유행은 돌고 돌아 다시 통합 솔루션의 전성기가 찾아왔다. 경제 불황이 이 유행을 부추기는 가장 큰 요인이다. 필요한 모든 것을 따로따로 구매하기에는 돈이 너무 많이 드니, 여러 개가 한 통에 들어가 있는 것에 눈을 돌리기 시작한 것이다.

[보안뉴스 문정후 기자] 경제 전망이 암울하다. 많은 기업들이 예산을 바짝 조이고 있으며, 어떻게 해서든 돈을 쓰지 않은 상태에서 최고의 효과를 내기 위해 아이디어를 짜내고 있다. 이런 극도의 효율을 추구하는 움직임에서 CISO만 예외가 될 수는 없다. 적은 예산으로 보다 강력한 보안을 꾀해야 하는데, 이 때문에 데이터 분류, 접근 관리, 리스크 탐지, 복구, 경보 등 다목적 도구들이 인기를 끄는 형국이다.


이는 단순히 구매할 솔루션의 수만 줄이기 위함이 아니다. 다목적 도구를 도입함으로써 인력도 줄일 수 있다. 10명으로 구성된 팀에 좋은 솔루션 하나 도입해서 6, 7명으로 줄인다면 장기적으로 예산에는 더 도움이 된다는 것이다. 보안 업체 넷엣리치(Netenrich)의 수석 위협 책임자인 존 밤베넥(John Bambenek)은 “2023년 CISO들 손에 쥐어질 예산에는 여러 가지 의미가 담겨져 있을 것”이라고 말한다. “어떤 예산은 그 의미가 ‘절약하라’가 될 수 있고, 어떤 곳에서는 ‘전략을 보다 가미하라’가 될 수 있습니다. 어느 쪽이든 전체 경제와 시장 상황도 고려해야 하는 건 마찬가지일 겁니다.”

하지만 밤베넥은 “이것이 그렇게까지 암울하거나 생경한 상황은 아니”라고 강조한다. “예산 걱정 없이 보안 업무를 해봤다는 CISO가 있을까요? CISO들은 항상 적은 것을 들고 많은 것을 해내야 했습니다. 경제 위기가 덮치면서 상황이 좀 더 까다로워질 수 있지만, 적어도 생전 처음 겪는 일은 아니라는 것이죠.”

하지만 다기능 통합 솔루션들이 영원히 보안 업계를 장악할 것은 아니다. “여러 기능을 한 가지 솔루션에 넣는다는 게 말처럼 쉬운 일이 아닙니다. 게다가 효과라는 측면에서 항상 정답인 것도 아니고요. 한 동안 다기능 종합 솔루션이 대세가 되더라도 특유의 단점들이 있어 얼마 지나지 않아 전문 솔루션 혹은 특수 솔루션들이 각광을 받는 시기가 옵니다. 그러다가 전문 솔루션이 너무 많아지면 다시 종합 솔루션이 치고 올라오죠. 지금은 여러 상황들이 겹쳐 종합 솔루션 쪽으로 선호도가 기우는 겁니다.”

예산, 솔루션과 사람 모두에게 영향을 줘
통합 접근 오케스트레이션 플랫폼 제공 업체 패스락(Pathlock)의 CEO 피유시 팬디(Piyush Pandey)는 “예산이 부족하다는 건 솔루션을 구매하는 것과 사람을 고용하는 것 모두에 영향을 줄 수밖에 없다”고 말한다. 그러면서 “하나로 되도록 많은 것을 해결할 수 있게 해 주는 솔루션들이 인기를 끄는 것이 당연한 일”이라고 설명한다. “통합 솔루션들의 가장 큰 장점은 비용 절감이니까요. 그러면서 시간, 돈, 인력을 필요한 곳에 보다 유연하게 집중시킬 수 있게 해 줍니다. 지금의 시기에 딱 필요한 게 그거죠.”

