[컴퓨터월드] 피앤피시큐어가 자사의 통합 접근제어 및 계정관리(Unified-IAM) 솔루션에 실시간 안면인식 보안 솔루션 ‘페이스락커(FaceLocker)’를 접목, “절대 믿지 말고, 계속해서 검증하라(Never Trust, Always Verify)”는 ‘제로 트러스트(Zero Trust)’ 보안 개념을 한 단계 끌어올려 실현할 수 있음을 자신하고 나섰다.

피앤피시큐어 박천오 대표는 “지속적인 검증을 위해서는 계속해서 사용자를 불편하게 해야 하는데, 이는 현실적으로 매우 어려운 일이다. 피앤피시큐어의 페이스락커는 사용자가 인지하지 못한 상태에서도 카메라를 이용해 계속해서 인증을 시행할 수 있다. 아이디/비밀번호를 사용하지 않고 얼굴 인식으로 계속해서 ‘본인’임을 검증하고 사내 시스템에 로그인 할 수 있게 하므로, 기존보다 한 단계 진화된 ‘차세대 제로 트러스트’ 라고 말할 수 있다”고 설명했다.

피앤피시큐어(대표 박천오)는 2023년 하반기 기자간담회를 마련하고 ‘무자각 지속 인증(implicit Continuous Authentication)’을 통한 제로트러스트 보안 환경을 제공하겠다는 전략을 발표하며 이 같이 밝혔다.

이날 피앤피시큐어는 하반기 전략으로 △제로 트러스트 △페이스락커 △디비세이퍼 DB/AM 등을 선정하고 관련 내용을 발표했다.

박천오 대표는 “강력한 보안 모델인 제로 트러스트의 중요성이 재조명되면서, 피앤피시큐어는 보유한 기반 기술을 통해 어떻게 제로 트러스트 환경을 구현할 수 있을지 고민했다”면서 “실시간 안면인증 보안 솔루션 페이스락커의 비전 AI(Vision AI) 기술을 활용, 사용자에 대한 지속적인 본인 검증이 가능하다. 번거로운 인증 절차 없이 화면을 바라보는 것만으로, 기기를 조작하고 있는 사람이 실제 인가자인지를 지속적으로 검증해 제로 트러스트 보안을 구현한다”고 설명했다.

박 대표는 이어 “제로 트러스트 업무환경을 구현하기 위해서는 기존 신뢰 영역으로 간주되던 ▲의도 ▲시간 ▲공간 등 3가지에 대한 믿음을 제거해야 한다. 사용자의 모든 작업은 선한 의도와 실수 없을 것이라는 믿음, 인증 유효 시간 내에는 인가자만이 단말을 조작할 것이라는 믿음, 업무 공간은 보안 위협으로부터 안전할 것이라는 믿음을 제거하고 의심하는 방안이 필요하다”고 말하며 피앤피시큐어의 제로 트러스트 프레임워크를 공유했다.

피앤피시큐어는 ‘페이스락커’의 비전 AI 기술을 통한 ‘무자각 지속 인증(implicit Continuous Authentication)’ 솔루션을 제안한다. 제로 트러스트 환경에서의 검증은 최초 한 번만 진행되는 것이 아닌, ‘지속적 검증’이 핵심이다. 하지만 이는 사용자의 불편과 생산성의 저하 문제를 수반하게 되므로, 인증을 위한 별도의 행위 없이 지속적인 인증을 수행할 수 있도록 ‘안면인증’과 ‘객체탐지’ 기능을 제공한다.

기존의 DRM, DLP 등을 이용해 문서 유출을 방지할 수는 있지만, 화면 이미지의 유출은 막을 수 없는 문제가 있었다. 피앤피시큐어의 ‘페이스락커’는 객체탐지 기술을 이용해 카메라, 휴대전화 등으로 화면을 차단하는 것을 감지하고 차단한다. 또한 촬영하는 행위를 이미지 로그로 저장해 사용자가 고의로 정보를 유출하는 보안 사고를 예방할 수 있다.

