전체메뉴

완벽한 제로 트러스트 아키텍처 솔루션

SGA ZTA

국내외 제로트러스트 가이드라인 원칙에 완벽하게 부합하는 디지털 대전환 시대의 새로운 보안 패러다임

클라우드 서버 워크로드 보호에 최적화된 보안 플랫폼

vAegis

Anti-Malware부터 Host IPS까지 최적의 클라우드 통합 보안,
어떠한 IT 인프라 환경에서도 기존 온프레미스 환경 수준의 강력한 보안과 통합적인 가시성을 제공합니다.

차세대 통합 보안 플랫폼

Next Generation Security
Platform Provider

SGA솔루션즈만의 통합보안 원천기술을 기반으로 온프레미스 환경은 물론
클라우드 환경까지 고려한 최적의 차세대 통합 보안 플랫폼을 제공합니다.

WHAT WE DO

SGA솔루션즈는 시스템 · 클라우드 · 엔드포인트 · 보안 시각화 · 응용 · 제로 트러스트 등의 통합보안 기술을 보유한
차세대 통합 보안 솔루션 전문 기업으로 최신 보안 위협에 대응이 가능합니다.

System & Cloud Security

시스템 & 클라우드 보안

국내 시장 점유율 1위의 서버보안 솔루션 뿐만 아니라
클라우드 보안 시장을 커버할 수 있는 신제품 및 기술 확장으로
시장의 트렌드에 맞는 기술과 솔루션 기반의 사업 영역을 선도합니다.

자세히보기
Next Generation Security & Security Visualization

차세대 보안 & 보안 시각화

사용자 관점의 보안을 아우르면서 새로운 보안 위협을
끊임 없이 연구하고 분석함으로써 미래의 보안 위협을 식별합니다.
진보된 보안 위협에 대비하여 사전 대응할 수 있는 방안을 제시하는
차세대 보안 모델을 정립하고 있습니다.

자세히보기
Application Security

응용 보안

다양한 인증방법을 지원하는 생체 및 통합 인증 솔루션 및
블록체인 솔루션으로 국내 및 국제 기술 트렌드에 맞추어
적극적이고 효율적인 트렌드 대응 맞춤형 솔루션을
시장에 공급하고 있습니다.

자세히보기
Zero Trust Security

제로 트러스트 보안

전통적인 경계 보안 모델의 한계점을 극복하기 위해
근본적으로 신뢰하지 않는 보안 전략인 제로트러스트로
지속적으로 검증하고 평가하며, 지능형 보안 위협을 동적인
접근제어로 엔터프라이즈 리소스를 보호합니다.

자세히보기

NEWS ROOM

에스지에이솔루션즈의 다양한 소식을 지금 만나보세요.

