"업무영역 보안취약성은 늘었지만 클라우드는 도입해야 하는 상황이다. 기업의 '섀도(Shadow) 클라우드'를 줄이고 허가된 클라우드를 용도에 맞게 잘 쓰고 있는지 컨트롤할 수 있게 해줘야 한다. 그런 캐스비(CASB)를 준비해 왔고, 국내서 검증받아 일본으로 다시 나갈 생각이다."
정보유출방지(DLP) 솔루션 전문업체 워터월시스템즈의 이종성 대표는 최근 지디넷코리아와의 인터뷰에서 이같이 말했다. 업무환경에 클라우드서비스 도입이나 인프라 활용이 불가피해졌다는 판단에 따라, 기업이 클라우드 영역에 가시성과 통제력을 갖추게 하겠다는 계획이다.
워터월시스템즈는 2001년 4월 설립된 약 50명 규모 18년차 DLP전문업체다. DLP는 임직원의 실수, 고의, 해킹 등으로 기업 자산인 내부정보가 유출되지 않도록 막는 유형의 보안솔루션을 가리킨다. 900개 조직 8만3천대 PC 유저를 고객으로 확보하고 있다.
이 대표는 인터뷰에서 IT관리자가 인지하지 못하는 '섀도IT' 영역 중에서도 클라우드의 업무 활용도가 높기에 그 가시성과 통제력을 제공해야 한다고 지적했다. 즉 클라우드 영역의 '그림자'를 걷어내고, 기존 DLP의 보안 효과를 자체 인프라에서 클라우드로 넓히겠다는 구상이다.
그가 말한 CASB는 '클라우드 접근 보안 브로커'란 조어의 약칭이다. DLP의 외연을 확장해 허가된 클라우드를 쓰게 하고 로그를 남기는 수단으로 언급됐다. 최근 글로벌 업체도 인증, 암호화 기능, 보안정책을 클라우드 환경에 제공하는 수단으로 CASB를 내세우는 추세다.
이 대표에게 던진 질문과 그의 답변을 아래 정리했다.
- 병렬처리분야 박사과정 중 보안업계 들어온 걸로 아는데, 연결고리가 뭐였는지 궁금하다
"당시 특허사무소 일을 좀 도와준 일이 있었다. 지적재산 보호해야 하는 전문직 분야였다. 박사과정 논문 자체는 인공지능(AI) 기반 침입탐지시스템(IDS)을 갖고 연구해 썼지만 그건 상업화하기 어렵다는 결론으로 갔다. 다만 지적재산권과 정보보호의 연관성을 고민하게 됐다.
IDS 분야도 정상행위 모델링으로 비정상을 찾아내는 기술인데, 그 관점에서 내부시스템 정보가 정상으로 돌지 않을 때, 외부 유출시 비정상 행위를 찾아 대응하는 기술이 필요하겠다 생각했다. 그래서 내부정보유출 문제에 관심을 갖고 발을 들이게 됐다."
- 18년 된 회사의 주력 사업과 현황을 간단히 표현한다면
"큰 맥락에서 DLP가 관심사다. 중요한 내부 정보가 외부의 허가되지 않은 사람에 의해, 혹은 허가된 사람에 의해 악용되는 것을 어떻게 막을 것이냐는 관점으로 제품을 기획한다. 이를 용이하게 하는 기능과 제품은 다양하다. 어떤 기능을 구현하느냐에 따라 다양한 제품이 된다.
(편집자 주: 워터월시스템즈는 2001년 '워터월 DLP', 2003년 워터월 v2.1 패키지, 2005년 WW스토리지, 2006년 WW스캔, 2008년 WW SAS, 2011년 워터월 v4.0, 2014년 워터월 v5.0 패키지, 2017년 WW PIS 별도판매 제품, 2018년 보안USB 및 워터월 어플라이언스를 출시해 왔다.)
핵심은 내부 정보 유출을 고민하는 회사의 요구에 대응하고 프로세스를 정립하는 것이다. 그런 관점에서 제품을 만들고, 기능을 추가하고, 서비스를 제공한다. 그렇게 18년간 사업하면서 50명 가량 규모가 됐다. 매년 이익을 내고 있다. 고객은 900곳, PC유저 수로는 8만3천이다."
- 지금 새롭게 준비하는 제품은 뭐가 있는지
"그간 보안은 사용자 행동을 막는, 통제하는 게 많았다. 내부 인프라에서는 업무환경에 지장 없이 편의성을 극대화하는 정책을 써 왔지만, 인터넷으로는 자료 출력이나 프린트시 로그를 남겨야 했다. 허가를 받거나. 국내 법인, 공공기관에서 퍼블릭 클라우드 서비스를 쓰지 못하게 했다. 개발자는 데이터를 공유하고 협업하려면 그런 걸 쓸 수밖에 없는 상황도 있지만 그럼에도 막고 있는 경우가 있다.
내년 바라보면서 올해 캐스비(CASB)를 준비해 왔다. 클라우드 사용이 대세가 된 시점이니만큼 허가된 클라우드를 쓰게 하고, (사용이력) 로그를 남겨서 보안을 강화하는 개념의 솔루션이다. (기업 자체 인프라만 대응했던) 기존 DLP의 외연을 확장하는 성격이다. 간단히 말해 섀도IT 안에서 섀도 클라우드를 줄이고 어떤 허가된 클라우드를 용도에 맞게 잘 쓰고 있는지 컨트롤할 수 있게 해준다는 것이다."
