profile

[펜타 뉴스레터 12월호] 잘 짜여진 IoT 보안 플랫폼이란?

profile

[펜타 뉴스레터 11월호] 클라우드 시대의 보안, 간단히

OLYMPUS DIGITAL CAMERA

사물인터넷도 대기업의 몫인가

 

OLYMPUS DIGITAL CAMERA

 

우선, 오해가 있다. 어떤 사물을 인터넷에 연결하기만 하면 ‘사물인터넷’ 된다는 오해.

웹 검색기에 IoT, 스타트업, 사물인터넷, 창업 등 검색어 넣어 보면 온갖 화려한 미사여구로 치장한 글이 엄청 뜬다. 사물인터넷으로 스타트업 육성, IoT 스타트업 이렇게 시작하라, 뜨거운 사물인터넷 창업 열기 등, 아주 뜨겁다. 정부도 마찬가지다. 사물인터넷이야말로 소자본 창업이 용이한 미래산업이므로 우리 모두 창조적으로 뭐 어쩌고저쩌고.. 그런데,

IoT는 정말 소자본 스타트업에 어울리는 사업일까?

결론부터 말하자면, 지금은 그렇지 않다. 그래선 안 된다.

 

IoT는 삼위일체

 

1)디바이스, 2)어플리케이션, 3)클라우드, 이 3가지 요소가 합해 IoT를 이룬다.

어플리케이션이란 말은 그냥 ‘인터넷’으로 바꿔 읽어도 무방하다. 요즘 어플리케이션은 거의 전부가 웹 어플리케이션이니까. 이름부터 ‘사물인터넷’이니 사물도 있고 인터넷도 있어야 하니 1)과 2)는 당연해 보인다. ‘사물’이 ‘인터넷’보다 먼저 나오고 실물이 눈에 딱 보이는 구체성까지 더해져 더 중요해 보이지만 실은 ‘인터넷’이 더 중요하다.

달리 말해, 드론 산업과 마찬가지다. 드론은 눈에 딱 보이는 물건이라서 ‘드론 산업’ 그러면 누구나 드론이라는 사물만 떠올리지만, 그래서 “드론은 중국이 세계 최고!”라며 “한국은 이제 어쩌지,,” 겁도 내고 그러는데, 드론 업의 본질은 날개 4장 달린 납작한 비행 물체를 가장 싸게 만드는 단순 산업공학적 경쟁이 아니라, 국가 규모의 3차원 좌표망 위 특정 위치에 추상적 데이터가 아닌 구체적 사물이 안정적으로 위치 그리고 이동하게끔 만드는 일과 그 관제, 그리고 안전이다. 물건 싸게 만들기만을 두고 경쟁하지 않아도 된다는 뜻이다.

그럼 1과 2)는 그렇다 치고, 3)클라우드는? 그 또한 필수 요소다. 사물로부터 수집한 정보를 클라우드를 통해 취합해 종합하고 분석함으로써 제품의 성능을 개선하고 사용자에게 필요한 서비스를 제공한다. 그게 없다면 사물인터넷이란 고작 어떤 물건에다 전화기를 통해서 켜고 끌 수 있는 원격 스위치를 붙이는 일에 불과할 테니까. 그 스위치마저도 안전이 필수적인 스위치라면 함부로 막 붙일 수도 없고.

 

IoT 보안도 삼위일체

 

1)디바이스, 2)어플리케이션, 3)클라우드가 IoT의 필수요소이므로,
1)디바이스 보안, 2)어플리케이션 보안, 3)클라우드 보안 또한 IoT 보안의 필수요소다.

문제는 그 3가지 보안이 서로 다른 성질의 기술을 요구하므로 기술 연구개발의 성격 또한 다른데, 대기업 규모라면 각각 따로 전담 팀을 운영해 별 문제 없겠지만 소규모 기업 형편으로는 감당하기 어려운 일이다. 모든 팀 다 짜려면 이미 작은 기업이 아니게 되니까. 그래서,

IoT는 정말 소자본 스타트업에 어울리는 사업일까?