[2025-05-06] SGA그룹, 창립 22주년 맞아 'SGA 3.0' 비전 선포
은유진 SGA그룹 회장이 지난달 30일 서울 양재동 엘타워에서 'SGA 3.0' 시대 개막을 선언하고 있다. SGA 제공SGA그룹이 창립 22주년을 맞아 기념식을 개최하고 'SGA 3.0' 비전 선포와 함께 고객 중심 전략을 기반으로 한 경쟁력 강화 단계별 이행안을 공개했다.은유진 SGA그룹 회장은 지난달 30일 서울 양재동 엘타워에서 임직원 300여명이 참석한 가운데 기념식을 열고 'SGA 3.0' 시대 개막을 선언했다. 이번 행사는 지난해 본사를 경기도 의왕으로 이전한 이후 열린 첫 공식 행사다.SGA그룹은 설립부터 2008년 코스닥 상장까지를 'SGA 1.0', 이후 보안 솔루션 다각화와 2015년 SGA솔루션즈의 상장까지를 'SGA 2.0'으로 구분해왔다. 새롭게 선포된 'SGA 3.0'은 고객 중심 전략을 토대로 산업별 맞춤형 보안 체계를 강화하는 것이 핵심이다.이를 위해 그룹은 '테리토리 영업' 전략을 도입한다. 공공, 민수, 금융 등 산업별 특화된 60여명의 전문 영업 인력을 배치해 53개에 달하는 그룹 내 보안 솔루션을 제공하는 방식이다. 빠르게 고도화되는 지능형 사이버 범죄에 대응하기 위해 산업 특성에 맞춘 보안 체계를 구축하겠다는 방침이다.또한 교육 정보화 사업을 통해 축적한 시스템 통합(SI) 역량과 계열사의 보안 기술을 기반으로, 국가 망 분리 보안체계(N2SF), 제로 트러스트 등 차세대 보안 시장 선점에도 속도를 낼 계획이다.은 회장은 "SGA그룹은 지난 22년간 축적한 우수한 기술력과 경험을 바탕으로, 변화하는 IT 시장에 선제 대응을 위한 영업 전략과 그룹 전체 역량 통합을 통해 'SGA 3.0' 시대를 열 것"이라며 "각 계열사 간 전문성을 연계해 고객의 특성과 니즈에 맞춘 통합 보안을 제공함으로써 차세대 보안 시장 리더로 도약을 위해 적극 지원하겠다"고 말했다.
2025-05-12 보도자료 자세히보기
[2025-04-30] [인터뷰] "복잡한 제로 트러스트 구현, 첫걸음은 SGA와 함께"
SGA솔루션즈 보안기술 컨설팅 총괄 김광훈 전무[아이티데일리] 과학기술정보통신부가 제로 트러스트(Zero Trust) 가이드라인 1.0을 낸 지 2년여가 지났다. 그 사이 제로 트러스트는 사이버보안에 관심 있는 사람은 물론 IT 업계에 종사하는 사람들 모두에게 익숙한 용어가 됐다. 하지만 확산세는 아직 더디다. 도입을 원하는 곳은 많으나 어디서부터 시작해야 할지 감을 잡지 못하는 상황이다. 솔루션 한두 개만으로는 완성되는 것이 아니기에 장기적인 전략 없이는 첫걸음부터 어려움을 겪기 쉽다.SGA솔루션즈는 제로 트러스트 구현의 길라잡이가 되고자 올해 초 보안기술 컨설팅 센터를 신설하고 김광훈 전무를 영입했다. 글로벌 컨설팅 펌을 거쳐 한국, 일본에서 최고정보보호책임자(CISO)를 역임한 김 전무는 컨설팅 센터를 이끌며 제로 트러스트 전략을 제시하는 역할을 맡는다. 국내 기업·기관이 제로 트러스트를 구현하는 데 느끼는 어려움은 무엇인지, 그리고 SGA솔루션즈가 어떤 해결책을 제시하는지 김광훈 전무를 만나 들어봤다.SGA솔루션즈 보안기술 컨설팅 총괄 김광훈 전무신기술 출현으로 한계 드러낸 경계 보안오래전부터 IT 보안은 내부망과 외부망 사이의 경계에 집중했다. 