Home > 전체기사 > 인터뷰

‘K-시큐리티 통합 및 협업 방안 모색’ 위한 키 포인트 몇 가지

입력 : 2024-06-17 17:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
K-시큐리티 통합 및 협업 방안 모색 심포지엄에서 논의된 사항 정리해보니
보안기능 통합 지원, 자동화 편입 위한 프레임워크, 가트너 인증 지원, 협업 구조 마련 등 필요
과학기술정보통신부, 하반기 K-얼라이언스 분과 운영위원회 구성해 집중 논의


[보안뉴스 김경애 기자] ‘K-시큐리티 통합 및 협업 방안 모색 심포지엄’이 14일 엘타워 골드홀에서 개최된 가운데, 보안기업 간에 실질적인 협업의 어려움을 해소하기 위해 보안기능 통합 지원, 자동화 편입 위한 프레임워크, 협업 구조 마련 등이 필요하다는 의견이 제기돼 이목이 집중됐다.

[이미지=gettyimagesbank]


과학기술정보통신부 정참림 정보보호네트워크정책관(국장)은 “AI 기술을 활용한 AI-Powered XDR에서 볼 수 있듯이 최근 보안 트렌드는 통합형 플랫폼”이라며 “이는 그간 정보보안 기업들 간에 활발한 교류와 연대가 있었기에 가능했다”고 말했다. 이어 “하지만 아직까지 많은 기업들이 패쇄적인 단일제품으로 경쟁하는 게 현실”이라며, “이러한 구조를 혁신하기 위해서는 정보보호 제품 간에 연계와 협업으로 경쟁력을 확보해야 한다”고 강조했다.

이어 정창림 국장은 “이제는 단일 제품과 솔루션 간의 경쟁은 막을 내리고 협업하고 확대하는 통합보안 틀랫폼이 나와야 한다”며 “오늘 마련된 자리를 통해 통합보안 수요가 어느 정도인지 살펴보고, 협업사례에서 얻을 수 있는 시사점과 앞으로의 방향 등을 모색할 수 있는 자리가 됐으면 한다”고 밝혔다. 또한 “경쟁력 있는 보안 기업들이 협업해 시너지를 냄으로써 중동, 동남아 국가 수출에 있어서도 의미있는 성과가 나오길 기대한다”며 “K-시큐리티 얼라이언스가 활발하게 활동하는 협의체로 발전할 수 있길 바란다”고 덧붙였다.

1. 2024년 신규 K-시큐리티 통합 및 협업 지원 방안

▲한국인터넷진흥원 고현봉 보안산업진흥팀장[사진=보안뉴스]

한국인터넷진흥원 고현봉 보안산업진흥팀장은 2024년 신규 K-시큐리티 통합 및 협업 지원 방안에 대해 △협업문화 장려·활성화 위해 기존 지원사업에 컨소시엄 참여시 가점 등 부여 △국내 보안산업 협업기반 통합보안 모델 발굴을 위한 신사업 추진 △협업 이슈를 논의하는 민간주도 체계인 K-시큐리티 얼라이언스 발족 추진 △K-시큐리티 협업 지원체계 조성을 위한 투자유치, 연동·인증, 해외진출 등을 제시했다. 이렇듯 협업기업에 대한 인센티브 등 향후 지원사업을 통해 보안업계 내 협업문화를 촉진시키고 지속적으로 확대해 나갈 예정이라고 밝혔다.

2. K-시큐리티 통합 방안 모색 및 협업시 고려사항
①해외 진출 시 공동특허 권리 범위 적어...개별 기능 특허 확보 중요
피앤케이국제특허법률사무소 임종승 대표변리사는 통합보안 모델 개발 협업 시, 특허 관점에서의 고려사항에 대해 “누군가 ‘통합보안 모델’을 무단으로 사용하는 경우 각 참여기업의 독자 특허침해와 공동특허권 침해가 될 수 있다”며 “특허는 해외 국가에 등록한 곳에서만 효력이 있어 해당 분쟁이 발생이 예상되는 지역에 특허를 등록해 보호받을 수 있어야 한다”고 설명했다.

