[컴퓨터월드] 문서 보안 전문기업인 소프트캠프(대표 배환국)가 변화하는 사이버 보안 트렌드에 맞춰 새로운 도약을 모색한다. 특히 소프트캠프는 최근 국내 사이버 보안 업계의 가장 큰 변화의 축이 될 것으로 보이는 국정원의 N²SF(국가망보안체계)에 적극적으로 대응하며 준비된 기업임을 자부하고 있다. N²SF는 기존 네트워크 망분리 일변도의 공공 분야 보안 환경을 개선해 클라우드, 인공지능(AI)과 같은 최신 기술 및 서비스들을 원활하게 사용하면서도 더욱 안전한 사이버 보안 체계를 마련하는 것을 핵심 과제로 하고 있다. 지난 25년여 간 기업 업무 환경의 보안에 주력해온 소프트캠프가 어떤 점에서 N²SF와 클라우드, AI 등 최신 트렌드에 잘 준비된 기업인지, 배환국 대표로부터 자세히 들어본다.

문서보안 개척자, 기술력 다지며 경쟁력 강화

7월 중으로 예고된 국정원의 N²SF 상세 내용 발표를 앞두고 사이버 보안 업계는 큰 변화를 준비하고 있다. 이런 가운데 국내 1세대 정보보호 솔루션 전문기업인 소프트캠프 역시 새로운 성장 동력을 확보하고자 지난 몇 년간 새로운 솔루션 개발에 투자하며 숨 고르기 중이다. 특히 회사는 N²SF에도 충분히 대응할 수 있는 역량을 지속적으로 확보해 왔음을 자신하고 있다.

25년여 간 문서보안 분야를 개척해온 소프트캠프는 클라우드와 생성형 인공지능(Generative AI) 시대에 맞는 차세대 ‘AX 시큐리티 인에이블러(AI Transformation Security Enabler)’로 발돋움한다는 전략이다. 이를 위해 기존 문서보안 솔루션에 클라우드, 제로 트러스트, AI 등 최신 기술을 빠르게 접목하며 경쟁력을 강화하고 있다. 다음은 배환국 대표와의 일문일답이다.

“AI 시대에도 문서 보안은 여전히 중요”

- 문서보안 전문 기업으로서 보안 시장 전망은.

“업무를 하면서 반드시 사용할 수밖에 없는 문서와 같은 데이터를 암호화하는 것은 보안에서 아주 기본적인 것이다. 그동안처럼 앞으로도 수요는 계속해서 있을 것이다. 하지만 달라진 점이 있다. 그간 데이터베이스(DB)에 쌓인 데이터는 시스템이 보는 것이었고, 문서는 사람이 보는 것이었다. 하지만 이제 AI 기술이 발전하면서 바뀌었다. 데이터는 머신러닝(ML)이 다루고, 문서는 LLM(대규모언어모델)과 같은 생성형 AI가 처리하게 된 것이다. 따라서 앞으로의 생성형 AI 시대에도 문서 보안은 더욱 중요해질 것이다.”

“현재는 보안 관련 환경이 변화할 수밖에 없는 한계에 온 상황이다. 그동안 우리는 망분리를 통해 기본적인 보안 체계의 기본적인 것들을 많이 이뤄냈다. 하지만 이제 외부와 단절된 상태에서는 더 이상 업무를 원활히 볼 수 없게 됐다. 인터넷과 클라우드 기반 소프트웨어를 사용해야 하며, 중앙 밀집적인 컴퓨테이션(computation) 파워를 이용해야만 하는 환경이다. N²SF는 이런 변화에 따라가기 위한 것이다. N²SF 가이드라인 초안에 따르면 기존의 물리적 망분리 또는 소프트웨어적 망분리인 VDI(Virtual Desktop Infrastructure)는 향후 원격 브라우저 격리(Remote Browser Isolation; RBI)로 대체될 것으로 기대된다. 시장이 열려봐야 알겠지만, 기존의 보안 체계가 바뀐다는 점에서 새로운 수요가 생길 거라고 기대하고 있다.”

지속적 R&D로 미래 성장 동력 확보

- RBI 기술이란 무엇인가.

