[IT비즈뉴스 최태우 기자] 이달 초 2020학년도 대학수학능력시험 성적발표를 앞두고 사건이 터졌다. 발표 며칠 전에 일부 수험생이 한국교육과정평가원 홈페이지에서 점수를 확인한 사건이다. 웹브라우저의 소스코드의 학년을 수정하는, 아주 단순한 방법으로도 뚫릴 정도로 허술한 보안관리가 문제됐다.

차세대 네트워크 인프라와 IT기술의 비약적인 발전으로 전세계 비즈니스 환경이 빠르게 전환되고 있다. 반도체 미세공정기술이 빠르게 고도화되면서 복잡하고 유기적으로 연결돼 있는 다양한 노드(디바이스) 간 연결 상태에서 폭증하고 있는 데이터의 수집-분석을 뒷받침할 수 있는 고성능 컴퓨팅파워를 구축할 수 있는 시대다.

기업 비즈니스에서 핵심 주체로 자리하고 있는 서비스, 애플리케이션을 구동하기 위한 소프트웨어(SW)의 안정성은 필수다. 개발 단에서의 보안, 안전성도 주목해야할 점이다. 독자적으로 운영돼 왔던 서비스 환경이 클라우드 환경으로 넘어가면서 발생 가능한, 다양한 보안취약점에 대한 선제적 대응이 필요한 상황이다.

파수닷컴의 보안사업부에서 지난해 별도법인으로 분사한 ‘스패로우(SPARROW)’는 사명과 같은 솔루션(SPARROW)을 관련 시장에 공급하고 있다. 시큐어코딩 제품군(SAST)과 웹 취약점 분석툴(DAST), 애플리케이션 자가방어 솔루션(RASP)을 앞에 내세웠다.

내세우는 강점은 툴의 정확성과 안전성이다. ISO26262, CC와 같은 인증을 획득했으며, 정확한 오탐률과 다양한 컴퓨팅언어·프레임워크를 지원하는 점, 각각의 프로젝트에 일괄적인 정책을 적요한 전사적품질정책 수립이 가능한 점을 꼽는다.

최근에는 데브옵스(DevOps)의 IT 개발-배포-운영 및 관리에 이르는 전체 사이클에서의 보안환경을 구현하는 데브섹옵스(DevSecOps) 구현을 위해 테스팅, 운영 단에서 모두 활용할 수 있는 통합 솔루션 공급을 목표로 하고 있다.

분사 2년 만에 시장성도 인정받았다. 정적분석 툴(SAST)의 경우 국내 시장점유율 1위를 차지하고 있다. 일본 대형 시스템통합(SI)업체인 배리서브(Veriserve)와는 초창기부터 협업을 추진하면서 자동차·금융시장에서 요구하는 솔루션을 앞세워 시장 확대를 타진 중이다.

- 아래는 장일수 스패로우 대표와의 일문일답 -

Q. 전반적인 올해 비즈니스 상황은 어땠나
A. 분사 4년 전부터 준비를 해왔다. 시큐어코딩 부문(SAST)의 경우 국내 점유율 1위를 지키고 있다. 올해도 사업 부문에서 다수 성장을 했으나, 전체 시장이 조금 침체돼 있다보니, 기대만큼은 조금 미치지 못했다. 점차 성장하고는 있으나 조금 더딘 편이어서, 제품군을 넓혀 다양한 부문에서의 매출확대를 추진하고 있다.

산업계 전반에서 보안이슈가 느는 만큼 이를 도입하고자 하는 기업들도 늘고 있다. 국내에서는 금융권·통신기업과 다양한 프로젝트를 추진하고 있다. 해외시장에도 집중하고 있다. 지난해 시큐어코딩 솔루션 하나만으로 기술력을 인정받았다. 매출성장을 견인할 수 있도록 제품 라인업을 늘렸다. 클라우드 기반의 통합 툴을 론칭한 상태로 다양한 시도 중이다.

Q. 법인설립과 함께 일본시장에 동시 진출을 했다
A. 현지 파트너사인 배리서브와 협업 중이다. 테스팅솔루션·시스템통합(SI) 전문기업으로 엔지니어를 포함, 약 800여명이 근무하고 있는 중견기업이다. 스패로우의 솔루션이 로컬에서 주목받은 이유는 정확한 오탐률을 제공하는 점이다. 보통의 상용 툴 대비 2배 이상 높은 OWASP의 벤치마크 점수가 이를 반증한다.

C/C++, Java, JSP, Objective-C, PHP와 같은 다양한 컴퓨팅언어, 다양한 표준을 지원하면서 국제안전인증규격도 준수한다. 국제표준을 준수하면서 높은 안정성을 보장하는 기술이 핵심 경쟁력이다. 배리서브와는 제조강국인 지역 특성 상 자동차·제조기업과 금융권을 대상으로 드라이브하고 있다.

Q. 클라우드 기반 보안 서비스 시장은 어떻게 보나
A. 서비스와 개발 환경이 빠르게 클라우드로 전환되는 만큼 시장성도 커질 것으로 본다. 물리적인 가시성을 띄지 않는 ‘보안’은 기업의 입장에서 어려운 부분이다. 다양한 솔루션을 사용해야 하는 경우도 있고 중복되는 경우도 있다. 유지관리도 쉽지 않다. 비용적인 부분도 만만치 않다.

서비스형 보안(SECaaS)은 여기에 최적화된 모델이다. 비용적인 효율성도 있고, 시장환경·기술적인 니즈에 빠르게 대응할 수 있다. 보안을 위한 데이터베이스(DB)도 즉각 업데이트되기 때문에 보안정책에서 일관성을 유지할 수 있다. 기존(온프레미스) 시장영역이 아직은 더 크지만, 점차 성장할 것으로 본다.

스패로우의 툴(SAST/DAST/RASP) 모두 SECaaS로 구축해 놓은 상태다. 자체 서비스 외에도 클라우드서비스기업과 협업하면서 확대를 꾀하고 있다.

단편적인 클라우드 서비스 제공을 넘어서 개발-테스팅-운영 단에서 모두 사용할 수 있는 툴을 제공하는 것이 목표다. 사용자환경도 개선하면서 편의성을 높이는 것도 중요하다. SW에 대한 보안, 동적/정적테스팅을 동시에 진행하면서 인사이트(리포트)를 제시할 수 있는 기술·환경 개선에도 집중하고 있다. 오픈소스 도입이 확대되면서 발생 가능한 이슈에도 적절히 대응하고 있다.

Q. 스패로우가 시장에서 어떤 가치를 줄 수 있다고 생각하나
A. 거대 서비스를 제공하기 위해서 개발 단에서 적용까지 한 번에 이뤄지는 데브옵스(DevOps) 환경에 최적화된 보안 솔루션을 제공하는 것이다. 완벽한 데브섹옵스(DevSecOps)를 구현을 목표로 하는, 최적화 기술을 제공한다는 게 맞는 표현일 게다.

업무 프로세스에서의 시큐어코딩 솔루션을 제공하고, 인공지능(AI)을 활용해 보안 취약점에 대한 검출력을 높이면서 자동화를 지원하고, 중복되지 않고 최적화된 보안 기술을 적재적소에서 제공하는 것이 목표다.

국내에서도 관련 시장이 성장하고 있는 만큼 이에 발을 맞추고 클라우드가 활성화돼 있는 해외시장에서 요구하는 이슈에 적절히 대응하고자 한다. 내년에는 제품군 몇 개를 추가로 확보하면서 30%대의 성장률을 이어갈 계획이다. 내후년 목표로 하고 있는 기업공개(IPO)도 차질없이 진행될 것으로 본다.