세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
코소시스, “데이터 보안만 고집했는데 스펙트럼이 넓어지더라”
  |  입력 : 2017-08-02 16:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 USB부터 시작해 GDPR 대비를 도울 수 있기까지
시장마다 다른 IT 환경 철저히 반영한 후 솔루션 출시


[보안뉴스 문가용 기자] 유럽의 개인정보보호법인 GDPR에 관한 소식이 해외에서부터 많이 들려오고, 최근엔 관련된 컨퍼런스가 우리나라에서도 많이 열리고 있다. 하지만 유럽 대륙에 한정된 개인정보보호법이라고 여겨서 그런지 큰 관심을 끌고 있지 못하고 있는 것이 사실이다. 실제로 6월 1일부터 7월 1일까지 본지에서 진행된 GDPR 관련 설문에서 압도적으로 1위를 한 항목은 “GDPR이 뭔지 잘 모른다”였다(241명 응답자 중 70.95%).

[이미지 = iclickart]


그러나 유럽의 기업들은 “그야말로 난리”라고 보안업체 코소시스(CoSoSys)의 크리스티나 팝(Cristina Pop) 영업 및 비즈니스 총괄은 설명한다. “지금 유럽은 GDPR 공부하느라고 다들 급하게 움직이고 있습니다. 이 새로운 규칙에 더 알려고 뛰어들고(jumping), 그 두꺼운 자료를 붙잡고 씨름하고(struggling) 있죠. 벌금의 규모도 크지만 무엇보다 소비자들이 이미 기업들에게서 GDPR 준수를 기대하고 있기 때문입니다. GDPR도 규정 준수를 잘 할 수 없다면 사업도 잘 할 수 없지, 라는 시장의 인식이 더 무서운 것이죠.”

사실 GDPR 때문에 사업하는 데에 직접적인 영향을 받는 한국 기업은 그리 많지 않을 것으로 보인다. 그럼에도 GDPR의 추이를 주의 깊게 지켜봐야 하는 건, 보안 업계와 직접적인 연관이 있는 법령이 대대적으로 바뀌거나 개편되었을 때 기업과 시장은 어떤 식으로 적응해 나가야 하는지 유럽 시장의 선례를 통해 간접 경험을 할 수 있기 때문이다. 그리고 실제로 개인정보에 관해서 법은 더 엄격해지고 있는 추세다.

크리스티나 팝 총괄의 말에 따르면 거대한 법령의 출현에 1) 기업들은 벌금을 무서워하게 되고 2) 소비자들은 해당 법령을 ‘표준’으로 여기기 시작하며 3) 이에 따라 기업들은 벌금과 소비자 신뢰를 다잡기 위해 법 조항을 서둘러 공부하기 시작하는 순서대로 변하고 있다. 비슷한 일이 한국에서 일어났을 때 우리도 비슷한 순서의 시장 변화를 일단 예상해볼 수 있는 것이다. 즉, 소비자의 기대치는 기업이 법을 제대로 준수할 수 있도록 준비되는 것보다 훨씬 빠르게 치고 나간다는 것.

문제는 이 법을 공부하는 게 말처럼 쉽지 않다는 것이다. “정말 방대한 범위를 아우르는 법령입니다. 산업의 측면에서도 그렇고, ‘보안’의 세부 분야 측면에서도 그렇습니다. 알고 적용해야 할 게 너무나 많죠. 법에 대한 전문가의 도움이 없으면 노력과 열정만으로 쉽게 이해되고 사업에 적용될 수 있는 게 아닙니다.” 그래서 각 기업들은 법 전문가들은 물론 여러 보안 업체의 도움을 요청한다고 한다. 코소시스 역시 이러한 유럽 기업들의 필요에 응하기 위해 GDPR 규정 준수를 좀 더 쉽게 제공하기 위한 연구를 시작했다.

치밀한 시장조사와 꼼꼼한 반영
“저희는 이런 일을 늘 해왔어요. ‘이런 일’은 세계의 다양한 시장에 맞는 장비와 솔루션을 내놓는다는 걸 말합니다. 저희는 본사에서 뭔가를 개발해내고, 각국 지사에서 일괄적으로 행사를 열어 광고하는 식으로 제품을 내놓지 않아 왔어요. 각 시장마다 IT 환경이 다 다르고 그 특성을 반영하지 못하면 본사에서 아무리 좋은 제품을 개발해도 도입하는 데에 문제가 생긴다는 걸 이해하고 있기 때문입니다. 현재도 저희 솔루션은 16개 언어로 제공되고 있고, 각 시장에서만 사용되는 독특한 애플리케이션들도 호환합니다. 아래한글과 같은 소프트웨어가 좋은 예겠죠. 한국에 출시한다면 아래한글 등과 같은 한국 고유의 앱도 보호할 수 있는 상태에서 출시하는 게 저희의 원칙입니다.” 웹 브라우저 부분에서는 한국 사람도 잘 모르는 한국산 스윙 브라우저나 네이버의 웨일 브라우저마저 호환하고 있다.

