우리는 어쩌면 보안 환경의 대 격변기를 살고 있는지도 모른다. 클라우드와 같은 새로운 IT 인프라스트럭처의 등장과 급격한 확산으로 전체적인 보안 환경, 그리고 기술에도 커다란 변화가 일고 있다.
보안의 최근 화두는 단연 ‘제로 트러스트(Zero Trust)’다. ‘신뢰하지 않고 검증한다(Never Trust, Always Verify)’는 원칙에 사람과 디바이스, 애플리케이션과 서비스, 계정 등 모든 것을 신뢰하지 않고, 검증된 요소만 인프라에 접속할 수 있는 권한을 부여하는 개념이다. 제로 트러스트는 기실 클라우드로 인해 기업 IT 인프라의 내외부 경계가 무너지면서 중요성이 높아진 보안 전략이다.
하지만 제로 트러스트는 한 두가지 보안 기술이나 솔루션으로 해결할 수 없는 수많은 보안 요소들을 통합적으로 구성해야 하는 문제가 있어 보안 담당자를 혼란에 빠트리고 있다. 각국 정부에서도 이러한 문제의 심각성을 인지하고 2020년 미국 국립표준기술연구소 NIST(National Institute of Standards and Technology)에서 NIST SP 800-207 'ZTA(Zero Trust Architecture)'를 공개했으며, 이는 전세계적으로 제로 트러스트 전략 기준으로 자리매김하고 있다.
국내에서도 2022년 10월에 과학기술정보통신부 주관 '제로 트러스트 포럼'을 발족해 한국형 제로 트러스트 보안의 제도적, 기술적 방향성을 수립해, 2023년 7월 국내 환경에 맞춘 ‘제로트러스트 가이드라인 1.0’을 발표했다. 제로 트러스트 가이드라인 1.0은 제로 트러스트의 기본개념과 보안원리, 제로 트러스트 보안모델의 핵심원칙 및 접근제어원리, 도입계획 수립을 위한 세부절차와 도입 참조모델 등을 제시하고 있다.
그러나 제로 트러스트 보안을 도입하고자 하는 많은 조직들이 고민하고 있는 부분은 적격한 제로 트러스트 보안 솔루션을 갖춘 벤더가 부족한 상황이라는 점이다. 특히 제로 트러스트 보안은 특정 한두가지 솔루션으로 구현할 수 있는 것이 아닌, 통합된 보안 전략과 프레임워크가 필요하다는 점에서 도입하려는 기업들의 어려움을 가중시키고 있다.
클라우드 도입이 다른 나라에 비해 느렸던 만큼, 이를 보상이라도 하듯 빠르게 확산되고 있는 상황에서 클라우드 보안, 그리고 제로 트러스트 보안에 대한 수요 또한 급격하게 증가하고 있다. 그러나 이를 충족시켜 줄 수 있는 솔루션은 너무도 부족한 상황이다.
그래서인지 보안 분야에서 20년 넘게 시스템 보안에서부터 엔드포인트 보안, 인증과 애플리케이션 보안 등 다양한 보안 기술을 갖춘 SGA솔루션즈가 주목받고 있다. 굵직 굵직한 공공 보안 사업을 성료하면서 그야말로 보안 풀 스택 기술로 클라우드 보안과 제로 트러스트 보안 시장을 적극 확장하고 있는 SGA솔루션즈의 저력을 살펴봤다.
인수합병 통한 기술과 솔루션 확보로 통합 보안 완성
SGA솔루션즈는 2003년 설립된 스캐니글로벌을 중심으로 2008년부터 레드게이트, 비씨큐어, 센트리솔루션, 뉴테크웨이브, 이오시스템 등을 차례대로 인수합병을 진행했다. 이 과정에서 각자의 영역에서 기술력을 쌓아온 IT 보안 회사들이 모여 글로벌 얼라이언스를 만들어 보자는 의미에서 ‘Security Global Alliance’의 약자인 ‘SGA솔루션즈’라는 이름으로 탄생하게 됐다.
SGA솔루션즈는 2000년도에 설립된 비씨큐어와 2002년도에 설립된 레드게이트가 2012년 합병되면서 골격을 갖추게 됐으며, 당시에는 ‘레드비씨’라는 사명을 사용했으나, 2015년 코스닥 상장을 준비하면서 현재 이름인 SGA솔루션즈로 사명을 변경했다.
SGA솔루션즈는 ‘시스템 & 클라우드 보안’, 엔드포인트 & 차세대 보안’, ‘애플리케이션 보안’ 등 각 보안 영역별로 원천 기술을 확보하고, 각 영역에 다양한 보안 솔루션을 보유하고 있는 IT 통합보안 솔루션 기업으로 자리매김하고 있다.
설립 후 22년 동안 다양한 분야의 보안 기술을 통합하면서 솔루션 스택을 차근 차근 쌓아오면서 최근에는 주목받고 있는 클라우드 보안과 제로 트러스트 보안 트렌드에 초점을 맞추고 명실공히 통합보안 체계를 견고히 다지고 있다. 이런 이유로 SGA솔루션즈가 내건 '국내 최고의 IT 통합보안 솔루션 기업' 목표는 머지 않아 보인다.
