시큐리티 스코어카드, 한국 지사 설립...지사장 우청하

글로벌 사이버 보안 등급 평가 및 공급망 탐지·대응(SCDR) 분야 선도 기업인 시큐리티스코어카드(한국지사장 우청하)가 한국에 지사를 설립했다. 일본보다 5년 늦은 것으로, 한국은 아태지역이 아니라 일본, 중국과 함께 인터내셔널 지역에 편입됐다.

11일 시큐리티스코어카드는 서울 강남에서 기자초청 간담회를 열고 한국 시장 공략 전략과 고객 지원 확대 계획을 밝혔다.

공급망 공격 시대, 새로운 보안 패러다임 ‘SCDR’

지난 2013년 미국 뉴욕(맨해턴)에서 설립한 시큐리티스코어카드는 전 세계 57개국에 진출했고 3500곳을 고객으로 확보하고 있다. 세계 1100만 개 이상의 조직을 지속적으로 평가하는 글로벌 보안 등급(Security Ratings) 플랫폼 기업이다. 경쟁사는 비츠사이트(BitSight), 파노레이스(Panorays) 등이다.

시큐리티스코어카드는 기업의 외부 디지털 자산(IP, 도메인, SSL 인증서, 애플리케이션, 네트워크 구성 등)을 분석해 보안 수준을 A부터 F까지 등급으로 평가한다.

평가는 ▲네트워크 보안(Network Security) ▲DNS 보안(DNS Health) ▲패치 관리(Patch Management) ▲애플리케이션 보안(application Security) ▲IP 평판(IP Reputation) ▲엔드포인트 보안(Endpoint Security) ▲해커 활동 정보(Hacker Chatter) ▲정보 유출 위험(Information Leak) ▲사회공학 공격 위험(Social Engineering) 등 다양한 위험 요소를 기반으로 산정된다.

이 등급은 단순한 기술 지표를 넘어 경영진과 이사회, 투자자, 사이버 보험사 등이 기업의 사이버 리스크 수준을 이해하고 평가하는 데 활용되는 ‘보안의 공통 언어’로 활용되고 있다고 회사는 설명했다.

특히 시큐리티스코어카드는 업계 최초로 공급망 사이버 위협 탐지 및 대응(Supply Chain Detection & Response, SCDR) 모델을 상용화했다. SCDR은 기존 제3자 위험 관리(TPRM,Third-Party Risk Management)를 넘어 실시간 위협 탐지·위험도 기반 우선순위 지정·자동화 대응까지 통합한 프레임워크다. 자동화한 평가, 독자적 위협 인텔리전스를 결합해 제3자 및 공급업체 리스크를 지속적으로 모니터링, 위협이 실제 침해로 이어지기 전에 선제적으로 대응하게 설계했다.

여기에 관리형 대응 서비스 ‘MAX’를 통해 전문 파트너와 연계한 실질적인 개선 및 복구 지원까지 제공, ‘탐지-우선순위 지정-대응-완화’로 이어지는 종단간 공급망 보안 체계를 완성했다.

이러한 통합 플랫폼을 통해 기업은 보안 리스크를 사전에 탐지하고 침해를 예방할 수 있으며, 공급망 전반의 위험을 최소화하는 동시에 이사회 보고 및 사이버 보험 대응 역량을 강화할 수 있다. 또 글로벌 규제 준수를 체계화하고, 보안 운영의 자동화와 인력 효율화를 동시에 달성할 수 있다고 회사는 설명했다.

시큐리티스코어카드 솔루션을 도입한 기업은 ▲보안 리스크 사전 탐지 및 침해 예방 ▲공급망 전반 리스크 최소화 ▲이사회 및 보험 보고 대응 ▲글로벌 규제 준수 강화 ▲보안 운영 자동화 및 인력 효율화 효과를 기대할 수 있다.

회사는 "현재 시큐리티스코어카드는 전 세계 3300개 이상의 기업이 사용하고 있으며, 포춘 100대 기업의 약 70%가 고객사로 포함돼 있다. 또한 미국 사이버보안 및 인프라 보안국(CISA)으로부터 신뢰할 수 있는 보안 자원으로 인정받았다"고 말했다.

