[Interview] 첸위 보이 세일포인트 아시아·태평양 총괄 사장 | “SaaS 붐, 데이터 보호 비상…AI·ML로 ‘고아 계정’ 잡고 보안 강화”
“새로운 애플리케이션(앱)이 수백 개씩 추가되며 내부 IT 및 보안 인력들이 이를 추적하고 기업과 자산을 사이버 공격으로부터 보호하는 게 불가능에 가까워지고 있다. SaaS
(Software as a Service·서비스형 소프트웨어) 시장의 급격한 성장으로 인해 생기는 ‘SaaS 스프롤(SaaS sprawl)’ 문제를 해결해야 할 때다.”
첸위 보이 세일포인트 아시아·태평양 총괄 사장은 최근 인터뷰에서 “민감한 데이터를 비인가 SaaS 앱에 통합하는 행위가 보편화되면서 제3의 조직이 기업 내 시스템에 부적절한 접근을 할 가능성이 커지고 있다”면서 이같이 말했다.
Saas 스프롤이란, 여러 앱 사용으로 이용자 정보와 속성 그리고 자격 증명이 무분별하게 증가해 관리가 안 되는 상황을 말한다. 보안 데이터들이 제대로 관리되지 않아 대규모 유출 사태가 발생하기도 한다. 그는 “보안 이슈를 해결하기 위해 인공지능(AI) 및 머신러닝(ML)에 기반한 솔루션이 중요하다”며 “세일포인트의 데이터 액세스 보안 솔루션은 기업의 자원에 접근할 수 있는 모든 외부 아이덴티티를 파악해 더 이상 조직이 사용하지 않는 ‘고아 계정(orphaned account·버려진 계정)’ 탓에 발생할 수 있는 피해를 최소화한다”고 강조했다. 다음은 일문일답.
SaaS 시장이 급성장하고 있다. 주목해야 할 메가 트렌드는.
“단연코 보안이다. 코로나19 팬데믹(pandemic·감염병 대유행) 이후 원격 근무와 디지털 전환이 급격하게 이뤄지며 SaaS 시장 역시 폭발적으로 성장했다. 그러나 동시에 ‘SaaS 스프롤’ 현상이 발생하기 시작했다. 여러 SaaS 솔루션을 사용하는 기업들은 너무나 다양해진 자원과 서비스를 제대로 관리하는 데 어려움을 겪기 시작했다는 의미다. 일관된 액세스 정책을 유지하기가 매우 어려워졌고, 새로운 앱이 수백 개씩 추가되면서 내부 IT 및 보안 인력들이 이를 추적하고 기업과 자산을 사이버 공격으로부터 보호하기가 불가능에 가까워졌다. 민감한 데이터를 비인가 SaaS 앱에 통합하는 행위가 점점 보편화되며 제3의 조직이 기업 내 시스템에 대한 부적절한 접근을 할 가능성이 커졌다. 기업들은 이제 자사 데이터에 접근 권한을 가진 줄도 몰랐던 공급 업체들로 인해 보안 침해를 경험할 수 있는 것이다.”
최악의 경우에는 어떤 상황까지 갈 수 있나.
“‘공급망 공격(제삼자 공격)’으로도 불리는데 기업들은 직원들의 비인가 SaaS 앱을 단속하지 못해 순식간에 핵심 데이터를 도난당하거나 분실해 개인 정보 유출 논란 및 과징금을 무는 상황까지도 직면할 수 있다. 많은 기업의 사업이 제삼자에게 의존하는 비중이 커지고 있지만 이들을 제어하고 통제할 방안을 수립하지 않아 새로운 유형의 보안 리스크들이 발생하고 있다. 직원이 아닌 인력들이 데이터와 시스템에 무단 접근하는 경우가 잦아지고 있는 것이다. 인증에 취약하거나 문제 있는 접근 권한이 있을 가능성도 커지고, 사이버 공격자들이 악용할 소지가 있다.”
세일포인트는 이 같은 보안 리스크에 어떻게 대응하나.
