PRESS

프레스

[보안칼럼] ‘제로 트러스트’는 신기루인가, 아니면 오아시스인가?

▶소만사 김대환 대표이사

 

 

[보안칼럼] ‘제로 트러스트’는 신기루인가, 아니면 오아시스인가?

 

 

분야는 특히나 유행에 민감하다. 트렌드가 바뀌면 민첩하게 옷을 갈아입고, 해당 분야 전문업체라고 목소리를 높인다.

대체로 3년마다 이런 물결이 반복된다. 때문에 고객들은 이들을 양치기 소년처럼 바라보기도 한다.

 

현 시점 보안 핵심 트렌드는 단연코 ‘제로 트러스트’이다. 항간에서는 제로 트러스트, AI보안 키워드가 포함되어야만

투자가 성사된다는 말이 나오기도 한다. 그러나 필자를 포함한 많은 이들은 ‘제로 트러스트’ 보안체계의 정의에 대해 쉽게 설명하지 못한다.


과연 ‘제로 트러스트’ 보안 트렌드는 내년이면 아무도 모르게 잊힐 신기루일까, 아니면 향후 10년간 길게 이어져 나갈 보안의 오아시스일까?

 

먼저 ‘제로 트러스트’ 보안체계가 탄생하게 된 배경부터 생각해본다.

 

IT보안분야가 직면하고 있는 가장 중요한 도전은 ‘클라우드 컴퓨팅’ 환경의 확대이다.

클라우드 컴퓨팅은 언제, 어디서든 원하는 서비스에 접근할 수 있는 기술이다. 사용자들은 이를 통해 업무 효율성을 확보한다.

서비스 자원추가가 필요할 경우 즉각적으로 조정하여 추가 용량을 확보할 수 있으며,

시스템 형상도 최신환경으로 손쉽게 유지할 수 있다는 장점이 있다.

‘클라우드 컴퓨팅’은 위와 같은 강점을 바탕으로 ‘퍼블릭 클라우드’ 혹은 ‘프라이빗 클라우드’로

향후에도 더욱 더 영향력을 넓혀갈 것임에는 의심의 여지가 없다.

 

그러나 보안관점에서의 ‘클라우드 컴퓨팅’은 우리에게 반드시 해결해야 할 만만치 않은 숙제를 남겨 주기도 한다.

클라우드 환경으로 전산인프라를 이전하면 보안 수준이 크게 높아진다는 말이 있다.

이는 사실이 아니다. 컴퓨팅 인프라가 사내가 아닌 회사 바깥에 있기에 오히려 개인정보 유출통제,

감사증적 확보, 인증 및 신분증명 측면에서 도전적인 문제를 야기한다.

보안담당자는 회사 밖에서 사내기밀정보가 열람될 경우 정보유출 방지를 위해 면밀하게 통제해야 할 필요가 있다.

외부 단말에 고객 개인정보가 다운로드 되는 일도 반드시 차단해야 할 것이다.

 

클라우드 서비스에 접속한 사용자의 세부 접속기록을 확보하는 일도 내부시스템과 비교했을 때 결코 쉬운 일이 아니다.

외부 접속자의 신원확인 절차는 철저하게 처리되어야 하며, 외부 단말은 악성코드 감염에 취약하기에 차단대책 역시 강화되어야 한다.

악성코드에 감염된 단말이 서비스에 접근하더라도 시스템은 무너지지 않아야 한다.

 

회사 외부로부터의 접근은 아무것도 믿을 수 없다는 ‘신뢰제로(Zero Trust)’ 전제에서 시작되어야 한다.

이러한 흐름 속에서 ‘클라우드 컴퓨팅’에 대한 보안전략을 재정의해야 할 필요성이 적극적으로 대두되었다.

 

그 결과물이 ‘제로 트러스트’ 보안체계이다.

현재 ‘제로 트러스트’는 미국 정부에서 적극적으로 추진하고 있다.

미 정부 역시 자국 공공시스템에 클라우드 인프라를 적극적으로 접목해온 것으로 알려져 있다.

‘제로 트러스트’는 보안기업에 따라, 이해관계에 따라 다양한 입장을 표방하고 있으며

널리 받아들여지는 개념 중 하나는 ▲인증, ▲디바이스, ▲네트워크, ▲애플리케이션, ▲데이터 등

총 5가지 축을 기반으로 지속적으로 보안 성숙도를 높여가는 것이다.

 

예를 들면 ▲백그라운드에서 지속적으로 본인여부를 확인하는 강화된 인증

▲네트워크 영역 세분화(마이크로 세그멘테이션, 망분리, 소프트웨어 정의 네트워크) ▲네트워크 이상행위 분석

▲개인정보 및 기밀정보 유출통제 조치 ▲행위기반 악성코드 통제 ▲단말 및 서버 가상화 등이 ‘제로 트러스트’기반 기술에 해당된다.