또한 ‘페이스락커’는 사용자가 제자리에 있는지를 지속적으로 확인해 이석 감지 시 즉각적으로 화면과 키보드 마우스 등의 입력을 차단한다. 다시 사용자가 되돌아오면 안면인증을 통해 인가자 여부를 확인 업무를 재개할 수 있다. 이를 통해 최초 인증 후 사용자 부재/이석으로 인한 시간의 공백에서 발생할 수 있는 정보 유출을 차단한다.

마지막으로 화면이 보이는 영역에 제3자의 얼굴이 감지되면 즉시 화면을 차단하는 기능도 제공한다. 이를 통해 전통적인 비주얼 해킹(Visual Hacking) 공격인 훔쳐보기 공격(Shoulder Surfing Attack)을 방어할 수 있고, 인가자가 임의로 제3자에게 화면을 공유하는 행위 또한 방지할 수 있다.

이 같은 기술들을 바탕으로 피앤피시큐어는 ‘무자각 지속 인증’을 통한 차세대 제로 트러스트 접근제어를 제시한다. DB, 시스템 접근제어 솔루션인 ‘디비세이퍼 DB’, ‘디비세이퍼 AM’ 제품에 안면인증 모듈을 적용, 작업별 ‘무자각 지속 인증’ 프로세스를 통해 사용자의 불편함을 유발하지 않으면서도 지속적인 검증을 수행하는 제로 트러스트 접근제어를 제공할 수 있다는 게 회사 측 설명이다.

DB와 시스템 영역에서 정보를 처리하는 보안 담당자는 민감한 정보들을 다루기 때문에, 그에 상응하는 보안대책이 필요하다. 기존 아이디/비밀번호를 통한 인증 절차는 실제 접속자가 인가자인지를 판단할 수 없는 한계가 존재한다. 또한 중요/금지 명령어 실행 시 재인증 절차가 마련돼 있지 않아 제3자의 접속 및 기기 조작에 의한 보안 사고가 발생할 수 있다.

박천오 대표는 “피앤피시큐어의 차세대 제로 트러스트 접근제어 솔루션은 계정, OTP 장치에 접근 권한을 부여하는 것이 아니라, 안면인증을 통해 실제 인가자에게 권한을 부여한다. 중요 명령어 실행 시에도 인가자가 여부를 검증해 접속과 조작 일련의 과정에서 보안사고 가능성을 차단할 수 있다”고 설명했다.

올해 상반기 사업 성과 “안정적”

이날 간담회에서는 피앤피시큐어가 올해 계획했던 △통합 접근제어 및 계정관리(Unified-IAM) 개념과 솔루션의 확산 △클라우드 사업 성장 △실시간 안면인식 보안 솔루션 ‘페이스락커(FaceLocker)’ 사업 활성화 △개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER) V5.0’ 정식 출시 △해외진출 역량 강화 등에 관한 상반기 성과도 소개됐다.

피앤피시큐어가 주창하는 ‘Unified-IAM’은 회사가 제안하는 통합 접근제어 및 계정관리 솔루션들을 의미한다. 고객 환경에 맞춰 △DB 접근제어 솔루션인 ‘디비세이퍼DB(DBSAFER DB)’ △시스템 접근제어 솔루션인 ‘디비세이퍼 AM(DBSAFER AM)’ △서버 접근제어 솔루션 디비세이퍼 OS(DBSAFER OS) △통합 계정관리 솔루션 ‘디비세이퍼 IM(DBSAFER IM)’ 등 다양한 제품 중에서 2개 이상의 솔루션을 연계해 제안하는 통합 보안 전략이기도 하다.

피앤피시큐어는 H자동차그룹이 통합 접근제어 솔루션을 국내 표준으로 도입한 데 이어, 해외 사업장에도 글로벌 스탠다드로 도입하는 등 대규모 프로젝트를 꾸준히 수주하며 선도적인 성과를 거두고 있다고 설명했다. 또한 ‘디비세이퍼’의 대규모 서버 지원, 무중단 패치 기능 제공 등과 같이 지속적으로 제품을 고도화하고 있다고 밝혔다.