IT 보안은 크게 엔드포인트 보안, 네트워크 보안, 시스템 보안, 보안 관제, 애플리케이션 보안과 같은 5개 유형으로 분류되며, 지금까지의 보안 솔루션 기업들은 각 영역별로 전문화된 1~2개의 보안 제품을 개발, 판매하는 방식으로 발전해 왔다. 그러나 최근에는 세계적으로 보안 기업들이 가능한 전체 보안 영역을 모두 아우르는 통합 솔루션 형태를 갖추기 위한 노력을 시도하고 있다. 이 때문에 많은 글로벌 IT 보안 기업들이 자신에게 부족한 영역의 기업을 인수하거나 협력을 통해 모든 영역에 대한 보안을 제공할 수 있는 통합 보안 기업의 형태로 발전해 나가고 있다.
최영철 SGA솔루션즈 부회장은 “SGA솔루션즈는 여러 차례 인수합병을 통해 다양한 영역의 기술력을 확보할 수 있었으며, 이렇게 확보한 기술을 이용해 통합 보안 솔루션 체계를 구축하고 IT 통합 보안 전문기업으로 자리매김하고 있다”고 말한다.
SGA솔루션즈 2015년 코스닥에 상장한 이후 지속적으로 사업을 확대해 왔으며, 2016년도에는 액시스인베스트먼트라는 금융회사를 자회사로 설립해 금융위원회로부터 신기술금융사업자 인가를 받았다. 2018년에는 음성변환 바코드 기업 보이스아이를 인수하는 등 사업 영역을 확장하고 있으며, 2022년에는 시스템 접근통제 기업인 에스지앤을 인수해 최근 급부상하고 있는 보안 이슈인 제로 트러스트 기반 핵심 기술을 확보하는 등 차세대 보안 기술과 솔루션 확보하면서 미래 사업 기회를 확보하고 통합보안 솔루션 제품군을 강화해 나가고 있다.
최영철 SGA솔루션즈 부회장
최 부회장은 “2020년부터 클라우드 보안, 제로 트러스트 보안이라는 신규 사업분야를 신성장 동력으로 정하고 이에 대한 과감한 연구개발을 진행해 왔다. 이와 함께 관련 기술력과 솔루션을 확보해 나가면서 적극적인 시장 공략에 나서고 있다”고 말한다.
그렇다고 SGA솔루션즈가 모든 기술을 인수합병만으로 확보하고 있는 것은 아니다. SGA솔루션즈의 전체 임직원 220여명 중 연구 인력이 90여명으로 전체의 40%를 차지하고 있다. 무엇보다 적극적인 R&D 투자가 진입 장벽이 높은 새로운 기술 분야에서도 경쟁력을 갖춘 솔루션을 선보인 배경이 됐다.
시스템 보안에서 클라우드 보안에 이르는 폭넓은 기술력
SGA솔루션즈의 제로 트러스트 보안 솔루션은 시스템 보안, 클라우드 보안, 엔드포인트 보안, 차세대 보안, 시스템 보안 게이트웨이, 응용 보안, 보안 시각화 등으로 영역별로 구분돼 있으며, 이런 모든 솔루션이 통합적으로 제로 트러스트 보안 솔루션을 구성한다.
우선 시스템 보안(서버 보안) 영역에는 서버 보안 제품인 레드캐슬(RedCastle)이 있으며, 이 제품은 현재 SGA솔루션즈의 전체 매출이익의 70%를 차지하는 핵심 제품이다.
엔드포인트 보안 영역에서는 백신 제품인 바이러스체이서(VirusChaser)와 패치 관리 시스템인 패치체이서(PatchChaser) 제품 등을 보유하고 있으며, 백신에 AI 기술을 적용한 바이러스체이서10 AI 제품을 출시하고, 엔드포인트 보안 사업의 재도약과 활성화를 위해 관련 사업을 2023년 4월 SGA이피에스(EPS)라는 자회사로 독립시켰다.
응용 보안(Application Security) 관련해서는 문서위변조방지 솔루션인 트러스트서트(TrustCert), 생체인증 FIDO 솔루션인 트러스트파이도(TrustFIDO), 블록체인 솔루션 루트체인(RootChain), 그리고 최근 모바일 신분증 솔루션의 상품화를 진행 중이다.
문서위변조방지 솔루션은 정부24 주민등록등초본 인터넷증명발급 시스템에 적용된 솔루션으로, 2023년 5월 이 사업을 자회사인 보이스아이로 지재권과 사업권 양수도를 진행해, 현재는 보이스아이가 관련 사업을 진행하고 있다.
FIDO 솔루션은 이미 2~3년 전에 시장이 과포화 상태에 이르렀지만, 제로 트러스트 전략를 추진하는데 있어 MFA(Multi-Factor Authentication)가 필수적인 요소이기 때문에, SGA ZTA 제로 트러스트 솔루션에서 중요 역할을 하고 있다.
