[2023-06-22] [아이덴티티 관리④] 모든 것을 할 수 있는 권한계정

최소권한 원칙 계정·접근관리로 제로 트러스트 이행사용자·계정 관리 중점 둔 ID 중심 제로 트러스트 솔루션 등장[데이터넷] ‘제로 트러스트의 시작’이라고 하는 아이덴티티는 권한을 부여받을 때 의미가 생긴다. 공격자들은 더 높은 권한을 가진 ID를 탈취해 원하는 공격을 한다.맨디언트가 수행한 레드팀 서비스의 한 사례가 있다. 레드팀 일원이 콜센터에 전화를 해서 자신이 데이터센터 운영을 위한 외주직원이라고 소개한 후 ID를 발급받았다. 이 ID를 갖고 데이터센터에서 출입카드를 받아 들어가 데이터센터 중요 서버에 임의의 코드를 삽입하는데 성공했다. 레드팀은 실제 공격자처럼 행동해 기업·기관의 공격 대응 능력을 확인하는 훈련인데, 맨디언트의 이번 훈련은 외주직원에 대한 통제가 전혀 되지 않고 있다는 사실을 알려준다.콜센터에 전화했을 때, 실제 데이터센터 운영업무를 맡고 있는 기업에서 정식 배정한 사람인지 반드시 확인해야 했으며, 데이터센터에서도 정상 신분으로 ID를 발급받았는지 담당부서와 외주업체에 다시 한 번 확인해야 했다. 데이터센터의 중요 시스템에 접근해 수행할 수 있는 업무 범위는 최소권한 원칙에 따라 정해야 하며, 중요한 시스템 변경은 여러 사람의 확인을 거쳐 수행되도록 해야 하고, 이전에 발생하지 않은 코드 입력은 관리자가 반드시 확인하도록 해야 한다.데이터센터의 중요한 설정을 바꿀 수 있는 권한 사용자가 실수로, 혹은 나쁜 의도를 갖고 주어진 권한 내에서 심각한 리스크가 될 수 있는 변경을 수행했다면, 혹은 권한사용자 계정을 훔친 공격자가 접근했다면 데이터센터 전체가 마비되거나, 가장 중요한 기밀정보가 모두 빠져나가거나, 데이터센터 전체가 공격자의 기지로 사용될 수 있다.모든 것을 할 수 있는 권한계정을 ‘왕국의 열쇠’라고 하는데, 비욘드트러스트의 조사에 따르면 취약점의 90%는 과도한 관리자 권한과 관련 있고, 6%의 기업이 권한있는 액세스를 적절하게 추적하지 못하는 것으로 나타났다.정교하게 계산된 최소권한 원칙 이행PAM은 권한있는 ‘사람’뿐만 아니라 웹 기반 콘솔, RPA에도 부여된다. 특히 클라우드 확산으로 비인간 권한계정이 급증하면서 더욱 중요해지고 있다. 가트너는 PAM 시장이 2025년 27억달러 규모로 성장할 것으로 예상했다.제로 트러스트의 핵심 원칙 중 하나가 ‘최소권한 부여’이며, PAM에서는 특히 더 정교하게 계산된 최소권한 원칙이 지켜져야 한다. 이 때 적시성(JIT)이 매우 중요하며, 기본 차단 상태에서 필요한 때, 필요한 만큼 권한을 부여받아 필요한 시간만큼 접근할 수 있어야 하며, 권한 검증과 허가, 허가되는 권한 범위와 시간은 상황에 따라 자동으로 조절될 수 있어야 한다.퀘스트소프트웨어 원아이덴티티의 PAM 솔루션 ‘세이프가드(Safeguard)’는 안전하고 견고한 패스워드 저장소와 위협 탐지 및 분석기능을 제공하는 세션 관리 및 모니터링 솔루션이 결합된 통합 솔루션으로, 특권 계정 접근을 안전하게 보관, 관리, 기록, 분석한다.이 제품은 정책 기반 배포 제어와 전체 세션 감사와 기록, 재생, 변경관리, 사용자 행위기반 생체인식, VPN 없이도 어디서나 접속할 수 있는 원격접속이 가능하다. 광범위한 프로토콜 지원과 전체 텍스트 검색이 가능하다. 또한 유닉스 루트계정, AD 관리자 계정의 세분화된 위임, SUDO 기업용 전환하는 애드온 등의 기능도 포함된다.