[보안칼럼]서비스형 보안 소프트웨어가 필요하다

글자 작게 글자 크게 인쇄하기
[보안칼럼]서비스형 보안 소프트웨어가 필요하다

기술 발전은 윤리·안전·보안 문제를 불러온다. 최근 발생한 한 인공지능(AI) 스타트업의 개인정보 유출 사태가 대표적이다. 이 업체는 과징금과 과태료 처분을 받고 손해배상 청구 소송을 치르고 있다. 이용자는 신기술을 반기지만 보안은 우려한다.

보안 조치를 위한 정부의 노력에도 산업 보안 실태는 심각하다. 대기업과 중견기업을 제외한 기업 대부분은 보안 전담 인력이 없고, 보안 관리도 미흡하다. 단순 로그인 기능만 있으면 모든 보안 조치를 끝낸 것으로 여기는 기업, 내부 보안의 위험을 알면서도 투자 이후로 보안 조치를 미루는 기업은 여전히 많다.

특히 스타트업에 보안은 비싸고 부담스러운 일이다. 아이디어를 검증할 서비스 연구 비용과 인력·시간이 부족한 상황에서 보안까지 투자할 여력이 없기 때문이다. 함께 일하는 직원도 서비스 운영 경험이나 보안 조치 경험이 없는 경우가 많고 이렇게 만들어진 서비스는 보안 조치가 이뤄지지 않은 상태로 세상에 나온다. 운 좋게 서비스가 성장하고 좋은 데이터가 모이게 되면 블랙해커의 표적이 돼 보안 사고로 이어진다.

'서비스형 소프트웨어'(SaaS)는 이 같은 현실의 문제를 돌파하기 위한 대안이 될 수 있다. 적은 비용으로 최대 효과를 얻을 수 있기 때문이다. 서비스 검증에 실패하더라도 자산으로 보유하지 않기 때문에 빠르게 다음으로 나아갈 수 있어 실패 비용을 절약한다. 기업 규모와 상관없이 혁신 기업에서 SaaS가 각광 받는 이유다.

SaaS가 트렌드로 자리 잡은 만큼 '서비스형 보안 소프트웨어'(SECaaS)가 보안 환경을 개선할 수 있다. 초기 비용을 줄여 보안 서비스를 대중화하고 스타트업에서도 큰 비용 부담 없이 보안 서비스를 이용할 수 있다. 서비스 개발을 더욱 안전하게 할 수 있다는 점에서 SECaaS는 다양한 기업에서 앞다퉈 출시하고 있다.

SECaaS를 선택할 때 무엇이 중요할까.

첫째는 자동화다. 보안 인력이 없는 수요기업과 공급업체 모두 원가 절감을 위해서는 자동화한 SECaaS가 필요하다. 기업이 자주 찾는 접점에 SECaaS를 배치하고 자체 보안 인력이 없어도 운영자 수준에서 쉽게 적용하거나 자가 관리가 가능한 수준이어야 한다. 단순히 기존에 팔던 패키지 제품을 클라우드마켓에 등록한다 해서 패키지 제품이 SECaaS가 되지는 않는다.

둘째는 혁신성이다. 기존에는 내부망이나 폐쇄망에 들어오는 것을 엄격하게 막는 보안이었다면 요즘처럼 원격근무가 활성화하는 환경에서는 망 개방 환경에서도 내부 데이터 유출을 효율적으로 차단할 수 있는 아이디어가 반영돼 있어야 한다.

끝으로 서비스다. 패키지 제품과 달리 SECaaS는 용어 그대로 서비스다. 패키지 제품을 판매한 뒤 정기적으로 유지·보수하는 납품이 아니라 고객과 보안 서비스 제공자가 인터넷으로 연결돼 지속적 제품 업그레이드와 문제 해결이 즉시 이뤄져야 한다. 이를 통해 고객이 안심할 수 있도록 서비스가 구성돼야 한다.

이제 정보 보안은 투자 여력이 있는 대기업이나 중견기업 위주에서 소규모 기업까지 포괄해야 한다. 투자 여력이 없어도 안전한 환경에서 혁신 서비스를 손쉽게 구축할 수 있는 환경이 조성돼야 하고, 이를 위해 SECaaS가 활성화돼야 한다. 이것이 데이터 유출 사고와 같은 사회적 실패와 낭비되는 비용을 줄이는 길이다. 정부와 민간 차원에서 많은 지원과 협력이 필요하다.

SECaaS는 서비스 개발사가 혁신 서비스를 안전하게 개발하는 데 기여한다. 초기 도입 비용을 줄여 주고 월 구독이나 종량 형태의 라이선스로 부담 없이 보안 서비스를 이용할 수 있는 다양한 SECaaS가 출시된다면 SaaS에 익숙해진 많은 기업이 찾게 될 것이다. 이는 거스르기 어려운 대세로 자리 잡고 있다. SECaaS를 통해 보안을 대중화하고 혁신 속도를 높일 시점이다.

김근진 스파이스웨어 대표 keunjin.kim@spiceware.io