우리 회사의 보안 점수는 몇 점? 비트사이트 한국 상륙
상태바
우리 회사의 보안 점수는 몇 점? 비트사이트 한국 상륙
  • 석주원 기자
  • 승인 2019.07.30 17:42
  • 댓글 0
이 기사를 공유합니다

시큐어레터 김대원 부사장

[CCTV뉴스=석주원 기자] 4차 산업혁명을 앞두고 기업들이 가장 신경을 쓰고 있는 주요 과제 중 하나가 보안 시스템의 구축이다. 모든 비즈니스가 디지털화되고, 데이터의 중요성이 갈수록 커져가면서 기업들도 디지털 자산을 지키기 위해 막대한 비용을 투자해 보안 시스템을 구축하고 있다. 그런데 문제는 이렇게 막대한 비용을 투자해 보안 시스템을 구축 한다고 해도, 우리의 보안 시스템이 얼마나 안전한지 검증하기가 쉽지 않다는 점이다. 우리 회사의 보안 시스템이 얼마나 견고한지 평가해 주고, 비교해 주는 서비스가 있다면 유용하지 않을까? 이러한 니즈를 파고든 것이 바로 보안등급평가 서비스 비트사이트다.


■ 보안등급평가 서비스의 필요성

사람들은 무엇이든 평가하고 줄 세우기를 좋아한다. 우리는 학교에서부터 성적순으로 평가받았고, 사회에 진출해서도 직장 내 서열, 사회적 지위 등 여러 잣대로 주변의 평가를 받으며 살아가고 있다. 이것이 국가 단위로 확대되면 GDP로 서열이 만들어지고, 선진국이니 개발도상국이니 지위가 나뉘게 된다. 또 국가신용도라는 개념이 등장해 국가 경제의 안정성과 잠재적 가치를 평가받기도 한다. 이러한 평가와 줄 세우기에 대해 부정적으로 생각하는 사람들도 있을 것이다.
그런데 어떤 대상을 판단할 때 이러한 기준점이 있다면 상당히 유용하게 활용할 수 있다. 예를 들면 국가신용등급은 해외 투자자들이 투자처와 규모를 결정할 때 중요한 지표 중 하나로 사용된다.
그렇다면 보안산업은 어떨까? 모든 것을 디지털로 전환하는 디지털 트랜스포메이션 시대에서 정보보호에 대한 중요성은 나날이 높아지고 있으며, 정부와 기업은 정보보호 강화를 위해 많은 비용을 쏟아붓고 있지만, 과연 지금 추진 중인 정보보호 사업들이 제대로 효과를 내고 있는지는 알 수 없다. 그저 치명적인 문제가 발생하지 않을 동안에는 제대로 기능하고 있다고 자의적으로 해석할 수밖에 없다. 또한 많은 기업들은 우리의 경쟁상대, 혹은 우리의 협력사들이 우리처럼 보안에 신경 쓰고 투자를 하고 있는지도 궁금해하고 있다.
기업들의 이러한 니즈는 근래에 갑자기 발생한 것이 아니다. 개인이든 기업이든 언제나 자신의 포지션에 대해 불안해하고 주변과 비교하려는 습성은 동일하다. 그래서 개인을 평가하기 위한 사회적 시스템은 오래전부터 구축되어 왔다. 물론, 기업을 대상으로 한 각종 신용등급평가 역시 오래전부터 서비스되어 왔다. 그렇다면 과연 보안의 영역에서도 이러한 등급평가 시스템 구축은 가능할 것인가. 이에 대한 해답을 제시한 것이 바로 비트사이트다.

▲ 비트사이트 한국 총판 시큐어레터의 김대원 부사장


■ BitSight, IT보안등급평가 솔루션

비트사이트(BitSight)는 2013년 미국 보스톤에서 시작한 회사로, 두 명의 MIT출신 박사가 공동으로 설립했다. 이들은 빅데이터 기반의 보안등급평가 알고리즘을 개발해 투자를 받아 회사를 설립했다. 이후 시장의 니즈에 부합하는 서비스를 제공하면서 빠른 성장을 기록했고, 현재 전 세계의 공공기관과 기업을 포함해 약 1600개 이상의 고객을 확보한 상태다. 지금까지 비트사이트는 본사가 있는 미국과 유럽, 아시아태평양 지역에서는 호주와 싱가포르 등에 지사를 설립하고 사업을 확장해 왔다. 그리고 지난 6월, 국내 보안 솔루션 전문기업인 시큐어레터를 통해 한국에도 비트사이트가 정식으로 소개됐다.
본지는 비트사이트가 국내에 정식 소개된 지 약 한 달이 지난 시점에서 시큐어레터의 김대원 부사장을 만나 비트사이트에 대해 더 자세한 내용들을 들어봤다.