“소프트캠프는 5년간의 투자를 통해 RBI 솔루션을 국내에서 독보적으로 보유하고 있다. N²SF로 망분리가 완화되면 RBI 솔루션의 도입이 확대될 것으로 기대된다. 우리가 인터넷이 연결된 PC로 업무를 할 때 일부 설치형 프로그램을 제외하면 거의 대부분 브라우저를 통한다. 업무의 약 90%가 브라우저를 쓸 텐데 이 부분을 RBI가 다 커버할 수 있을 것으로 보고 있다. 기존에는 이메일에 첨부된 인터넷 링크에 접속하려면 구동에 몇 분이 걸리는 VDI를 일단 띄워야 했다. 하지만 RBI는 브라우저를 실행하기만 하면 되니 2~3초면 돼 매우 편리하다.”

“가트너 등 시장조사기관이 이야기하는 SASE(Secure Access Service Edge)나 SSE(Secure Service Edge) 등 최신 보안 기술에도 RBI가 포함돼 있다. RBI는 에이전트 설치도 필요 없고 서버단에서만 동작하므로 제로 트러스트 보안이나 SASE 등 최신 기술 트렌드뿐만 아니라 국정원 N²SF 준수에도 굉장히 유용한 솔루션이 될 것으로 생각한다. RBI 시장에서 소프트캠프는 현재 외산 대비해서 경쟁력이 뒤처지지 않고 오히려 앞서고 있다고 판단하고 있고, 이제 본격적으로 글로벌 기업들과 경쟁해야 할 것으로 보고 있다. 멘로시큐리티를 비롯해 지스케일러, 클라우드플레어, 팔로알토네트웍스 등이 RBI 솔루션을 보유하고 있다. 이제 이들의 솔루션이 국내에 본격적으로 들어올 것이다.”

- 클라우드도 그렇고 지난 몇 년간 트렌드 변화에 잘 대응하고 있다는 평가다.

“처음엔 로컬 및 엔드포인트 문서 보안을 했지만 클라우드로 환경이 변화하면서 다양한 고려사항이 있었다. 마이크로소프트365나 구글 워크스페이스 등은 자체적으로 DRM 기능을 보유하고 있어 소프트캠프의 암호화 기술이 적용되면 코파일럿을 사용할 수 없게 되는 등의 문제가 있을 수 있었다. 이 때문에 고객의 시각에서 생각했다. 즉 어떤 방식으로 암호화하느냐는 중요하지 않고, 어떤 환경에서든 암호화를 통한 보안이 최적으로 유지만 되면 된다는 것이었다.”

“내부에서는 소프트캠프의 암호화가 적용되고, 클라우드는 MS365나 구글 워크스페이스 등 환경에 따라 자동으로 암호화형식을 바꾸고, 메일로 보내면 협력사가 볼 수 있도록 바뀐다. 그리고 이런 과정은 사용자가 알아차리지 못하도록 심리스(seamless)하게 이뤄진다. 즉 정책에 따라 자동으로 문서의 암호화 방식을 변환해주는 문서 보안 오케스트레이션(Document Security Orchestration) 솔루션을 SaaS로 재작년 출시했고, 고객이 현재 2만 5천 유저 정도까지 빠르게 늘었다.”

“내무 업무 시스템이 다양한 SaaS로 전환되면서 계정관리가 필요해졌다는 점에도 주목했다. MS365뿐만 아니라 세일즈포스, 지라, 슬랙, 노션 등 여러 가지 서비스들이 내부 업무 시스템으로 들어오게 되면 싱글사인온(Single Sign On) 기반의 계정 관리가 필요하다. 해외 기업으로는 옥타(Okta)가 이 분야에서 가장 유명하다. 소프트캠프 역시 이런 점에 주목해 3년간의 준비를 걸쳐 지난해 한국형 옥타 서비스를 선보였다. ‘실드아이디(SHIELD ID)’라는 이름으로, 클라우드뿐만 아니라 내부 설치도 가능한 ‘클라우드 환경의 계정관리 서비스’다.”

- AI와 제로 트러스트도 놓치지 않고 있다.

“자회사인 공급망 보안 전문기업 레드펜소프트의 경우 패치 분석에 AI 에이전트를 이용해 취약점을 분석하고, 가장 효율적인 오픈소스 패치 버전이 무엇인지 등을 추천해 주도록 기술을 개발하고 있다.”

“제로 트러스트와 관련해서는 현재 한국정보보호산업협회(KISIA) 산하 한국제로트러스트위원회(KOZETA)의 의장도 맡으면서 제로 트러스트 활성화를 위한 다양한 활동을 하고 있다. 지난 2년간 가이드라인 1.0에서 2.0이 발표되고, 3년간에 걸친 시범사업 및 실증사업을 통해 제로 트러스트의 개념이 많이 알려졌다. 이제는 실제 구축 사례를 보여줄 시기가 됐다. N²SF 역시 제로 트러스트 개념을 적용해 외부 SaaS를 내부에서 어떻게 안전하게 쓸 것인지를 고민하는 것이다.”