매튜 매커나 시큐리티스코어카드 글로벌 영업담당 사장이 발표를 하고 있다.

"글로벌 공급망 보안 규제 대응 위한 전략적 거점 구축"

미국 증권거래위원회(SEC) 사이버보안 공시 의무화와 FedRAMP(미국 연방 위험 및 승인 관리 프로그램) 등 글로벌 규제가 급격히 강화하면서, 공급망 전반의 보안 수준은 이제 기업의 ‘선택’이 아닌 ‘거래 조건’이 되고 있다. 실제로 글로벌 기업들은 협력사의 보안 수준이 기준에 미달할 경우 계약 제한이나 거래 배제까지 적용하고 있으며, 공급망 보안은 기업의 매출, 투자, 그리고 글로벌 진출을 좌우하는 핵심 요소로 부상했다.

이러한 환경 속에서 시큐리티스코어카드의 한국 지사 설립은 단순한 시장 확대를 넘어, 국내 기업들이 글로벌 규제와 고객 요구사항에 대응할 수 있게 지원하기 위한 전략적 투자라고 회사는 강조했다.

시큐리티스코어카드는 이미 S그룹, P그룹, H그룹 등 국내 대표 기업을 고객으로 확보했으며, 반도체와 자동차, 에너지, 제조, IT 등 글로벌 공급망 중심 산업으로 빠르게 확산하고 있다. 이들 기업은 글로벌 거래 과정에서 요구되는 보안 신뢰성을 확보하고 공급망 리스크를 체계적으로 관리하기 위해 시큐리티스코어카드의 보안 등급 및 공급망 리스크 관리 플랫폼을 활용하고 있다.

이번 한국 지사 설립을 통해 시큐리티스코어카드는 국내 고객에 대한 기술 지원, 현장 대응, 전문 컨설팅, 고객 성공 프로그램을 대폭 강화하고, 글로벌 수준의 공급망 보안 운영 체계를 직접 지원할 계획이다.

우 지사장은 누구?…여러 글로벌 보안 기업 성공 이끌어

시큐리티스코어카드는 한국 시장을 이끌 초대 지사장으로 우청하 지사장을 선임했다. 우 지사장은 25년 이상 글로벌 사이버보안 업계에서 활동하며 센티넬원(SentinelOne), 버카다(Varkada), 파이어몬(FireMon) 등 글로벌 보안 기업의 한국 지사 설립과 시장 안착을 성공적으로 이끈 대표적인 시장 개척 전문가로 알려졌다. 시큐리티스코어카드 직전에는 센티넬원 지사장으로 있었다.

그는 조직 구축부터 시장 진입 전략, 파트너 생태계 확장, 대기업 고객 확보까지 전 과정을 주도하며 글로벌 보안 기업의 한국 시장 성장을 이끌어 왔으며, 공급망 보안과 위협 인텔리전스, 클라우드 보안 등 다양한 영역에서 국내 대기업과 공공기관의 보안 전략 수립을 지원해 온 업계 핵심 리더라고 회사는 소개했다.

이날 우청하 한국지사장은 “지금 글로벌 시장에서 공급망 보안은 더 이상 IT 부서의 문제가 아니라 기업의 매출과 계약, 그리고 생존을 좌우하는 경영 핵심 요소가 됐다"면서 "글로벌 고객과 투자자들은 이제 ‘보안이 검증된 기업’과만 거래하고 있으며, 공급망 보안 수준은 기업의 신뢰도를 판단하는 객관적인 기준이 되고 있다”고 밝혔다.

이어 “한국 기업들은 세계 최고 수준의 기술 경쟁력을 갖추고 있지만, 글로벌 시장에서 요구하는 보안 투명성과 공급망 가시성 확보는 여전히 중요한 과제로 남아 있다. 시큐리티스코어카드는 전 세계 수백만 개 조직의 보안 데이터를 기반으로 한국 기업들이 공급망 리스크를 사전에 식별하고, 글로벌 기준에 부합하는 보안 경쟁력을 확보할 수 있게 지원할 것"이라고 덧붙였다.