▲퀘스트소프트웨어 PAM 솔루션 ‘세이프가드’원아이덴티티는 PAM과 IGA에 탁월한 리더십을 보유하고 있으며, 2021년 IdM 솔루션 원로그인(OneLogin)을 인수해 IAM 기능까지 완성했다. 원로그인은 높은 고객경험을 제공하며, CIAM 역량도 지원할 수 있다. 오픈커넥트, MFA 확장성, ID 주명주기 관리 등이 탁월하다. 가트너의 ‘2022년 PAM 분야 매직쿼드런트’에 원아이덴티티가 리더로, 원로그인이 도전자로 이름을 올리면서 양사 통합 시너지를 낼 수 있을 것으로 기대를 모으고 있다.원아이덴티티 IGA 분야 리더십을 갖고 있으며, 아이덴티티에 대한 거버넌스를 체계적으로 관리한다. IGA는 IT 리소스 전반에서 자동화와 가시성을 개선해 거번너스와 규정 준수 요구사항을 관리하는 솔루션으로, IAM, PAM을 보완하는 개념으로 사용되다가 최근에는 IAM의 전략을 위한 패브릭으로 확장되고 있다. 가트너는 2025년까지 40% 이상 조직이 IGA 분석과 IGA 툴을 ID 패브릭에 통합시킬 것이라고 예측하면서 시장의 주목을 받고 있다.IGA는 클라우드로 성장 기회를 갖게 됐다. 데브옵스 환경에서 개발자와 워크로드 그리고 로봇 등 기계 ID가 늘어나면서 비즈니스 전반의 ID 거버넌스를 관리하는 솔루션의 필요성이 점점 높아지고 있다.포레스터는 고도로 분산된 하이브리드 환경에서 수많은 인간/비인간 계정이 작업을 위해 접근할 때, IT 관리자, 애플리케이션 소유자, 승인자, 요청자, 감사자 등이 이를 확인해야 하는데, 인증과 재인증이 반복돼 복잡성이 훨씬 가중된다고 설명했다. 이와함께 세계 각국의 데이터 주권 강화와 규제준수 요건, 클라우드 ID 거버넌스를 충족시킬 수 있어야 하며, 기업 개별상황과 내부 통제를반영할 수 있는 IGA 솔루션이 필요하다고 설명했다.사용자·기기 관리 통합한 제로 트러스트 솔루션국내 기업이 ID 기반 제로 트러스트 솔루션을 공개해 주목된다. SGA솔루션즈가 지난해 인수한 에스지엔의 계정관리 솔루션을 중심으로 한 ‘SGA ZTA’를 발표했다. SGA ZTA는 미국 NIST SP 800-207을 만족하도록 설계됐으며, 사용자와 기기의 계정을 관리하는 ‘ICAM’을 핵심 엔진으로 한다. 서버보안 기술을 기반으로 한 PAM 게이트웨이 ‘PEP’, 엔터프라이즈 리소스 보호 시스템 ‘ERS’, 정책 지원 포인트 ‘PDP’, SIEM과 보안 시각화, 위협 인텔리전스를 지원하는 PIP 등을 연동한다.ICAM은 에스지엔 계정관리 기술과 SGA솔루션즈의 통합 엔드포인트 관리(UEM)를 결합해 사용자와 기기에 대한 지속적인 검증이 가능하도록 했다. 인사시스템과 연동되는 ICAM은 사용자와 디바이스의 정보를 수집, 업무 리소스에 접근하려는 사용자와 기기의 계정 상태와 권한, 무결성과 보안 정책 지원 여부를 확인하고, 신뢰가 검증된 사용자와 기기만 접근할 수 있게 한다.SGA솔루션즈에서 R&D를 총괄하는 이기욱 상무는 “제로 트러스트 아키텍처를 설계할 때 반드시 고려해야 하는 것이 사용자와 기기를 인사 시스템과 연동해 리스크 기반 관리와 통제가 가능해야 한다는 것”이라며 “신뢰된 내부 네트워크에서만 일하던 기존 접근 방식에서 벗어나 언제, 어디서나 업무할 수 있으며, 다양한 클라우드 활용으로 비즈니스를 유연하게 하기 위해서는 비즈니스 리스크를 기반으로 한 ID 통제가 반드시 이뤄져야 한다”고 말했다. 

