[컴퓨터월드] 정부가 국내 정보보호산업을 2027년 시장 규모 30조 원 수준까지 끌어올려 전 세계 5위권에 올려놓겠다는 ‘정보보호산업 글로벌 경쟁력 확보 전략’을 발표하면서 정보보호 업계에 관심이 쏠리고 있다. 2027년까지 1조 1천억 원의 예산을 투입해 성장을 뒷받침하겠다는 정부 계획에 따라 향후 업계의 성장성에 대한 기대감이 높아지고 있는 것이다.

정부의 이번 ‘정보보호산업 글로벌 경쟁력 확보 전략’을 살펴보면, 가장 먼저 “현재 전 세계적으로 변화하고 있는 정보보호 분야의 패러다임 변화에 뒤처지지 않고 빠르게 주도권을 확보할 수 있도록 지원하겠다”는 내용을 확인할 수 있다. ‘정보보호 분야의 패러다임 변화’란 바로 ‘제로 트러스트(Zero Trust) 보안’과 ‘소프트웨어(SW) 공급망 보안’ 두 가지를 뜻한다.

제로 트러스트 보안과 SW 공급망 보안은 2021년 5월 미국 바이든 정부가 ‘국가 사이버보안 개선에 관한 행정명령(EO-14028)’을 발표하면서 강조됐고, 이후 전 세계 보안 업계의 화두로 떠올랐다. 이 같은 전 세계적 추세에 맞춰 우리 정부도 두 가지를 주요 과제로 삼고 이번 전략에서 가장 먼저 언급한 것이다. 이번에 발표된 전략에 따르면 정부는 제로 트러스트 보안 및 SW 공급망 보안과 관련, 기술 개발과 지원 체계 구축에 나설 계획이다.

이러한 정부 전략이 발표되면서 자연스럽게 정보보호 업계에 이목이 집중되는 상황이다. 제로 트러스트 보안 및 SW 공급망 보안과 관련해 국내에서 한발 앞서 기술력을 다져온 대표 기업들로는 △SGA솔루션즈 △소프트캠프 △지니언스 △엠엘소프트 △프라이빗테크놀로지 △레드펜소프트 △스패로우 등이 있다.

이들 중 SGA솔루션즈, 소프트캠프, 지니언스, 프라이빗테크놀로지, 엠엘소프트 등 기업들은 아직 실제 구현 사례가 없는 제로 트러스트 보안을 국내에서도 빠르게 연구, 확산하기 위해 한국인터넷진흥원(KISA)이 올해 5월 발주한 ‘제로 트러스트 보안 모델 실증 지원’ 사업에 컨소시엄을 이뤄 지원한 바 있다. SGA솔루션즈, 소프트캠프, 지니언스 3사가 컨소시엄을 이뤘고, 프라이빗테크놀로지는 타이거컴퍼니와 컨소시엄을 이뤘으며, 엠엘소프트도 별도의 컨소시엄으로 지원했다. 결과적으로 사업 수행은 SGA솔루션즈 컨소시엄과 프라이빗테크놀로지 컨소시엄 2개 그룹에서 맡게 됐다.

KISA의 제로 트러스트 보안 모델 실증 사업을 주도하는 ‘SGA솔루션즈 컨소시엄’을 구성하는 기업들을 포함, SW 공급망 보안 부문까지 주목할 만한 몇몇 기업들을 살펴보면 다음과 같다.

SGA솔루션즈(대표 최영철)는 정보통신기획평가원(IITP)의 제로 트러스트 관련 과제를 2021년부터 올해까지 3년째 진행해온 기업이다. 이를 통해 쌓은 경험과 기술, 그리고 기존에 보유한 솔루션들을 통합해 올해 5월 신제품 ‘SGA ZTA(Zero Trust Architecture)’를 출시했다. 회사는 ‘SGA ZTA’가 미국표준기술연구소(NIST)의 ZTA 기준을 가장 철저하게 분석, 반영한 솔루션임을 자부하며 국내 제로 트러스트 시장을 선도해 나가겠다는 포부를 밝혔다. SGA솔루션즈는 제로 트러스트의 핵심 중 하나인 ID·자격증명 접근관리(ICAM) 관련 기술을 자회사 에스지엔(SGN)을 통해 확보하고 있고, 그 외 광범위한 보안 분야 솔루션을 다수 보유하고 있어 제로 트러스트 프레임워크를 구현하는 중심적 역할을 해낼 수 있는 기업으로 평가받고 있다.

문서 보안 기술력으로 잘 알려진 소프트캠프(대표 배환국)는 사내 정보에 대한 접근관리 노하우를 제로 트러스트로 확대 접목시키며 발 빠른 행보를 보인 회사다. 제로 트러스트 개념을 확대해 ‘제로 트러스트 조건부 액세스(Zero Trust Conditional Access)’라는 기술을 개발, 사내 업무시스템에 대한 보안 원격접속 서비스인 ‘실드게이트(SHIELDGate)’에 접목했다. ‘실드게이트’에는 소프트캠프가 글로벌 기업보다 기술적으로 앞서 있다고 자부하는 원격 브라우저 격리(RBI) 기술도 포함돼 있다. SGA솔루션즈 컨소시엄에서 사내 업무 환경에 대한 제로 트러스트 보안은 소프트캠프가 담당하는 것이다.

지니언스(대표 이동범)는 국내 네트워크 접근제어(NAC) 시장을 대표하는 기업 중 하나로, 네트워크 부문의 접근제어를 제로 트러스트 개념을 기반으로 발전시켜 ‘지니안 ZTNA’ 라는 이름의 제로 트러스트 네트워크 아키텍처(ZTNA) 솔루션을 선보인 회사다. 마찬가지로 SGA솔루션즈 컨소시엄에서 네트워크 영역의 제로 트러스트는 지니언스가 담당한다.

한편 KISA의 실증사업에는 아쉽게 선정되지 못했지만, NIST가 제로 트러스트 아키텍처에 대한 3가지 접근방법 중 하나로 꼽은 ‘소프트웨어 정의 경계(SDP)’를 구현한 보안 솔루션 ‘티게이트 SDP(Tgate SDP)’를 보유하고 있는 엠엘소프트(대표 이무성)도 제로 트러스트와 관련해서는 주목할 만한 회사로 꼽힌다. 엠엘소프트는 한국제로트러스트보안협회(KZTA)를 설립, 국내 제로 트러스트 보안 확산을 위해 앞장서고 있기도 하다.

SW 공급망 보안과 관련해서는 레드펜소프트(대표 배환국)가 주목된다. 소프트캠프와 엔키(ENKI)의 합작 회사인 레드펜소프트는 현재 국내에서 유일하게 SW 공급망 보안을 위해 설립된 스타트업으로 알려져 있다. 회사는 현재 핀시큐리티, 스패로우와 함께 KISA의 SW 공급망 보안 관련 실증사업을 수행하고 있다. 레드펜소프트는 SW 공급망 보안의 핵심으로 꼽히는 SBOM(Software Bill of Materials, 소프트웨어 자재명세서)를 수요자 관점에서 제공하는 보안 서비스 ‘엑스스캔(X-Scan)’을 개발, 서비스하고 있다. 엑스스캔은 개발사가 공급한 SW의 설치·업데이트 파일을 업로드하면 수요기업에 SBOM을 제공하는 서비스다. 이를 통해 수요기업은 SW에 어떤 오픈소스가 추가됐는지, 취약점이 추가된 것은 없는지, 어떤 데이터 통신이 이뤄지는지를 손쉽게 파악할 수 있다.