이런 준비성은 고유의 사업 모델이기도 하지만, 무엇보다 설립 초창기부터 ‘정보보안은 곧 데이터 보안’이라고 정의를 내리고, 그 정의를 바탕으로 한 가지에만 집중하고자 해왔던 코소시스의 철학에서부터 비롯된다. “코소시스는 일찌감치 정보보안을 복잡하게 보지 않았어요. 데이터만 보호하면 된다, 고 생각하고 거기에만 여태까지 집중하고 있죠. 그래서 처음엔 USB정보보안부터 사업을 시작한 겁니다. 당시에는 USB로 데이터를 옮기는 것에서 문제들이 발생하곤 했거든요.”

거기서부터 시대의 변화에 따라 암호화 기술을 연구하고 DLP 솔루션을 개발하고, 그러다보니 모바일을 위한 MDM 솔루션이 나오고, 현재는 클라우드까지 아우르게 되었다. “사업을 확장하기 위해서 그렇게 한 게 아니라, 데이터를 보호하려다 보니 포트폴리오가 자연스럽게 늘어난 것입니다.” 그래서 코소시스의 DLP 솔루션인 엔드포인트 프로텍터(Endpoint Protector)의 인터페이스를 보면 AWS나 애저와 같은 유명 클라우드는 물론 여러 나라에서 개발된, 이름도 들어본 적 없는 낯선 클라우드 솔루션들도 전부 ‘커버’가 되고 있는 걸 확인할 수 있다. 각 시장에 대해 코소시스가 얼마나 치열하게 공부했는지가 드러난다.

위에서 언급한 GDPR 역시 클릭 몇 번으로 자동으로 적용될 수 있도록 해놓았다. “물론 GDPR의 모든 부분을 클릭 몇 번으로 해결할 수는 없죠. 저희는 저희가 잘 하는 데이터 보호의 측면에서만 컴플라이언스가 유지되도록 한 겁니다. 정보보안의 스펙트럼이 넓고, 그 넓은 스펙트럼을 다 아우르는 것에도 장점이 있겠지만, GDPR과 같은 큰 변화가 있을 때는 저희 같이 하나에 집중하는 편이 더 유연하게 대처할 수 있는 듯 합니다.”

▲ 클릭 몇 번으로 컴플라이언스를 해결한다 [이미지 = 코소시스코리아]


집중력 유지하기 위한 ‘작은 조직’, 그리고 파트너
이 대목에서 궁금한 건 ‘코소시스의 연구진 규모는 얼마나 거대할까?’이다. 세계 곳곳의 시장 전문가에 법 전문가, IT 전문가에 개발자, 암호화 기술 전문가에 클라우드 전문가까지, R&D만 200명은 되겠구나,라고 어림잡게 된다. 그러나 전 세계 직원을 합해야 100명도 되지 않고, 그나마 본사는 80명 남짓이라고 크리스티나 팝은 말한다. 그렇다면 누가 한국에 와서 스윙 브라우저까지 조사해가고, 한글로 인터페이스까지 만들었을까?

“다양한 요구를 하는 파트너들이죠. 저희도 조직이 상당히 작다는 걸 알고 있어요. 그래서 포기할 건 일찍부터 포기했죠. 고객을 직접 상대하고 각 지역에 맞는 로컬라이징 목표를 정하는 건 파트너들에게서 요구사항을 듣습니다. 반복하는 것 같은데, 잘 하는 것에만 집중하자는 게 저희의 철학이며 원칙이라서요. 한국의 경우 코소시스코리아가 로컬라이징과 CC인증을 위한 기술 지원 등을 전부 맡아줍니다. 그리고 코소시스코리아는 ‘패밀리 회사’가 정확한 표현입니다. 지사와 본사의 관계가 아니라 동등한 협력의 관계죠.” 코소시스코리아 역시 유통이나 판매 등은 파트너사에게 맡기고 제품 로컬라이징과 생산 및 기술 교육만을 담당하고 있다. 코소시스코리아의 강영호 대표는 “저희가 정말로 하고 싶은 것은 한국적 환경에 가장 적합한 자료유출 방지 솔루션(DLP)을 만드는 것입니다. 장사를 모두 파트너에게 맡기고 개발에만 몰두해서 파트너사가 수익이 더 높을 때도 있을 정도”라고 말한다.