2023-06-21

[2023-06-16] SGA·지니언스·프라이빗테크, 제로 트러스트 실증 수행사 선정

SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄이 ‘제로 트러스트 보안 모델 실증 지원사업’ 우선 협상자로 선정됐다.​SGA솔루션즈 컨소시엄은 미국 국립표준기술연구소 제로 트러스트 실증 모델 구현(NIST SP 1800 35)을 목표로 하고 있으며, 프라이빗테크놀로지는 국가 중요 시설 보호에 방점을 찍었다.​한국인터넷진흥원(KISA)은 최근 4개 컨소시엄 대상 발표평가를 마친 뒤, SGA솔루션즈·프라이빗테크놀로지 컨소시엄을 각각 우선협상 대상자로 선정, 원가조사 등 최종 협약을 진행하고 있다.​SGA솔루션즈는 자회사 에스지엔(SGN)을 비롯해 지니언스, 소프트캠프와 컨소시엄을 구성했다. 한 회사, 한 제품으로 제로 트러스트 구현이 어렵기 때문이다. 지니언스, 소프트캠프 등 다른 정보보안회사와 손을 잡고, 제로 트러스트 네트워크 액세스(ZTNA)와 제로 트러스트 액세스(ZTA)를 아우르는 제로 트러스트 아키텍처를 실증할 계획이다. SGA솔루션즈와 SGN이 프레임워크를 잡고, 지니언스가 ZTNA와 애플리케이션 보호를, 소프트캠프가 데이터와 앱 일부를 맡는 구조다.​수요기관도 눈길을 끈다. 게임사 넷마블과 부동산 빅데이터 기업 부동산R114, 삼성전자 1차 밴더 S사, NHN클라우드 등 기업규모와 업종도 다양하다. 중소기업부터 대기업까지, 제조업부터 정보기술(IT)업까지 규모와 업종에 관계 없 제로 트러스트를 구현해보겠다는 목표다.​최영철 SGA솔루션즈 대표는 “NIST가 제시한 모델에 맞춰 제로 트러스트를 구현할 수 있는 컨소시엄”이라면서 “나아가 더 나은 제로 트러스트 모델을 만들겠다”고 말했다.​프라이빗테크는 다른 정보보호 기업을 참여기관으로 두지 않고 한국IoT융합사업협동조합 대표사 타이거컴퍼니와 컨소시엄을 꾸렸다. 프라이빗테크는 네트워크 보안을 제로 트러스트 핵심으로 보고, 공격 표면이 가장 넓은 지점을 우선 관리하겠다는 계획이다.​수요기관으로 개인정보 유출 사고 이후 사이버보안 강화에 나선 LG유플러스가 참여하는 것이 눈에 띈다. LG유플러스는 최근 사이버 보안 전문가인 홍관희 전무를 최고정보보호책임자(CISO)로 영입하는 등 정보보 강화에 힘쓰고 있다. 이번에 제로 트러스트 모델을 기반으로 한 무선 통신망 보호 개선 효과를 실증할 예정이다.​한국지능정보사회진흥원(NIA)와 한국주택금융공사도 컨소시엄에 참여한다. 공공기관의 실증 참여는 프라이빗테크의 차세대 제로 트러스트 통신 솔루션 ‘프라이빗 커넥트(PRIBIT Connect) v2.0’이 국제공통평가기준(CC) 인증(EAL2)을 획득했기 때문에 가능했다. 특히 디지털플랫폼정부 사업 전담기관인 NIA 참여도 의미가 크다는 평가다.​김영랑 프라이빗테크 대표는 “사용자가 집·회사·해외 그 어디에 있든, 인트라넷·무선 통신망 등 어떤 형태의 망을 사용하든 클라우드에 있는 서비스형 소프트웨어(SaaS), 서비스형 데스크톱(DaaS)을 안전하게 사용할 수 있도록 하겠다”면서 “통신사 사고 발생 시 국가 기반 시설의 심각한 위험이 초래하므로 제로 트러스트 모델 구현을 통해 국가 중요 시설을 보호하는 게 목표”라고 말했다.