중요한 정보와 인프라는 내부망이라는 성안에 넣어두고 그 주변을 성벽으로 둘러서 위협으로부터 보호했다. 정보를 찾기 위해 드나드는 사람을 위한 문만을 열어뒀고, 보안 솔루션은 이 문을 지키는 문지기 역할을 했다. 신원이 확실한 이들만 성안을 오가며 내부 시스템에 접근할 수 있도록 허용했다. 이러한 체계를 ‘경계 보안 모델’이라 일컬었다.기술이 발전하면서 경계 보안 모델은 한계를 드러냈다. 첫째, 한 번 내부에 침투하면 중요 서비스, 인프라, 데이터가 모두 노출됐다. 문지기가 아무리 보안을 강화한다 한들 경계를 일단 넘어서면 공격자는 많은 일을 할 수 있었다. 만약 성벽을 통과할 수 있는 내부자가 공격 행위에 공모한다면 손쓸 도리가 없었다.둘째, 문이 여러 곳에 만들어졌다. 기업들은 경쟁력 확보를 위해 인공지능(AI), 클라우드 등 신기술을 도입했는데, 이 기술들은 외부와 이어져야 사용할 수 있었다. 클라우드는 외부 인프라에 접근해야 했고, AI 역시 내부에 구축하지 않는다면 API 등으로 업체들이 개발한 모델·서비스와 연결해야 했다. 문이 늘어날수록 성안을 지키는 일은 까다로워졌다.차세대 전략 ‘제로 트러스트’…“접근은 단계적으로”경계 보안 모델의 대안으로 등장한 보안 전략이 ‘제로 트러스트’다. 위협이 언제 어디서나 발생할 수 있다는 전제 아래 요건을 갖추지 않은 사용자·기기가 데이터, 서버 등 자원(Resource)에 접근하지 못하도록 제한하는 구조로 이뤄진다. 이를 위해 모든 데이터, 인프라를 별개 자원으로 분리·보호하며 신뢰도 평가, 지속적 인증, 세밀한 권한 부여 등으로 인증 과정을 강화한다.제로 트러스트는 더 높은 보안 수준을 갖추기 위한 방법론이다. 한 가지 보안 솔루션으로 만들어지지 않으며 몇 가지 핵심 원칙을 갖춘 ‘아키텍처’를 토대로 조직 프로세스, 시스템, 문화를 변화시켜야 한다. 미국 표준기술연구소(NIST)는 SP 800-207을 통해 7개 사상과 3가지 접근법을 제시했다. 우리나라 과학기술정보통신부 가이드라인에서는 △인증 체계 강화 △마이크로 세그멘테이션 △소프트웨어 정의 경계(SDP) 등을 구현 핵심 원칙으로 소개했다.아키텍처는 제로 트러스트를 구현하는 청사진일 뿐 정답이 아니다. 제시된 핵심 원칙을 지키는 방법은 기업, 기관이 처한 상황에 따라 제각기 다르다. 어떤 곳은 인증 체계는 잘 갖췄으나 자원 간 경계 세분화가 충분치 않고, 또 다른 곳은 SDP를 구현했어도 사용자 신뢰도를 검증하는 솔루션을 마련하지 못했을 수 있다.SGA솔루션즈 김광훈 전무는 제로 트러스트를 도입하기 위해선 그 개념을 이해하고, 이를 바탕으로 내부 시스템과 프로세스를 점검하는 단계가 선행돼야 한다고 강조한다. 그런 뒤에야 주어진 환경에서 한 단계 더 개선된 보안 모델을 수립하고, 나아가 제로 트러스트를 완성할 수 있다는 지적이다.“제로 트러스트 도입 위해선 현황 분석이 우선”Q. 제로 트러스트가 전 세계적 보안 트렌드가 된 계기는.“제로 트러스트는 경계 기반 모델에 대한 의심으로부터 시작됐다. 여기에 가장 큰 영향을 미친 요소는 코로나19였다. 코로나19가 대유행하던 시기, 감염을 막기 위해 재택근무가 전 세계에 확산했다. 직원들은 사무실이 아닌 여러 장소에서 업무를 처리했고, 이를 위해 기업들은 급히 가상사설망(VPN) 장비를 마련했다. 