지금은 그렇지 않다는 것이다. 그리 함부로 막 덤벼들 일이 아니다. 또 그래서도 안 된다. IoT는 기존 흔한 IT와 달리 사람과 직접 접촉하는 사물을 다루는 기술이기 때문에 안전 문제가 훨씬 더 치명적이다. 따라서 IoT는 “선보안-후연결” 원칙이 필수적이다. 정보만 오가는 IT 사고는 터져도 돈 좀 잃고 회사 상대로 법 두고 다투면 될 일이지만, 사물을 다루는 IoT 사고는 사람 목숨이 위험할 수도 있다. 낮잠 자다가 로봇 청소기에 머리카락이 빨려들어가 119 구조대가 출동한 일쯤은 웃으며 나누는 옛날 이야기처럼 차라리 귀여운 수준의 사고일 수도 있다.

1)디바이스 보안, 2)어플리케이션 보안, 3)클라우드 보안 등, IoT 보안의 삼위일체의 어느 한 요소도 절대 허술해선 안 된다. 그런데도 쉽게 “IoT는 소규모 창업!” 떠드는 어수선한 풍토가 정말 우려스럽다. 그 와중에 인터넷 카메라 등 아직은 고작 태동기 수준에 머물러 있는 IoT 사물들은 온갖 사고를 터뜨리고 있다. 정말 위험한 상황이다.

그렇다고, 포기해야 하나. IoT마저 대기업의 몫이란 말인가. 다행히 그렇진 않다.

 

IoT 개발은, IoT 플랫폼

 

IT 이야기에 흔히 등장하는 ‘플랫폼’이란 용어는 승강장이라는 원래 말뜻을 넘어서 시스템을 구성하는 골격의 뜻으로 여러 산업 분야에서 두루 쓰인다. 여러 사람이 쉽게 이용하는 공용 기반시설 정도의 뜻인데, 이를테면 공장의 생산 과정 전반에서부터 어떤 IT 어플리케이션이 동작하는 바탕이 되는 OS 등 환경까지 전반적으로 일컫는 말이다.

말하자면 산업공학적 합리의 흐름에 따라 정착된 용어인데, 대량생산을 위한 절차 그리고 절차의 자동화를 고민하는 과정을 통해 개념이 각각의 분야에서 점차 구체화되었다. 이에 따라 요즘은 윈도우, macOS, 안드로이드, iOS 등 운영체제나 인터넷 익스플로러, 크롬 등 브라우저까지 플랫폼이라 불리고 있고, 개발 편리를 위해 어떤 언어를 위한 환경을 제공해 주는 보조 어플리케이션도 개발 플랫폼이라 불린다

IoT에도 그런 플랫폼이 있다. IoT가 오늘날 IT 업계의 가장 뜨거운 유행인 만큼 여러 회사들이 경쟁적으로 훌륭한 IoT 플랫폼 서비스를 제공한다. 그러한 플랫폼을 이용하면 작은 회사들도 필요한 모든 기술력을 자체적으로 보유하지 않고도 HTTP 등 프로토콜을 이용해 디바이스를 다른 디바이스 그리고 웹 서비스에 연결하고, 데이터를 주고받으며 상호작용하고, 수집한 데이터를 처리하고, 그 처리 결과에 기반한 서비스를 운영하는 등의 사물인터넷 사업을 훌륭히 운영할 수 있다.

그럼 작은 회사도 IoT 플랫폼 이용해 간편하게 개발하면 될 일 아닌가. 문제는,

 

IoT 보안은, IoT 보안 플랫폼

 

IoT 플랫폼이 제공하는 서비스 사양을 자세히 들여다보면 보안 부분은 어째 좀 부실하다. 이는 클라우드 컴퓨팅 서비스의 보안 부실과도 비슷한 현상이다. 필요한 기능을 모두 다 제공해 주는 것 같지만 유독 보안 부분만은 부실한 것. 플랫폼 서비스 제공자마다 ‘공동책임모델’ 등의 엄격하고 딱딱한 용어를 쓰며 슬쩍 피하려 든다는 느낌이다. 아마도 사고 발생 시 법적 책임 문제 등 여러 복잡한 사정의 이유가 따로 있겠지만 이유야 어쨌든,

