글로벌 클라우드 서비스 업체들의 국내 진출이 줄을 잇는 가운데, 순수 클라우드 네이티브 보안전문성을 강조한 아쿠아 시큐리티(Aqua Security) 역시 한국을 아시아태평양 지역 비즈니스 주요 거점으로 삼고 CNAPP 시장 공략을 본격화 했다.
지난해 한국 지사를 설립한 아쿠아 시큐리티는 2015년 설립됐다. 클라우드 네이티브 보안 플랫폼 즉 씨냅(CNAPP, Cloud Native Application Protection Platform) 시장을 개척한 회사로 알려져 있다. 우리나라에서는 지난해 지사를 설립한 후 금융, 공공, 이커머스 분야의 고객을 빠르게 확보하며 시장 영향력을 높여가고 있다.
15일 방한한 드로 다비도프(Dror Davidoff) 아쿠아 시큐리티 공동창업자 겸 CEO는 “세계 각국의 기업들이 클라우드로 가면서 앱을 현대화하는 기회로도 클라우드 이전 과정을 활용하고 있다”며 “그에 따른 클라우드 네이티브 기술 적용, 오픈소스 사용의 폭발적인 증가 등의 과정에 유독 ‘보안’은 뒤쳐지고 있다”고 설명하며 자사가 새롭게 선보이는 서비스형 소프트웨어(SaaS) 솔루션 ‘아쿠아 CNAPP 플랫폼’을 소개했다.
아쿠아 시큐리티에 따르면 ‘아쿠아 CNAPP 플랫폼’은 클라우드 네이티브 환경에서 생성, 배포, 실행, 운영되는 자산과 인프라 대한 리스크의 우선순위를 정의하고 예방, 탐지, 대응 라이프사이클을 자동화한다. 또한 코드 리포지토리 보안, IaC(Infrastructure as Code) 보안, 오케스트레이터 보안, CNDR(Cloud Native Detection & Response) 등 전체 파이프라인과 생명주기를 커버하는 모니터링, 통제 기능를 제공함으로 비지니스 생산성을 향상시키는 보안체계 수립과 제로트러스트 기반의 워크로드 무결성을 제공한다.
빠르게 진행되는 클라우드 전환, 대응은?
코로나19로 각 기업 및 기관의 클라우드 전환 속도가 빨라지고 있다. 문제는 공격표면(Attack Surface)이 확장되고 취약점도 급격히 늘어나고 있다는 점이다. 최근 조사에 따르면 글로벌 보안 사고 중 클라우드 기반 환경에서 발생 비중은 약 79%를 차지하고 있다. 21%에 해당하는 온프레미스 환경 발생 비율에 비해 4배가까운 수치다. 이는 다르게 해석하면 대세는 이제 온프레미스를 벗어나 클라우드 환경으로 이동하고 있다는 의미도 된다.
특히 최근 보안과 관련해 언급되는 문제들은 온프레미스(On-premise) 환경에 적용한 보안 솔루션을 클라우드 환경에 적용했을 때 나타나는 문제들이다. 디지털 네이티브 기업의 경우는 예외지만, 클라우드 전환 등으로 DT(디지털 트랜스포메이션)을 진행하고 있는 전통적인 기업들의 경우 이러한 문제를 해결하는데 골머리를 앓는 경우가 적지 않다.
다비도프 CEO는 “온프레미스의 보안에 적용한 것을 클라우드에 그대로 적용할 수 없다”며 “이러한 상황은 위기라 할 수 있지만 한편으로 보안을 그 어느 때보다 강력하게 할 수 있는 기회”라고 강조했다.
왜 아시아태평양, 그 중에서도 한국인가?
그렇다면 아쿠아 시큐리티가 이렇듯 한국 시장에 공을 들이는 이유는 뭘까?
다비도프 CEO는 “본격적인 글로벌 확장을 시도하면서 주목한 것은 클라우드 도입이 가장 빠르게 진행되는 지역이었다”며 “아시아태평양권에서는 한국을 비롯해 싱가폴, 호주의 클라우드 도입과 성숙도가 가장 빠르게 진행되고 있었다”며 한국 지사 설립 배경을 설명했다.
또한 다비도프 CEO는 “특히 한국시장은 아쿠아 시큐리티가 가장 강점을 가진 클라우드 네이티브 기술 도입이 가장 활발했고, AWS, 구글을 비롯해 로컬 CSP도 빠르게 성장하고 있다는 점도 매력적이었다”고 강조했다. 이러한 아쿠아 시큐리티의 한국 시장에 대한 관심은 자사의 CNAPP 플랫폼을 한국의 규제 요건에 맞추는 것으로도 확인할 수 있다.