2023-06-15

[2023-06-15] AI 기술로 표 서식도 읽어준다…보이스아이·유니닥스, 'AI 솔루션' 개발

텍스트를 음성으로 변환하는 기술을 보유하고 있는 보이스아이가 표 서식도 음성으로 변환하는 인공지능(AI) 솔루션 기술 개발에 나서기로 했다고 15일 밝혔다.​보이스아이의 텍스트를 음성으로 변환해주는 기술로 시각장애인 등 정보 소외계층의 정보 전달률이 상당히 높아졌다. 하지만 식단표나 시간표 등 표 서식은 음성지원의 어려움이 있었다. 이를 극복하기 위해 보이스아이는 AI 기술을 보유한 유니닥스와 협력한다는 방침이다.보이스아이와 유니닥스는 정보통신산업진흥원에서 주관하는 AI 바우처 지원사업에 선정돼 오는 10월까지 이번 기술 개발을 위해 협력하기로 했다.​정보통신산업진흥원의 'AI 바우처 지원사업'은 AI 솔루션 적용이 필요한 수요기업에 바우처를 발급하고, 수요기업은 바우처를 활용해 원하는 AI 솔루션 기업의 제품을 활용함으로써 디지털 전환을 촉진하기 위한 사업이다.​보이스아이와 유니닥스는 AI 기술을 이용해 다양한 표 서식의 병합 또는 분할된 행과 열을 일반인이 인식하는 대로 음성 변환용 텍스트를 자동으로 생성하는 '음성변환용 텍스트 생성 AI 솔루션' 개발을 목표하고 있다.이를 위해 보이스아이는 기존 바코드 제품인 보이스아이 메이커 및 응용 소프트웨어를 제공한다. 보이스아이는 이미 음성변환 바코드 시장점유율 90%를 차지하고 있으며 유일하게 조달청에 등록된 기업이어서 기존 고객을 대상으로 한 시장 확대 용이성이 있다는 분석이다.​또 지난 2013년부터 정부 및 공공기관 등 약 480개 사이트의 납품 실적을 통해 다양한 서식을 확보하고 있어 AI 솔루션에 사용할 수 있는 실제 이미지 데이터 등 실증이 가능한 환경을 갖추고 있다.​유니닥스는 인공지능 소프트웨어 기술을 보유해 AI 솔루션 커스터 마이징, 성능테스트 및 인터페이스 연동 등을 수행할 예정이다. 유니닥스는 'ezPDF Capture AI' 제품을 개발하고 있으며 '경북 세계문화유산 서원 메타버스 이미지 및 3D 데이터' 개발, '대용량 손글씨 OCR 데이터' 구축 사업 등 다수의 AI 관련 사업에 참여해 왔다. 특히 ezPDF Capture AI 제품은 지속적인 업그레이드로 최신 제품에 적용이 가능해 기술을 선도할 수 있는 경쟁력이 있다는 분석이다.​정권성 보이스아이 대표는 "이번 과제를 통해 AI 모델 성능을 향상시켜 한글 문서 뿐만 아니라 MS워드 및 기타 편집기에서도 플러그인 방식으로 음성변환 텍스트 생성 기능을 제공해 국내시장뿐 아니라 장애인에 대한 사회적 인식이 높은 미국 및 유럽 시장도 개척할 수 있도록 노력하겠다"고 전했다. 