사실 새로운 것은 없다. 보안분야에서 수년 전부터 대두되어왔던 것들이 대다수이다.

결국 개별적으로 논의되던 기술이 ‘클라우드 컴퓨팅’ 시대에 들어와 체계적으로 정리된 것이 ‘제로 트러스트’ 보안체계라고 할 수 있다.

 

‘제로 트러스트’ 시대에는 기존에 없었던 전문 보안 솔루션이 탄생하기도 할 것이다.

그러나 대부분 기존 보안 솔루션에 ‘제로 트러스트’ 관점을 입혀 성장하게 될 것이다.

제품을 도입하는 기업/기관 입장에서는 ‘제로 트러스트’관점에서

보안 솔루션을 ‘오케스트레이션’하는 것이 주된 과제가 될 것이다. 업무 특성에 따라 선제적으로 도입해야 할 솔루션도 달라질 것이다.

 

‘제로 트러스트’를 향한 여정은 멀고 험난할 것이다. 현실은 사내 중요한 개인정보가 어디에 얼마나 있는지

전수검사도 제대로 못하고 있는 것이 현재 보안수준이기 때문이다. 업무PC가 몇 대인지, 외부반출 노트북이 몇 대 인지,

단말 자산파악도 제대로 되지 않는 곳도 있다는 것이 보안의 불편한 진실이다.

 

‘제로 트러스트’ 체계 도입에 적극적인 미국 국방부 역시 이를 위해 5~10년정도의 기간을 두고 성숙도를 높여가고 있다.

결국 모든 것은 투자여력과 전문인력 문제로 귀결되기도 한다.

‘제로 트러스트’ 보안을 위해서는 경영진, 더 나아가서는 CEO의 적극적인 관심과 투자가 필수적일 수밖에 없는 이유이다.

[글. 김대환 소만사 대표이사]

 

▶[기사보기] “[보안칼럼] ‘제로 트러스트’는 신기루인가, 아니면 오아시스인가?”


이전글 [보안칼럼]개인정보가 어디에 있는지 알아야 개인정보를 보호할 수 있다 2024.04.01
다음글 없음
목록

PRESS

프레스

[보안칼럼]개인정보가 어디에 있는지 알아야 개인정보를 보호할 수 있다

 

개인정보가 어디에 있는지 알아야 개인정보를 보호할 수 있다

 

필자는 데이터보호 전문업체를 28년째 이끌고 있다. 30년간의 데이터 보호 트렌드를 간략하게 요약하면 초기 10년은 산업기밀 유출방지에 초점이 있었다. 모 전자 반도체 핵심기밀 유출사건 등이 배경이 됐다. 웹메일이나 USB 파일복사 등을 통한 기밀정보 유출을 차단하는 솔루션이 첨단기밀 산업체에 도입되는 계기가 됐다.

 

2008년 이후부터는 고객 개인정보보호가 데이터 보호의 중심에 서게 된다.

 

2008년 옥션 개인정보유출사고를 비롯하여 연이은 1000만건 이상 유출사고와 2011년 개인정보보호법 제정이 변곡점을 만들어냈다. 기존 개인정보 유출통제뿐만 아니라 개인정보 암호화와 접근통제, 접속기록 관리조치가 강화됐다. 2023년 전면 개정된 개인정보보호법은 형사처벌규정을 대폭 완화하고, 과징금 체계를 강화하는 변화를 이끌어냈다. 특히 중대한 과실이 발생할 경우 전체매출 3% 과징금이 시행됨에 따라 향후에도 개인정보는 데이터보호의 중심축이 될 것으로 기대된다.

 

개인정보보호의 첫걸음은 ‘고객의 개인정보는 도대체 어디에 있을까?’에 대한 기본질문에 대해 답하는 것이다. 지극히 당연한 말이다. 보호대상이 어디에 얼마나 있는지 정확히 알아야 보호할 수 있다. 그러나 이 당연한 것을 제대로 수행하는 기관이 별로 없다는 것이 불편한 현실이기도 하다. 회사에서 관리하는 고객개인정보는 데이터베이스 관리시스템(DBMS)에 테이블이라는 형식으로 저장돼 있다. 또는 서버에 파일형식으로 저장돼 있기도 하다. 물론 개인정보 취급자 개인용컴퓨터(PC)에도 다운로드해 저장돼 있기도 한다. 데이터 형식 측면에서 볼 때 텍스트 포맷 뿐만 아니라 이미지 스캔파일로 보관된 경우도 적지 않다. 이처럼 회사에서 운영되고 있는 모든 서버와 단말에는 개인정보가 저장되어 있을 잠재적 가능성이 있다. 그러나 개인정보 현황을 전수검사해 정확하게 파악하고 있는 기관은 10%가 채 되지 않는다.