보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마이크 파킨(Mike Parkin)도 여기에 동의한다. “어느 산업 어느 기업이나 돈이 모자랄 수밖에 없는 때입니다. 아무리 현금을 많이 보유한 기업이더라도 최대한 예산을 아껴 써야 합니다. 그러면서도 보안은 강력해져야 하지요. 경제 위기라고 해커들이 공격에 덜 투자하는 게 아니거든요. 오히려 더 사나워지면 사나워졌죠. 이게 모든 기업들이 마주한 상황입니다. 그러니 가장 적은 돈으로 가장 많은 것을 할 수 있는 도구들을 모두가 찾을 수밖에 없습니다.”

보안, 백화점이 되다
파킨은 “백화점 같은 보안 플랫폼이 지금 시기에 딱 맞는 콘셉트”라고 짚는다. 그러나 새로운 보안 플랫폼의 고객이 된다는 건 그것 대로 추가 비용이 발생하는 일이다. 그러므로 비용 절감이 절박한 기업들에는 이것 역시 힘든 선택지가 된다. “그 동안 사용했던 모든 솔루션이나 서비스를 처분하고 새로운 플랫폼으로 옮기는 것에는 장점이 있습니다. 모든 기능의 호환성이 보장되고, 문제가 생겼을 때 한 군데에만 전화하면 된다는 게 바로 그것이죠. 하지만 당장 더 큰 돈을 써야 할 수도 있어 경제성이라는 측면에서는 고개가 갸웃거리게 됩니다.”

그래서 파킨은 “이미 가지고 있는 도구들을 통합해 주는 솔루션을 찾는 게 보다 실질적인 도움이 될 수 있다”고 조언한다. “여러 회사에서 나온 솔루션을 통합하여 관리하게 해 주는 오케스트레이션 도구들이 이미 시장에 있습니다. 한 회사에서 처음부터 단독 통합 솔루션을 만든 것과 비슷한 효과를 냅니다. 통합 과정에서 필요 없는 것들을 제할 수도 있습니다.”

하지만 하나로 모든 것을 합치는 게 능사는 아니라고 파킨은 경고한다. “일단 통합한다는 행위 자체에도 비용이 들어갈 수 있습니다. 적잖은 비용일 수 있어요. 또 통합 솔루션이라고 하더라도 강점과 특징이 다 다릅니다. 그러니 기업의 모든 필요를 다 충족시키는 솔루션이라는 게 의외로 찾기 힘듭니다. 필요를 채우면 속도나 안정성에서 부족함이 나타날 때도 많고요. 여러 가지를 하나로 모은 것이니 만큼 덩치도 크고 개성도 강해 궁합 맞추기가 쉽지 않습니다.”

밤베넥은 “심지어 한 기업에서 나온 통합 솔루션이라고 하더라도 호환성이나 기능의 유연성, 안정성이 완벽한 건 아니”라고 강조한다. “통합 솔루션이라고 하는 게 심도 깊은 고민과 개발의 과정을 거쳐 만들어지는 게 아닙니다. 단순히 M&A를 통해 필요한 벤더사의 기술을 사고 나서 그것을 기존 플랫폼이나 서비스에 이어 붙이는 게 끝이죠. 포장지만 보면 ‘통합 솔루션’ 같지만 그 속을 들여다 보면 그냥 이것 저것 꿰매 붙인 것의 결과물일 뿐입니다.”

팬디는 “이왕이면 같은 가격에 최대한 많은 일을 해 주는 솔루션을 찾는 게 올바른 전략인 건 맞다”는 입장이다. “모든 앱과 시스템을 다 보호할 수 없는 거라면 우선순위를 정해서 반드시 필요한 부분부터 보호할 수 있는 통합 솔루션을 찾아야 합니다. 덩치가 큰 기업들의 경우 각종 부서의 앱들은 서로 다른 팀에서 개발하고 사용하고 관리하는 게 보통입니다. 그러니 하나로 모든 것을 보호할 수 있는 해결책을 찾는 게 쉬운 일은 아닐 겁니다. 그러니 가장 먼저 보호해야 할 것들을 정해두고 솔루션을 찾는 게 빠를 수 있습니다.”

글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>