피앤피시큐어, ‘무자각 지속 인증’ 차세대 제로트러스트로 보안 패러다임 변화 주도

박천오 피앤피시큐어 대표가 22일 마곡 본사에서 열린 간담회에서 발표하고 있다.(피앤피시큐어)

우먼타임스 = 김태형 기자

피앤피시큐어는 22일 하반기 기자간담회를 열고 ‘무자각 지속 인증(implicit Continuous Authentication)’을 통한 제로트러스트 보안 패러다임의 변화를 주도하겠다고 밝혔다.

이날 간담회에서 박천오 피앤피시큐어 대표는 “강력한 보안 모델인 제로트러스트의 중요성이 최근 다시 조명되면서 피앤피시큐어가 가진 기반 기술을 통해 어떻게 제로트러스트 환경을 구현할 수 있을지 고민했다”며 “실시간 안면인증 보안 솔루션 ‘FaceLocker’의 Vision AI 기술로 사용자에 대한 지속적인 본인 검증이 가능하다”고 설명했다.

이어 그는 “이를 통해 번거로운 인증 절차 없이 화면을 바라보는 것만으로 기기를 조작하고 있는 사람이 실제 인가자인지 지속적으로 검증하여 제로트러스트 보안을 구현한다”고 덧붙였다.

피앤피시큐어의 올해 계획은 △Unified-IAM(통합 접근제어 및 계정관리) 확산 △클라우드 사업 성장 △FaceLocker(실시간 안면인식 보안 솔루션) 사업 활성화 △INFOSAFER V5.0(개인정보 접속기록 관리 솔루션) 정식 출시 △해외진출 역량 강화다.

‘Unified-IAM’은 피앤피시큐어에서 제안하는 통합 접근제어 및 계정관리 솔루션이다. 고객 환경에 맞춰 DBSAFER DB(DB 접근제어), DBSAFER AM(시스템 접근제어), DBSAFER OS(서버 접근제어), DBSAFER IM(통합 계정관리) 제품 중 2개 이상 솔루션을 연계하여 제안하는 통합보안 전략이기도 하다.

H자동차그룹 통합 접근제어 솔루션 국내 표준화 도입에 이어 해외 사업장에 글로벌 스탠다드 도입 등 대규모 프로젝트를 꾸준히 수주하며 선도적인 성과를 거두고 있다. 또 DBSAFER의 대규모 서버 지원, 무중단 패치 기능을 제공하는 등 지속적인 제품 고도화를 진행했다고 회사 측은 밝혔다.

‘통합 접근제어’라는 개념을 보안 시장에 안착시킨 박 대표는 “기존 접근제어 제품군 외에도 다양한 컴플라이언스 기준을 충족하기 위해 제품 구성을 다양화하고 있다”며 “금융권의 전자금융 감독규정 강화에 발 맞추어 ‘DBSAFER DMS(전산원장 관리 솔루션)’을 ‘Unified-IAM’ 구성에 포함시켰다”고 말했다.

DBSAFER DMS(전산원장 관리 솔루션)은 기존 윈도우 C/S 방식에서 웹 지원 방식으로 전환해 OS 제약을 극복했으며 하반기 정식 출시 예정이다.

피앤피시큐어의 클라우드 사업 또한 성장세를 보이며 2022년 동기간 대비 고객 수가 74% 이상 확대됐다. 특히 공공 클라우드 전환 시범사업에서 다수의 지자체 공공기관 클라우드 전환 사업에 통합 접근제어 솔루션을 공급하는 등 2023년 클라우드 전환 사업에 전략적으로 대응하고 있다.

피앤피시큐어 대표 제품인 DBSAFER의 SaaS(서비스형소프트웨어) 전환도 박차를 가하고 있다. 이에 대해 박 대표는 “국내외 Top CSP와의 협업을 통해 SaaS 전환 사업을 진행하고 있다”고 밝혔다.

실시간 안면인증 보안 솔루션 ‘FaceLocker’는 작년 대형은행 안면인증 프로세스 구축 사업 수주 이후 안정화가 진행 중이다. 박 대표는 “은행 외에도 대형 증권사의 안면인증 솔루션 도입 프로젝트를 수주했다. 최초 도입 검토 당시에는 고객사에서 인증 기능에 중점을 두었으나 제품 시연 후 기능과 성능을 인정받아 내부정보 유출 방지 기능을 추가 구축했다”고 말했다.

개인정보 접속기록 관리 솔루션 ‘INFOSAFER V5.0’도 지난 5월 정식 출시 후 유의미한 성과를 거두고 있다. 현재 10개 이상 프로젝트를 진행 중이며 검출 정책 및 정보 주체 분석 강화, 빅데이터 분석 등 기능 고도화가 완료됐다고 회사 측은 밝혔다.

