 도입을 망설이는 이유는 ‘보안 리크스’ 때문이다.

이날 발표를 맡은 문병기 SK인포섹 시큐리티 비즈니스 아키텍처(Security Biz. Architecture)팀장은 “클라우드 서비스 사업자마다 사용자와 보안에 대한 역할과 책임을 나누고 있는데, 해당 클라우드의 IaaS(인프라), PaaS(플랫폼), SaaS(소프트웨어)마다 사용자의 보안 책임 범위가 어디까지인지를 우선 고민해야 한다”며 “자체구축(On-premise) 환경과 마찬가지로 클라우드에서도 시스템 도입부터 운영, 관리까지 보안에 대한 전문성이 매우 중요해지고 있다”고 말했다.

기업들이 보안 서비스 사업을 망설이는 가장 큰 이유는 바로 ‘책임범위’ 때문이다. 어떤 기술도 100%를 장담할 수 없기 때문에 보안 리스크는 서비스 제공 기업과 사용자 모두에게 불안요소다.

국내 인터넷뱅킹 시스템에서 다수의 보안 프로그램을 설치해야 하는 이유기도 하다. 책임을 분산해 사고 발생 시 각 사가지는 책임을 최소화 시키기 위해서다.

그럼에도 SK인포섹은 클라우드 보안에 관해서는 운영·관리까지 한다는 전략을 내세웠다.

현재 클라우드 보안을 위해 주로 사용하는 보안 모델은 SECaaS(Security as a Service)다. SECaaS는 클라우드 기반으로 보안 솔루션을 제공하는 것을 말한다.

클라우드를 사용하는 기업이 클라우드에서 제공하는 보안 솔루션을 필요한 만큼만 구매해 서비스 받는 방식으로 비용 절감의 효과가 크다. 또 최신의 보안 패치를 일관되게 업데이트 받을 수 있다.

다만 복수의 클라우드를 사용하거나 주요 시스템을 클라우드로 전환할 경우, 사용자가 여러 보안솔루션을 직접 고려하고 선택해야 한다는 불편함이 있다.

이에 SK인포섹은 CASB(Cloud Access Security Broker, 클라우드 접근 보안 브로커)를 클라우드 종합 보안 서비스로 확장한 모델에 주목했다.

CASB는 CSP와 사용자 중간에 위치해 클라우드 보안 전반을 책임지는 것을 말한다. CASB는 가시성(Visibility), 법규준수(Compliance), 데이터 보안(Data Security), 위협 방지(Threat Protection) 등을 클라우드 보안의 중요한 요소로 보고, 이에 필요한 각각의 보안 기능을 서비스한다.

SK인포섹은 CASB를 ‘플랫폼’ 기반 서비스로 제공한다는 계획이다. 기존의 CASB는 암호화, 접근통제, 데이터 손실방지, 이상행위 탐지 등 클라우드 보안에 필요한 기능을 묶은 솔루션을 서비스하는 방식이 주를 이루고 있다.

이에 반해 SK인포섹이 추진하는 CASB는 클라우드 환경에 필요한 보안 플랫폼을 구성해 각각의 솔루션을 담고, 보안관제 플랫폼 ‘시큐디움’과 위협 인텔리전스 데이터 베이스를 연동해 실시간으로 위협을 차단하는 방안이다.

CASB를 플랫폼 방식으로 서비스 할 경우에 사용자가 복수의 클라우드를 이용하더라도 하나의 플랫폼으로 통합된 보안 서비스를 받을 수 있는 장점이 있다. 여기에 보안 컨설팅 서비스를 부가적으로 제공하여 클라우드 도입 단계부터 운영, 관리, 컴플라이언스 준수까지 클라우드 보안에 필요한 A부터 Z까지 원스톱 서비스를 제공한다는 계획이다.

사용자는 하나의 플랫폼을 사용함으로 직접 보안서비스 선택 등을 고려해야하는 불편함도 사라지고 사후 보안 문제에 대한 책임문제도 SK인포섹에 전가시킬 수 있게 된다.

SK인포섹의 이번 사업 계획은 사용자 입장에서는 희소식이다. 문제는 향후 SK인포섹이 내놓은 CASB플랫폼이 얼마나 보안에 전문화 됐느냐다.

무리한 사업계획으로 자칫 양날의 검이 될 수 있다는 우려의 목소리도 나오고 있다.

문병기 팀장은 “SK인포섹은 다른 CASB사업자와 다르게 보안관제와 컨설팅, 그리고 위협 인텔리전스를 제공해 고객의 클라우드 보안운영 및 관리에 대한 고민을 한번에 해결할 수 있다”면서 “고객이 클라우드 환경에서 보안에 대한 어려움 없이 비즈니스 안정성에 집중할 수 있도록 완벽한 CASB 서비스를 내놓을 계획”이라고 말했다.

저작권자 © 위클리오늘 무단전재 및 재배포 금지