2023-06-14

[2023-06-14] ‘제로 트러스트 보안’ 실증, SGA솔루션즈·프라이빗테크놀로지가 이끈다

과기부·KISA 발주 사업에 2개 컨소시엄 선정, 제로 트러스트 적용·확산 발판 기대[아이티데일리] 최근 국내 사이버 보안 기업들로부터 높은 관심을 받았던 ‘제로 트러스트 보안 모델 실증 지원’ 사업을 수행할 2개의 컨소시엄이 결정됐다. 이번 사업은 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄이 수행한다. 특히 각 컨소시엄에는 최대 4곳에 달하는 수요기업·기관이 포함돼 있어 국내에서 제로 트러스트 보안 모델을 실제로 적용한 사례가 빠르게 늘어날 것으로 기대된다.본지 취재에 따르면 지난 12일 SGA솔루션즈(대표 최영철)와 프라이빗테크놀로지(대표 김영랑)는 KISA로부터 ‘제로 트러스트 보안 모델 실증 지원’ 사업의 수행사로 선정됐다는 소식을 전달받았다.​해당 실증 사업은 2개 컨소시엄에 각각 5억 원씩, 총 10억 원 규모의 지원이 이뤄지는 작은 사업이다. 그러나 최근 보안 업계의 화두가 되고 있는 제로 트러스트(Zero Trust) 보안 모델을 국내에서 직접 발굴해 실증함으로써 대한민국 사이버 보안 산업의 수준을 한 단계 끌어올리기 위한 발판 역할을 할 수 있을 것으로 기대되며 업계의 주목을 받았다.​(관련기사= ‘제로 트러스트’ 모델 발굴·확산 위해 국내 사이버 보안 기업들 뭉친다)​과학기술정보통신부와 한국인터넷진흥원(KISA)이 발주한 이번 ‘제로 트러스트 보안 모델 실증 지원’ 사업에는 총 4개 컨소시엄이 참여를 신청하며 업계의 높은 관심을 대변했다. 특히 국내 유명 사이버 보안 기업들이 이례적으로 적극적인 협력 의사를 보이며 업계의 화제가 됐다. 이런 협력 시도는 아직 개념적 측면만 강조돼 “마케팅 용어에 불과한 것 아니냐”는 다소 오해 섞인 비판까지 받고 있는 제로 트러스트를 미국보다 앞서서 실증해 내겠다는 각 기업 대표이사와 임원들의 기술 개발 및 국내 보안 산업 발전에 대한 의지가 큰 몫을 한 것으로 알려졌다.​이번 실증 지원 사업에는 △주관사 SGA솔루션즈와 함께 소프트캠프(대표 배환국), 에스지엔(대표 강현모), 지니언스(대표 이동범)가 협력하며 △주관사 프라이빗테크놀로지와 타이거컴퍼니(대표 김범진)가 손잡는 등 총 2개 컨소시엄, 6개 기업이 참여한다. 이와 함께 각 컨소시엄은 제로 트러스트 보안 모델을 시범 적용할 수요기관·기업도 다수 확보한 것으로 파악됐다.​이번 시범사업을 통해서는 △강화된 인증체계 △마이크로 세그멘테이션(Micro-Segmentation) △네트워크 인프라 및 소프트웨어 정의 경계(Software-Defined Perimeter, SDP) 등 3가지 접근방법을 포함하는 보안 모델을 기관·기업의 업무 환경에 실제로 적용하고 보안성 강화 효과를 검증하게 된다.​과기정통부·KISA와 2개 컨소시엄은 이달 말 정식 협약을 체결하고 올해 11월 30일까지 사업을 진행할 예정이다.​SGA솔루션즈 최영철 대표는 “새로운 보안 패러다임으로 대두되고 있는 제로 트러스트를 도입하고자 하는 많은 기업 및 기관들이 고민하고 있는 부분이 ‘적격한 솔루션’을 갖춘 벤더가 부족하다는 것”이라고 설명하고 “이번 실증 사업은 하나의 개별기업이 독자적으로 구축할 수 없는 제로 트러스트 보안 시스템을 국내 보안 기업들이 협업을 이뤄 수행하는 것이다. 이를 통해 미국 국립표준기술연구소(NIST)와 글로벌 보안 기업들이 주도하는 ‘1800-35 ZTA 실증 구현 프로젝트’를 뛰어 넘는 한국형(K) 제로 트러스트 구현에 최선을 다할 것”이라고 강조했다.​

2023-06-13

[2023-05-30] "통합 보안 플랫폼 구축, 영업익 200억 달성 목표"