피앤피시큐어 측은 ‘통합 접근제어’ 개념을 대세화하기 위해 보안 시장에 지속적으로 화두를 던져왔으며, 결과적으로 통합 접근제어 도입 사례와 수요가 대폭 증가했고, ‘통합 접근제어’라는 개념을 시장에 안착시켰다고 자평하고 있다. 

박천오 대표는 “기존 접근제어 제품군 외에도 다양한 컴플라이언스 기준을 충족하기 위해 제품 구성을 다양화하고 있다”며 “특히 금융권의 전자금융 감독규정 강화에 발맞춰 전산 원장 관리 솔루션 ‘디비세이퍼DMS(DBSAFER DMS)’를 Unified-IAM 구성에 포함시켰다”고 덧붙였다. 피앤피시큐어 측 설명에 따르면 디비세이퍼 DMS는 기존 윈도우(Windows) 클라이언트/서버 방식에서 웹 지원 방식으로 전환해 OS 제약을 극복했으며, 하반기 정식 출시 예정이다.

또한 피앤피시큐어는 클라우드 사업 역시 많은 성장세를 보이고 있으며, 2022년 동기간 대비 고객 수가 74% 이상 확대됐다고 발표했다. 특히 공공 클라우드 전환 시범사업에서 다수의 지자체 공공기관 클라우드 전환 사업에 통합 접근제어 솔루션을 공급하는 등 2023년 클라우드 전환 사업에 전략적으로 대응하고 있다는 게 회사 측 설명이다. 최근 진행되는 금융권 프라이빗 클라우드 전환과 관련해서도, KB 원 클라우드 사업 등과 같은 금융 분야 대형 클라우드 사업을 수주한 바 있으며 추가 사업에도 전략적으로 대응한다는 계획이다. 

이와 함께 피앤피시큐어는 대표 제품인 ‘디비세이퍼(DBSAFER)’의 SaaS(서비스형 소프트웨어) 전환에도 박차를 가하고 있다. 박 대표는 “국내·외 최고 CSP 및 MSP와의 협업을 통해 디비세이퍼의 SaaS 전환 사업을 진행 중이다. 내년 상반기까지 SaaS 전환을 완료하고 제로 트러스트를 더해 이를 기반으로 본격적인 해외 시장 진출 로드맵을 계획하고 있다”고 밝혔다.

실시간 안면인증 보안 솔루션 ‘페이스락커’는 작년 대형 은행의 안면인증 프로세스 구축 사업을 수주한 이후 안정화 작업을 진행하고 있다. 해당 프로젝트는 국내 안면인증 솔루션 도입 사업 중 최대 규모로 파악된다. 피앤피시큐어는 대규모 사용자 수용력과 금융권의 다양한 행 내 시스템 연동 등 제품의 안정성이 검증된 셈이라고 강조했다. 

박천오 대표는 “은행 외에도 대형 증권사의 안면인증 솔루션 도입 프로젝트를 수주했다. 최초 도입 검토 당시에는 고객사에서 인증 기능에 중점을 뒀으나, 제품 시연 후 기능과 성능을 인정받아 내부정보 유출 방지 기능을 추가 구축했다. 제로트러스트 보안의 중요성이 재조명되고 있는 만큼, 정보 유출 보안 체계를 강화하기 위해 힘 쓸 예정이다”라고 말했다.

마지막으로 피앤피시큐어는 개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER) V5.0’ 또한 5월 정식 출시 후 유의미한 성과를 거두고 있다고 설명했다. 피앤피시큐어는 현재 10개 이상의 프로젝트를 진행 중이며 검출 정책 및 정보 주체 분석 강화, 빅데이터 분석 등 기능 고도화가 완료됐다고 밝혔다.

박천오 대표는 “피앤피시큐어는 개인정보 접속기록 관리 분야에서 후발 주자임에도, 높은 기술력을 인정받아 빠른 속도로 실제 도입 고객사를 확대하고 있다”고 덧붙였다.