기기나 사람들이 네트워크나 시스템에 들어올 때 아예 믿지 않고 수시로 체크할 걸 체크하는, 제로 트러스트 패러다임을 향한 보안 업체들 움직임이 빨라졌다.
글로벌 보안 시장의 경우 이미 제로 트러스트 중심으로 판이 재편되고 있고 최근에는 국내 보안 업체들 사이에서도 제로 트러스트에 대한 관심이 높아졌다.제로 트러스트 개념을 적용한 솔루션을 내놨다고 발표하거나 제로 트러스트를 중심으로 업체들이 전략적 제휴를 했다는 소식도 심심치 않게 볼 수 있다.
제로 트러스트는 보안 비즈니스 모델 측면에서도 흥미로운 관전포인트다.
제로 트러스트에 대한 메시지들을 접하다 보면 보안 시장은 이제 제품을 파는 것에서 서비스 플랫폼을 제공하는 것으로 비즈니스 모델에 거대한 전환이 일어나고 있음을 체감하게 된다. 사용자 입장에서 보면 제품을 소유하는 것에서 서비스를 구독하는 것이다.
[사진: Pixabay]
서비스 플랫폼 역량이 중요해지고 있다
최근 나오는 제로 트러스트 보안 제품들을 대부분 구독형 모델에 기반한 B2B SaaS 플랫폼이다. 서비스형 보안(Security as a service, SECaaS) 플랫폼 전략이다.
클라우드를 활용한 SECaaS는 AWS나 마이크로소프트 애저 같은 퍼블릭 클라우드 서비스가 운영하는 소프트웨어 마켓플레이스에 솔루션을 올려 놓는 것과는 성격이 좀 다르다. 이들 마켓플레이스에 솔루션을 올리는 것만으로 SECaaS 플랫폼을 운영한다고 보기는 무리가 있다.
SECaaS는 여러 곳에 인프라 거점인 엣지(Edge) 네트워크를 운영하면서 이를 통해 고객사에 보안을 서비스로 제공하는 것이 중요하다. 기존에는 보안 어플라이언스 제품을 회사 시스템 근처에 두고 네트워크나 시스템들에 대한 접근을 관리했다면 SECaaS 환경에선 시스템 근처에 설치된 어플라이언스가 아니라 원격지에 있는 SECaaS 플랫폼을 거쳐 보안을 체크하도록 하는 것이 골자다.
이를 감안하면 SECaaS는 직원들이 분산된 곳에서 업무를 하는 환경에 적합한 방식이라고 할 수 있다. 요즘은 인터넷 속도가 빨라 고객사 트래픽을 원격지에서 커버하는 것에 큰 어려움은 없다. 웹서버는 부산에 있어도 웹방화벽은 서울에 두고 처리할 수 있다. 이 과정에서 SECaaS 플랫폼 회사가 제공하는 서비스를 구독 방식으로 이용하게 된다.
현재 시점에서 SECaaS에 중요한 건 저렴한 가격이 아니라 믿고 구독할 수 있을 지에 대한 신뢰일 것이다. 시장이 초반 레이스인 지금은 특히 그렇다.
신뢰는 그냥 얻을 수 있는 성격의 것이 아니다. 구독하는 쪽에서 보안 제품을 소유하지 않고도 쓸만 하다는 판단을 내릴 수 있도록 하려면 SECaaS 플랫폼 회사들이 높은 기술과 서비스 운영 역량을 보여주는 것이 먼저다.
이건 상당한 투자를 수반하는 일이다. 대형 테크 및 보안 기업들이 제로 트러스트 패러다임을 주도하고 제로 트러스트를 주특기로 하는 보안 스타트업들에 대한 투자가 활발한 것도 이와 무관치 않을 것이다.
제로 트러스트 시대, 보안 업계 판세가 달라지고 있다
공급자 입장에서야 수요가 먼저 나오고 거기에 맞춰 투자를 하는 것이 좋은 일이겠지만 제로 트러스트 보안 시장은 아직 그런 단계는 아니다.
다수 업체들은 먼저 투자해 신뢰할 수 있는 인프라 역량을 갖추고 수요를 찾아 나선 상황이다. 다수 업체가 이익을 올리기 보다는 판을 키우는데 집중하고 있다.
수요 측면에서 한국은 제로 트러스트 보안에 유리하다고 보기는 더욱 어려운 곳이다. 국내 시장은 클라우드 기반 보안 서비스 플랫폼이 아직 주류라고 보기는 어렵다. 여전히 설치형 제품이 대세다. 스타트업들이나 클라우드 기반 인프라를 많이 쓰는 인터넷 업체들이 SECaaS 방식으로 보안을 쓰는데 그래도 개방적이지만 시장 전체적으로 보면 설치형 보안 제품 강세가 두드러진다.