‘어벤져스 어셈블(Avengers Assemble)’2008년 영화 ‘아이언맨’을 시작으로 11년간 거대한 줄기로 이어진 마블 시네마틱 유니버스(MCU)를 마무리한 영화 ‘어벤져스:엔드게임’에서 캡틴 아메리카가 외친 명대사다. '어셈블'은 모이다, 집합하다 정도의 의미를 가진 대사지만 MCU에서는 단순 의미를 넘어선다. 능력치가 다른 히어로들이 공동의 목적을 달성하기 위해 최후의 전투를 벌인다.고도화되고 강력해진 적을 물리치는데 각각의 능력으로는 한계가 있지만 힘을 모으면 시너지가 난다. 결국 최강의 적 타노스를 물리치고 MCU의 첫 프레이즈(phrase)가 마무리된다. 어벤져스가 직면했던 상황을 국내 사이버 보안 시장에 적용해봤다. 그동안 보안 업체가 각각의 보안 솔루션을 무기로 대응해왔지만 힘에 부친다. 해커들은 고도화되고 더 치밀해지고 있다.특히 ‘코로나19’로 가속화된 디지털 전환 흐름이 사이버 보안 위기를 촉발시켰다. 기업 업무의 편의성이 높아졌지만 그만큼 사이버 보안 위협도 증가했다. 과거에는 백신, 네트워크 보안 등 각각 보안 툴을 운영해 대응이 가능했지만 이제는 쉽지 않다. 통합 보안 플랫폼을 통해 A부터 Z까지 실시간으로 모니터링하고 관리해야 하는 필요성이 커졌다. 보안 업체들이 각각의 보안 솔루션을 통합해 한 방향으로 움직이는 ‘어셈블’이 필요한 때다. 미국, 유럽 등 글로벌 사이버 보안 시장의 흐름이기도하다.국내에는 아직 통합 보안 솔루션을 제공하는 기업이 많지 않지만 눈에 띄는 한 곳이 있다. 바로 SGA솔루션즈다. 국내 업체들이 최근 통합 보안으로 사업 방향을 바꾸는 추세지만 이 곳은 뿌리부터 ‘통합 시큐리티(보안) 플랫폼’ 기업을 내세웠다. 부족한 부분은 M&A를 통해 채웠고 서로가 어셈블 할 수 있게 시너지 작업을 진행하고 있다. SGA솔루션즈의 캡틴 아메리카 역할을 하고 있는 최영철 대표이사(사진)를 만났다.◇시큐리티 통합 플랫폼 구축 목표 의기투합, M&A통해 경쟁력 확보  최영철 대표는 국내 보안 업계에서 잔뼈가 굵은 인물이다. 한국인터넷진흥원(KISA) 출신으로 1999년 제정된 전자서명법 관련 작업을 하고 2000년 설립된 공인인증서 발급 기업 한국정보인증 등에 몸담았다. KISA 근무 당시 직원들과 응용보안 업체 비씨큐어(BCQRE)도 설립했다. 이후 15년 전부터 ‘통합 보안’을 외쳤던 은유진 SGA 회장과 손을 잡고 보안 얼라이언스를 구축했다.최 대표는 “SGA가 ‘Security Global Alliance’의 줄임말로 KISA 출신 보안 기업들이 M&A를 통해 합쳐진 것이 시작이다”며 “2000년 초 IT 보안 붐이 일어나며 많은 분들이 창업을 하고 상장을 했는데 한 동안 어려움을 겪는 시기가 있었다”고 말했다.이어 “은유진 회장을 필두로 보안업에 종사하는 지인들이 주기적으로 모였다”며 “때마침 겹치는 보안 제품이 없었기 때문에 통합 보안 솔루션을 구축하기 위해 2008년 의기투합했다”고 과거를 회상했다.최 대표에 따르면 보안 업체가 상장(IPO)를 한다는 것은 담당 솔루션 분야 1등이라는 의미다. 보안의 영역이 넓고 세분화돼 있는데 각 솔루션별로 1등을 하게 되면 꾸준히 이익 창출이 가능하다. 고객사들은 한번 도입한 보안 솔루션을 큰 이슈가 없는 한 바꾸지 않기 때문이다.캐시카우가 꾸준히 창출된다는 장점이 있지만 적정 수준의 이익 구간을 넘기는 어렵다는 의미다. 보안 분야에서는 몇몇 대기업을 제외하고 다수의 중소 상장사들은 연간 매출 200억~300억, 영업이익 20억~30억원대의 이익을 내는 패턴을 보이고 있다.매출 1000억원이 넘는 보안 대기업들도 영업이익 300억원을 넘기기 어려운 구조다. 