이어 임 대표변리사는 “공동특허권자는 단독으로 특허권 전체에 대해 침해금지청구권을 행사할 수 있다”며 “해외기업이 일례로 CDR, NDR과 다른 기술인 EDR를 사용하면 특허권 침해 회피가 가능해지는 등 공동특허인 경우 권리 범위가 넓지 않은 만큼 개별 기능에 대한 특허권 확보가 중요하다”고 말했다.

②수요자 관점에서 보안기능 통합 지원해야

▲토스증권 지정호 CISO[사진=보안뉴스]

토스증권 지정호 CISO는 보안관리 문제와 통합보안 수요를 언급하며 “보호 대상 환경이 다양한 만큼 다양한 플랫폼 지원이 필요하다”고 말했다. 또한 위협이 다양화되고 있지만 관리 리소스가 부족하고, 보안기능이 통합돼야 한다며 써드파티(3rd Party) 연동 제약 등으로 유연성이 부족하다고 지적했다.

이어 지정호 CISO는 “이기종 시스템 간의 연계와 운영 자동화를 위한 API 제공이 필요하다”며, “모니터링 시스템이 분산돼 있어 다양한 유형의 로그 전송과 정보수집 지원이 요구된다”고 덧붙였다.

3. K-시큐리티 협업 방안 모색, 국내외 기업 간 협업 애로사항
①자동화 편입 위해 함께 활용할 수 있는 프레임워크 필요
세션1(Session1.) K-시큐리티 협업 방안 모색 자리에서는 글로벌 기업과 국내 기업 간의 협업이 현실적으로 쉽지 않다는 의견이 나왔다. 스텔라사이버 이용옥 이사는 “API 제공이 권한 등록, 삭제 등 일부에만 적용되거나 혹은 연동하지 않으려는 기업이 많다”며 “게다가 회사 솔루션마다 버전이 각기 다르고, 파일과 DB 등의 형식도 다양하고 상이해 현실적으로 협업이 쉽지 않다”고 밝혔다.

이어 이용옥 이사는 “모든 산업에서 API 채택 증가, 노코드 & 로우코드 플랫폼 증가, 보안운영·대응의 자동화가 대세”라며 “자동화 편입을 위해서는 여러 협업할 보안 기업이 함께 활용할 수 있는 프레임워크를 구축해야 한다”고 제시했다.

②글로벌 경쟁력 확보 위해 가트너 인증 지원 필요

▲넷앤드 최재섭 부장[사진=보안뉴스]

해외 진출에 있어서는 진입장벽이 높은 점 등이 거론됐으며, 국내 보안기업 간의 협업에 있어서도 누가 주체가 될 것인지에 대한 결정 문제, 비용의 형평성 문제 등이 지목됐다. 넷앤드 최재섭 부장은 국내 기업 간 협업사례를 통한 애로사항에 대해 “파트너 프로그램과 파트너 엔지니어 기술 교육(Tech Academy)을 통해 인도네시아, 베트남의 아웃바운드 시장에 주력하고 있지만 글로벌 시장진출의 진입장벽은 여전히 높다”며 가트너 인증, 언어장벽, 실시간 지원의 어려움, 기술 숙련도 확보 어려움, 시간 관리 등을 애로사항으로 꼽았다.

최재섭 부장은 “보안기업 간의 협업은 이점도 있지만 결국 협업기업 간에 누가 주체가 될 것인지 결정하는 게 가장 어렵고, 비용의 형평성 문제는 어떻게 해야 하는지, 그리고 기업 간의 판매 차이에 따른 문제를 어떻게 조율하는지 등이 중요하다”며 이러한 관점에서 지원방안을 마련하면 많은 도움이 될 것이라고 밝혔다.

이어 최재섭 부장은 “가트너는 세계적인 IT리서치 및 자문 회사로 그들의 인증은 기업의 신뢰성을 보증하고 인지도를 높여준다”며 “가트너의 리서치·평가·인증 비용의 경우 중소기업은 물론이고 대기업 조차도 접근이 용이하지 않다. 그럼에도 가트너 인증은 시장에서 신뢰성을 높이고 글로벌 경쟁력을 강화하는데 중요한 역할을 하기 때문에 지원이 될 수 있으면 좋을 것”이라는 의견도 피력했다.

