20년만에 아태지역 웹방화벽 넘버 1 됐다.

Penta Security

20년만에 아태지역 웹방화벽 넘버1 됐다
4차산업혁명 시대를 맞아 ‘강소(强小)기업’이 국가 경제 혁신의 주역이자 좋은 일자리 창출의 모범으로 주목되고 있습니다. 지디넷코리아는 강소기업의 성공 노하우를 공유하고자 이들 기업에 대한 현장 탐방 시리즈를 시작합니다. 독자 여러분의 많은 관심 부탁드립니다. [편집자 주]

아시아태평양 최고의 웹 철벽 수비수, 펜타시큐리티시스템

사용자와 주고 받은 데이터를 처리해 저장하는 일은 어떤 형태로든 인터넷으로 연결된 웹서비스를 제공하는 모든 기업과 기관들이 공통적으로 처리하는 업무다. 이 과정에서 펜타시큐리티시스템이 던지는 핵심 질문은 3가지다.

올바른 사용자인가? 정상적인 트래픽인가? 안전하게 보관됐나?

20년 간 이러한 세 가지 질문에 집중해 온 펜타시큐리티는 아시아태평양 지역 웹방화벽 ‘넘버1’이라는 타이틀을 쥐었다. 글로벌 시장에서도 이 회사가 고안한 해결책은 그 가치를 인정 받았다.

프로스트앤설리반 선정 제13회 아시아-태평양 ICT 어워드 ‘2016 최고의 보안 기업’, SC매거진UK 주최 SC어워드 유럽2016 ‘최고의 중소기업 보안 솔루션’, 미국 사이버디펜스매거진이 수여한 ‘2016 사이버 디펜스 매거진 어워드’ 수상경력이 이를 뒷받침한다. 세상이 바뀌어 클라우드가 등장하더니 커넥티드카, 스마트팩토리, 스마트홈까지 모든 것이 인터넷으로 연결되는 사물인터넷(IoT)이 대세로 자리잡았다. 그 사이 랜섬웨어, 개인정보유출, 주요 기업/기관을 노린 지능형 공격은 여전히 끊이지 않는다. 그러나 이처럼 더 복잡해진 IT 환경 속에서도 펜타시큐리티의 보안 해법은 다르지 않다.

펜타시큐리티는 프리스트앤설리반 선정 제13회 아시아-태평양 ICT 어워드 '2016 최고의 보안 기업', SC매거진UK 주최 SC어워드 유럽2016 '최고의 중소기업 보안 솔루션', 미국 사이버디펜스매거진이 수여한 '2016 사이버 디펜스 매거진 어워드'를 수상하며 기술력을 인정받았다.

펜타시큐리티는 프리스트앤설리반 선정 제13회 아시아-태평양 ICT 어워드 ‘2016 최고의 보안 기업’, SC매거진UK 주최 SC어워드 유럽2016 ‘최고의 중소기업 보안 솔루션’, 미국 사이버디펜스매거진이 수여한 ‘2016 사이버 디펜스 매거진 어워드’를 수상하며 기술력을 인정받았다.

이 기업의 기술 뿌리는 암호화에서 시작한다.

기술연구개발을 거듭하면서 3가지 분야에서 대표제품이 개발된다. 2004년 출시한 DB암호화 솔루션 디아모(D’Amo), 2005년 나온 웹방화벽 와플(WAPPLES), 회사설립 초기부터 개발해 온 기술을 녹여 2013년 대폭 업그레이드된 인증솔루션 아이사인플러스(ISign+)가 그것이다. 펜타시큐리티는 모든 것이 인터넷으로 연결되는 세상을 보호하기 위해 웹방화벽, DB암호화, 인증이라는 삼박자를 갖췄다. 이러한 핵심 기술은 클라우드, IoT 시대에 오히려 진가를 발휘할 것으로 전망된다.

펜타시큐리티는 발 빠르게 클라우드용 제품을 선보이는가 하면 스마트카, 스마트팩토리용 제품에 더해 아예 스타트업이 중소기업들이 클라우드에서 사용할 수 있는 웹방화벽인 ‘클라우드브릭’을 내놨다.

펜타시큐리티는 기존 공격패턴의 변종을 자동으로 탐지하는 COCEP 엔진을 3세대 웹방화벽 핵심 기술로 내세운다.

펜타시큐리티는 기존 공격패턴의 변종을 자동으로 탐지하는 COCEP 엔진을 3세대 웹방화벽 핵심 기술로 내세운다.

 

■핵심 기술과 제품: 똑똑한 3세대 웹방화벽, 머신러닝으로 변종 거른다

펜타시큐리티의 대표 선수는 웹방화벽 와플이다. 이 회사는 그냥 웹방화벽에 ‘지능형’이라는 말을 붙인다.

