영업과 중요고객 데이터를 담은 데이터베이스(DB)를 보유한 기업 가운데 클라우드 전환에 나서는 곳이 늘고 있다. 또 국내는 지난 1월 전자금융감독규정이 개정된 뒤로 금융권 역시 클라우드 전환을 촉진하고 있어 증권사, 카드사, 핀테크, 은행은 클라우드 보안에도 관심을 높이고 있다.
“기업이 가진 데이터는 기업 존폐를 결정하는 중요한 자산 가운데 하나다. 그러나 클라우드 전환 과정에서 일어나는 시스템 결함, 휴먼에러, 악의적 공격을 통한 데이터 유출이 빈번한 탓에 보안 역시 매우 중요한 영역이다.” 김근진 스파이스웨어 대표가 말했다. “이에 클라우드 컴퓨팅을 사용하는 고객은 본인 사업에 집중하고 보안 영역은 간단하게 해결할 수 있도록 기존 솔루션의 장점만 모은 DB암호화 솔루션 ‘스파이스웨어’를 개발했다.”
김 대표에 따르면 기존 DB암호화 솔루션은 크게 API라는 방식과 DB-플러그인(Plugin) 방식으로 나뉜다. DB-플러그인은 DB에 직접 적용하기 때문에 프로그램 수정이 필요없는 대신 DB 부하가 발생할 수 있다. 따라서 퍼블릭 클라우드 자원을 나눠 쓰는 AWS나 MS Azure 같은 완전 관리형 DB에서는 설치가 제한된다. 그런가 하면 API방식은 DB에 직접 적용하지 않고 개발 프로그램에 암호화, 복호화 API를 적용하기에 기존 프로그램 소스를 수정해야 한다. “클라우드로 전환하는 기업 대부분은 API 방식을 채택, 소스를 수정하는 수고를 들인다. 그러나 이는 휴먼 에러로 인해 오히려 보안에 구멍이 생길 수 있다. 나중에 서비스를 개발할 때마다 같은 작업을 반복해야 하는 것도 문제다.”
따라서 김 대표는 앞선 두 방식의 장점만을 모은 솔루션을 기획, 고객이 구현한 프로그램 앞뒤에 ‘필터(Filter)’ 기술을 사용해 암호화, 복호화를 자동 처리하는 방식을 고안했다. “스파이스웨어는 API방식처럼 DB에 직접 적용하는 대신 고객의 프로그램이 구동하는 WAS에 적용해 암호화, 복호화를 구현한다. 그래서 DB 서버에 부하를 주거나 프로그램 소스를 고칠 필요도 없다.” 또 사용자가 주요 데이터를 입력하면 이를 서버로 보내는 순간부터 암호화하는 기능도 제공, 관리자나 유저가 정상적인 경로로 정보를 요청하면 별다른 조치 없이 정상적 평문 형태 자료로 정보를 이용하되 서버측 데이터는 완전히 보호받을 수 있단 소개다.
더불어 가장 흔한 데이터 유출사고 유형인 SQL인젝션과 XSS취약점 공격에 대한 기본 방어를 지원, 한꺼번에 많은 복호화를 요청하면 서버측이 이를 제한하거나 암호화된 데이터를 복호화할 때 필요한 암호키를 시스템으로부터 완전 격리 보관하게 한단 설명이다. “무엇보다 이 모든 과정을 자동화한 것이 강점이다. 소프트웨어 개발과 시스템 운영을 효율적으로 조합한 라이프 사이클은 IT업계에서 줄곧 화두였지만 보안 영역은 여전히 수작업에 의존해야 했다. 스파이스웨어는 이를 자동화, DevSecOps를 실현한 것”이라 김 대표는 말한다.
이는 핀테크, 대인서비스를 비롯한 B2C 스타트업처럼 DB를 갖고 있어도 전문가·기술 부족, 비용·시간문제로 암호화 제품을 도입하지 못했던 곳에도 유용하단 설명이다. 자동화 덕에 전문가 도움 없이 합리적인 가격으로 쉽고 빠르게 데이터를 보호할 수 있기 때문이다. 또 해외에서는 개인정보보호규정(GDPR)이 발효된 유럽을 중심으로 사용자 데이터 비식별화 이슈를 쉽게 해결할 솔루션으로 자리매김할 수 있단 분석이다.