직원이 어디서 접속하든 내부망을 안전히 보호할 수 있는 시스템이 필요해졌다.”“보안 전문가들은 일련의 비상사태 겪으며 우리가 회복탄력성을 갖추지 못한 체계 안에 놓여 있다는 사실을 깨달았다. 해커들은 외부에 노출된 VPN을 주된 공격 표적으로 삼았고, 안전성이 검증되지 않은 기기는 악성코드가 유입되는 경로가 되고 말았다. 그 시기쯤부터 미국, 영국, 일본 등지에서 제로 트러스트를 강조하는 목소리가 커지기 시작했다. 다만 한국에는 그 정도로 반향이 일지는 못했다.”Q. 해외에 비해 국내에서 제로 트러스트 확산이 더뎠던 이유는.“해외와 한국은 보안을 바라보는 관점이 다소 다르다. 해외는 ‘자율 보안’이 중심이다. 정부에서 원칙이나 기준을 제시하지만, 이를 지키는 방식까지 세세히 정하진 않는다. 이건 기업과 기관의 몫이다. 내부 환경을 점검하고 스스로 적절한 체계를 마련해야 한다. 정부는 여기에 개입하지 않는다. 대신 잘못으로 인해 사고가 발생한다면 이에 대한 막중한 책임을 묻는다.”“반면 한국은 규제를 중심으로 보안 체계가 구성된다. 정보통신망법, 개인정보보호법, 전자금융감독규정처럼 보안을 위해 필요한 조치를 상세히 지시한 법이나 규정을 만들고, 기업과 기관에 이를 준수하라고 요구한다. 기업들은 이를 지키는 데만 해도 어려움을 느끼며, 규정을 준수하기 위해 적지 않은 비용을 소모한다.”“코로나19로 빠른 변화를 겪으며 기존 보안 체계를 의심한 국내 기업도 있었을 것이다. 하지만 이들은 이미 규정을 지키기 위해 큰 비용을 치렀기 때문에 변화에 소극적일 수밖에 없었다. 더군다나 제로 트러스트를 구현하기 위해 보안 체계를 새롭게 구성한다 한들 기업이 얻을 이익도 명확하지 않았다. 이러한 환경 차이가 해외에 비해 제로 트러스트가 국내에 늦게 알려진 이유가 됐다고 생각한다.”Q. 국내에서 제로 트러스트의 인지도는 어떤지.“우리나라도 정부가 2023년 ‘제로 트러스트 가이드라인 1.0’를 내놓으며 그 이름이 알려지기 시작했다. 이제 많은 사람이 ‘신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’는 제로 트러스트의 기본 원칙은 알고 있다. 하지만 그에 뒤따르는 개념에 대한 이해 수준은 아직 부족하다.”제로 트러스트는 여러 솔루션을 복합적으로 연계함으로써 완성되는 체계로, 구축하는 데 시간이 걸릴 수밖에 없다. 구조 전반을 이해해야 도입 절차를 마련하고 단계별로 해야 하는 일을 정리할 수 있다. 하지만 국내 기업과 기관은 이 정도 수준에 이르렀다고 보긴 어렵다. 여전히 솔루션 한두 가지로 해결할 수 있는 문제로 여기는 경향이 있다.”Q. 도입을 원하는 기업·기관이 제일 먼저 해야 할 일은.“현황 파악이 첫째다. 제로 트러스트 가이드라인은 기업망 핵심 요소를 △식별자·신원 △기기 및 엔드포인트 △네트워크 △시스템 △애플리케이션 및 워크로드 △데이터 등 6가지로 구분한다. 이를 기준으로 기업 및 기관은 다뤄야 할 보안 대상과 그 수준을 확인한다. 그 다음 현 상황과 가이드라인이 제시하는 4단계 성숙도 모델을 비교함으로써 전략을 수립하고, 단계별로 추진하는 방향을 설정한다.”“하지만 기업이 제로 트러스트를 위한 준비 과정을 자체적으로 해결하기는 쉽지 않다. SGA솔루션즈와 같은 전문 보안 기업이 이를 뒷받침해야 한다. 