블록체인 솔루션인 RootChain은 3년간의 연구개발 끝에 만든 스마트 컨트랙트와 토큰 생성을 위한 블록체인 플랫폼이다. 우리나라에서는 아직 각종 규제로 인해 시장 규모가 크지 않지만, 2023년 금융위원회가 토큰증권(STO)의 제도화를 공식화하면서 SGA솔루션즈도 STO 플랫폼을 준비 중에 있다.
클라우드 보안 영역은 2019년부터 SGA솔루션의의 기반 기술을 모두 통합해 새롭게 재구성하고 있는 분야다. 2022년초 VM(가상머신) 보안을 위한 브이이지스(vAegis)를 출시했으며, 올해 하반기에는 컨테이너 보안을 위한 씨이지스(cAegis)를 출시할 예정다.
브이이지스는 CWPP(Cloud Workload Protection Platform) 제품군으로 클라우드 애플리케이션 워크로드를 보호하기 위한 솔루션으로 워크로드에 대한 가시성 확보와 공격에 대한 방어를 목적으로 하는 솔루션이다. 한편 컨테이너 보안 솔루션은 클라우드 네이티브 환경에서 각각의 마이크로서비스를 제공하는 컨테이너에 대한 보안을 제공하는 솔루션이다.
SGA솔루션즈는 제로 트러스트 보안 영역에서 활발한 활동을 펼치고 있다. 지난 7월 한국인터넷진흥원에서 ‘제로트러스트 가이드라인 1.0’을 발표하면서 많은 기업들이 제로 트러스트 솔루션을 선보이고 있지만, NIST SP 800-207 ‘Zero Trust Architecture’ 가이드라인에 부합하는 제로 트러스트 솔루션을 찾는 것은 쉽지 않다.
SGA솔루션즈는 2021년부터 과기정통부의 제로 트러스트 연구과제를 수행하면서 약 2년간의 연구개발을 거쳐 지난 5월 사용자와 디바이스, 사용자 계정과 권한 관리, 엔터프라이즈 자원과 시스템 보호에 이르는 광범위한 영역을 포괄하는 ‘풀스택 SGA ZTA(Zero Trust Architecture)’를 출시하고 본격적으로 시장 공략에 나서고 있다.
클라우드와 제로 트러스트 등 새로운 보안 분야에 적극 투자
SGA솔루션즈는 현재 500개의 고객사에게 다양한 보안 솔루션을 공급하고 있으며, 과거에는 자사 보안 제품의 증설 형태로 영업을 확대해 왔다. 2~3년 전부터 보안 환경의 변화에 대응하기 위해 클라우드 보안과 제로 트러스트 보안 등 새로운 보안 기술에 대한 투자를 진행해 관련 기술을 확보하고 새로운 시장을 열어 나가고 있다.
날로 고객 요구도 급변하고 있는 상황에 대해 최 부회장은 “국내 클라우드 시장 규모가 5조원에 육박하고 있으며, SGA솔루션즈도 클라우드 서버 워크로드 보호에 최적화된 CWPP 제품인 ‘브이이지스’를 출시하고 씨이지스 등 새로운 솔루션을 확보해 나가고 있는 중”이라며, “최근 보안 트렌드가 급격히 변화하고 있는 시점에서 SGA솔루션즈가 새로운 시장을 선점하고 경쟁력을 확보해 나가기 위해 새로운 기술 분야에 적극 투자를 진행하고 있다.”고 말한다.
이런 투자는 SGA솔루션즈의 기존 고객들에게 새로운 시대에 맞는 보안 환경을 조성할 수 있는 신규 제품군의 확충은 물론, 보안 관련 기술지원과 컨설팅 등 다양한 사업을 강화할 수 있는 기반이 되고 있다.
보안이 모든 산업에서 가장 우선 순위인 만큼 경쟁도 뜨겁다. 치열한 시장을 주도하기 위한 향후 계획에 대해 최 부회장은 “제로 트러스트, 그리고 클라우드 보안과 관련해, SGA솔루션즈는 지난 6월 과기정통부와 KISA가 공동으로 주관하는 ‘제로 트러스트 보안 모델 실증 지원’ 사업 계약을 체결했다.”며, “이 사업으로 SGA솔루션즈는 IT 보안 업체들이 서로 협력할 수 있는 제로 트러스트 보안 프레임워크를 구축하고 각 업체들의 IT 보안 솔루션이 서로 연동할 수 있는 플랫폼을 만들고자 한다.”고 포부를 밝혔다.
그는 아직은 초기 시장을 형성하고 있는 제로 트러스트와 클라우드 보안 분야에서 한발 앞선 기술 개발과 제품화, 그리고 풀스택 제로 트러스트 솔루션으로 SGA솔루션즈가 통합보안 시장 선두로 우뚝 서겠다고 다짐했다.