피앤피시큐어의 하반기 전략에 대해 박 대표는 “제로트러스트 업무환경을 구현하기 위해서 기존 신뢰영역으로 간주되던 의도·시간·공간에 대한 믿음을 제거해야 한다. 사용자의 모든 작업은 선한 의도와 실수 없을 것이라는 믿음, 인증 유효 시간 내에는 인가자만이 단말을 조작할 것이라는 믿음, 업무 공간은 보안 위협으로부터 안전할 것이라는 믿음을 제거하고 의심하는 방안이 필요하다”고 말했다.

이를 위해 피앤피시큐어는 ‘FaceLocker’의 Vision AI 기술을 통한 ‘무자각 지속 인증(implicit Continuous Authentication)’ 솔루션을 제안했다. 제로트러스트 환경에서의 검증은 최초 한 번만 진행되는 것이 아닌 지속적 검증이 핵심이다. 하지만 이는 사용자의 불편과 생산성의 저하 문제를 수반하게 되므로, 인증을 위한 별도의 행위 없이 지속적인 인증을 수행할 수 있도록 ‘안면인증’과 ‘객체탐지’ 기능을 공급한다.

기존 보안 환경에서의 △사용자 의도 △시간 △공간 등의 세 가지 믿음(Trust)을 제거함으로써 제로트러스트의 원칙 ‘절대 신뢰하지 말고 항상 검증하라’ 를 달성할 수 있다는 것이다.

기존 DRM, DLP 등을 이용해 문서 유출을 방지하더라도 화면 이미지의 유출은 막을 수 없는 문제가 있었다. 피앤피시큐어는 ‘FaceLocker’는 객체탐지 기술을 이용해 카메라, 휴대전화 등으로 화면을 차단하는 것을 감지해 차단하고 촬영하는 행위를 이미지 로그로 저장하여 사용자가 고의로 정보를 유출하는 보안 사고를 예방할 수 있다.

‘FaceLocker’는 사용자가 제자리에 있는지 지속적으로 확인하여 이석 감지 시 즉각적으로 화면과 키보드 마우스 등의 입력을 차단한다. 다시 사용자가 되돌아오면 안면인증을 통해 인가자 여부를 확인하여 업무를 재개할 수 있다. 이를 통해 최초 인증 후 사용자 부재/이석으로 인한 시간의 공백에서 발생할 수 있는 정보 유출을 차단한다.

공간화면이 보이는 영역에 제3자의 얼굴이 감지되면 즉시 화면을 차단한다. 이를 통해 전통적인 ‘Visual Hacking’ 공격인 ‘Shoulder Surfing Attack’을 방어할 수 있고 인가자가 임의로 제3자에게 화면을 공유하는 행위 또한 방지할 수 있다.

피앤피시큐어의 제로트러스트 프레임워크(ZeroTrust Framework)

피앤피시큐어는 ‘무자각 지속 인증’을 통한 차세대 제로트러스트 접근제어를 제시한다고 밝혔다. DB, 시스템 접근제어 솔루션인 ‘DBSAFER DB’, ‘DBSAFER AM’ 제품에 안면인증 모듈을 적용해 작업별 ‘무자각 지속 인증’ 프로세스를 통해 사용자의 불편함을 유발하지 않으면서도 지속적인 검증을 수행하는 제로트러스트 접근제어를 제공한다.

DB와 시스템 영역에서 정보를 처리하는 보안 담당자는 민감한 정보들을 다루기 때문에 그에 상응하는 보안대책이 필요하다. 기존 ID/PW를 통한 인증 절차는 실제 접속자가 인가자인지 여부를 판단할 수 없는 한계가 존재한다.

또한, 중요/금지 명령어 실행 시 재인증 절차가 마련되어 있지 않아 제 3자의 접속 및 기기 조작에 의한 보안 사고가 발생할 수 있다. 이에 대해 박 대표는 “차세대 제로트러스트 접근제어 솔루션은 계정, OTP 장치에 접근 권한을 부여하는 것이 아니라 안면인증을 통해 실제 인가자에게 권한을 부여한다. 중요 명령어 실행 시에도 인가자가 여부를 검증해 접속과 조작 일련의 과정에서 보안사고 가능성을 차단할 수 있다”고 설명했다.

한편 피앤피시큐어는 공공 클라우드 전환사업에 Unified-IAM(통합 접근제어 및 계정관리) 제안을 확대하며 최근 금융권 프라이빗 클라우드 전환에 대해 ‘KB 원 클라우드 사업’ 등 금융 대형 클라우드 사업을 수주했고 추가 사업에도 전략적으로 대응하겠다고 밝혔다.