글로벌 SECaaS 기업, 국내 진출 속도 높여
SECaaS 시장의 급성장에 발맞춰 다양한 기업들이 이 시장에서 영향력을 행사하고 있다. 특히 애플리케이션 딜리버리 네트워크(ADN) 전문기업들이 전 세계에 클라우드 서비스 인프라를 구축하고 웹과 애플리케이션 전문성을 앞세운 보안 서비스를 적극 소개하고 있다.

대표적으로 라드웨어의 경우, 애플리케이션을 보호하고 성능을 최적화하는 엔터프라이즈급 매니지드 클라우드 보안 서비스를 제공한다. 라드웨어 클라우드 서비스는 ▲디도스 방어 ▲웹방화벽 ▲웹 가속 ▲CDN ▲멀웨어 보호 등으로 구성돼 있다.

라드웨어는 클라우드 보안 서비스가 갖춰야 할 세 가지 요건인 ▲탁월한 기술 ▲클라우드 전문가 조직 ▲견고한 글로벌 네트워크를 갖추고 있다고 주장한다. 또한, 라드웨어 보안 전문가에게 모니터링 및 관리 업무를 완전히 아웃소싱함으로써 지능화되는 공격에 최적의 대응을 할 수 있다고 강조한다.

클라우드 시장 성장 속도가 가파르게 올라가면서 글로벌 기업들도 국내 시장 공략에 속도를 내고 있다. 클라우드 보안 전문기업인 지스케일러가 2019년 한국지사를 정식 설립하며 국내 시장 공략을 본격화한다. 지스케일러는 전 세계 185개 국가에 진출해 2800여 엔터프라이즈 고객을 확보하고 있다. 지스케일러는 단일 플랫폼에서 다양한 보안 모듈을 제공하는 ‘ZIA(Zscaler Internet Access)’와 VPN을 대체하는 ‘ZPA(Zscaler Private Access)’로 구성된다.

ZIA는 클라우드 접속 보안 중개(CASB)를 비롯해 SSL 가시성, 차세대 방화벽, 안티바이러스, 데이터 암호화·유출방지, 계정·권한 관리 등 멀티 클라우드 사용 시 필수적인 보안 기능을 제공한다. ZPA는 제로 트러스트 기반의 SDP(Software Defined Perimeter) 서비스로, 클라우드 애플리케이션에 안전하고 빠르게 보안 접속을 할 수 있도록 지원한다. IP 주소 기반 접근제어가 아니라 네임 스페이스를 통해 간편하고 안전하게 접근할 수 있도록 보장한다.

토종 기업도 SECaaS 경쟁 시작
국내 보안 기업들도 다양한 SECaaS 모델을 출시하며 시장 활성화에 나서고 있다. 안랩은 ‘시큐그라운드(SecuGround)’ 서비스로 SECaaS 시장을 공략한다. 이 서비스는 웹방화벽 서비스 ‘웹가드(WebGuard)’와 다양한 웹사이트로 유포되는 악성 파일을 탐지해 알려주는 ‘사이트스키퍼(SITESkipper)’를 클라우드로 제공한다. 웹가드는 웹 기반 보안 위협을 차단·분석하며, 신규·긴급 취약점 대응과 차단·탐지 서비스를 제공한다. 사이트스키퍼는 고객 웹사이트 실시간 보안 모니터링과 보안 위협 차단·알림, 가상화 기반 악성코드 유포 행위 점검 등을 제공한다.

토종 웹·애플리케이션 보안 전문기업 모니터랩도 SECaaS 시장 개척에 나서고 있다. 모니터랩은 웹과 애플리케이션 보안 분야에서 뛰어난 경쟁력을 갖고 있으며, 특허받은 트랜스페어런트 프록시 기술을 이용해 진화하는 웹 보안 위협으로부터 고객 비즈니스를 보호한다.

모니터랩의 통합 웹 보안 서비스 ‘아이온클라우드(AIONCLOUD)’는 웹방화벽, 디도스 방어, 악성 URL 탐지 등의 기능을 제공하며, 전 세계 11개 데이터센터를 운영하면서 글로벌 비즈니스를 전개하고 있다. 아이온 클라우드는 머신러닝을 이용해 방대한 웹 위협 정보를 분석한 후 최신 위협 인텔리전스를 제공한다. 웹사이트를 주기적으로 방문해 악성코드 감염 여부를 진단하는 ‘사이트체커’도 함께 공급한다.

아이온클라우드는 AWS, MS 애저, KT, SK(주) C&C 클라우드 제트, 구글 클라우드, 가비아 클라우드, 알리바바 클라우드 등 다양한 IaaS 플랫폼에 최적화돼 공급된다. 더불어 화이트 라벨링 방식의 파트너 모델도 적극 운영해 파트너 비즈니스와 함께 성장하는 모델도 운영하고 있다.

펜타시큐리티도 ‘펜타 클라우드 시큐리티’를 정식 서비스하면서 클라우드 보안 시장 확장에 나섰다. 이 서비스는 데이터 암호화 솔루션 ‘디아모(D’Amo)’, 웹 보안 솔루션 ‘와플(WAPPLES)’, 통합인증보안 플랫폼 ‘아이사인플러스(ISign+)’를 클라우드에 최적화한 것이다.

가비아는 한국인터넷진흥원 클라우드 기반 신규 보안 서비스 평가 방법론 개발과 시범검증 사업에 협력하며 SECaaS 사업에 적극 나서고 있다. 가비아는 보안 전문 자회사 엑스게이트와 협력해 SECaaS 평가 방법론 개발에 필요한 가상화 상품과 서비스를 지원한다.

전통적인 네트워크 경계 무너뜨리는 클라우드
클라우드로 비즈니스 경쟁력을 높이고, 보안 수준도 올릴 수 있지만, 클라우드로 인한 보안 위협도 높아지고 있다. 특히 클라우드에서의 보안 위협은 레거시 환경에서의 위협과 다르기 때문에 클라우드에 맞는 새로운 대응 방식이 요구된다.

레거시 환경은 물리적으로 구분된 네트워크 경계가 있으며, 경계 내에서 일어나는 비즈니스를 보호하면 된다. 그러나 클라우드에서는 전통적인 개념의 네트워크 경계가 없어 전통적인 보안 체계로는 보호할 수 없다. 클라우드 이용 형태가 다변화되는 것도 반드시 고려해야 한다.

클라우드를 사용하는 조직 중 단 하나의 클라우드만을 사용하는 곳은 없다. 온프레미스 데이터센터를 유지하면서 프라이빗 클라우드와 여러 종류의 퍼블릭 클라우드를 운영하는 멀티 클라우드를 운영하는 곳이 대다수다. 시장조사기관 IDC에 따르면 클라우드를 도입한 국내 기업 중 82%가 멀티 클라우드를 사용하는 것으로 나타났다.

멀티 클라우드 운영 시 가장 많이 부딪히는 문제가 클라우드마다 보안 수준이나 적용 방법이 다르다는 것이다. 대부분의 엔터프라이즈에서 사용하는 클라우드가 평균 100개 이상이며, IaaS, PaaS, SaaS 분야에서 각각 다른 보안 수준과 보안 서비스를 요구한다. 협력업체, 아웃소싱 기업과 공유하는 클라우드 서비스는 제각각 다른 보안 접근 권한 정책을 적용해야 하며, 100여개의 클라우드마다 적합한 보안 정책을 설정하고 유지해야 한다. 클라우드로 인해 비즈니스 유연성이 늘어나는 만큼 보안 관리는 매우 어려워진다.