Q. 비트사이트가 국내에 정식으로 소개되고 약 한 달이 지났다. 그동안 비트사이트에 대한 국내 기업들의 반응은 어땠는지 궁금하다. 가시적인 성과가 있었나?
아직 정식으로 서비스 계약을 맺은 고객은 없다. 다만, 비트사이트에 대해서는 다들 많은 관심을 보여줬다. 처음에 비트사이트를 소개할 때는 보통 시큰둥하지만, 실제 제품을 시연해서 보여주면 상당히 흥미롭다는 반응들을 보여줬다. 사실 우리도 신용등급이 궁금해서 가끔씩 찾아보지 않나. 기업들 역시 그 동안 자기 회사의 보안등급이 궁금했을 것이다. 하지만 이런 정보를 찾아볼 곳이 마땅치 않았다. 그런데 비트사이트를 통하면 자기 회사의 보안등급은 물론이고, 경쟁사, 협력사 등의 정보까지 모두 확인할 수 있으니 흥미가 생기는 것이 당연한 일이다. 지금까지 접촉한 기업들의 관심도가 높은 편이므로 조만간 좋은 소식을 전해드릴 수 있지 않을까 생각한다.


Q. 국내 기업들은 주로 비트사이트의 어떤 기능들에 관심을 보였나?
많은 비트사이트 고객사들과 마찬가지로, 협력사의 보안등급을 확인해 볼 수 있다는 데에 큰 관심을 보였다. 기업 활동을 하다 보면 협력사들과 여러 자료들을 공유하게 되는데, 그 중에서 중요한 내부 자료들이 협력사나 제3자를 통해 유출되는 사고가 종종 발생하기도 한다. 그래서 어느 정도 규모가 있고 여러 협력사와 거래를 하는 기업들은 주기적으로 협력 업체들의 보안 시스템을 점검하기도 한다. 하지만 이러한 점검은 일시적인 보안 강화로 넘어가는 경우가 많다 보니, 상시적인 보안 수준을 확인하기는 쉽지 않다. 비트사이트의 경우 하루 24시간 모니터링을 하며 데이터를 수집하고 보고서를 제공하기 때문에 고객이 원하는 웹사이트의 보안등급을 언제라도 바로 제공할 수 있다.

▲ 협력사들의 보안등급을 한 화면에서 확인할 수 있는 서비스 제공

실제로 대만의 반도체제조업체 TSMC는 협력사의 지적으로 비트사이트를 도입하게 되었다고 한다. TSMC의 협력사 중 한 곳에서 지속적으로 TSMC의 보안 상태에 대해 언급을 했고, 그 출처가 비트사이트라는 걸 알게 된 TSMC도 비트사이트 서비스 도입을 결정했다는 것이다.


■ 설치가 필요 없는 서비스

일반적으로 보안 솔루션이라면 물리적인 장치가 됐든, 소프트웨어가 됐든 일단 고객이 사용하는 장치에 설치를 해야 기능을 사용할 수 있다. 하지만 비트사이트는 그러한 과정이 필요 없다. 이는 비트사이트가 특정한 문제를 해결하는 솔루션이 아니라, 자료를 수집하고 분석해 보고서를 제공하는 특화된 모니터링 서비스이기 때문이다.

Q. 비트사이트는 어떠한 방식으로 보안 위협을 판별하나?
비트사이트는 빅데이터를 기반으로 동작하는 분석 서비스라고 할 수 있다. 이때 사용되는 빅데이터는 각 웹사이트에서 수집 가능한 모든 자료들로 구성된다. 비트사이트는 수집 대상이 된 도메인과 연결된 IP에서 주고받는 모든 데이터를 수집한다. 외부에서만 데이터를 수집하므로 기업 내에 별도의 장치나 프로그램을 설치하지 않아도 되며, 수집 대상이 된 기업에게 허가를 받을 필요도 없다. 현재 비트사이트는 16만 개 이상의 웹사이트로부터 매일 2천억 개 이상의 데이터를 수집하고 있다. 이렇게 수집된 데이터를 내부 알고리즘으로 분석해 위협 요소들을 정리한다. 그리고 이를 기반으로 보안등급점수를 매기고 보고서가 작성된다. 보안등급점수는 최저 250점부터 최고 900점까지로 매겨지는데, 이 점수 표기 방식은 미국 내 개인신용등급 표시 방식에서 가져왔다고 한다.