상업용 IoT 플랫폼들이 제공하는 IoT 보안은 그 자체만으로는 충분하지 않다. 특히 IoT 보안의 가장 기본이라 할 수 있는 인증서 운영 정책의 단순함에서부터 우려가 크다. IoT 사물에 있어 인증서는 여권과 같다. 사물은 인증서를 여권처럼 지닌 채 인터넷 세계를 여행한다. 그리고 그 여권을 검사하는 일은 인증기관(CA)이 맡는데, 그 체계가 전반적으로 부실한 것이다.

어느 정도의 복잡함은 불가피하다. 디바이스의 종류와 성질에 따라 적용하는 보안 방법론은 완전히 달라져야 한다. 이를테면 기능이 단순하고 제자리에 고정된 스마트 전등의 위험성과 아주 복잡하고 빠르게 달리는 스마트 자동차의 위험성은 하늘과 땅만큼 먼데 그 둘에다 같은 수준의 인증서를 사용할 수는 없잖은가.

IoT 보안에 있어 사물 그리고 사용자를 인증하는 일은 가장 먼저 일어나고 또 가장 중요하다. 그리고 그 중요성은 앞으로 IoT 기술이 점차 발전해 사람:사물 연결을 넘어 사물:사물 연결로 향해 갈수록 더욱 커질 것이다. 인터넷 사용 과정에 사람이 끼면 그 사람의 주의 집중을 강제해 사고를 예방하고 경고에 따르지 않았다는 이유로 문제의 상당한 책임이 사용자에게 있다고 우길 수도 있지만 ‘사물:사물’ 연결은 책임을 떠넘길 사람도 없으니, 이는 IoT 사업자 입장에서는 전에 비해 훨씬 더 커진 사업적 리스크다. 그래서라도 더욱, 선보안-후연결.

잘 짜여진 IoT 보안 플랫폼이 절실하다. 특히 IoT가 적용되는 여러 환경에 대응하는 다양한 인증서를 관리하고 인증기관(CA) 역할도 맡아 처리하는 일을 기반으로 잘 짜여진 IoT 보안 플랫폼이. 기존 IoT 플랫폼이 그 일까지 해 준다면 참 편하겠다만, 앞서 짐작해 본 ‘어른의 사정’ 때문에 아마도 요원한 일일 듯싶다. 세계는 이미 위험 신호를 계속 보내고 있는데 아무도 듣지 않는다. 큰 걱정이다.

CLOUDSEC

펜타시큐리티, ‘클라우드섹 코리아 2017’에서 클라우드 보안 솔루션 전시 예정

펜타시큐리티, ‘클라우드섹 코리아 2017’에서 클라우드 보안 솔루션 전시 예정
클라우드 웹방화벽 포함한 ‘펜타 클라우드 시큐리티’ 소개

IoT∙클라우드∙기업 정보보안 전문기업 펜타시큐리티시스템㈜ (사장 이석우 www.pentasecurity.co.kr 이하 펜타시큐리티)은 9월 20일 서울 르 메르디앙 호텔 다빈치 블룸 에서 개최되는 클라우드섹 코리아 2017 (CLOUDSEC Korea 2017)에 참가한다고 밝혔다.

이번 행사에서 전시하게 될 펜타시큐리티의 펜타 클라우드 시큐리티 (Penta Cloud Security) 는 기존 제품인 웹방화벽 와플(WAPPLES), 암호 플랫폼 디아모(D’Amo) 그리고 인증 플랫폼 아이사인플러스(ISign+)를 클라우드 환경에 적용하여 언제 어디서나 기업 정보보안을 구축할 수 있게 하였다.