 

개인정보보호 컨설팅 프로젝트엔 기관에서 관리 중인 개인정보파일 조사과정이 반드시 포함돼 있다. 이는 컨설턴트와 보안 담당자 인터뷰를 통해 진행된다. 컨설턴트는 개인정보가 얼마나 있는지 고객에게 질문한다. 보안담당자는 자기가 알고 있는 범위에서 최선의 답변을 주는 것으로 조사는 종료된다. 이처럼 형식적인 절차로 마무리된다. 과연 우리 회사에서 관리하고 있는 개인정보파일은 보안담당자가 알고 있는 내용 외에는 없을까?

 

정답은 예상하는 바와 같이 ‘보안담당자가 알지 못하는 곳에 수천만건의 개인정보가 여전히 보관돼 있음’이다. 10년 전에는 단일 서버에서 주민번호가(중복포함) 1억건 발견되는 사례도 있었다.

 

불편한 진실이지만 지금도 현장조사에서 수백만건의 개인정보가 무단으로 저장된 서버를 발견하는 것이 드물지 않다. 암호화, 파기, 유출통제 모두 개인정보가 어디에 있는지 알아야 제대로 할 수 있다.

 

PC내 개인정보파일 전수검사는 개인정보보호법 시행 13년이 지난 지금은 대부분 완료됐다.

 

이에 따라 PC내 개인정보파일의 파기, 암호화 그리고 유출통제도 대부분 완료됐다. 그러나 서버는 여전히 무풍지대다.

 

다행히 금융감독원은 수년 전부터 보안점검 시 서버의 개인정보 보유현황 점검을 포함했다. 금융기관은 DBMS와 파일서버에 저장된 개인정보파일을 전수검사하고 있으며, 이미지 파일로도 범위를 넓히고 있다. 그러나 나머지 기업과 공공기관의 서버 개인정보파일 전수검사 진행은 시작단계에 머멀러 있다. 지속적인 관심이 없는 한, 현재 상태로는 10년 후에도 지금과 큰 차이가 있을 것 같지 않다.

 

개인정보보호에 있어 가장 근본적인 질문을 다시 한번 던져보고 싶다.

 

▶[기사보기] “개인정보가 어디에 있는지 알아야 개인정보를 보호할 수 있다 “

이전글 “소만사, DLP 넘어 EDR 시장에 안착…‘싱글에이전트’ 솔루션으로 효과적인 랜섬웨어 차단” 2024.03.22
다음글 [보안칼럼] ‘제로 트러스트’는 신기루인가, 아니면 오아시스인가? 2024.04.16
목록

PRESS

프레스

“소만사, DLP 넘어 EDR 시장에 안착…‘싱글에이전트’ 솔루션으로 효과적인 랜섬웨어 차단”

▶소만사의 차세대 안티바이러스 솔루션 Privacy-i EDR

 

 

EDR과 엔드포인트 보안 에이전트를 통합한 ‘싱글에이전트’ 솔루션으로

악성코드·랜섬웨어 감염부터 정보유출까지 모두 통제

 

 

“상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2024가

3월 12일 1,400여 명의 공공, 금융, 기업 정보보호 책임자 및 실무자가 참석한 가운데

더케이호텔서울 가야금홀에서 성황리 개최됐다.

 

이날 김대환 소만사 대표는 ‘효과적인 랜섬웨어 통제 방법(NGAV+PC 가상화)’를 주제로 키노트 강연을 진행했다.

이번 키노트 강연에서는 ‘기존 안티 바이러스가 잡지 못하는 악성코드 감염과 실시간 복구’ 중심으로 발표했다.

 

패턴기반 차단방식의 안티바이러스는 가장 대중적인 보안 솔루션이지만

파일리스 공격, 제로데이어택, 신변종 바이러스 차단 부분에 있어서는 실시간 대응이 어렵다.

 

최근 생성형 AI 기술을 악용해 신변종 바이러스를 손쉽게 만들어내며 취약점 등 공격 침투경로를 찾는다.

AI 공격 도구를 제작하는 등 이전보다 사이버 보안 위협이 거세지고 있다.

또한소만사는 이에 맞서는 솔루션으로 Privacy-i EDR이 있다.

 

차세대 안티바이러스 솔루션 Privacy-i EDR은 패턴기반 정적분석과 행위기반 동적분석이 동시에 진행되는 솔루션이다.

 

패턴기반엔진으로 1차 필터링, 행위기반엔진으로 2차 필터링을 수행하여

더욱 정교한 보안위협을 탐지하여 기업과 기관을 보호한다.

 

EDR은 프로세스, 레지스트리, 파일생성 등 실제 행위정보를 토대로 수집하기 때문에

악성행위에 대한 정확도가 높다.

따라서 변종 식별능력과 제로데이 대응능력이 높은 편이다.