“세일포인트 솔루션은 AI와 ML을 통해 모든 사용자의 액세스를 전체 아이덴티티 수명 주기에 걸쳐 관리하고 제어할 수 있어 각 사용자가 업무를 수행할 때 필요한 적절한 접근권한을 배포하고 회수할 수 있다. 이는 다양한 운영 환경에서 사용자, 앱 및 데이터 수가 증가하고 있기 때문에 오늘날 IT팀들에 필수적인 요소들이다. 더 이상 수동으로 관리하는 것은 현실적인 방법이 아니다.”
세일포인트의 핵심 사업을 설명해달라.
“기업 자원에 접근할 수 있는 모든 외부 아이덴티티를 파악하고 감시해 더 이상 조직이 사용하지 않는 ‘고아 계정’으로 발생할 수 있는 피해를 최소화하고 있다. 세일포인트는 글로벌 아이덴티티 보안 솔루션의 선두 기업으로 정직원, 계약직 등 모든 아이덴티티 유형과 모든 유형의 데이터를 보호한다. 그중에서도 세일포인트는 AI 및 ML에 기반한 보안 솔루션을 제공하고 있다는 점이 타사와 가장 큰 차별점이다. 최근 출시한 ‘세일포인트 아틀라스’ 아이덴티티 보안 플랫폼은 AI 기반으로 기업들이 전체 조직 구성원의 아이덴티티와 자원 접근 권한을 한눈에 파악할 수 있도록 한다. 또한 조직의 모든 아이덴티티 기록을 보관하고 각자가 가진 시스템과 앱 권한도 확인할 수 있다. 누가 무엇에 대한 접근 권한을 가지고 있고 이를 어떻게 사용하는지 접근 기록을 확인해 고위험 이용자를 포착할 수 있도록 돕는다. 세일포인트는 모든 프로세스를 수동이 아닌 운영자의 개입 없이 몇 분 안에 자동으로 끝낼 수 있다. 아이덴티티 보안을 조직 운영의 가장 핵심적인 요소로 놓고 세일포인트처럼 높은 수준의 데이터 인텔리전스(AI와 알고리즘 분석 기술의 결합)를 지속적으로 플랫폼에 제공하는 곳은 어디에도 없다. ”
보안 이슈는 앞으로 어떻게 변화할까.
“아이덴티티 보안 이슈는 AI와 ML에 기반해 유연하고 직관적인 이용자 경험을 선사하는 동시에 앞으로도 지속적으로 변하는 규제와 이용자들의 개인 정보 보호 요구 사항에 맞춰 변화할 것이다. 이용자들은 앞으로 AI가 내린 권고에 따라 보안 이슈를 해결해 갈 것이다. AI 기반 솔루션 도입 여부가 기업들이 얼마나 신속하게 보안 역량과 체계를 갖추어 사업을 안전하게 보호할 수 있는지를 결정지을 것이라는 의미다. 실제로 자동화와 AI를 활용하는 아이덴티티 플랫폼을 도입한 기업들은 그러지 않은 기업보다 아이덴티티 보안 관리 역량을 최대 37% 더 빨리 향상시킨 것으로 밝혀졌다.”
한국에서의 목표는.
“최근 금융위원회가 금융권의 SaaS 앱 사용을 막던 망 분리 규제를 완화하면서 규제 샌드박스를 통해 내부망 SaaS 이용을 허가했다. 세일포인트는 금융 기업들이 모든 SaaS 앱을 안전하게 관리하고 통제할 수 있도록 도울 예정이다. 지난해 세일포인트의 ‘아이덴티티 클라우드’를 출시한 데 이어 올해는 외부 직원 리스크 관리 솔루션 등을 출시했다. 앞으로도 한국 시장에서 세일포인트의 차세대 아이덴티티 보안 솔루션들이 기업을 얼마나 민첩하고 안전하게 보호할 수 있는지 보여줄 예정이다.”
Copyright © 이코노미조선. 무단전재 및 재배포 금지.