- 올해 성과와 글로벌 트렌드, 내년 이후 준비는
"실적면에서 올해 3분기까지는 지난해보다 좀 더 나은 수준이었다. 다만 목표치에는 약간 못 미친다. 연말까지 상황을 더 봐야 한다. 목표달성 가능성을 '반반' 정도로 보고 있다. 그리고 내년 이후 신규 고객 확보와 900여곳의 기존 고객 요구 대응 2가지를 염두에 두고 있다.
DLP는 엔드포인트인 PC와 단말 설치 제품이 일반적이라, 익숙해진 뒤 바꾸기 어렵다는 게 특징이다. 기존 고객에겐 보안취약성이 늘고 망분리를 해야 하지만 동시에 클라우드를 도입해야 하는, 그런 환경 변화가 있다. 그에 맞는 모듈을 개발해 업그레이드하는 비즈니스를 한다.
또 하나는 이미 설명한 CASB다. 이건 당초 국내를 넘어 일본시장을 생각했다. 다만 현지에서 CASB 솔루션의 서비스 모델이 아직 확립되지 않았다. 국내 시장에서 검증받고, 안착된 모델로 일본에서 서비스할 계획이다. 현지 업체와 협력하며 진행상황을 공유 중이다."
- 글로벌비즈니스 비중은 얼마나 되나
"아직 글로벌비즈니스랄 게 없다. 해외 사업장 매출은 발생하고 있지만 대부분은 국내기업의 해외 브랜치(지사)에서 들어오는 것이다. 최근 4~5년새 신규 (해외) 채널을 마련한 사례는 없다. 과거 일본에 있었는데, 기술지원이나 요구사항 대응 등 제약으로 유지하기 어려웠다.
일본 사업을 많이 접고, 체력을 더 길러 서비스하기로 했다. 작년 5월부터 재개를 준비하고 있었다. 우리가 직접 시장을 개척하기보단 현지 시장과 고객을 보유한 채널을 통해 우리 제품을 서비스하는 형태의 모델로 접근하고 있다."
- 일본에서 해외 비즈니스 재도전이라고 표현할 수 있을까
"그렇다. NHK에서 과거 어떤 기업 업무환경을 촬영해 방송했는데, 우리가 쓰는 제품 관련 내용이 보도되기도 했다. 내부보안 이슈는 일본도 마찬가지고, 어디에나 존재한다. 어떻게 그 나라 기업과 문화에 맞게 서비스하느냐가 관건이다. 잘 맞춰 준비해야겠다는 생각이다."
- 국내 시장 안에서 내년 이후 대응하려는 부분은
"근로기준법 개정에 따른 변화에 대응하는 '워라밸' 관련 제품도 내년 고객사에 적극 제안할 예정이다. 직원들의 근로시간을 준수하게 하고 컨트롤할 수 있게 하는 제품(ww워라밸)으로 만들었다. 회사 내부 자산 보호의 맥락뿐아니라 그걸 운영하는 직원을 보호한다는 차원에서다.
- 보안 시장이 규제위주로 형성된 측면이 있는데 앞으로 바뀔 여지가 있을까
"국내엔 우리 제품을 개인정보보호 컴플라이언스 이슈때문에 구매하는 고객이 많다. (문제 발생시 개인정보 보유한 곳의 조치가) 얼마나 성실하게 돼 있었느냐가 처벌 수준을 달리 하기 때문이다. 금융권 외에도 자산운용사 등 유저수 자체는 크지 않은 곳도 포함된다.
어떤 조치를 해 두지 않으면 법적으로 문제가 된다, 이런 사실 때문에 그간 보안이란 걸 계속 비용이라 생각하는 경향이 있었다. 좀 자율적으로 했으면 좋겠다. 공포심때문이 아니라 투자라 생각하고 제품을 도입했으면 한다."
- 내부 보안을 투자로 봐야 하는 관점을 제시한다면
관련기사
- 워터월시스템즈, 개인정보보호제품 GS인증획득2018.11.27
- 워터월시스템즈, 커뮤닉아시아서 클라우드DLP 시연2018.11.27
- 워터월시스템즈 DLP솔루션, 맥OS까지 지원2018.11.27
- "특기 살릴까, 보폭 넓힐까"…보안업계 올해 전략은2018.11.27
"요즘 직원들의 이직이 많고 기업들이 그들이 다뤄 왔던 중요 자산의 취급에 민감해 한다. 이직한 직원이 중요 정보를 이용한 것 같다 보고 소송하기도 하지 않나. 실제 그런 유혹도 있고. 내부 보안 인프라를 구축해 두면 그런 피해자를 없앨 수 있다.
직원에게 (자산 유출을 유도하는) 외부의 유혹이 있어도 그가 '우리 시스템이 이래서 불가능하다'고 대응할 수 있다. 내부보안은 단순히 조직의 자산 보호가 아니라 그걸 운영하는 직원을 법적으로 보호할 수 있다는 점에 큰 의미가 있다. 우리가 그런 점을 더 강조한다."
