아쿠아, 'CNAPP' 하나로 클라우드 보안 잡는다
"클라우드 생태계는 포인트 솔루션 도입으로 하나하나 다 보안을 하기에는 인력이 너무 많이 들어갑니다. 가시성부터 워크로드까지 책임지는 'CNAPP' 하나의 단일 플랫폼으로 보안해야 합니다. 아쿠아시큐리티는 오직 클라우드 보안 하나에만 주력하고 있다는 점이 타사와 가장 차별화되는 점입니다." 아쿠아시큐리티의 공동 창업자이자 CTO인 아미르 저비는 3일 한국을 방문해 기자간담회를 열고, 클라우드 개발환경 전체를 단일 플랫폼으로 보호해주는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP) 활용방안을 소개했다. 아미르 저비 CTO는 "클라우드 보안 실패의 99%는 기업의 잘못된 보안 위험관리로 발생한다"며 클라우드 관련 인적 오류로 ▲보안 구성 오류 ▲오픈소스 사용 ▲인터넷에 노출돼 있는 애플리케이션 등 3가지를 꼽았다. 보안 설정에 오류가 있거나, 오픈 소스 안에 악성코드가 숨겨져 있다는 걸 개발자가 인지하지 못하거나 또는 식별되지 않은 제로데이 공격 등이 발생한다는 설명이다. 그는 "이에 대처하기 위해서는 기업기관의 개발자들은 소스코드 작성에서부터 개발도구, 빌드, 워크로드 런타임까지 전체 애플리케이션 생명주기에서 위험을 식별해야 한다"며 "하지만 대부분의 보안조직은 이러한 방대한 보안 업무 범위를 수행하기에는 적은 인력을 보유하고 있다"고 한계를 지적했다. 따라서 아미르 저비 CTO는 "자동화된 클라우드 네이티브 위험 관리 플랫폼이 필요하다"며 아쿠아 시큐리티의 CNAPP가 이를 해결할 수 있다고 말했다. 아쿠아 CNAPP 플랫폼은 클라우드 네이티브 애플리케이션을 보호하고, 클라우드 네이티브 공격을 차단하도록 설계된 아쿠아 시큐리티의 포괄적인 보안 툴이다. ▲클라우드 워크로드 보호 플랫폼(CWPP) ▲클라우드 보안 형상관리 플러스(CSPM+) ▲공급망 스캔 등 세 가지 기능을 합쳤다. CSPM+는 고객에게 가시성을 제공하며, 보안 구성만 점검하고 끝나는 것이 아닌 상관 관계 분석을 통해 고객 계정의 취약점, 멀웨어, 민감 데이터까지도 함께 점검하는 것이 특징이다. 아미르 저비 CTO는 "보통 고객들이 CSPM+, 공급망 스캔, CWPP 순으로 순차적으로 도입한다"며 "이를 CNAPP을 통해 같이 사용하면 시너지 효과를 낼 수 있다"고 말했다. 그는 향후 데이터 보안 형상 관리(DSPM)와 API 보안 등 다른 모듈도 추가해 플랫폼을 확장할 계획이라고 밝혔다. 이날 간담회에는 아쿠아시큐리티 이은옥 한국 지사장도 참석해, 지난해 성과와 올해 사업 목표를 밝혔다. 2021년 9월 아쿠아시큐리티는 한국 지사를 설립했다. 이 지사장은 "지난해 1200% 매출 성장률을 보였다"며 "올해는 국내 매출이 200% 이상 성장할 것으로 예상한다"고 말했다. 이 지사장은 지난해 금융과 엔터프라이즈 쪽 고객을 다수 확보했으며, 올해는 금융과 엔터프라이즈에 이어 공공 분야 쪽으로 확장해 클라우드 네이티브 보안 선두 주자로서 자리매김할 계획이라고 밝혔다. 이 지사장은 "현재 금융 고객사가 가장 가장 많고, 공공 쪽으로는 진행 중"이라며 "클라우드 이전 계획이 있고 실제 자사 제품을 PoC하는 회사의 프로젝트 등을 고려하면 100억 이상의 파이프라인이 있으며, 이커머스 분야 기업도 파이프라인에 있다"고 말했다. 이 지사장은 "자사 CNAPP는 국내 컴플라이언스 요건인 정보보호관리체계(ISMS-P)를 충족했으며, 금융보안원의 가이드도 지원해 금융권만의 고유한 컴플라이언스도 점검할 수 있다"며 "클라우드 보안 인증(CSAP)도 준비 중에 있다"고 밝혔다. 이어 "현재 국내 클라우드서비스제공기업(CSP)들과 파트너십을 준비 중이며, 유통파트너사(MSP)들과도 전략적 파트너십을 맺고 있다"고 말했다.