와플 클라우드(WAPPLES Cloud)는 국내 및 아시아·태평양 시장점유율 1위인 웹방화벽 와플을 기반으로, 클라우드 환경에서도 지능형 논리 분석 엔진(COCEP)을 통해 오탐율은 낮으면서 쉬운 보안 설정과 운영 편리성을 갖추었다. 지난 2011년부터 와플 브이 시리즈(WAPPLES V-Series) 출시를 통해 클라우드 보안 선도 기업으로 인정받아왔다. 디아모 클라우드(D’Amo Cloud)의 경우 개발자, 데이터베이스 관리자, 시스템 운영자 등에게 암호화가 필요한 여러가지 상황에서도 적용이 가능한 도구를 제공하고, 이에 대한 보안 관리는 키관리 시스템으로 통합 관리할 수 있는 플랫폼을 제공한다. 그 동안 디아모를 통해 제공해 온 암호화 노하우를 클라우드 환경에서 모두 활용할 수 있어서 클라우드로 이전을 고려하는 고객과 파트너들에게 큰 호응을 얻고 있다.

펜타시큐리티는 펜타 클라우드 시큐리티를 통해 클라우드 관계자들에게 안전한 클라우드 사용 방안 및 구체적인 적용 사례를 알릴 예정이다. 클라우드섹 2017의 행사 취지가 기업 보안 대응력 강화를 위한 사이버 위협 환경 트렌드를 발표하고 보안 위협 관리에 대한 기술적 노하우를 공유한다는 점에서 펜타시큐리티의 클라우드 보안 솔루션의 특장점과 부합하여, 더욱 좋은 시너지를 낼 것으로 기대하고 있다.

펜타시큐리티 기획실장 김덕수 전무는 “클라우드섹 행사가 한국뿐만 아니라 아시아∙태평양 지역 및 유럽에서 개최되는 보안 컨퍼런스인만큼 전세계의 보안 트렌드를 가장 빠르게 접할 수 있다고 생각한다” 라며 “이 행사를 통해 펜타시큐리티가 오랫동안 시장을 선도하면서 쌓아온 클라우드 보안 기술 노하우를 적극적으로 알릴 예정이다” 라고 전했다.

 

20170419145503138_QPTK654D

김덕수 펜타시큐리티시스템 전무, “CSP만으로 완벽하게 보안 대비 못해”

김덕수 펜타시큐리티시스템 전무, “CSP만으로 완벽하게 보안 대비 못해”

“애플리케이션·데이터보안은 사용자가 순전히 책임져야
AWS·KT·MS 등과 협력중
기술력·솔루션 차별화 전략”

 

20170419145503138_QPTK654D

인터뷰 김덕수 펜타시큐리티시스템 전무

 

“아마존(AWS)·마이크로소프트(MS)·IBM·오라클 등 클라우드서비스제공자(CSP)는 기초적인 시스템부터 네트워크까지의 보안은 제공하지만, 애플리케이션과 데이터 보안은 사용자가 직접 책임져야 합니다. 철저한 보안체계를 갖춰야 클라우드 보안 위협에 대비할 수 있습니다.”

8일 서울 여의도 펜타시큐리티시스템 본사에서 만난 김덕수 전무(사진)는 이같이 강조했다.

기업들이 IT 환경을 클라우드 기반으로 빠르게 바꾸고 있지만, 이를 노린 새로운 보안 위협 또한 증가하고 있다. 최근 한 보안업체 조사에 따르면 국내 기업의 최고보안책임자(CISO)들은 클라우드 보안에서 ‘시스템 침입’과 함께 ‘데이터 손실’을 가장 걱정하는 것으로 나타났다.

그러나 CSP만으로 고객의 보안을 완벽하게 책임질 수 없다는 것이 김 전무의 분석이다. 김 전무는 “데이터베이스(DB), 운영체제(OS), 하드웨어 서비스에 주력하던 기업들이 클라우드 인프라 서비스 시장에 뛰어들고 있는데 이들의 본 목적은 서비스가 효율적이고 빠르게 잘 운영되게 하는 것”이라며 “물리적인 환경에서의 보안을 기본으로 제공하고 그 외 시스템과 애플리케이션에 대한 보안은 부가 서비스로 내놓고 있다”고 설명했다.

