[데이터넷] 소프트캠프가 제로 트러스트 전문 기업으로 본격적인 성장을 시작했다고 22일 밝혔다. 소프트캠프는 이날 기자간담회를 열고 원격 브라우저 격리(RBI) 기술과 수요자 관점의 소프트웨어 공급망 보안 서비스를 통해 고객이 보다 쉽게 제로 트러스트 여정을 진행할 수 있게 하겠다고 밝혔다. 특히 소프트웨어 공급망 보안 서비스에는 챗GPT를 이용해 소프트웨어 공급망 취약점을 더 정확하게 파악하고 대응할 수 있게 한다고 덧붙였다.

배환국 소프트캠프 대표는 “소프트캠프는 DRM을 필두로 문서보안 시장을 개척해 온 전문기업으로, 최근 변하는 클라우드 환경에 맞는 보안 기술을 지속적으로 개발해왔다. 그 결과 제로 트러스트 이행을 위한 다양한 기술을 제공할 수 있게 됐다”며 “소프트캠프는 고객이 더 편리하고 안전하게 업무 할 수 있도록 변하는 환경에 맞는 보안기술을 최적의 시기에 공급할 수 있도록 지속적으로 노력하고 있다”고 말했다.

비주얼 스트리밍 방식 RBI로 안전한 웹 경험 지원

배환국 대표는 소프트캠프가 제로 트러스트 관련 기술을 개발하게 된 배경으로 10여년 전 고객으로부터 요청받으면서 시작했다고 설명했다. 첨부파일로 인한 랜섬웨어 공격을 막을 수 있는 방법을 찾아달라는 요청에 소프트캠프는 문서보안 전문성을 이용해 콘텐츠 무해화(CDR) 기술을 개발했다. 그리고 ‘실덱스(Shieldex)’ 상용 제품군을 완성하고 국내와 일본 시장에서 적극적인 영업활동을 펼쳤다.

이후 소프트캠프는 외부에서 유입되는 위협을 효과적으로 차단하면서 업무 연속성을 보장할 수 있는 기술을 개발하기 시작했다. 소프트캠프는 위협 유형을 ▲파일 ▲웹 ▲메일 ▲서드파티 코드 등 4가지로 분류하고, 파일 기반 위협은 CDR, 웹 기반 위협은 RBI, 메일 기반 위협은 CDR+RBI, 서트파티 코드 위협은 수요자 관점의 공급망 보안 서비스로 대응할 수 있다고 판단했다.

RBI는 웹브라우저를 사용자 PC에서 분리해 원격지 격리된 환경에서 구동시키는 방법이다. RBI 시장의 가장 강력한 경쟁사는 브라우저의 페치, 실행 프로세스를 원격지 격리 브라우저에서 수행하고, 사용자 화면에서는 렌더링만 수행하도록 한다. 소프트캠프는 이 방식은 로컬 PC에 스크립트가 일부 내려온다는 사실을 지적하며, 완전한 의미의 RBI가 아니라고 강조한다.

소프트캠프 RBI는 화면에 보이는 내용만 스크린에 띄우는 방식으로, 로컬 PC에서는 아무것도 실행되지 않아 인터넷 위협으로부터 완전히 자유로울 수 있다고 주장한다. 소프트캠프 RBI 솔루션 ‘실덱스 리모트 브라우저’는 사용자 경험 저하 없이 원격 웹 격리 기술을 이용할 수 있으며, 화상회의, 유튜브, 넷플릭스 등 고화질 동영상도 무리 없이 구동할 수 있다고 설명했다.

이 솔루션을 이용한 성공사례 중 A손해보험사가 있다. 이 회사는 자동차 사고 접수를 받고 출동명령을 내리는 시스템은 업무망에 있는데 사고지점을 알기 위해 인터넷의 지도 서비스를 업무망에서 불러올 수 없어서 고가의 지도 솔루션을 내부망에 구축해야 했다. 내부망 지도는 자주 업데이트 할 수 없어서 고객의 사고 지점을 정확하게 알 수 없으며 구축 비용 부담도 있었다.

이 회사는 내부망에서 격리 브라우저를 활용해 인터넷 지도 서비스를 이용할 수 있게 했다. RBI 기술은 이미 2019년 금융감독원이 논리적 망분리로 인정할 수 있다고 밝힌 바 있다. 그래서 손보사도 내부망에서 안전한 인터넷 연결에 소프트캠프 실덱스 리모트 브라우저를 사용할 수 있었으며, 더 빠르고 정확하게, 더 저렴한 비용으로 지도 정보를 이용할 수 있게 됐다.

제로 트러스트 위한 6가지 기술 지원

소프트캠프는 제로 트러스트 구현을 위한 6가지 기술을 소개하면서 이를 완성하는 중이라고 설명했다. ▲침해를 가장한 신원 인식 세분화: ID 인지 마이크로 세그멘테이션 ▲상황에 따른 다양한 정책 운영: 조건부 접속 ▲정보의 원천적 유출 방지: 암호화 ▲위부위협 격리 ▲외부 유입정보 필터링과 재구조화: CDR ▲외부 단말기에 설치도, 흔적도 없이(Traceless Access) 제로 트러스트 이행 등이 주요 기술이다.