기업들이 돈을 쓰는 프로세스도 제로 트러스트와 많지 않은 부분이 여전하다. 국내 기업들 대부분은 구매 예산을 집행하는 관행에 익숙해져 있다. 구독 비용을 지출하는 것에 준비돼 있는 경우는 많지 않다. 내부에서 개발한 앱을 운영하는 회사들의 경우 구독 기반 제로 트러스트 보안을 받아들이는 것은 아직 무리라는 얘기도 많이 들린다.
퍼블릭 클라우드 인프라와 B2B SaaS가 확산되면서 구독 기반 제로 트러스트 보안이 파고들 수 있는 공간도 점점 넓어지겠지만 카펙스(CapEx: 자본적 지출)가 낮아지고 오펙스(OpEX: 운영 비용) 비중이 커지기까지는 그래도 시간이 필요해 보인다.
이런 상황을 감안하면 제품에 주력하는 국내 보안 업체들이 제로 트러스트와 SECaaS에 공격적으로 투자를 하는 것은 부담일 수 있다. 그렇다고 잠재력이 커지는 제로 트러스트와 SECaaS를 나몰라라 할 수도 없는 노릇이다. 이런 가운데서도 자금력을 갖춘 글로벌 기업들은 제로 트러스트 보안에 대한 투자를 계속해서 확대하면서 글로벌 마케팅을 강화하고 있는 상황이다.
이를 지켜보고 있으니, 제로 트러스트로의 전환은 제품에 익숙해져 있는 국내 보안 업체들에게 이전보다 진입 장벽이 높은 비즈니스 환경이 될 것이란 생각도 든다. 패러다임이 바뀔 때는 기업들 처지도 달라질 때가 많다. 뜨는 곳들이 있으면 지는 곳들도 있게 마련이다. 보안도 여기에서 자유롭지는 않을 것이다. 제로 트러스트로의 패러다임 변화 속에 보안 업계 판세에 어떻게 변화해 나갈까? 그리 머지 않은 시간에, 디테일을 어느 정도 확인할 수 있을 것 같다.
#제로트러스트 #SECaaS #네트워크보안 #보안비즈니스모델 #구독경제 #클라우드 #B2BSaaS
기기나 사람들이 네트워크나 시스템에 들어올 때 아예 믿지 않고 수시로 체크할 걸 체크하는, 제로 트러스트 패러다임을 향한 보안 업체들 움직임이 빨라졌다.
글로벌 보안 시장의 경우 이미 제로 트러스트 중심으로 판이 재편되고 있고 최근에는 국내 보안 업체들 사이에서도 제로 트러스트에 대한 관심이 높아졌다.제로 트러스트 개념을 적용한 솔루션을 내놨다고 발표하거나 제로 트러스트를 중심으로 업체들이 전략적 제휴를 했다는 소식도 심심치 않게 볼 수 있다.
제로 트러스트는 보안 비즈니스 모델 측면에서도 흥미로운 관전포인트다.
제로 트러스트에 대한 메시지들을 접하다 보면 보안 시장은 이제 제품을 파는 것에서 서비스 플랫폼을 제공하는 것으로 비즈니스 모델에 거대한 전환이 일어나고 있음을 체감하게 된다. 사용자 입장에서 보면 제품을 소유하는 것에서 서비스를 구독하는 것이다.
[사진: Pixabay]
서비스 플랫폼 역량이 중요해지고 있다
최근 나오는 제로 트러스트 보안 제품들을 대부분 구독형 모델에 기반한 B2B SaaS 플랫폼이다. 서비스형 보안(Security as a service, SECaaS) 플랫폼 전략이다.
클라우드를 활용한 SECaaS는 AWS나 마이크로소프트 애저 같은 퍼블릭 클라우드 서비스가 운영하는 소프트웨어 마켓플레이스에 솔루션을 올려 놓는 것과는 성격이 좀 다르다. 이들 마켓플레이스에 솔루션을 올리는 것만으로 SECaaS 플랫폼을 운영한다고 보기는 무리가 있다.
SECaaS는 여러 곳에 인프라 거점인 엣지(Edge) 네트워크를 운영하면서 이를 통해 고객사에 보안을 서비스로 제공하는 것이 중요하다. 기존에는 보안 어플라이언스 제품을 회사 시스템 근처에 두고 네트워크나 시스템들에 대한 접근을 관리했다면 SECaaS 환경에선 시스템 근처에 설치된 어플라이언스가 아니라 원격지에 있는 SECaaS 플랫폼을 거쳐 보안을 체크하도록 하는 것이 골자다.