“RBI와 마찬가지로 외산 대형 제로 트러스트 보안 벤더들이 본격적으로 국내에 상륙할 것으로 보여, 국내 기업들 모두 긴장하고 제로 트러스트 보안을 준비하고 있다. 소프트캠프는 2년 전 KISA의 제로 트러스트 시범사업에 참여했었고, 올해는 실증사업에도 참여한다. KB국민은행의 클라우드 업무 시스템에 제로 트러스트 모델을 구현하기 위해 SK쉴더스를 주관사로 넷츠, 모놀리, 자이온과 컨소시엄을 꾸렸다.”

N²SF 대응 역량 완비

- N²SF의 핵심은 무엇이며, 소프트캠프는 어떤 측면에서 자신 있나.

“첫 번째 핵심은 원격 근무 확대, 클라우드 도입, 생성형 AI 사용 확대 등과 같이 업무 환경이 변화하면서 기존의 망분리 정책으로는 더 이상 효율적으로 업무를 수행하기 어렵기 때문에 망분리 정책을 개선하겠다는 것이다. 두 번째 핵심은 데이터를 기밀(C), 민감(S), 공개(O) 등 3가지 등급으로 나눠서 철저한 보안이 필요한 것은 최신 기술로 한층 더 보안을 강화하되 공개 등급은 데이터를 적극적으로 활용할 수 있도록 하겠다는 것이다. 그리고 3가지 등급은 각 기관이 자체적으로 가이드를 마련해 구분하라고 이야기하고 있다.”

“소프트캠프는 문서 보안을 해왔다 보니 문서들을 C/S/O 등급으로 분류할 수 있는 역량을 갖추고 있다. 즉 문서 보안 오케스트레이션 솔루션을 통해 문서 및 데이터를 안전하게 자동으로 필터링 및 관리 가능하다. 또한 외부에서 들어오는 악성코드들도 RBI를 통해 격리하거나 무해화할 수 있다. 권한 관리, 인증, 분리 및 격리, 통제, 데이터, 정보자산 등 6개 영역 가운데 대부분을 관리할 수 있는 통합 솔루션을 제공하고 있다.”

“보안으로 DX·AX 뒷받침하겠다”

- 정책적 제언이 있다면.

“KISA의 실증 사업이나, 조달청 혁신 제품 시범구매 사업 등과 같은 지원들이 좀 더 확대됐으면 한다. 소프트웨어는 제품이기도 하지만, 서비스 성격도 있다. 하드웨어는 R&D 지원을 받아 개발되면 양산해 판매 가능하다. 하지만 소프트웨어는 R&D를 통해 개발해 팔면 곧 장애가 난다. 이유는 소프트웨어는 지속적인 개선이 필요한 서비스이기 때문이다. 그래서 소프트웨어는 얼마나 오랫동안 개발했는지를 보지 않고 얼마나 많은 회사들이 쓰는지, 레퍼런스를 본다. 소프트웨어는 서비스이고, 계속해서 서비스를 제공할수록 발전한다. 즉 R&D 지원보다는 소프트웨어를 계속해서 사용해줄 수 있는 지원이 이뤄져야 소프트웨어 서비스를 발전시킬 수 있을 것이라고 생각한다. 또 시범사업의 경우도 수요기관과 사업 일정이 맞지 않으면 어렵다. 언제든 원하는 때 수요 기관이 혁신 소프트웨어를 써볼 수 있도록 바우처 지원도 강화했으면 한다.”

Q. 끝으로 올해 목표와 포부는.

“지난 몇 년간의 투자에 대한 성과를 내는 것이 목표다. 하반기 N²SF 관련 상세 내용이 발표되고, PoC(개념증명)와 시범사업 등을 잘 마무리해 실적을 내고자 한다. 올해 영업이익 20억 원을 목표로 하고 있다.”

“흔히 고객들은 보안이 우리를 힘들게 한다고 말한다. 하지만 소프트캠프는 디지털 전환(DX)이든 AI 전환(AX)이든 보안을 통해 가능하도록 하는 기업(Security Enabler)이 되고 싶다. 제로 트러스트와 N²SF 등 변화하는 보안 환경 속에서 든든한 조력자가 되겠다.”