[일요서울 ㅣ이범희 기자] 기업의 최근 화두는 ESG 경영활동이다. ESG는 ‘환경’(Environment), ‘사회’(Social), ‘지배구조’(Governance)의 줄임말로 기업이 단순히 이윤 추구에만 몰입하는 것이 아니라 기업 구성원과 소비자, 지역 사회와 함께 환경, 기후변화, 감염병 등 인류 문제까지 고려해 경영활동을 해야 하는 것을 의미한다. 그렇다면 ICT 기업들은 어떻게 ESG 경영활동에 참여하고 있을까.

세계 최초 클라우드 기반 방식 채택...별도 서버 필요 없어
장비 구매·유지관리 비용 부담 줄여...성장이 기대되는 기업

일요서울은 지난 23일 본사 사무실에서 클라우드 기반 해킹 탐지 보완기업 `정경태 신승민 대표`를 만났다. 이들은 로그를 실시간으로 분석해 해킹 위험도를 알려주는 정보보안 서비스 스타트업 큐비트시큐리티를 운영 중이다.

신 대표는 "개별 기업이 온프레미스(일괄생산 on-premise)로 시스템을 운영하면 자원 낭비적인 요소가 많다"라며 "불필요하게 큰 시스템을 도입해야 해 실제 전체 시스템을 사용하지 못하고 일정 기간 사용 후에는 산업 폐기물이 된다"라고 설명했다.
이어 "현재 대부분의 정보보안 장비는 온프레미스로 판매되고 있으므로 이 또한 사용 후 산업 폐기물이 된다"라며 "(반면에) 클라우드를 사용하게 되면 여러 기업과 자원을 공유하게 되므로 발생하는 산업 폐기물 관리에 있어서 매우 효과적으로 운영될 수 있다"라고 덧붙였다.

신 대표는 "정보보안 장비 역시 온프레미스에서 클라우드 방식으로 전환하게 되므로 산업 폐기물을 획기적으로 줄일 수 있어 ESG 경영활동에 참여하게 된다"라고 밝혔다.

국내 ICT 민간 산업 부분은 클라우드 전환이 가속화하고 있다. 정부도 2025년까지 모든 행정 공공기관 정보시스템을 클라우드로 전환한다고 발표했다. 총 8600억 원을 투입하며 민간 클라우드도 적극적으로 활용한다는 계획이다.

다만 클라우드 전환에 선행적으로 해결되어야 할 과제는 정보보안이다. IBM의 2021년 데이터유출 피해 보고서에 따르면 기업당 평균 40억 원이 넘는 해킹 피해가 발생하고, 평균 데이터 침해 식별 기간은 212일, 평균 데이터 침해 해소 기간은 75일이나 걸리고 있다.

또한 동일 기관의 클라우드 보안보고서에 따르면 클라우드 설정 오류로 2020년 10억 건 데이터유출이 발생했다. 아카마이는 2020년 금융업계 보안 공격이 41억 건이나 되며 그 중 크리덴셜 스터핑 공격이 34억 건, 웹 애플리케이션 공격이 7억 건이라고 발표했다.

큐비트시큐리티의 해킹 방지 서비스 (PLURA)는 중소벤처기업부의 TIPS 프로그램 지원으로 개발했으며 2016년부터 서비스하고 있다. 해당연도에는 KBS 도전 K-스타트업 대회에서 6600개 예선 팀 중 1위, 본선에서 7위를 차지했다. 정보보안 기업으로 독보적인 성과다.

2018년에는 과학기술정보통신부와 한국인터넷진흥원으로부터 우수정보 보호 제품으로 선정, 2019년 한국발명진흥회의 우수발명품 선정과 서울시의 제2회 혁신 챌린저에서 AI를 이용한 해킹 탐지로 최우수상 수상, 2020년 특허청의 혁신제품으로 선정되는 등 놀라운 성과를 계속 이어가고 있다.

이투스 교육, 솔드아웃, 힙합퍼, AJ전시몰, 파파존스 피자, KCTC, 뉴스타파와 같은 이러닝, 이커머스, 물류기업, 언론사뿐 아니라 KB국민카드, 라이나생명, 흥국화재, 금융권, 한국산업기술평가관리원, 한국해양수산연수원, 그랜드코리아레저 등의 공공부문과 시흥시청 지자체, 제조 분야의 네패스, 건양대 병원 그리고 최근 삼성전자서비스까지 영역을 확장하고 있다.

큐비트시큐리티의 시장진출 전략은 매우 탁월하다. 보안 이벤트 관리시스템 개발에만 8년을 투자했으며 자체 개발한 웹 방화벽(WAF)과 서로 통합해 웹 방화벽이 탐지, 차단하는 이벤트뿐 아니라 요청 본문(Post-body)을 포함한 모든 웹 접속 패킷을 수집, 실시간 분석한다.

크리덴셜 스터핑 공격을 탐지하고 차단하는 기능도 기본 제공하고 있다. 고객 처지에서는 OWASP TOP 10뿐 아니라 종래의 웹 방화벽으로는 해결하지 못하는 크리덴셜 스터핑에 대응할 수 있으니 매력적일 수밖에 없는 것이다.

- 큐비트시큐리티, 해킹 탐지 시스템 선봬

정경태 대표는 "현재 대부분의 웹 방화벽, 보안이벤트 관리시스템이 분석하지 못하는 부분 중에 응답 본문(Resp-body)이 있는데 공격자의 요청에 따른 웹 서버의 응답 중 응답 본문에 고객정보, 기밀정보 등이 포함되어 데이터유출 피해가 발생하게 되는데 프루라는 실시간으로 응답 본문을 분석해 데이터유출을 탐지하고 차단하는 기능을 제공한다"라며 "가히 놀랍도록 혁신적인 웹 방화벽 제품으로 세계 최고 수준이다"라고 자평했다.

이런 자신감에서일까. PLURA SECaaS 플랫폼을 살펴보면 놀라운 문구를 확인할 수 있다. “웹 공격 대응 실패 時 서비스 비용을 환불해 드립니다.”

마이크로소프트의 자료에 의하면 우리나라는 매년 77조 원의 해킹 피해가 발생한다고 한다. 전 세계 해킹 피해의 10분에 1에 해당하며, 랜섬웨어 피해액은 전 세계 1위라는 불명예 타이틀도 가지고 있다.

브루스 슈나이어는 그의 저서 보안과 거짓말에서 “보안은 사슬과 같아서 가장 약한 고리만큼만 안전하다”라고 말했다.

신 대표는 “약한 고리를 찾아 대응할 수 있는 세계 유일한 제품으로 대한민국, 중국, 그리고 미국으로부터 특허 등록으로 인정받았다”라며 "`보안은 프로세스 관리로 제품이 아니다`라는 브루스 슈나이어의 표현을 빌려 네트워크와 호스트 기반 모두에서 프로세스를 관리하여 해킹에 대응하므로 100% 안전한 보안 시스템 제공이 목표”라고 강조했다.

곧 다가올 2022년 큐비트시큐리티가 국내 최고를 넘어 세계 시장에서 성장하길 기대해 본다.