Q. 비트사이트가 치명적인 보안 위협을 감지했을 때는 어떤 솔루션을 제공하는가?
비트사이트는 솔루션을 제공하지 않는다. 우리가 제공하는 것은 어디까지나 보고서일 뿐이다. 보고서를 통해 어떠한 위협을 감지했고, 어떠한 방식으로 해결할 수 있는지에 대한 가이드는 제공할 수 있다. 하지만 직접 위협 요소를 제거하거나 별도의 보안 프로그램을 제공하지는 않는다. 우리는 어디까지나 철저한 감시 체계를 통해 고객들이 보안 정책을 수립하는데 기반이 되는 정보를 제공해주는 역할을 할 뿐이다.


가끔은 재미있는 일도 발생한다고 한다. 어떤 기업에서 자신들의 보안등급이 너무 낮게 나왔다며 컴플레인을 제기해 더 세부적으로 조사를 한 적이 있다. 그런데 문제가 된 IP가 현재 기업 내에서는 사용하지 않는 IP였다. 즉 도용당한 IP였던 셈인데, 비트사이트를 통해 그 사실을 처음 인지하게 된 것이다. 비트사이트의 데이터 수집이 얼마나 꼼꼼하게 이루어지는지 알 수 있는 사례라고 할 수 있 다.

▲ 비트사이트의 등급평가 과정


■ 타깃은 어느 정도 규모가 있는 기업

세계적인 회계법인 딜로이트가 공개한 자료에 따르면 기업에서 발생하는 사이버 피해의 37%는 해킹 등의 직접적인 공격이 원인이지만, 나머지 63%의 피해는 협력사를 통해 발생한다고 한다. 즉, 협력사를 얼마나 잘 관리하느냐가 정보보안의 피해를 예방하는 첫 걸음이라고 할 수 있다. 실제로 국내에서 이미 비트사이트를 사용 중인 기업은 수많은 협력사와 거래하고 있는 대형 온라인쇼핑몰이라고 한다. 이 기업은 시큐어레터가 비트사이트를 소개하기 훨씬 전부터 본사와 직접 계약을 맺어 서비스를 이용하고 있으며, 지금도 일단은 본사에서 서비스를 직접 제공하고 있다고 한다.

Q. 비트사이트가 아무리 좋은 서비스라고 해도, 가격이 비싸다면 기업 입장에서 서비스 도입에 부담스러울 수밖에 없을 것이다. 비트사이트의 가격은 얼마인가?
구체적인 가격을 밝히기는 어렵고, 기업들의 문의가 온다면 성심성의껏 답변 드리도록 하겠다. 다만, 기업이 직접 이런 시스템을 구축하고 운영하는 비용보다는 확실히 저렴한 가격이라고 말씀드릴 수 있다. 딜로이트의 자료에 따르면 IT보안을 위해 투자되는 비용의 95%가 보안 위협을 진단하는 데 소요된다고 한다. 비트사이트를 도입하면 이렇게 소요되는 비용을 크게 절감할 수 있을 것이다. 또한, 서비스의 특성상 중소기업보다는 여러 협력사와 거래를 하고 있는 중견 기업 이상에서 비트사이트의 활용도가 더 높지 않을까 생각한다.


김대원 부사장은 비트사이트의 가장 큰 장점으로 누구나 알기 쉽 게 보안등급을 확인할 수 있다는 점을 꼽았다. 사실 보안 전문가가 아닌 이상 아무리 설명을 들어도 보안 수준이 어느 정도인지 직관적으로 가늠하기가 쉽지 않다. 그런데 비트사이트는 보안등급을 점수로 수치화시켜 보여줌으로써 누구나 쉽게 보안 정도를 확인할 수 있도록 했다. 이는 기업 내에서 보고서를 작성하거나 전략을 수립할 때 유용하게 활용된다.

Q. 끝으로 국내 시장 공략에 대한 전략이 있다면 듣고 싶다.
아무래도 지금껏 국내에서는 볼 수 없었던 생소한 서비스다 보니 첫 발을 내딛기까지 시간이 걸리는 것 같다. 하지만 만나 본 대부분의 보안 관계자들이 긍정적인 반응을 보인 만큼, 근시일 내에 좋은 성과가 있을 것이라고 본다. 앞서 언급한 TSMC의 사례처럼 일단 적은 고객사라도 확보하게 된다면, 그를 바탕으로 더 많은 기업들에게 비트사이트의 실용성을 알릴 수 있고, 이를 통해 더 많은 고객사를 늘려 나갈 수 있을 것으로 내다보고 있다.


한편, 지난달 런칭 행사에서는 아시아태평양 지역의 Managing Director 칼라 모스가 직접 한국을 찾아와서 비트사이트를 소개했었다. 당시 칼라 모스는 비트사이트가 보안산업의 표준 등급 시스템으로 자리잡는 걸 목표로 하고 있다고 밝힌 바 있는데, 과연 국내 시장에서는 비트사이트가 어떻게 받아들여질 지 앞으로의 행보를 지켜봐야 할 듯싶다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.