이를 감안하면 SECaaS는 직원들이 분산된 곳에서 업무를 하는 환경에 적합한 방식이라고 할 수 있다. 요즘은 인터넷 속도가 빨라 고객사 트래픽을 원격지에서 커버하는 것에 큰 어려움은 없다. 웹서버는 부산에 있어도 웹방화벽은 서울에 두고 처리할 수 있다. 이 과정에서 SECaaS 플랫폼 회사가 제공하는 서비스를 구독 방식으로 이용하게 된다.
현재 시점에서 SECaaS에 중요한 건 저렴한 가격이 아니라 믿고 구독할 수 있을 지에 대한 신뢰일 것이다. 시장이 초반 레이스인 지금은 특히 그렇다.
신뢰는 그냥 얻을 수 있는 성격의 것이 아니다. 구독하는 쪽에서 보안 제품을 소유하지 않고도 쓸만 하다는 판단을 내릴 수 있도록 하려면 SECaaS 플랫폼 회사들이 높은 기술과 서비스 운영 역량을 보여주는 것이 먼저다.
이건 상당한 투자를 수반하는 일이다. 대형 테크 및 보안 기업들이 제로 트러스트 패러다임을 주도하고 제로 트러스트를 주특기로 하는 보안 스타트업들에 대한 투자가 활발한 것도 이와 무관치 않을 것이다.
제로 트러스트 시대, 보안 업계 판세가 달라지고 있다
공급자 입장에서야 수요가 먼저 나오고 거기에 맞춰 투자를 하는 것이 좋은 일이겠지만 제로 트러스트 보안 시장은 아직 그런 단계는 아니다.
다수 업체들은 먼저 투자해 신뢰할 수 있는 인프라 역량을 갖추고 수요를 찾아 나선 상황이다. 다수 업체가 이익을 올리기 보다는 판을 키우는데 집중하고 있다.
수요 측면에서 한국은 제로 트러스트 보안에 유리하다고 보기는 더욱 어려운 곳이다. 국내 시장은 클라우드 기반 보안 서비스 플랫폼이 아직 주류라고 보기는 어렵다. 여전히 설치형 제품이 대세다. 스타트업들이나 클라우드 기반 인프라를 많이 쓰는 인터넷 업체들이 SECaaS 방식으로 보안을 쓰는데 그래도 개방적이지만 시장 전체적으로 보면 설치형 보안 제품 강세가 두드러진다.
기업들이 돈을 쓰는 프로세스도 제로 트러스트와 많지 않은 부분이 여전하다. 국내 기업들 대부분은 구매 예산을 집행하는 관행에 익숙해져 있다. 구독 비용을 지출하는 것에 준비돼 있는 경우는 많지 않다. 내부에서 개발한 앱을 운영하는 회사들의 경우 구독 기반 제로 트러스트 보안을 받아들이는 것은 아직 무리라는 얘기도 많이 들린다.
퍼블릭 클라우드 인프라와 B2B SaaS가 확산되면서 구독 기반 제로 트러스트 보안이 파고들 수 있는 공간도 점점 넓어지겠지만 카펙스(CapEx: 자본적 지출)가 낮아지고 오펙스(OpEX: 운영 비용) 비중이 커지기까지는 그래도 시간이 필요해 보인다.
이런 상황을 감안하면 제품에 주력하는 국내 보안 업체들이 제로 트러스트와 SECaaS에 공격적으로 투자를 하는 것은 부담일 수 있다. 그렇다고 잠재력이 커지는 제로 트러스트와 SECaaS를 나몰라라 할 수도 없는 노릇이다. 이런 가운데서도 자금력을 갖춘 글로벌 기업들은 제로 트러스트 보안에 대한 투자를 계속해서 확대하면서 글로벌 마케팅을 강화하고 있는 상황이다.
이를 지켜보고 있으니, 제로 트러스트로의 전환은 제품에 익숙해져 있는 국내 보안 업체들에게 이전보다 진입 장벽이 높은 비즈니스 환경이 될 것이란 생각도 든다. 패러다임이 바뀔 때는 기업들 처지도 달라질 때가 많다. 뜨는 곳들이 있으면 지는 곳들도 있게 마련이다. 보안도 여기에서 자유롭지는 않을 것이다. 제로 트러스트로의 패러다임 변화 속에 보안 업계 판세에 어떻게 변화해 나갈까? 그리 머지 않은 시간에, 디테일을 어느 정도 확인할 수 있을 것 같다.
#제로트러스트 #SECaaS #네트워크보안 #보안비즈니스모델 #구독경제 #클라우드 #B2BSaaS