조직 내의 엔드포인트에서 발생하는 위협행위를 탐지하고 이에 대해 빠르게 대응할 수 있다.

 

보안 위협행위가 일어나면 자동으로 격리하거나 종료시킨다.

그럼에도 감염되는 경우, 파일백업과 자동복원이 가능하다.

 

랜섬웨어에 감염되어 파일이 손상되었을 때 자동으로 실시간 복구 기능을 제공하여

정상적인 파일로 복구시킨다.

소만사는 행위기반엔진과 패턴기반엔진이 통합된 ‘EDR’과 엔드포인트 보안 에이전트를 통합한

‘싱글에이전트’ 솔루션으로 차별화하고자 한다.

 

개인정보/컨텐츠 분석기술을 토대로 주요정보부터 우선 식별하여 악성코드/랜섬웨어 감염부터

정보유출까지 모두 통제하고자 한다.

 

▶[기사보기] “‘싱글에이전트’ 솔루션으로 효과적인 랜섬웨어 차단”

이전글 “커지는 외산SW 리스크, 이제는 국산이 더 합리적” 2024.03.20
다음글 [보안칼럼]개인정보가 어디에 있는지 알아야 개인정보를 보호할 수 있다 2024.04.01
목록

PRESS

프레스

“커지는 외산SW 리스크, 이제는 국산이 더 합리적”

▶소만사의 논리적 망분리 PC 가상화 솔루션 VD-i

 

 

“커지는 외산SW 리스크, 이제는 국산이 더 합리적”

인수합병으로 인한 라이선스·기업 운영 정책 변경 국내 기업 대응 어려워

 

 

“많은 기업에서 안정성과 합리성을 외산 소프트웨어(SW)를 선호해왔다.

하지만 지난 십 수년 간의 히스토리를 보면 오히려 그렇지 않은 모습이 자주 목격된다.

기술력을 많이 축적한 지금은 오히려 국산 제품이 여러 방면에서 합리적일 가능성이 크다.”

 

VM웨어의 라이선스 정책 변경을 지켜본 김대환 소만사 대표는 국산 SW 제품에 대한 인식이 이제 바뀔 필요가 있다고 강조했다.


지난해 말 VM웨어는 SW제품의 영구 라이선스 판매를 중단하고 구독제로 전환했다.

기존 영구 라이선스 고객사 위한 어떠한 대안도 제시되고 있지 않아 비판이 일고 있다.

또한, 단독으로 사용할 수 있던 제품 옵션이 패키지로 전환되며 기업의 특성에 따라 효율적으로 비용을 조절할 수도 없게 됐다.

 

이와 함께 한국 지사 인력을 줄이고 있어 VM웨어 고객사들은 비용은 높아진 반면 서비스의 질은 낮아질 것을 우려하고 있다.

 

이러한 행보는 VM웨어를 인수한 브로드컴이 단시간 내에 수익을 달성하기 위한 것으로 업계에서는 분석하고 있다.

브로드컴은 이전에도 시만텍과 CA테크놀로지스를 인수해 비슷한 행보를 보인 바 있다.

 

김대환 대표는 “전세계적으로 클라우드와 인공지능(AI)의 인기가 폭발적인 만큼

이와 관련된 핵심적인 기술을 가진 VM웨어는 다를 것이란 기대도 있었지만 예상은 틀리지 않았다”며

“해외 기업 간의 거래로 인해 국내 기업들은 저항도 못하고 피해를 보게 됐다”고 토로했다.

 

이어서 김 대표는 기존에는 제품의 성능과 안정성 등의 이유로

외산 기업을 선호하는 인식이 있었지만 이제는 바뀌어야 할 때가 됐다고 강조했다.

 

인수합병이 자주 일어나는 글로벌 기업 특성상 안정적으로 보이는 기업이라도 언제 대기업이나

사모펀드 등에 인수되어 기업의 라이선스 정책이나 운영 방식이 바뀔지 모른다는 지적이다.

 

가상화 전문기업 시트릭스 역시 지난 2022년 사모펀드에 매각되어 국내 지사를 축소하는 등

기술 고도화보다 수익성에 더욱 집중하는 모습을 보인 바 있다.

 

김대환 대표는 “이미 국내에도 20년 이상 SW를 개발해오며 안정성과 기술력을 인증 받은 기업들이 상당수 포진하고 있다”며

“이제는 오히려 이런 기업들의 제품들이 기술력을 비롯해 가격이나 기술지원, 안정성 등을 생각하면 당연히 합리적이라고 생각한다”고 말했다.

 

이어서 “무엇보다 국산 SW 제품은 국내 환경에 최적화됐다는 것이 가장 중요하다”며

“기업의 요청이나 장애 등에 즉시 반응해 서비스를 제공하는 것은 외산 제품은 따라갈 수 없는 장점”이라고 강조했다.