컨설팅은 주어진 시간 내에 가치 있는 정보를 끌어내 제시하고 방향성을 잡아야 하기에 전문성이 중요하다. SGA솔루션즈는 제로 트러스트를 화두로 수년 동안 사업을 해왔기 때문에 내부적으로 기술 이해도가 높다. 올해 보안기술 컨설팅 센터를 신설하는 과정에서 전문화된 도구도 마련했다. 또 제로 트러스트를 위해 필요한 솔루션을 두루 갖추고 있어 실제 구현 방안까지 제시할 수 있다.”김광훈 전무는 제로 트러스트 구현을 위해선 현황 파악을 바탕으로 한 장기적 접근이 중요함을 강조했다.N²SF와 제로 트러스트, 둘을 잇는 ‘오버레이’지난 1월 말 국가정보원은 새로운 ‘국가 망 보안 체계(N²SF)’를 위한 가이드라인 초안을 공개했다. N²SF는 망 분리 완화와 관련이 있다. 우리나라는 2006년부터 국가·공공기관을 대상으로 망 분리 정책을 시행했다. 민감 정보를 다루는 내부망과 외부망을 분리함으로써 사이버 위협을 원천 차단하기 위해서였다. 하지만 망분리 정책은 시스템을 인터넷과 단절시켜 클라우드, AI 등 최신 IT 기술을 도입하는 데 애로사항이 있었고, 이를 개선하고자 국정원은 N²SF를 만들었다.N²SF는 정부 전산망과 다루는 정보를 중요도에 따라 △기밀(Classfied, C) △민감(Sensitive, S) △공개(Open, O) 등급으로 분류한다. 등급별로 통제 항목을 차등 적용함으로써 보안은 지키되 데이터 공유는 활성화하는 구조다.관건은 ‘위치-주체-객체’ 모델링이다. 모든 요소가 C등급에 해당한다면 전과 같은 망 분리 체계를 유지한다. 하지만 전산망(위치)과 업무용 단말(주체)은 S등급인데 생성형 AI 서비스(객체)가 O등급일 경우 문제가 생긴다. 시스템이 S등급과 O등급에 걸친 형태이기에 위협이 발생한 가능성이 있기 때문이다. 기관에서는 각 요소의 등급을 평가하고, 파악된 취약 지점을 보완하는 대책을 마련하는 일까지 진행해야 한다.보안 업계에서는 N²SF와 제로 트러스트를 연결하려는 시도가 이어지고 있다. 두 개념은 업무 중요도에 따라 보안 통제 항목을 차등 적용한다는 지점에서 맞닿아 있다. 하지만 본래 취지, 통제 항목을 비롯한 세부 내용에 차이가 있기 때문에 둘을 동일한 내용으로 이해하면 오히려 혼선을 빚을 수 있다. 이런 이유로 N²SF와 제로 트러스트를 잇는 연결고리로 ‘오버레이(Overlay)’가 떠오르고 있다.“풀스택 제품군 ‘SGA ZTA’로 유기적 체계 구현”Q. N²SF와 제로 트러스트 간 관계를 어떻게 이해해야 하는가.“단순히 말해 N²SF는 특정한 시스템이고 제로 트러스트는 보안성 높은 체계를 세우는 전략이다. N²SF 구현이 곧 제로 트러스트에 해당하지는 않는다. 하지만 반대로 제로 트러스트를 도입함으로써 N²SF를 충족하는 체계를 수립할 수는 있다. 그리고 이를 가능케 하는 지점이 오버레이다. 오버레이는 여러 컴플라이언스 간 정합성을 발견하는 방법이다.”“오버레이에 관해서는 미국 국방부(DoD) 사례가 널리 알려져 있다. 미국 국방부는 2022년 제로 트러스트 전략을 발표하고, 2027년까지 완전히 구현하는 것을 목표로 하고 있다. 그런데 미국에는 NIST SP 800-53에 기반한 위험 관리 프레임워크(RMF)가 이미 존재했다. N²SF처럼 중요도에 따라 시스템과 조직에 등급을 부여하고 통제 항목을 요구하는 체계였다. 