이 보안솔루션은 인터넷을 통해 어떤 웹사이트에 방문하거나 특정한 애플리케이션을 서비스 중인 기업을 보호한다. 웹 기반 서비스는 웹서버 및 이와 연결된 데이터베이스(DB)로 구성된다. 일반적인 웹 기반 서비스를 노린 공격은 사용자들의 접속 신호를 받아 연결되는 웹서버가 가진 취약점을 악용한다. 이를 통해 내부 DB에 접근해 정보를 빼오거나 랜섬웨어를 심는 등 해킹을 수행한다.

이를 막기 위한 관문 역할을 하는 것이 웹방화벽이다. 문제는 과거 웹방화벽은 같은 경로를 노리지만 조금 다른 방식으로 접근하는 변종 공격을 막아내는 일이 만만치 않았다는 점이다. 일일이 어떤 공격을 막아야할지를 설정해줘야하는데다가 정상적인 트래픽에 대해서도 공격으로 인식하는 등 한계가 분명했다.

와플은 이런 점을 해결하기 위해 자체적인 논리 연산 탐지엔진인 ‘COCEP(COntens Classification and evaluation Processing)’을 고안했다. 특정 공격 유형의 새로운 변종 공격이 등장하더라도 방어가 가능케 한 것이다. 이 엔진은 머신러닝 기술을 적용해 초기 버전과 비교해 계속 진화하는 중이다.

3세대 웹방화벽 개념도. 웹방화벽 내에서 콘텐츠를 조사해 블랙리스트, 화이트리스트를 만들고 이런 과정을 종합해 COCEP 엔진을 통해 유사한 공격패턴을 걸러낸다.

3세대 웹방화벽 개념도. 웹방화벽 내에서 콘텐츠를 조사해 블랙리스트, 화이트리스트를 만들고 이런 과정을 종합해 COCEP 엔진을 통해 유사한 공격패턴을 걸러낸다. 디아모, 아이사인플러스의 근간은 결국 암호화 기술을 어떻게 잘 구현하는가에 있다.

이런 점에서 20년 간 관련 기술을 연구해 온 이 기업은 데이터에 대한 암호화, 암호화 키에 대한 안전한 관리와 운용, 데이터 열람에 대한 접근제어와 감사를 아울러 ICT 환경에 대한 전반적인 암호화 운영/관리를 지원한다. 디아모는 애플리케이션, 시스템, 네트워크 등 IT인프라에 대해 계층별로 구분해 각각에 맞는 암호화 기술을 적용할 수 있다. 아이사인플러스는 ID/비밀번호에 더해 인증서, 모바일OTP, 생체인증 등 다양한 사용자 인증 방식을 지원해 중복 로그인을 막고 사용자 정보도용으로 인한 피해를 막는다.

이 기업은 사용자와 주고 받은 데이터를 처리해 저장한다는 프로세스에 맞춰 보안 핵심 기술을 개발해왔다.

이 기업은 사용자와 주고 받은 데이터를 처리해 저장한다는 프로세스에 맞춰 보안 핵심 기술을 개발해왔다.
■미래비전 : 클라우드-IoT 시대, 웹보안 본질 변하지 않아

지난 7월21일 창립 20주년을 맞은 이 회사는 미래 보안 비전으로 ‘선(先)보안 후(後)연결(Secure First, Then Connect)’을 내세웠다. 모든 것이 인터넷으로 연결된다는 말은 곧 그만큼 공격자들이 뚫어낼 빈 틈이 많아진다는 뜻이기도 하다. 때문에 이 회사는 클라우드와 IoT에 주목해 한 박자 빠르게 관련 보안 솔루션을 준비해왔다. 흥미로운 점은 환경이 바뀌고 있는데도 불구하고 이 회사가 가진 핵심 보안 솔루션의 중요성은 변함이 없다는 사실이다.
이석우 펜타시큐리티 대표는 “기업 보안에서 중요한 3가지는 웹, 데이터, 인증”이라며 “2011년부터 와플의 클라우드 버전을 공급하고 있으며 회사 전체 솔루션을 클라우드 환경에 맞게 확대해 제공하는 중”이라고 밝혔다.

 

2015년에는 사내에 IoT융합보안연구소을 신설, 스마트카용 보안 솔루션인 아우토크립트(AutoCrypt)에 더해 자율주행차 시대에 기반이 될 차세대 지능형 교통시스템(C-ITS)을 위한 보안 솔루션을 고안했다. 스마트팩토리, 스마트에너지, 스마트홈 등에 필요한 보안 솔루션도 모두 웹, 데이터, 인증 보안의 기반에서 마련됐다. 글로벌 시장에서 먼저 서비스를 오픈해 입소문을 타고 국내서도 본격적으로 서비스를 시작한 ‘클라우드브릭’의 사례도 주목된다.
그동안 스타트업, 중소상공인, 중소기업들이 운영하는 웹 기반 서비스는 상대적으로 보안에 소홀할 수밖에 없었다. 여기에 투자할 비용은 물론 복잡한 보안 솔루션을 적용할만한 인력도 부족했던 탓이다.

