[하이테크리포트] 이석호 프루프포인트코리아 대표 "클라우드시대 보안허점 '사람' 단속해야"

20년전 설립된 실리콘밸리 사이버보안 회사 한국진출

'사람중심 보안' 관점으로 하이브리드 업무 위협 대비

'이메일 사기' 공격 방어, 악성 메일 방지 교육 솔루션

기밀유출시도 막는 모니터링도…금융·제조 분야 집중

이석호 프루프포인트코리아 대표 [사진=프루프포인트코리아]

비대면 문화 확산으로 기업에 사무실 출근과 재택근무가 혼재된 '하이브리드 업무' 체제가 정착했다. 다양한 업무 방식과 유연근무 제도를 운영하는 기업들이 클라우드 기반 업무시스템과 협업 솔루션을 적극적으로 활용하기 시작했다. 실리콘밸리 사이버보안 기업 프루프포인트는 이제 조직의 보안성을 높이기 위해 네트워크 중심의 외부 침입과 정보 유출 방지에 더해 '사람'을 단속해야 한다고 봤다. 최근 설립된 한국법인 초대 수장을 맡은 이석호 프루프포인트코리아 대표와 인터뷰했다. 다음은 그와 일문일답한 내용.

-프루프포인트는 어떤 회사인지 간단히 소개해 달라.

"미국 서니베일 실리콘밸리에 본사가 있고 전체 직원 수는 4000명에 달하는 세계 5위권 규모의 정보보안 기업이다. 설립된 지 20년 됐다. 이메일 보안 분야에 가장 주력하고 있고 최근 '내부자 위협 모니터링(ITM)' 분야와 서비스형 소프트웨어 사용 환경을 보호하는 캐스비(CASB) 등 클라우드 보안 솔루션 분야 사업까지 하고 있다. 본사에서 최근 한국 시장에 대대적인 투자를 결정하면서 한국법인을 설립했고, 설립 초기부터 한두 명이 아닌 다수의 국내 인력을 채용해 사업을 확대하고 있다."

-시장 진입 초기에 한국법인을 설립하게 된 배경은.

"과거 지사나 별도 법인이 없는 상태에서 프루프포인트의 한국 내 영업 파트너가 국내 수요를 많이 확보한 상태였다. 본사는 아시아·태평양 지역에 진출한 지도 6년밖에 안 됐고 앞서 호주, 일본, 싱가포르에 지사를 설립해 비즈니스를 성공적으로 진행해 왔다. 그간 한국이 높은 IT 발전 수준을 나타내고 많은 글로벌 대기업이 모여 있는 데다 경제 규모가 커진 점에 주목해 왔다. 앞으로 홍콩을 비롯한 북아시아 지역으로 확장할 계획이다. 이번 한국 시장 투자에는 북아시아로 확장하기 위한 전진기지로 삼겠다는 의중이 반영됐다."

-클라우드 시대에 필요한 보안 전략은 무엇인가.

"대부분 기업이 공격·위협을 어떻게 막을지에 초점을 맞춰 보안 활동을 수행한다. 외부망에 연결된 네트워크 장비나 서버의 개방된 포트를 통한 침입을 차단하고 이것을 위한 기술을 발전시켜 왔다. 그런데 이제 해커가 더 이상 기업 전산망이 아니라 사람의 허점을 노린다. 기업 인사가 대외활동·행사에 참석하고 페이스북, 링크드인을 비롯한 사회관계망서비스(SNS)를 이용하면서 그 정보가 외부에 많이 노출돼 있는데, 이걸 해커들이 이용해 내부 임직원을 공격하는 게 일반적인 수법이 됐다. 그래서 업무 이메일 등에 숨어 있는 위협으로부터 사람들을 보호해야 한다. 동시에 구성원이 조직 내부의 민감한 데이터와 기밀 정보를 밖으로 가져가는 주체가 되기도 한다. 이런 행위를 차단하기 위한 감시도 필요하다. 기업 내부 전산망 이용자의 행위를 분석해 데이터를 빼돌리지 않는지 모니터링하는 것이다. 사람을 보호하기도 하고 그 행위를 모니터링하기도 하는 다양한 솔루션을 제공하는 것이 프루프포인트의 '사람 중심(people-centric)' 보안 방법론의 핵심이다."

-사람 중심 보안 덕분에 코로나19 백신을 다루는 제약기업 고객사의 기밀 유출을 방지한 적이 있다고 했다.

"공개할 수 없지만 이름을 들으면 알만한 유명 백신 회사 사례다. 이곳 역시 외부 위협 차단을 위한 보안 체계는 잘 갖춰져 있었다. 그런데 어떤 직원이 입사해 자신이 접근할 수 있는 연구개발(R&D)이나 신약 관련 정보 등 회사 기밀 자료를 개인용 드롭박스에 올려서 외부로 유출하려는 시도를 했다. 기존 솔루션으로 그런 행위를 막을 수 없었는데 우리는 그걸 탐지해 모니터링하고 있었다. 제약사에 가장 중요한 지식재산이 유출될 뻔한 일을 막은 셈이 됐다. 이런 사례가 사실 적지 않다. 기업들이 지난 2년간 재택근무 체제를 도입하면서 내부 전산망에 가상사설망(VPN)으로 접속하지만 내부 정보를 인터넷망의 드롭박스나 다른 서비스형 소프트웨어(SaaS)에 올릴 수 있다. 우리 ITM 솔루션으로 임직원이 어떤 경로로 이런 일을 행했는지, 실수인지 고의인지 파악할 수 있고 감사 대비를 위한 증적 관리도 가능하다. 이런 덕분에 제약 분야 외에 국내 대기업과 금융사에 솔루션이 많이 도입됐다."