 

소만사는 1997년부터 27년간 정보유출방지(DLP), 데이터베이스(DB) 접근제어 등 보안 솔루션을 집중적으로 개발해온 보안전문 기업이다.

최근에는 급증하는 기업 대상 사이버공격에 대응하기 위해 정보유출을 원천적으로 차단하기 위해

논리적 망분리 PC 가상화 솔루션과 엔드포인트 탐지 및 대응(EDR) 서비스를 연계한 통합 보안솔루션 등을 선보이고 있다.

 

소만사의 VDI는 모바일 테더링 환경에서 실행 후 접속까지 6초 내외, 60메가짜리 엑셀 파일을 12초 만에 여는 등

외산 기업 못지 않은 빠른 속도와 높은 보안성을 강점으로 내세우고 있다.

 

김 대표는 “25년 이상 보안 서비스를 제공해 오고 있는데 대략 5년 주기로 당시 대세라고 할 수 있는

외산 기업들이 시장에서 사라지는 현상이 반복되고 있다”며 “우리는 이러한 행보와 달리 앞으로도 꾸준히 보안 분야에서

기업들에게 최선의 서비스를 제공할 수 있도록 노력하겠다”고 포부를 밝혔다.

 

▶[기사보기] “커지는 외산SW 리스크, 이제는 국산이 더 합리적”


이전글 조달청, 소만사 방문해 상용소프트웨어 공공 구매 확대 방안 논의 2024.03.04
다음글 “소만사, DLP 넘어 EDR 시장에 안착…‘싱글에이전트’ 솔루션으로 효과적인 랜섬웨어 차단” 2024.03.22
목록

PRESS

프레스

조달청, 소만사 방문해 상용소프트웨어 공공 구매 확대 방안 논의

▶임병철 기술서비스국장(오른쪽 첫번째)이 5일 상용소프트웨어 제조업체를 방문해 소프트웨어 도입 확대 방안에 대해 논의하고 있다.

 

 

조달청, 상용소프트웨어 공공 구매 확대 방안 논의

조달청, 소프트웨어제조업체 ㈜소만사 방문, 기술개발 독려 및 정책적 지원

 

 

소만사는 1997년 창립한 개인정보보호 전문기업으로 개인정보영향평가·모의해킹 등

정보보호 컨설팅 및 PC내개인정보보호솔류션 ‘Privacy-i’ 등 정보보호를 위한 다양한 소프트웨어를 조달청 디지털서비스몰*을 통하여 판매하고 있다.

* 디지털서비스몰(https://digitalmall.g2b.go.kr) : 클라우드, 상용SW, 공개SW, 데이터 거래, IT전문가 지원 서비스 등 IT 상품의 공공구매를 종합적으로 지원하는 IT 상품·서비스 전용 공공조달 플랫폼 (‘22.4.14. 개통, ‘23년 구매공급실적 약 108백 억원 상당)

 

소만사는 “조달청이 개인정보보호 및 정보보안 제품의 발전을 위해 지원하고 있는 점에 감사드린다”면서

“중소기업제품이 공공기관 등에 보다 많이 판매될 수 있도록 적극적인 홍보를 요청드린다”고 했다.


임병철 조달청 기술서비스국장은 “나라장터엑스포 등 다양한 전시행사를 통해 중소기업 소프트웨어 제품 홍보를 강화하고

상용소프트웨어 직접구매가 확대되도록 적극 노력하고 있다”며

“소프트웨어 기업이 기술개발에 전념할 수 있는 기반이 조성되도록 지원해 나가겠다”고 말했다.


* 문의: 정보기술계약과 이해정 사무관(042-724-7299)

 

▶[기사보기] 조달청, 소만사 방문해 상용소프트웨어 공공 구매 확대 방안 논의


이전글 KISA, 미래전략 추진단 출범…조직개편 예고 2024.02.27
다음글 “커지는 외산SW 리스크, 이제는 국산이 더 합리적” 2024.03.20
목록

PRESS

프레스

KISA, 미래전략 추진단 출범…조직개편 예고


KISA, 미래전략 추진단 출범…조직개편 예고


한국인터넷진흥원(KISA)이 100일 프로젝트로 ‘미래전략 추진단’을 출범한다고 27일 밝히면서 조직개편을 예고했다.

KISA는 “역할과 책임(R&R)을 재정비해 전사적인 조직개편을 실시할 예정”이라며 “내부 조직역량을 강화해
디지털 안전 전문기관으로서의 역할을 다지고, <정보보호·디지털 특화 전문인력을 육성하기 위한 성장 플랫폼 구축 등도 이뤄진다"고 했다.
이어 “개인정보 유출, 스팸, 스미싱 등 민생침해 사이버 범죄에 대한 대응력을 강화한다”며
“유관부처·국회와의 공감대 형성과 법 개정을 통해 실행력을 확보하겠다”고 덧붙였다.