대부분 한 가지 보안 분야에 주력하고 있어서다. 오랜기간 적자를 감내하고 미래에 투자해 새로운 보안 기술 분야에 도전할만큼 체력이 강하지도 않은 편이다.최 대표는 “보안 기업의 이익 구조에 대입해보면 한 곳이 30억원의 이익을 내면 6곳의 이익을 합치면 180억원이 된다”며 “혼자하면 100억을 넘는 것이 불가능할 수도 있고 수년이 걸릴 수 있는데 힘을 합치면 단기간내에 성과를 낼 수 있기 때문에 연합 구조를 구축했다”고 배경을 밝혔다.SGA솔루션즈는 2012년 서버 보안 업체인 레드게이트와 합병하면서 현재 사명으로 바꿨고 2015년 코스닥 상장에 성공했다. 상장 이후에도 M&A를 통해 보안 솔루션을 확장하면서 통합 보안 기업으로 전환을 도모했다. 2015년 엔드포인트 전문기업인 ‘바이러스체이서’를, 지난해 시스템 접근통제 솔루션 기업 에스지앤을 인수했다. 바코드 전문기업인 보이스아이 종속 기업 편입도 마쳤다.M&A뿐 아니라 보안 기술 개발도 게을리 하지 않았다. 이를 통해 전방위적인 보안 원천기술과 제품 확보로 변화하는 보안 환경에 선제적으로 대응할 수 있는 통합 보안 체계를 구축했다.최 대표는 “서버 보안 1위로 출발해 보안 분야에 부족한 부분을 M&A를 통해 채웠다”며 “자회사와의 협력을 통해 통합 보안 체계를 구축한 결과물이 최근 출시한 제로 트러스트 신제품 ‘SGA ZTA’이다”고 설명했다.◇보안업 '한계점' 연결 영업익 200억 달성 목표 제시최 대표는 기술의 방향성을 제시하는 역할도 하지만 시큐리티 통합 플랫폼을 고도화하기 위한 M&A 작업도 직접 진두지휘한다. 멀티 플레이어 역할을 하며 바쁜 일정을 보내는 최 대표는 M&A 과정을 일종의 ‘데이트’라고 표현한다.최 대표는 “기업을 인수하는 것이 단순히 회사의 규모를 떠나 이 회사와 코드가 맞는지, 시너지를 낼 수 있는지를 오랜기간 따져보는 과정을 거친다”며 “5~6개월 간 주기적으로 만나고 경영과 기술 철학을 공유하는 과정을 거치며 SGA솔루션즈와 적합한 곳인지를 파악하는 것이 무엇보다 중요하다”고 설명했다.M&A 상대방에 대한 파악이 끝난 후 결단을 내리면 이후 행정절차는 속도감 있게 진행된다. 그동안 쌓인 M&A 노하우 덕분이다. M&A 작업을 마치고 SGA솔루션즈의 팀이 되면 각사의 경쟁력 있는 보안 기술을 기반으로 사업 확장의 방향성을 제시하는 것도 최 대표의 몫이다.최 대표는 “1차적으로는 그 기업이 가진 기술과 제품으로 실적이 잘 날 수 있게 역량을 강화하는 것이고 그 후에는 세일즈 통합 등을 통해 더 나은 영업 실적을 낼 수 있도록 기반을 마련한다”며 “5억원대 이익을 내는 기업이었다면 통합 보안 체계에서 힘을 합친다면 30억원의 이익을 만드는 것은 어렵지 않을 수 있다”고 말했다.그는 “SGA솔루션즈가 앵커로서 앞단에서 사업을 주도하고 자회사들이 각각의 영역을 극대화 시켜서 실적을 내면 보안 업체의 한계로 불리는 영업이익 달성도 단기간내 가능할 것으로 보고있다”고 말했다.통합 보안 솔루션의 중요성을 재차 강조한 최 대표는 “해커들의 공격이 고도화되면서 통합 보안 플랫폼을 구축하는 것은 전 세계적인 트렌드이다”며 “보안 솔루션을 쓰는 고객들의 시각도 바뀌고 있기 때문에 SGA솔루션즈의 앞을 내다본 전략이 주목받는 시기가 곧 올 것이라 예상하고 있다”고 말했다.최 대표는 “통합 보안 플랫폼을 확장하는데 시너지를 낼 수 곳이 있다면 추가적인 M&A를 진행할 수도 있다”며 “기술 개발 R&D 선순환 구조가 구축되고 자회사 상장 등을 통해 연결 재무제표 영업이익 200억원 달성이 목표인데, 달성 시기를 앞당기기 위해 노력하고 있다"고 마무리했다.

2023-05-29