ID 인지 마이크로 세그멘테이션은 RBI와 IAP(Identity Awareness Proxy)를 이용해 정상 계정을 가진 사람·기기만이 권한 내에서 접근할 수 있도록 하며, 격리된 안전한 환경에서 업무용 애플리케이션을 구동시켜 외부에 애플리케이션이 노출되지 않으면서 외부로부터 위협이 유입되어 영향을 받지 않게 한다.

소프트캠프는 한국인터넷진흥원(KISA)의 제로 트러스트 보안 모델 실증 지원사업 SGA컨소시엄에 속해 ID관리(IDP)와 RBI를 이용한 제로 트러스트 구현 실증사업을 진행하고 있다. 또 자체 IAP를 개발해 소프트캠프 제로트러스트 이행 전략의 핵심 정책 요소로 작동하게 할 계획이다.

멀티 클라우드서 중단없는 암호화 지원

DRM 전문기업 소프트캠프는 DRM 기술을 클라우드에도 적용하고 있는데, DRM 솔루션 ‘도큐먼트 시큐리티(DS)’를 클라우드에서 사용할 수 있도록 하는 것뿐 아니라, 클라우드 사업자가 지원하는 암호화 기술로 자동 변환할 수 있도록 돕는 기술까지 제공한다. 예를 들면 고객의 요청이나 업무 환경의 특징에 따라 마이크로소프트, 구글, AWS의 암호화 기술을 자동 적용시키도록 하는 것이다.

배환국 대표는 “클라우드 환경에서는 중단 없는 암호화를 지키기 어렵다. 그래서 소프트캠프는 고객이 원하는 클라우드 플랫폼에서 제공하는 암호화 기술로 자동 변경되고, 데이터가 저장되는 클라우드 스토리지에서도 암호화가 유지될 수 있도록 해 유연성이 높으면서도 중단없이 암호화로 보호될 수 있는 업무환경을 만들고 있다. 소프트캠프는 이를 ‘데이터 오케스트레이션(가칭)’이라 한다”며 “이 원칙을 이행하는 솔루션 ‘실DRM’과 ‘실드라이브’는 기존 DS 고객뿐 아니라 신규 고객들도 빠르게 확보하면서 경쟁력을 입증하고 있다”고 설명했다.

수요자 관점 SW 공급망 보호 지원

소프트캠프가 이 날 공개한 챗GPT 이용 소프트웨어 공급망 보안은 자회사 레드펜소프트의 엑스스캔(XSCAN) 서비스를 이용한 것이다. 레드펜소프트는 소프트캠프와 침해대응 전문기업 엔키가 함께 설립한 회사다.

소프트웨어 공급망 보안을 위해 SBOM 사용이 중요하다고 하지만, SBOM은 소프트웨어 개발사가 제공하는 것으로, 수요기업 입장에서는 이 SBOM이 정확하게 작성됐는지, 누락되거나 변경된 사항은 없는지 확인하기 어렵다.

엑스스캔은 외주 개발사나 소프트웨어 벤더로부터 제공받은 업데이트·패치 파일을 이전 버전과 비교해 이상행위가 일어날 가능성이 있는 코드나 비정상적으로 많은 변경이 있을 때 그 내용을 소명하게 하는 서비스를 제공한다. 필요한 경우 화이트해커가 상세 분석한다.

레드펜소프트는 이 서비스에 챗GPT를 적용해 한층 더 쉽게 이상정황을 파악할 수 있게 한다. 엑스스캔이 이상한 코드로 파악한 것에 대해 챗GPT에 의견을 물어본다. 챗GPT의 답변을 참고해 대응방안을 결정할 수 있으며, 필요한 경우 화이트해커의 분석을 요청할 수 있다. 화이트해커도 이를 이용해 더 빠르게 분석할 수 있다.

소프트캠프는 스패로우와 함께 소프트웨어 공급망 보안 실증사업을 진행하고 있으며, 연내 사업 완료 후 더 정확하고 쉽게 소프트웨어 취약점을 찾을 수 있도록 할 계획이라고 설명했다. 엑스스캔은 현재 정식 사용할 수 있으며, 올해 말까지 무료로 제공된다.

배환국 대표는 “제로 트러스트는 ‘믿지 않는다’가 아니라 신뢰 수준을 점차 높이는 것을 말한다. 소프트캠프는 제로 트러스트 원칙에 따라 고객이 업무를 안전하게 수행할 수 있도록 어디서나 일하는 환경을 위한 안전한 인증·조건부 접속, 파일·웹의 무해화와 격리, 서드파티 코드 무결성 검증을 통한 공급망 보안을 제공한다. 이를 통해 고객이 안전하게 디지털 트랜스포메이션을 이행할 수 있도록 돕는다”고 말했다.

김선애 기자 다른기사 보기