KISA는 추진단에서 논의한 내용을 2025년까지 시행한다는 목표를 세웠다.
이를 위해 이기주 CISO 협의회 회장, 정수봉 법무법인 태평양 변호사, 전길수 김앤장법률사무소 고문,
김대환 소만사 대표, 신용태 숭실대 교수, 채상미 이화여대 교수 등을 외부 전문가로 초빙했다고 설명했다.
이상중 KISA 원장은 “극심한 사이버 범죄로 인한 사이버 환경오염과격변하는 디지털 대전환 속에서
국민과 기업이 안심할 수 있는 디지털 사회를 구현하기 위해 다각적으로 노력하겠다”고 말했다.

 

KISA, 미래전략 추진단 출범…조직개편 예고


이전글 ‘온북’ 최적화 ‘VD-i 개방형OS 버전’ 출시 2023.11.30
다음글 조달청, 소만사 방문해 상용소프트웨어 공공 구매 확대 방안 논의 2024.03.04
목록

PRESS

프레스

‘온북’ 최적화 ‘VD-i 개방형OS 버전’ 출시

개인정보 전문기업 소만사에서 데스크탑 가상화 솔루션 ‘VD-i(브이디아이)’의 개방형OS 버전을 새롭게 출시했다.

윈도우OS만 지원했던 ‘VD-i’ 게스트OS를 개방형OS(리눅스)까지 확대한 것이다.

 

‘개방형OS’는 과학기술정보통신부와 국가보안기술연구소 등이 행정/공공기관을 대상으로 마이크로소프트 윈도우OS 종속성을 탈피하기 위해 개발한 개방형 플랫폼이다.

소만사는 정부 클라우드 전환전략에 발 맞추어 정보통신산업진흥원(NIPA) ‘개방형OS를 위한 가상 데스크톱 인프라 소프트웨어 전환 개발’사업을 통해 고도화를 진행하였으며,

최근 안정화 테스트를 거쳐 상용화 단계에 이르렀다.

 

‘VD-i’ 기술개발을 총괄하는 임환철 상무이사는 “공공기관은 업무망과 인터넷망이 분리되어 직원1인이 PC 2대를 사용할 수밖에 없었다.

그러나 ‘온북’이 도입될 경우 노트북 1대로 업무처리가 가능해지고 공간제약이 해소된다. “고 말했다.

 

이어 “소만사의 ’VD-i’는 출시 2년 만에 대기업 민간시장에서 외산 솔루션을 7회 이상 윈백한 제품으로

비용뿐만 아니라 기술측면에서 모두 외산제품보다 우위에 선 평가를 받았다”며

“은행 등 민간시장은 공공시장에서 요청되는 것보다 매우 높은 수준의 제품 완성도를 요구하는 만큼,

공공고객에게도 자사 제품의 뛰어난 품질을 통해 국산 데스크탑 가상화 솔루션 품질 우려를 불식시킬 수 있을 것“이라고 말했다.

 

‘VD-i’는 국내 3대 은행 중 하나인 A금융, 세계1위 디스플레이 제조 B기업, C증권사 등에서 운용되고 있으며,

국정원 ‘보안기능 확인서’를 획득한 제품이다.

 

이전글 ‘금융의 날’ 철탑산업훈장 김대환 ‘소만사’ 대표 2023.11.08
다음글 KISA, 미래전략 추진단 출범…조직개편 예고 2024.02.27
목록

PRESS

프레스

‘금융의 날’ 철탑산업훈장 김대환 ‘소만사’ 대표

Photo 이경호 영상미디어 기자

 

 

1997년 창립된 ‘소만사(소프트웨어를 만드는 사람들)’는

개인정보보호 솔루션 전문기업으로 개인정보를 보호하는 제품들을 개발 판매해 왔다.

엔드포인트 위협탐지 및 대응, 내부정보 유출방지(DLP·Data Loss Prevention),

유해사이트 차단, DB접근제어, 논리적 망분리 솔루션 등이 소만사 제품이다.

소만사 김대환(52세) 대표이사는 금융위원회가 지난 10월 24일 주최한 제8회 금융의 날 기념식에서

안전한 금융전산 환경 구축에 기여한 공로로 철탑산업훈장(혁신금융)을 받았다.

지난 10월 31일 김 대표를 만나 우리나라 보안 산업의 현주소와 문제점에 대해 의견을 들었다.



– 소만사는 주로 어떤 의뢰를 받나. “우리는 고객들을 보호하기 위해 일한다. 고객사가 랜섬웨어에 걸려 돈을 뜯기는 것과 같은 피해를 막는다. 고객사를 랜섬웨어로 공격하는 그룹 중에는 국가 단위의 해킹그룹도 있다.”