다비도프 CEO의 방한에 맞춰 선보인 ‘아쿠아 CNAPP 플랫폼’은 클라우드 네이티브 애플리케이션을 보호하고, 클라우드 네이티브 공격을 차단하도록 설계된 아쿠아 고유의 포괄적인 보안 툴이다. 특히 이 솔루션은 한국 정부가 규정하고 있는 컴플라이언스 요건의 이행점검을 수행한다. 한국 정부는 정보통신망법과 개인정보보호법에 의거해 정보보호를 위한 일련의 조치와 활동을 인증하는 ISMS-P(정보보호관리체계)를 운영하고 있다. ISMS-P는 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 인증을 주관하고 있다.
뿐만 아니라 아쿠아 시큐리티의 ‘아쿠아 CNAPP플랫폼’은 금융보안원의 가이드도 지원하고 있다. 금융권 고유의 컴플라이언스도 점검할 수 있다. 금융보안원은 민법 제32조에 의거해 금융권의 보안 전담기구 역할을 하기 위해 만들어진 비영리사단법인으로, 금융위원회 주도로 금융권 사이버 위협정보를 원활하게 공유하고 금융보안을 전담하기 위해 기존 금융결제원의 은행ISAC, 코스콤의 증권ISAC, 금융보안연구원을 통합해 만든 기관이다.
아쿠아 시큐리티는 이에 더해 CSAP(클라우드 보안인증) 컴플라이언스도 곧 지원할 예정이다. CSAP란 KISA가 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’ 제23조 제2항에 근거해 마련한 제도로, 클라우드 서비스 제공자가 제공하는 서비스에 대해 정보보호 기준의 준수 여부를 인증기관이 확인 및 평가해 인증을 제공함으로써 이용자들이 안심하고 클라우드 서비스를 이용할 수 있게 해주는 제도다.
다비도프 CEO는 “한국의 고도화된 클라우드 보안 규범 준수를 위해 많은 투자를 했다”고 밝히며 “한국 시장에 대한 단기적인 접근 보다는 생태계를 구축하고 함께 성장하는 긴 여정의 파트너로 생각하고 있기 때문”고 덧붙였다.
원스톱 솔루션의 장점은 문맥분석을 통한 일관된 보안이 가능하다는 것
아쿠아 시큐리티는 이번 국내 시장의 ‘아쿠아 CNAPP 플랫폼’ 출시를 계기로 국내 시장에 맞게 현지화 작업을 진행해 국내 공공, 금융 및 기타 규제산업에 속하는 기업들이 원활한 서비스 이용을 할 수 있도록 기술과 서비스를 지원할 방침이다. 또 국내 CSP(클라우드 서비스 제공사업자)에 대한 통합용 플러그인 개발 등 국산 클라우드에 대한 지원도 병행할 계획이다.
이러한 지원은 한국의 금융, 정부 및 공공분야, 이커머스 분야를 집중적으로 개척하겠다는 아쿠아 시큐리티의 의지를 엿볼 수 있게 한다. 특히 아쿠아 시큐리티는 이커머스 산업에 대해 클라우드에서 서비스를 하고 있는 고객사의 사업 특성에 맞게 서비스 품질을 제고하는 것에 주력한다는 계획이다.
한편 이날 자리를 함께한 이은옥 아쿠아 시큐리티 한국 지사장은 ‘모든 것을 다 지원한다’는 원스톱 보안 솔루션이 오히려 독이 될 수도 있다는 지적에 대해 자사 기술이 포함하는 ‘문맥분석’의 특징을 설명하기도 했다.
“전통적인 환경에서는 독이 될 수 있다는 말이 맞습니다. 그래서 포인트 솔루션을 많이 사용해 온 것이죠. 다만 클라우드는 완전히 다른 환경이기 때문에 포인트 솔루션을 사용하는 것이 오히려 독이 된다고 할 수 있어요. 각 포인트 솔루션 마다 DB나 판단 기준이 다른 상황에서는 한쪽 구간에서 위험으로 판단해도 다른 구간에서는 위험으로 판단하지 않을 수 있거든요. 이러한 상황에서 ‘아쿠아 CNAPP 프랫폼’의 어플리케이션 컨텍스트, 즉 문맥분석은 각 구간의 흐름을 파악하며 일관된 보안이 가능하다는 거죠.”
한편 행사 말미 다비도프 CEO는 “과거의 보안은 방화벽 백신 등으로 차단하고 보호하고 가드를 치는 형태의 정적인 형태였다면 빠르게 변화하는 클라우드 환경에서 보안은 동적이라는 특징이 있다"라며 "물을 의미하는 아쿠아(Aqua)가 클라우드 보안을 상징하는 의미로 적합하다고 판단했다"고 아쿠아 시큐리티라는 기업 명에 얽힌 스토리를 털어 놨다.
소셜댓글