국방부는 RMF와 제로 트러스트를 한 번에 해결하는 방법으로 오버레이를 고안했고 이를 문서로 만들어 증명했다. 국내에서도 위 사례처럼 오버레이를 통해 N²SF와 제로 트러스트를 동시에 충족하는 길을 찾을 수 있다.”Q. SGA솔루션즈에서 제시하는 ‘오버레이’ 전략은.“SGA솔루션즈는 오버레이로 N²SF와 제로 트러스트 간 공통 분모를 찾는 데 그치지 않는다. 컨설팅은 현황 분석과 방향 설정뿐 아니라 대안을 제시하는 일까지 이어져야 한다. 이를 위해 N²SF, 제로 트러스트 그리고 우리 솔루션까지 삼중으로 오버레이를 진행한다. 기관에서는 N²SF를 제로 트러스트로 어떻게 충족하고, 나아가 이를 어떤 솔루션으로 구현하는지까지 확인할 수 있다.”“기존에 쓰던 보안 솔루션이 요건을 충족한다면 그대로 쓸 수 있다. 전체 아키텍처 구성에 부족한 점이 있다면 SGA솔루션즈에서 해결 방안을 제시한다. 특히 SGA솔루션즈는 2023년 제로 트러스트에 필요한 솔루션 제품군을 풀스택(Full-Stack)으로 담아낸 ‘SGA ZTA(Zero Trust Architecture)’를 출시했다. 제로 트러스트는 솔루션 간 유기적인 체계가 중요하다. SGA솔루션즈는 SGA ZTA로 제로 트러스트 요소별 주요 기능을 구현했으며 부족한 요소에 대해서도 협력할 파트너사를 확보했다. 컨설팅부터 시작해 제로 트러스트를 완성하는 데까지 뒷받침할 전문 역량을 갖췄다고 자부한다.”Q. 우리나라에 제로 트러스트가 정착하기 위해 필요한 부분은.“정부에서 제로 트러스트 도입을 법제화할 수도 있다. 법으로 규정한다면 단기적으로는 제로 트러스트가 활성화되는 토양이 생기고 보안 시장이 성장하는 성과를 거둘 수 있다. 그러나 결국 규정을 지키기 위해 특정 솔루션을 찾아다니던 과거 모습을 답습하게 될 것이다.”“제로 트러스트는 내부 상황을 점검하고 개선 방안을 모색함으로써 점진적으로 발전해 나가는 자율 보안 체계다. 이를 구현하려면 기업과 기관이 스스로 나서서 자신들만의 방법, 전략을 세워야 한다. 따라서 법제화보다는 조직이 새로운 보안 체계를 추구하도록 독려하는 정책이 더 적합하다. 가령 제로 트러스트를 구현한 기업에 세제 혜택이나 가산점을 제공하는 부양책이 한 가지 대안일 수 있다.”“기업 차원에서는 제로 트러스트 전략을 장기적으로 바라볼 필요가 있다. 제로 트러스트는 쉽게 해결할 수 있는 문제가 아니다. 현재 상황을 면밀히 파악하고 단계적으로 접근해야 한다. 전사 차원에서 시작하지 않고 일부 부서에 제로 트러스트를 구현해 성과를 확인한 다음 이를 다른 부서로 점차 확산해야 한다.”“컨설팅 과정에서 기업 내부를 들여다보면 이미 어느 정도 보안 솔루션을 갖추고 있는 곳이 많다. 이를 연계하고 고도화함으로써 보안 수준을 높이지 못했을 따름이다. 다만 그 과정은 꾸준한 노력이 뒷받침돼야 한다. 며칠 운동하고 식습관을 조금 바꾼다고 건강해질 수 없듯 제로 트러스트 역시 솔루션 몇 개 바꾸고 프로세스 개선한다고 이룰 수 있는 것이 아니다. 끈기 있는 노력으로 제로 트러스트를 완성한 우수 사례를 국내에서도 만날 수 있길 바란다. SGA솔루션즈는 그 걸음걸음을 곁에서 함께 하겠다.”SGA ZTA 솔루션 맵 (출처=SGA솔루션즈)
2025-05-12 보도자료 자세히보기