– 해외 고객도 있나. “아직 많지 않다. 하지만 삼성, LG, SK, 현대, 포스코 등 국내 기업이 이미 글로벌 기업이 됐다. 글로벌화된 국내 기업 고객들을 잘 확보만 해도 글로벌화하는 것이라고 생각한다. 국내 보안 소프트웨어 회사들은 대부분 공공기관을 상대로 영업한다. 민간 분야에서는 외국산 제품과 1 대 1로 경쟁해야 하는데 그 경쟁 자체가 매우 어렵다.”

– 최근 인공지능 챗GPT를 통한 기업 정보 유출을 우려하는 목소리도 크다. “챗GPT 같은 경우 질문 프롬프트와 답변 기능에서 사람들이 올리는 데이터들을 모아 학습하게 되는데 문제는 기업 문서내용 중 외부로 유출되면 안 되는 정보들도 있다는 점이다. 예를 들어 챗GPT에 100만건의 개인정보를 입력하고 특정 성별과 나이대, 지역을 선정해 정리된 표를 요청했을 때 내가 얻을 답변과 함께 개인정보 100만건이 챗GPT에 학습된다. 챗GPT가 이 정보들을 잘못 가공해 쓸 수 있는 것이다. 그래서 챗GPT에 올리지 말아야 하는 정보들을 회사 내에서 필터링할 수 있도록 답변 내용에 대한 감사록을 만들고, 회사의 업무 방침에서 벗어난 정보가 챗GPT에 유출됐다는 점을 기업이 알고 있어야 사고가 크게 나는 것을 막을 수 있다. 소만사는 챗GPT와 같은 새로운 프로그램이 등장하는 상황에서의 보안 문제 방지책도 구축한다.”

– 소만사가 제공하는 ‘웹키퍼SG’에는 개인정보 유출차단 기능이 탑재된 것으로 알고 있다. 이를 챗GPT에 적용한다면 어떻게 작동하는가. “웹키퍼SG는 PC에 깔아놓는 프로그램이 아니라 네트워크에서 중간에 중개하는 기능이다. 사용자가 챗GPT에 물어봤던 질문을 웹키퍼SG가 받아서 채팅창에 게시하고 해당 결괏값도 받아놓는 중간다리 역할을 한다. 어떤 질문과 답변이 오갔는지 다 아는 상태에서 내용을 저장해 놓고 ‘감사로그’로 데이터를 잠가놓는다. 추후 정보유출 등 사고가 발생했을 때 파악할 수 있다. 개인정보를 1000만건 이상 대용량으로 처리하는 기업 또는 바이오 생명공학, 에너지 이차전지, 반도체 등 경쟁 기업에 순간적으로 기술이 유출돼 버리면 안 되는 기업들의 의뢰가 많다. 개개인이 필요로 하는 경우는 없다.”

 

https://weekly.chosun.com/news/articleView.html?idxno=29941

이전글 보안 넘어 VDI 사업 진출한 소만사… “성능‧가격 모두 외산대비 우월” 2023.10.04
다음글 ‘온북’ 최적화 ‘VD-i 개방형OS 버전’ 출시 2023.11.30
목록

PRESS

프레스

보안 넘어 VDI 사업 진출한 소만사… “성능‧가격 모두 외산대비 우월”

 

정보유출방지(DLP), 데이터베이스(DB) 접근제어, 엔드포인트 탐지 및 대응(EDR) 등

사이버보안 제품을 개발해온 기업 소만사가 가상 데스크톱 인프라(VDI)로도 사업 보폭을 넓혔다.

그동안 보안에 초점을 맞춰 사업을 이어오던 기업의 변신이다.

VDI 시장에서 부딪히는 경쟁자는 시트릭스, VM웨어다.

이들은 전 세계 VDI 시장을 주름잡고 있는 거대 기업들로,

소만사의 VDI 시장 진입은 그야말로 다윗과 골리앗의 구도다.

그럼에도 눈길을 끄는 것은 다윗이 골리앗의 점유율을 점차 뺏어가고 있다는 점이다.

국내 기업이 우위를 지니는 공공이 아닌 민간에서의 성과라 더 눈에 띈다.

김대환 소만사 대표는 <디지털데일리>와의 인터뷰 과정에서 글로벌 기업의 제품과 자사 제품을 직접 시연했다.

접속까지의 시간, 복사 및 붙여넣기 속도, VDI 창의 크기 변화 등에서

모두 글로벌 기업 제품보다 자사 제품이 더 높은 성능을 보였다.

그는 “이제는 기술 격차가 충분히 줄어들었다.

최적화가 잘 이뤄지지 않기 때문에 그 성능을 십분 발휘하지 못하는 상황”이라며

외산 제품이 장악 중인 VDI 시장의 변혁을 예고했다.

소프트웨어를 만드는 사람들, 소만사

소만사는 ‘소프트웨어를 만드는 사람들’이라는 명칭의 약어를 기업 이름으로 삼은 결과다.