데이터 보안이라는 한 가지에만 거의 주력하다시피 하지만, 그걸 구현해가는 방법에 있어서 코소시스는 자유로운 편이다. 최근 네트워크 장비나 보안 장비들은 가상화 기술로 ‘소프트웨어화’되어 클라우드나 네트워크 내부로 편입되어 들어가는 편인데, 코소시스는 다양한 가상화 환경을 지원하는 가상 어플라이언스를 다루면서도 여전히 하드웨어 장비를 만들어 시장에 내놓고 있다. 위에서 언급한 엔드포인트 프로텍터의 어플라이언스이다. 요즘 같은 클라우드 시대에 왜 생산단가도 비싼 하드웨어를 내놓는지 궁금했다.

“클라우드와 가상화 기술 등의 발전으로 많은 하드웨어들이 소프트웨어로 변해 구동되고 있는 것이 현상인 건 맞습니다. 그렇게 했을 때 네트워크 확장성도 좋아지고 데이터 활용이 매우 유연해진다는 것도 맞습니다. 그러나 아직까지는 비싼 클라우드 자원으로 많은 리소스를 요구하는 DLP 장비를 구현하는 것은 HW 장비보다 상대적으로 비싼 기술입니다. 또한, 보안 장비 운용의 개념이 달라지기 때문에 클라우드 전문가나 가상화 전문가가 필요합니다. 모든 회사가 비싼 클라우드 환경을 이미 구축하고 있는 건 아니죠. 아직은 하드웨어 하나 딱 꼽아둠으로써 보안을 해결해야만 하는 업체들이 많습니다.”

중소기업의 보안 해결사? 그저 시장에 귀 기울였을 뿐
실제로 엔드포인트 프로텍터는 설치 시간이 30분 내외일 정도로 간단하다고 한다. 위에서 말한 ‘빠르고 광범위한 로컬라이징’의 특성을 살렸기 때문에 다양한 OS와 브라우저도 지원하고, 국내에서 요구되는 국내용 CC 인증 과정도 다 거쳤다. “한 개의 장비 안에 DLP 솔루션 구축을 위한 모든 기능이 들어있어서 추가 비용이 발생하지 않고, 사실상 현대의 모든 IT 환경과 호환이 되기 때문에 추가로 장비를 구하거나 OS를 전사적으로 바꾸거나 할 필요가 없습니다. 윈도우, Mac OS는 물론 리눅스, 안드로이드, iOS 등도 전부 호환이 됩니다. 유지비용이 낮을 수밖에 없죠.” 그래서 국내에서는 이미 1금융권을 포함한 150여 고객사들이 이미 엔드포인트 프로텍터를 구매해 설치한 상태다.

▲ 왼쪽부터 강영호 대표와 크리스티나 팝 마케팅 총괄


국내외를 막론하고 보안 솔루션 업체들 대부분 대기업과 정부기관들만을 하염없이 바라보고 있는 상황이라 ‘초연결시대에 보안 예산과 인력이 넉넉지 않은 중소기업이 큰 문젯거리가 될 것’이라는 예측이 이어지고 있는 가운데, 이러한 중소기업 친화형 장비를 틈새시장 공략용으로 출시한 것이냐고 물었다.

“그저 시장의 필요에 귀를 기울였을 뿐입니다. 그게 어떻게 보면 저희의 전문성인 거 같아요. 데이터를 정말 잘 보호하고 싶다면, 현장의 필요가 궁금하지 않을 수 없기도 하고요. 저희는 50개의 PC용 DLP 장비부터 시작합니다. 작은 중소기업에서도 쉽게 구매가 가능한 크기죠. 또한 많은 기업들이 가상화 장비로 이동하는 추세에 맞게 저희도 VM웨어, Hyper-V, Xen, KVM 등 대부분의 클라우드 환경에 맞는 가상 장비 또한 제공하고 있습니다. 50개 이하의 PC부터 수만 개의 컴퓨터가 있는 환경까지 다양한 환경을 커버하지 못한다면 저희 자신을 DLP 개발사라고 부르기 부끄러울 겁니다.”

모두가 대기업만 DLP 솔루션을 구축하는 것처럼 생각할 때, 그래서 똑같이 동일한 규제준수를 해야만 하는 중소기업이 비상에 걸렸을 때, ‘작은 규모의 시장’도 소중한 고객이라며 나름의 솔루션을 가져오고, 나라마다 법률과 규제의 차이로 정확한 정보보호 규정의 이해가 어려울 때 대신 공부해줄 누군가가 보안 업계에 남아있다는 것이 확인됐다. 게다가 그 기업이 유럽의 이름을 하고 있지만, 한국에도 똑같은 이름을 가진 100% 한국 회사인 조직이 있다는 것도 확인했다. 더 찾아보면 어딘가 숨어있는 일꾼들이 더 나올 것 같은 기분이 확신처럼 들었다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#코소시스   #유럽   #GDPR   #정책   #중소기업   #DLP   


보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)