-이메일 보안에는 사람 중심 보안 방법론이 어떻게 적용되나.

"일반적인 메일보안 솔루션은 스팸필터나 악성코드를 차단하는 기능에 집중하고 있는데, '비즈니스 이메일 사기(BEC)' 공격에 대응하기 어렵다. BEC 공격은 크게 두 가지 유형이 있다. 하나는 누군가를 사칭해 상대방 정보를 빼내는 '발신자 사기'다. 예를 들어 공격자가 기자에게 제 이메일 계정을 위조(스푸핑)해서 이메일로 '제가 이석호 대표인데요, 일전에 드린 데이터를 다시 보내주십시오' 하면 사실은 제가 아닌데 저라고 믿고 회신할 수 있지 않나. 다른 유형 하나는 누군가를 사칭해 상대와 거래·협력하는 제3자한테서 금품·정보를 가로채는 사기다. 예를 들어 공격자가 기자를 사칭해 제 고객사, 에이전시에 '어떤 정보가 필요하다'든지, 행사 관련 송금을 해 달라는 요청을 할 수 있다. 상대방이 이걸 따랐을 때 물질적 피해도 있고, 기자에게는 평판에 문제가 생기게 된다. 사람 중심 보안 방법론이 반영된 BEC 솔루션은 이 같은 유형의 사기 공격을 막아낼 수 있다."

-이메일을 통한 악성코드 공격 위협도 대두되고 있는데.

"해킹 이메일 공격에 대비하기 위해서도 사람 중심 보안이 중요하다. 악성 이메일의 링크나 첨부파일을 보안 담당 부서에서 아무리 강조해도 직원들의 보안 의식을 높이기가 쉽지 않다. 그래서 직원들을 대상으로 모의 이메일 공격을 하고 그 링크나 첨부파일을 여는 등 행위에 점수를 매기는 이메일 보안 교육 프로그램 솔루션도 있다. 점수를 기반으로 취약한 직원들에게 애니메이션이나 동영상, 슬라이드 형태의 콘텐츠를 제공하고 집중적인 교육을 수행한 다음 시험까지 봐야 이수할 수 있다. 개인뿐 아니라 특정 부서, 전체 조직의 위험도를 점수화해 교육 전후 조직의 보안 수준 변화를 가시화할 수 있다. 교육 프로그램 운영 목표는 직원의 공격 이메일 클릭률을 5% 이하로 낮추고 열었을 때 신고율을 70% 이상 달성하는 것이다. 여러 연구 결과를 근거로 볼 때 이 정도 지표를 달성한 조직의 보안 위협 대응 수준은 기존 대비 두 단계 이상 올라간다고 할 수 있다."

-솔루션 제공 방식으로 구축형과 클라우드서비스형 가운데 어느 쪽에 주력하나.

"구축형 어플라이언스와 SaaS, 클라우드 인프라에 올릴 수 있는 가상머신 버전을 모두 지원한다. 글로벌 시장에서 수년 전에 비해 최근 SaaS 형태로 편리하게 도입하는 경향이 많아지는 추세다. 국내에서 이메일 보안 솔루션은 여전히 구축형 어플라이언스를 선호하지만 앞으로 SaaS가 대세를 이룰 것으로 본다. ITM 솔루션은 엔드포인드(단말기) 에이전트를 설치하는 방식과 SaaS가 있는데 현재까지 국내는 모두 에이전트 설치 방식으로 공급됐다. 중장기적으로 국내외 클라우드 사업자(CSP), IT서비스기업, 매니지드서비스사업자(MSP)들과 협업할 계획이다."

-올해 목표는.

"우선 ITM 솔루션 확산에 집중한다. 금융사와 제조사를 대상으로 사업을 강화할 계획이다. BEC 대응 솔루션은 국내에선 아직 기존 방식의 이메일 보안에 쏠려 있는데, BEC 공격을 제대로 막는 솔루션을 제공하는 것이다. 사람 중심 보안의 접근 방식에 대해 현업 정보보호최고책임자(CISO)들은 이미 환영하고 있다. 앞으로 고객사 조직에 실질적인 이익을 제공하는 것도 목표다. 인력 채용 규모도 구체적인 숫자를 밝힐 수는 없지만 한국법인을 신설하는 외국계 회사 치고 상당히 많은 투자를 하고 있다. 한국 시장에 맞춰 이미 ITM 솔루션의 인터페이스(GUI)를 모두 한국어화했고 다른 솔루션도 현지화하는 계획이 잡혀 있다."

-앞으로 국내 보안 트렌드는 어떻게 보나.

"공개된 데이터를 기반으로 보면 이제까지 기업의 보안 투자 70%가 엔드포인트와 네트워크 보안 영역에 쏠려 있었다. 사람과 관련된 영역에서 사고를 일으킬 수 있는 부분, 즉 데이터유출방지(DLP), ITM, 이메일 보안 교육 등에 투자하는 비중은 크지 않다. 그런데 실제 보안 사고는 이쪽에서 많이 일어난다. 앞으로는 정보 유출을 예방하고 보안 인식에 대비하는 교육이나 이메일 공격의 피해를 막는 쪽으로 시장 흐름이 바뀌지 않을까 싶다. 더불어 보안 관점에서 기업이 통합적인 가시성을 확보하는 환경으로 가고자 할 것이고, 조직 내부 구성원만이 아니라 협력업체까지 보안 관점에서 그 행위를 모니터링하고 이들에 대한 공격을 어떻게 막을지 고민하게 될 것이라고 확신한다."
 

이석호 프루프포인트코리아 대표 [사진=프루프포인트코리아]