서울대학교 공과대학 출신인 김대환 대표가 1997년 설립했다. 사이버보안을 주요 사업으로 삼았다.

김 대표는 애초에 사이버보안 전문 기업을 창업코자 한 것은 아니라고 전했다. 전사적자원관리(ERP)나 그룹웨어와 같은 범용적인 소프트웨어(SW)를 개발하는 것이 목표였다. 하지만 당시 국내 중소기업이 ERP를 개발해 판매하는 것은 쉽지 않은 일이었고, 그룹웨어의 경우 지나치게 경쟁이 치열했기에 가급적 경쟁이 적은 틈새시장을 노렸고, 그것이 사이버보안이라는 설명이다.

(후략)

자세한 내용을 원하시면 아래 링크를 클릭하여주시기 바랍니다.

https://www.ddaily.co.kr/page/view/2023092902354443498

이전글 VD-i, 외산 가상화 솔루션 7회 윈백 2023.09.07
다음글 ‘금융의 날’ 철탑산업훈장 김대환 ‘소만사’ 대표 2023.11.08
목록

PRESS

프레스

VD-i, 외산 가상화 솔루션 7회 윈백

소만사(대표 김대환)는 자사 논리적 망분리 PC가상화 솔루션 ‘VD-i(브이디아이)’가 2년에 걸쳐 외산 솔루션을 7회 윈백했다고 밝혔다.

윈백으로 누적된 라이선스 수량만 2만 유저 이상이다.

 

가상화 솔루션은 외산 시트릭스와 VM웨어가 전통적으로 양분하고 있는 시장이다.

다윗과 골리앗의 싸움에서 승리한 비결은 3가지로 요약된다.

외산대비 30% 성능향상, 30% 가격 경쟁력, 3배 이상 기술지원 대응력이다.

 

소만사는 VDI 소프트웨어는 물론이고 하드웨어(서버, 스토리지), 네트워크, AD최적화를 수행했다.

그 결과 VD 접속속도를 외산대비 30%이상 단축시킬 수 있었다. 외산제품은 전체 최적화가 되지 않아 접속시간이 30초 이상 소요되는 경우도 있다.

 

소만사는 라이선스 비용절감 이외에도, 서버 하드웨어 측면에서 원가 절감을 크게 이끌어 냈다.

5년 TCO(총소유비용)관점에서 30% 원가절감이 가능했던 이유다. 실제로 A은행 프로젝트 진행 시, 외산기업은 100대 서버로 제안했으나 소만사는 80대 서버로도 충분히 구축할 수 있었다.  

 

‘VD-i’는 소만사에서 자체적으로 개발한  솔루션이며 100여명이상의 기술엔지니어 인력풀을 보유하고있기 때문에 외산대비 압도적인 기술지원이 가능하다. 망분리를 구축한 경우, 연초 트래픽이 가장 많이 폭주한다. 연말정산 때문이다. 외산도 매번 장애가 발생했던 연말정산 시기에 장애없이 마무리될 수 있었던 이유는 소만사 VD-i 솔루션의 뛰어난 기술지원 역량 때문이었다.

 

고질적 문제로 지적되어 왔던 엔드포인트 보안 솔루션과의 충돌문제도 해소했다.

소만사가 국내1위 엔드포인트 보안 솔루션 개발업체였기 때문에 가능했다.

외산제품 도입 시, 엔드포인트 보안솔루션과 충돌이 발생해도 책임소재를 떠넘기는 행동 때문에 문제해결에도 많은 시간이 소요됐다.

 

마지막으로 프린터, 웹캠, USB등 엔드포인트 디바이스 처리역량 역시 외산보다 뛰어나다.

특히 국내 특화된 엔드포인트 디바이스 처리는 외산의 지원을 기대하기 어렵다.

 

연구개발을 총괄하는 소만사 김태완 연구소장은 “과거 독보적이었던 외산 VDI 기술력은 초기 도입된지 10년이 지난 현재 보편적 기술이 되었으며 국내업체가 충분히 대체할 수 있는 수준” 이라며 “VD-i는 오픈소스 위주로 개발되어 상용라이센스 제약에서 자유롭다”고 말했다. 이어 “고객이 소만사 ‘VD-i’ 로 윈백을 결정한 이유는 외산솔루션 운영시 기술지원 부족과 급격한 라이선스 정책변화 때문이었다”고 밝혔다.

 

‘VD-i’는 국내5대 은행 중 하나인 A금융기관, 세계1위  디스플레이 제조기업 등에서 운용되고 있으며, 국정원 보안기능확인서를 획득한 제품이다.

 

이전글 국가정보자원관리원 대구센터 DB-i 수주 2023.08.24
다음글 보안 넘어 VDI 사업 진출한 소만사… “성능‧가격 모두 외산대비 우월” 2023.10.04
목록