맥커나 글로벌 사장 "한국은 글로벌 공급망 심장…아시아 전략 허브로 육성"

시큐리티스코어카드 글로벌 세일즈 담당 매튜 맥커나(Matthew Mckenna) 사장은 “한국은 반도체, 자동차, 조선, 방산, IT 산업이 집약된 세계적인 공급망 중심 국가로 글로벌 보안 전략에서 가장 중요한 시장 중 하나다. 시큐리티스코어카드는 이번 한국 지사 설립을 통해 한국을 아시아 공급망 보안 전략의 핵심 허브로 육성하고 장기적인 투자와 기술 지원을 지속적으로 확대할 것"이라면서 "글로벌 기술 파트너 및 국내 파트너와 협력을 강화해 한국 기업들이 글로벌 보안 요구사항에 효과적으로 대응하고, 공급망 전반에 대한 가시성과 대응 역량을 획기적으로 강화할 수 있도록 지원할 계획"이라고 밝혔다.

시큐리티스코어카드는 한국 지사 설립과 함께 굿모닝아이텍(대표 이주찬, 부사장 윤영한), 피노라이크 (대표 박홍준), 동훈아이텍 (대표 신재욱)과 파트너쉽을 체결, 국내 시장 확대에 나선다.

■ 어떤 주요 제품과 기능을?..."예상 피해액 달러로 산출 제시"

▲보안 등급 플랫폼 (Security Ratings): 세계 1400만 개 이상 조직을 대상으로 외부에서 관측 가능한 데이터를 수집해 보안 수준을 지속적으로 평가, 이를 A부터 F까지의 직관적인 등급 체계로 제공한다. 기업은 이 플랫폼을 통해 자사의 보안 수준을 산업 평균과 실시간으로 비교·벤치마킹할 수 있다. '무료 인스턴트 스코어' 기능을 활용해 특정 조직의 보안 등급을 즉시 확인하고 신규 취약점 발생 시 자동 알림을 받아 신속하게 대응할 수 있다고 회사는 밝혔다.

▲공급망 사이버 위협 탐지 및 대응(SCDR: Supply Chain Detection & Response): SCDR은 제3자 위험 관리(TPRM)와 보안 운영(SOC)을 통합하는 자동화 프레임워크다. 수백에서 수천 개에 이르는 협력사의 보안 상태를 실시간으로 모니터링한다. 위험도 기반의 자동 우선순위 지정 기능을 통해 비즈니스 영향이 큰 리스크를 먼저 식별하며, 특정 공급망에 위험이 집중되는 ‘집중 리스크(Concentration Risk)’를 분석해 위협이 실제 침해 사고로 확산되기 전에 선제적인 방어 체계를 구축하게 지원한다.

▲전문가 관리형 대응 서비스(MAX: Managed Cyber Risk Services): MAX는 탐지된 보안 이슈에 대해 보안 전문가와 서비스 파트너가 연계해 실질적인 개선 및 완화 조치를 수행하도록 돕는 관리형 서비스다. 단순한 보안 권고를 넘어 조치 이후의 개선 성과까지 지속적으로 추적하고 관리, 기업 내부 리소스가 부족한 상황에서도 공급망 전반의 보안 성숙도를 실질적으로 높일 수 있도록 설계했다고 회사는 설명했다.

▲공격 표면 인텔리전스(ASI: Attack Surface Intelligence): ASI는 기업의 외부 노출 자산을 자동으로 탐지하고 관리되지 않는 ‘쉐도우 IT’ 자산을 식별해 잠재적인 공격 경로를 사전에 차단할 수 있게 지원한다. 공격자 관점에서 노출된 취약점을 시각화해 제공, 기업이 체계적인 전략을 바탕으로 공격 표면을 효과적으로 축소하고 보안 사각지대를 제거할 수 있게 한다.

▲아틀라스(Atlas: Questionnaire Automation): 아틀라스는 보안 설문 및 평가 프로세스를 자동화하여 제3자 협력사와 협업 효율성을 극대화하고 평가 결과를 체계적으로 관리하는 솔루션이다. 협력사가 제출한 답변을 시큐리티스코어카드의 실제 관측 데이터와 대조해 신뢰도를 검증하며, 각종 감사 및 규제 대응에 필요한 문서화 작업을 간소화해 컴플라이언스 준수 부담을 획기적으로 줄여준다.