스타트업, 중소기업들이 자사 웹사이트를 등록하는 과정만 거치면 바로 쓸 수 있는 클라우드 기반 웹방화벽 클라우드브릭.

스타트업, 중소기업들이 자사 웹사이트를 등록하는 과정만 거치면 바로 쓸 수 있는 클라우드 기반 웹방화벽 클라우드브릭.

클라우드브릭은 이런 사업자들을 타깃으로 한다. 클라우드브릭 웹사이트에 접속해 기능을 적용하기만 하면 끝이다. 회사측은 3분이면 와플과 같은 웹방화벽 서비스를 받을 수 있다고 강조한다.

방법은 단순하다. 기본정보를 입력해 회원가입한 뒤 자신의 웹사이트 URL을 등록한 다음 도메인네임서버를 업데이트하기만 하면 된다. 이런 과정을 거치면 해당 웹사이트는 ‘렛츠인크립트(Let’s Encrypt)’가 제공하는 무료 보안통신(SSL)이 적용된다. 그 다음으로는 본래 웹사이트와 연결된 웹서버로 트래픽이 가기 전 클라우드브릭이 해당 트래픽을 검사해 악성유무를 판단하는 과정을 거친다.

이를 통해 웹 취약점을 악용한 공격에 더해 데이터 유출, 웹사이트 손상, 분산서비스거부(DDoS) 공격 등을 방어하면서 관련 분석 리포트까지 대시보드를 통해 제공받을 수 있다.

펜타시큐리티는 웹사이트 트래픽에 따라 4GB이하까지는 무료로 제공하며 그 이상 트래픽에 대해서는 월 29달러~149달러까지 비용을 내도록 가격정책을 마련했다. 클라우드브릭은 이 같은 장점 덕에 글로벌 클라우드 기반 웹방화벽 서비스를 제공하는 클라우드플레어, 인캡슐라에 더해 관련 시장 톱3에 이름을 올렸다.

■기업문화: ‘개발부심’이 후배에 이어질 수 있도록

펜타시큐리티를 창업한 핵심 개발인력들은 거의 그대로 이 회사에 머물고 있다. 그만큼 암호화 기술을 초기부터 개발해 지금까지 선도하고 있다는 자부심도 강하다. 대부분 IT 회사들이 그렇듯 펜타시큐리티도 220여명 임직원 중 연구개발 및 기술인력이 120여명으로 절반 이상을 차지한다.

이석우 대표는 “그동안 개발자들이 수평적인 커뮤니케이션, 개방적인 사고, 전문성을 쌓도록 몰두하는 열정 등을 회사 문화를 만드는데 중심 역할을 해왔다”며 “보안회사이자 소프트웨어 회사로 전 세계 개발자들과 국경을 넘어 교류하고 또 경쟁하고 있다”고 말했다.

이석우 대표는 직원들이 능동적이고, 자율적으로 일할 수 있도록 장려한다. 의사결정을 현업에서 주도적으로 결정할 수 있도록 각 직급 리더들을 대상으로 ‘캠프 이그나이트!(CAMP Ignite!)’라는 프로그램을 진행한다. 어떤 리더가 될 것인지를 고민하고, 후배 직원들의 성장을 돕기 위한 방법을 구체적으로 논의하는 시간을 갖는다. 이에 따라 자연스럽게 의사결정 구조가 밑에서 위로 올라가는 방식으로 유지될 수 있도록 했다.

임직원들을 위한 특별 휴가제도도 흥미롭다. 이석우 대표에 따르면 이 회사는 5일 이상 장기 연차휴가와 휴가비를 지원하는 ‘G.O.T(Globalize Our Thinking)’을 도입했다. 사람이 쉬려면 적어도 3일은 적응기간이 필요하고 5일이 지나야 제대로 쉴 수 있다는 생각에서다.

이석우 대표는 올해 비전으로 클라우드-IoT 시대에 맞춰 선보안, 후연결을 내세웠다.

이석우 대표는 올해 비전으로 클라우드-IoT 시대에 맞춰 선보안, 후연결을 내세웠다.

■이석우 대표의 경영철학: 고수의 언어는 단순하다
이석우 대표는 웬만해서는 공식석상에 잘 나서지 않는다. 그 대신 새로운 기술에 대해서는 유독 눈을 반짝인다.
아직 제대로 시장이 없는데도 불구하고 스마트카 보안 솔루션 아우토크립트를 개발한 것도 그의 의지가 많이 반영됐다. 그렇다고 세상 모든 기술에 관심이 있는 것은 아니다. 펜타시큐리티는 제품개발 과정에서 “사용자 입장에서 모든 것을 간단명료하게 하라”를 모토로 삼는다.
이 회사가 암호화 기술로 시작해 여기서 웹, 데이터, 인증 보안을 넘어 클라우드, IoT로 영역을 확대할 수 있었던 배경에는 이처럼 고유한 원천기술을 잘 가공해 단순하고 명료하게 만들어 내는데 있다.

[기사 원문 보기 – 지디넷코리아 http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170922191210&type=det&re=]