공공, 금융 분야는 다른 무엇보다 보안이 중요하다. 다른 분야에 비해 데이터 규제가 강력하게 적용되는 것도 그 때문이다. 그런데 보안에 총력을 기울이는 기회비용도 만만치 않다. 편의성과 성능이 우수한 서비스형소프트웨어(SaaS)를 적극 도입할 수 없다는 점이다.
보안을 중시하다 보니 데이터를 활용하는 데 까다로운 조건이 붙는다. 공공 분야에선 클라우드보안인증(CSAP)을 요구하는데, 이 조항이 시장의 혁신을 막는 부작용이 있다. 금융 분야에선 망 분리가 비슷한 역할을 한다. 가치가 높은 업무 데이터는 회사 외부에 둘 수 없어 클라우드 기반으로 동작하는 SaaS 사용이 어렵다. 두 분야가 'SaaS 불모지'로 꼽히는 이유다.
디지털 혁신의 중심인 SaaS를 활용하기 어려운 탓에 공공, 금융 분야는 기술 변화에 뒤처진다는 지적이 꾸준했다. 그렇다고 보안 규제를 완화할 수도 없기에 큰 변화 없이 논란만 지속돼왔다.
성기운 모놀리 대표는 이런 상황에 대한 기술적 해법을 모색했다. 내부 데이터를 SaaS 개발사의 데이터센터 또는 클라우드에 저장하지 않고도 SaaS를 사용할 수 있게 해주는 솔루션 '모놀리 엔클레이브'를 개발했다.
데이터를 외부로 넘기지 않고 '주권'을 유지하면서도 SaaS를 자유롭게 활용할 수 있는 IT 환경을 지원한다는 것이 이 솔루션의 특징이다. 성기운 대표는 이런 방식이 핵심 화두인 데이터 보안도 해결할 뿐 아니라 비용을 절약하고, 더 나아가 SaaS를 둘러싼 국제 통상 갈등도 예방할 수 있다고 강조했다.
SaaS 좋은 건 알지만…"공공·금융, '데이터 주권' 걱정 커"
성 대표가 데이터 보안 문제에 관심을 가진 건 2000년 초반 당시 보안 취약점을 탐색해 조치하는 화이트해커로 근무하면서다. 여러 기업에서 보안이 중요한 데이터조차도 부실하게 관리하는 상황을 목격했다. 이후 삼성SDS 등에서 네트워킹과 분산 시스템에 대한 지식과 경험을 쌓은 뒤 모놀리를 창업했다.
20여년이 흐른 현재는 디지털 트랜스포메이션이 화두가 되면서 데이터를 중요 자산으로 활용하는 곳이 많아졌다. 그러나 공공, 금융 등 영역은 여전히 보안 규제에 저촉되는 등의 이유로 퍼블릭 클라우드나 외부 SaaS 등을 고려하기 어렵다. 데이터가 저장되는 IT 인프라 여건이 SaaS 개발사에 좌우된다는 점도 도입을 주저하게 만든다.
이런 곳들은 디지털 트랜스포메이션 자체를 포기하거나, 외부 SaaS와 유사한 소프트웨어(SW)를 자체 개발해 쓰는 식으로 대응하고 있다. 성 대표는 이런 대응이 결국 추가 비용으로 돌아온다고 설명했다.
"SaaS는 전문 기업에서 엄청나게 투자해 만든 고품질 솔루션이라 쓸 수 있으면 쓰는 게 비용 측면에서도 유리하다. 그런데 그럴 수 없는 기업, 기관들이 있다. '데이터 주권' 때문이다. SaaS를 사용하는 동안 SaaS 서버로 넘어간 내부 데이터가 안전한지 검증할 방법이 없고, 데이터를 삭제하더라도 진짜로 삭제됐는지 확인할 수 없다. 국가마다 고도화되는 데이터 규제를 잘 준수할 수 있을지도 걱정거리다. 결국 이런 측면에 미감한 곳들은 업무 효율을 포기하거나, 더 비싸고 성능은 더 나쁜 자체 솔루션을 쓰는 것 외 선택지가 없었다."
블록체인·난독화 활용…"데이터 외부 보관 없이 SaaS 이용"
SaaS 도입에 따른 데이터 보안 문제를 해결하기 위해, 모놀리 엔클레이브는 블록체인과 데이터 난독화 등 특허 기술을 활용했다고 성 대표는 설명했다.
SaaS를 사용하려는 기업이나 기관은 모놀리 엔클레이브를 거쳐 SaaS에 접속하게 된다. 그 과정에서 블록체인 기반 신원인증 네트워크 체제가 쓰인다.
기업이나 기관이 SaaS를 활용하기 위해 내부 데이터를 전송하면 이는 엔클레이브를 거쳐 난독화된다. 데이터가 난독화돼 외부 유출을 방지하면서도 SaaS 기능은 문제 없이 사용할 수 있게 했다. 난독화된 데이터가 SaaS 서버에서 처리되고 다시 기업 또는 기관으로 전송될 때엔 엔클레이브가 데이터를 다시 해독해 전달하게 된다. 난독화 자체도 블록체인을 접목해 고도화했다.
이런 체제에선 기업이나 기관이 SaaS를 이용하더라도 데이터가 외부에 남지 않는다. 외부 조건에 맞춰 데이터를 관리할 필요가 없는 만큼 특정 IT 인프라로 종속되지 않고, 강력한 보안 체제도 이전과 그대로 누릴 수 있다. 데이터의 생성, 활용, 삭제 전반을 관리하는 권한도 침해받지 않는다.
도중에 공격자가 개입해 악성코드 유포를 시도하더라도, 데이터를 중개하는 엔클레이브가 난독화 처리를 하기 때문에 공격 기능이 무력화된다는 장점도 있다.
슬랙 등 SaaS 지원 계획…"AI 커스터마이징도 데이터 주권 확보 중요"
엔클레이브는 현재 협업툴 '슬랙'을 지원한다. 향후 마이크로소프트365와 세일즈포스 등으로 지원 SaaS를 확대할 계획이다.
특히 글로벌 SaaS 개발사 입장에선 이전에 공략하지 못했던 시장에 도전할 기회가 생기는 만큼 엔클레이브 연동을 반길 것이라고 봤다. 데이터 보안, 규제 준수 등 골치 아픈 문제에 대한 책임을 덜어주기 때문이다. 국내 SaaS 업계도 이런 문제에 투입하는 자원을 절약함에 따라 수익성을 키울 수 있다고 봤다.
관련기사
- 양희동 교수 "CSAP 등급제, 논리적 망분리 수용해야"2022.09.15
- "CSAP 완화, 글로벌 클라우드 기업 독식 우려"2022.11.23
- "ISV→SaaS 전환 위해선 보안·규정준수-멀티테넌시 모델 필수적"2022.09.15
- 말 많던 '암호화' 망분리, '홈 네트워크보안 가이드'서 빠졌다2022.12.12
성 대표는 최근 디지털 혁신을 논할 때 빠지지 않는 인공지능(AI)을 활용할 때에도 엔클레이브가 이점을 가져다줄 수 있다고 전망했다.
"기업들이 각자 사정에 맞게 특화된 데이터베이스를 갖추고, 이를 AI에 학습시켜 활용하려는 시도가 늘 것이다. 기업이 경쟁력 있는 AI 서비스를 갖추게 되면, 그 AI를 만들어낸 데이터베이스가 무기다. 이를 반드시 기업이 배타적으로 갖고 있어야 한다."