클라우드 구독 AI 시대엔 제로트러스트 필수…소프트캠프 자신감
"기존 제품으로 도태될 위기 경험…고객사 MS 이주 돕겠다"
"직원 원격접속, AI 파일 업로드…중간서 격리·통제해야"
- 윤주영 기자
(과천=뉴스1) 윤주영 기자 = 국내 기업·기관이 클라우드 구독 서비스 형태(SaaS)로 인공지능(AI) 서비스를 도입하려는 추세나 민감 정보의 유출이 우려된다. 조직 구성원이 고객 정보나 기밀 등을 무분별하게 온라인상에 올리는 문제 등이 생길 수 있다.
내부자의 정보 접근도 끊임없이 검증하는 개념 '제로트러스트'를 담은 보안 설루션이 주목받는 이유다.
소프트캠프(258790)는 18일 경기 과천 신사옥에서 간담회를 열고 이런 취지로 자사 설루션의 이점과 회사 비전을 소개했다. 소프트캠프는 한국정보보호산업협회(KISIA)의 수석 부회장사를 맡고 있다.
배환국 소프트캠프 대표는 "4~5년 전 고객사들이 마이크로소프트(MS) 365, 팀스 등 클라우드 구독형 제품을 도입하면서 기존 회사 제품이 외면받게 됐다"며 "MS 클라우드와 SaaS를 쓰는 건 대세이니 차라리 고객사가 MS 환경으로 이주할 수 있도록 지원하는 것으로 전략을 수정했다"고 말했다.
금융, 공공 등 보수적인 업계마저도 SaaS 도입을 검토하는 상황에서 기존 보안 설루션만을 고수했다간 도태될 수 있다는 위기의식이다. 수요가 급증하는 AI 서비스도 클라우드로 제공되기 때문에 전략 변화는 피할 수 없었다고 배 대표는 강조한다.
이런 기술 변화 때문에 제로트러스트 보안 모델의 필요성이 대두되고 있다. 기업 데이터베이스(DB)와 외부와의 연결 접점이 늘어난 만큼 더욱 엄격한 내부 통제가 필요하기 때문이다.
아직 제로트러스트는 추상적 개념에 가까워서 정해진 설루션은 없으나, 미국 등 주요국을 중심으로 방법론도 구체화하는 중이다. 우리 정부도 최근 제로트러스트 가이드라인 2.0을 통해 어떤 요건이 필요한지 등을 제시했다.
회사는 클라우드상의 통합 계정관리 등 방법으로 사용자 접근을 지속 검증하는 게 가능하다고 제시했다.
직원이 외부 단말을 통해 사내 시스템과 연결된 SaaS를 사용할 경우, 외부 단말 감염에 따른 사내 시스템 침해가 발생할 수 있다. 이때 자사의 '원격 브라우저 격리'(RBI) 등 설루션으로 데이터 전송을 통제해 피해를 방지할 수 있다고 설명했다.
AI에 명령어를 입력하거나 파일을 올리는 경우에도 중간 격리 구간을 둘 수 있다고 제시했다. 회사 설루션 중 '쉴드라이브'가 이런 기능을 갖췄는데, 쉴드라이브에 올라온 파일은 내부 보안 검수를 거쳐야 AI 서비스에 전송될 수 있다.
현재 제로트러스트 가이드라인 2.0은 △식별자 관리 △인증 △위험도 평가 △접근 관리 △가시성 및 분석 △자동화 및 통합 등 6가지의 요건을 제시하고 있다. 이를 달성한 수준은 기존·초기·향상·최적화 등 4단계로 평가된다.
강대원 소프트캠프 수석은 "아직 AI에 기반한 위험도 평가는 구현할 수 없어 위험도 평가 만족은 초기 단계만 만족하지만, 이외 요건에선 '최적화' 수준의 서비스를 제공할 수 있다"고 말했다.
legomaster@news1.kr
Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용금지.