③각각의 벤더별로 API 등 문서 공개 및 협업 중요
이어진 세션2 K-시큐리티 통합 및 협업 방안과 관련한 토론회에서는 과학기술정보통신부, 안랩, 로그프레소, 지니언스 관계자가 참석해 현실적인 어려움과 해결 방안에 대해 논의했다.

로그프레소 양봉열 대표는 “보안 위협 탐지·분석·대응 솔루션 SIEM(보안 정보 및 이벤트 관리) 전문기업 입장에서는 로그 포맷 등 고객사 마다 버전이 달라 일관성있는 표준화 작업과 API 제공을 위한 문서화 정리가 필요하다”며 “과거에도 표준화를 시도한 바 있으나, 제대로 동작하지 않는 등 문제가 발생했다”고 언급했다. 즉 각각의 보안 기업별로 제공되는 API 문서나 협업 시 제공되는 버전별 솔루션에 대한 문서정리와 공개 유지가 관건이란 얘기다.

④오픈소스 활용한 글로벌 표준 OPA처럼 정책 연동해야
협업하는 보안기업 간의 정책이 서로 연동돼야 한다는 의견도 제기됐다. 특히 해외 진출을 위해서는 해외 기업이 많이 사용하는 클라우드 등을 고려해 클라우드 네이티브 환경을 위한 제어 정책에 기반한 글로벌 표준 정책 OPA처럼 오픈소스를 활용해 표준을 맞추고 정책을 적용해야 한다는 의견이 제기됐다.

지니언스 한형권 이사는 “OPA처럼 정책을 서로 연동해야 한다”며 협업 기업이 함께 정책이 적용되어 실질적인 연동이 될 수 있어야 고객도 통합 플랫폼에 대한 효과를 볼 수 있다”며 “그러기 위해서는 API 기술 문서를 접근할 수 있고, 협업 기업에서 공개해야 연동될 수 있다”고 설명했다.

또한 CC인증도 개선돼야 한다는 의견이 제기됐다. 지니언스 한형권 이사는 “CC인증 자체가 국내 기준이라 해외에서 인정받지 못할 뿐만 아니라 CC인증이 단일솔루션 기준이라 통합플랫폼 모델을 지원할 수 있어야 한다”며 “정부는 CC인증이 통합플랫폼 모델에도 적용될 수 있도록 지원해주고, 해외에서 활용될 수 있는 방안을 강구해주길 바란다”고 말했다. 또한 연동에 있어서도 정부가 중간 매개체로서 역할과 환경을 지원해 줬으면 한다고 덧붙였다.

⑤협업할 수 있는 구조가 중요
안랩 이건용 팀장은 “글로벌 기업은 API 문서가 표준화돼 있고, 잘 정리돼 있어 연동이 용이한 반면, 국내는 그렇지 않다”며 “DB 정리 역시 중요한데, 현재는 보안기업별로 제각각이라 리소스도 많이 들어가고, 기능 개발의 업데이트 과정에서 순서가 바뀌거나 중간에 편입되면 연동이 어렵다”로 토로했다.

즉 무엇보다 표준화 기준과 작업이 필요하다는 것. 그러기 위해 이건용 팀장은 “협업할 수 있는 구조가 중요한데, 보안기업은 경쟁관계이면서 협업관계이다 보니 쉽지 않은 게 현실”이라며 “정부가 매개체가 되어 얼라이언스 안에서 오픈할 수 있도록 지원해주고, 정례화 활동을 할 수 있는 자리를 마련해 협업할 수 있으면 좋을 것”이라고 말했다.

⑥과기정통부, 하반기 K-얼라이언스 분과 운영위원회 구성해 논의
과기정통부 박세진 사무관은 “하반기에 K-얼라이언스를 분과 운영위원회를 구성해 분과별, 쟁점별로 운영해 발전방안을 찾으려고 한다”며 “API 제공 방식, 표준화에 필요한 작업, 예산, 사업방향 등을 논의해 건의하면 R&D 예산 등을 통해 지원할 수 있도록 노력하겠다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)