김 대표가 스파이스웨어를 기획한 것은 시장 니즈와 환경 변화에 주목한 덕분이라 할 수 있다. 그는 앞서 15년간 국내 한 이동통신사 시스템 개발, 운영, 아키텍처, 솔루션, 품질, 보안을 맡는 엔지니어로 근무했다. 그러다 클라우드 전문 기업에서 근무하는 한 선배가 DB암호화에 대한 조언을 구한 뒤로 클라우드 환경에서 DB암호화 제품을 적용하는 데 어려움을 겪는 기업이 많다는 사실을 알았다는 것. 비슷한 시기, 클라우드로 구축하는 네트워크 망분리 프로젝트에 참여해 전사 웹사이트와 앱, 솔루션 호환성 점검 업무를 맡은 것도 한몫했다. 대기업 사내 시스템 수백 개를 모두 클라우드로 전환하는 것이 큰 시장을 이룰 거라 직감했기 때문이다. “필수 솔루션을 클라우드로 전환할 때는 클라우드 특성에 알맞는 네이티브 솔루션이 필요할 것이라 봤다. 이를 직접 만들어보자는 생각에 제일 잘 아는 분야인 DB암호화 솔루션을 기획, 2017년 시제품을 완성하게 됐다.”
지난해 8월에는 스파이스웨어를 정식 출시, 국내 대형 MSP, SI, 보안 업체와 PoC를 진행하며 성능과 기능을 개선했으며 자체 홈페이지를 통해 라이선스를 판매하기 시작했다. 이를 기반으로 지난해에는 K-글로벌 시큐리티 스타트업 대상을 수상, 지난 1월과 4월 각각 한국인터넷진흥원 스타트업 육성기관 정보보호클러스터, 스파크랩 13기로 선발되기도 했다. 파트너십에도 적극 나서고 있다. 안랩, AWS, 베스핀글로벌과 협력하는 한편 AWS로부터 정식 파트너 지원을 받는 APN 셀렉트 테크놀로지 파트너사로 승급했다는 것. 이를 통해 국내 DB 암호화 파트너로서는 처음으로 AWS 서비스형 DB인 RDS를 제약 없이 암호화하는 제품으로 선정됐다.
그밖에 현재는 영국 금융기업 스코틀랜드 왕립은행(Royal Bank of Scotland Group) RBS·Natwest 기업가 액셀러레이터 프로그램 금융보안 분야에 선발돼 글로벌 진출 준비에 나선 상태. 국내 연구개발 인력을 중심으로 스파이스웨어 글로벌 버전과 확장판 솔루션을 개발하는 한편 현지 네트워크도 확보할 구상이다. 이어 내년부터는 유럽과 북미, 동남아 시장에도 진출, SaaS 형태를 완성하고 퍼블릭 클라우드를 통한 해외 판매를 위해 클라우드 제공자 마켓플레이스에도 진출할 계획이다.
더 큰 그림도 그리고 있다. “클라우드 영역에는 아직도 많은 보안 위협이 남았기 때문에 이를 모두 해결하는 솔루션으로 진화하고자 한다”며 “궁극적으로는 클라우드 도입에 걸림돌이 되는 보안 영역을 해결할 제품을 마련, 안전한 클라우드를 통해 전세계 기업 디지털 전환을 앞당기는 것이 목표”라는 것. 더불어 김근진 대표는 “1.5평도 안되는 사무실에서 2명으로 무작정 개발부터 시작해 현재는 7명으로 구성원이 늘었다. 내년에는 이를 10명까지 늘릴 계획”이라며 “우리와 함께 클라우드 보안 문제를 해결할 용기 있는 분은 홈페이지를 통해 언제든지 연락을 달라”고 덧붙였다.