한 예로 클라우드 인프라 서비스를 이용하는 한 비트코인 거래소 기업고객이 해커의 시스템 해킹으로 인해 ‘비트코인 월렛(인터넷망에 연결된 비트코인 지갑)’ 데이터를 도난당하면 이는 순전히 기업고객이 책임져야 한다.

CSP들은 클라우드 보안에 대해 우려하는 고객의 요구를 감안, 자체적인 부가 보안서비스를 개발하는 동시에 보안전문 기업들과도 협력하고 있다. AWS 보안 서비스 파트너사 중 핵심으로 꼽히는 펜타시큐리티도 이 중 하나다. 펜타시큐리티는 AWS뿐 아니라 KT, MS, IBM과도 클라우드 보안 서비스와 관련해 협력하고 있다. 과거와 달리 CSP와 총판들도 고객을 유치할 때 부가 보안서비스를 받으라고 권장하는 분위기로 바뀌고 있다는 것.

김 전무는 이 영역에서 분명한 자신감을 드러냈다. 김 전무는 “CSP와 고객들이 우리 서비스를 선호하고 협력을 원하는 것은 국내 어떤 보안기업보다도 클라우드 보안에 필요한 솔루션을 오래 연구하고 제품군을 갖췄기 때문”이라며 “웹 방화벽 ‘와플’, 데이터 암호화 ‘디아모’, 사용자 인증 플랫폼 ‘아이사인플러스’를 통해 안심할 수 있는 클라우드 환경을 만들어준다”고 말했다.

펜타시큐리티는 앞으로 클라우드 보완 관련해 보다 강력한 협력 생태계를 갖춰간다는 계획이다.

 

[기사 원문 보기 – 디지털타임스 http://www.dt.co.kr/contents.html?article_no=2017080902101060041001&ref=naver]

Megazone_penta

펜타시큐리티, 메가존과 클라우드 보안 위한 파트너십 체결

펜타시큐리티, 메가존과 클라우드 보안 위한 파트너십 체결

 정보보안기업 펜타시큐리티시스템(www.pentasecurity.co.kr 사장 이석우)은 7월 18일 클라우드 서비스 전문기업 메가존(cloud.hosting.kr  대표 이주완)과 파트너십을 체결했다고 25일 밝혔다. 지속적으로 증가하는 클라우드 보안 위협에 대응하고, 클라우드 환경에서의 수준 높은 보안 서비스를 제공하기 위해서다.

▲왼쪽부터 이주완 메가존 대표, 이석우 펜타시큐리티 사장

펜타시큐리티는 올해부터 클라우드 환경에서의 보안 솔루션을 보다 확대하기 위해 클라우드 사업부를 신설하고, 펜타 클라우드 시큐리티(Penta Cloud Security) 솔루션을 새롭게 런칭했다. 펜타 클라우드 시큐리티는 기존 기업정보보안 제품인 웹방화벽 WAPPLES, 암호 플랫폼 D’Amo, 인증 플랫폼 ISign+를 클라우드 환경에 적용해 언제 어디서나 3대 정보보안 요소를 구현할 수 있도록 했다.

메가존은 고객 비즈니스에 최적화된 클라우드 서비스 구축 방법을 안내하고 운영 관리 지원 서비스를 제공한다. 스타트업에서 대기업까지 약 500여 개의 고객사를 두고 있으며 클라우드 전환율이 높아짐에 따라 안전하고 편리한 클라우드 서비스를 목표로 점유율을 더욱 늘려가고 있다.

이석우 펜타시큐리티 사장은 “이번 협력을 통해 클라우드 보안은 기업 규모에 상관없이 반드시 적용돼야 하는 필수 요소라는 것을 확인할 수 있었다”며 “앞으로 더욱 많은 기업들이 클라우드 서비스의 편리함을 누리기 위한 선행 과정으로 펜타시큐리티의 보안 솔루션을 적용해, 클라우드 시장의 성장과 발전에 더욱 기여할 수 있게 되기를 기대하고 있다” 라고 전했다.

이주완 메가존 대표는 “펜타시큐리티와의 제휴를 통해 고객사들에게 기존 온프레미스(On-Premise)환경에서 운영 중인 보안 수준과 동일하거나 그 이상의 보안 서비스를 제공해 드릴 수 있는 기회라고 생각한다”라고 전했다.

[기사원문보기 – 디지털데일리 http://www.ddaily.co.kr/news/article.html?no=158469]
977202_20170721142930_089_0001

이석우 펜타시큐리티 사장 ‘先보안 後연결 시대 연다’

“先 보안 後 연결(Secure First, Then Connect)’ 시대를 연다.”

21일 창립 20주년을 맞은 펜타시큐리티시스템은 사물인터넷(IoT)·클라우드·자동차 보안을 차세대 사업으로 육성한다.

이석우 펜타시큐리티시스템 사장은 “모든 것이 연결되는 시대에 기기 개발이나 서비스에 앞서 보안문제를 해결해야 한다”면서 “先보안 後연결이 4차 산업혁명 시대 초연결사회 필수조건”이라고 강조했다.

펜타시큐리티는 1997년 창업 후 20년간 암호와 웹 보안 기술을 두 축으로 성장했다. 웹방화벽 ‘와플’은 국내 시장 점유율 1위다. 암호플랫폼 ‘디아모’ 역시 DB암호 시장을 선도했다. 2012년부터 3년 연속 나라장터 DB암호화 부문 점유율 1위를 차지했다. 펜타시큐리티는 와플과 디아모를 개발하며 암호와 웹 애플리케이션 보안 원천 기술을 축적했다. 이를 기반으로 펜타시큐리티 2.0 시대를 IoT, 클라우드, 자동차 보안에서 모색한다.

 

펜타시큐리티는 아무도 자동차 보안에 관심을 갖지 않던 7년 전부터 기술 연구를 시작해 스마트카 보안솔루션 ‘아우토크립트’를 개발했다. 스마트팩토리 보안 솔루션도 내놨다. 스마트팩토리에 들어가는 IoT 기기 보안성을 보장하는 솔루션이다. 2010년부터 클라우드용 웹방화벽, 암호화, 인증 보안을 하나씩 출시했으며 지난해 펜타 클라우드 시큐리티로 통합했다.

 

펜타클라우드시큐리티

<펜타 클라우드 시큐리티(Penta Cloud Security)>
 

이 사장은 “이미 2014년부터 펜타시큐리티 재설계를 시작했다”면서 “20주년이 되는 올해까지 3년에 걸쳐 기술과 비즈니스 체계, 마케팅 등에 변화를 완성한다”고 말했다.펜타시큐리티가 신기술 개발과 시장 진출이 빠른 건 기업 문화에서 비롯된다. 이 사장은 “회사는 전략보다 문화가 중요하다”면서 “지난 20년간 실패하더라도 새로운 기술에 도전할 수 있는 문화를 만들었다”고 설명했다.

그는 “그동안 도전한 많은 기술 중에 실패한 사례도 많지만 이 역시 새로운 자산으로 재탄생한다”고 덧붙였다. 이 사장은 기업이 실패 위험을 두려워하면 새로운 기회를 얻을 수 없다고 강조했다. 펜타시큐리티는 전체 240명 중 100명이 연구원이다.

많은 보안기업은 기존 솔루션 외 신성장 동력 확보에 어려움을 토로한다. 내부 개발보다 인수합병(M&A)에 눈 돌리는 이유다.

이 사장은 “’실패해도 괜찮다’란 문화를 만들자 자연스럽게 신성장 동력을 개발하게 됐다”면서 “다양한 분야로 분화할 수 있는 기술개발이 펜타시큐리티의 현재와 미래까지 담보한다”고 말했다.

 

[기사 원문 보기- CIOBIZ+ http://ciobiz.etnews.com/20170721120017]

profile

[펜타 뉴스레터 6월호] 자동차 회사 = 소프트웨어 회사?

penta cloud security 공지사항용

펜타시큐리티, 클라우드 보안 솔루션 출시 기념 VIPS 외식 상품권 이벤트