글로벌 보안 시장에서 SaaS 보안은 이미 전략적 요충지가 됐다. 거물급 보안 업체들이 SaaS 보안을 지원하는 서비스들을 쏟아내고 있다.

이런 가운데 서도 SaaS 보안을 주특기로 하는 스타트업들은 계속 나오고 있다. 일부는 기존 보안 업체들과 다른 접근법으로 SaaS 보안과 관련한 문제를 해결하려 하고 있어 눈길을 끈다.

런던 소재  푸시 시큐리티(Push Security)도 SaaS 보안을 앞세운 스타트업들 중 하나. 최근 구글 벤처 투자 자회사인 GV 주도 아래 1500만달러 시리즈 A 투자를 유치했다.

[푸시 시큐리티 서비스 화면]

원천봉쇄보단 제안 통한 사용자 행동 변화 유도

푸시 시큐리티는 온라인 활동과 앱 사용을 차단하는 것이 아니라 사용자가 웹 기반 앱들에서 잘못된 선택을 할 때 이를 모니터링하고 문제를 해결하는 방법을 보여주는데 초점을 맞추고 있다. 무조건 차단하는 것이 능사는 아니라는 것이다.

푸시 시큐리티에 따르면 회사 보안 정책이 아무리 강하고 방화벽, 엔드포인트 솔루션 등에 많은 투자를 했더라도 잘못된 비밀번호 선택, 무심코 클릭한 수상한 링크, 공유해서는 안 되는 내용을 무의식적으로 공유하는 등 사람 행동들이 언제든 치명적인 구멍이 될 수 있다.

그런 만큼 SaaS 보안에 대한 푸시 시큐리티 접근은 사람들마다 제2의 천성이라할 특정 행동들이 있다는 것을 인정하는 것으로 시작한다. IT 부서에서 설정해 놓은 도구들이 아니라고 해도 업무에 효율적이라면 사용자들은 웹 기반 앱들을 회사에서 쓰게 된다는 것을 대세로 받아 들이고 보안을 대하는 것이 현실적일 수 있다는 얘기다. 코로나 19 상황 속에 원격 근무가 늘고 다양한 B2B SaaS들이 기업을 빠르게 파고든 상황을 고려하면 특히 그렇다.

푸시 시큐리티 서비스 작동 방식은 다음과 같이 요약된다. 푸시 시큐리티는 사용자가 앱을 어떻게 쓰는지 살펴보면서 추측하기 쉬운 비밀번호을 설정하는 것 등 보안 측면에서 위험하게 행동을 발견하면 해당 직원들에게 자동으로 제안을 보내 준다. 보안 및 IT 팀에도 사용자 활동에 대한 요약을 푸시로 제공한다. 앱 자체에 보안 문제가 있다고 판단될 경우 대시보드에 추가해  관련 팀들이 모니터링하고 위험하면 아예 차단할 수 있도록 지원한다. 누군가 업무용이 아닌 이메일을 사용해 업무용 앱에 가입하려 해도 역시 표시가 된다.

푸시 시큐리티는 모바일이 아닌 데스크톱과 노트북에서만 작동하도록 설계됐다. 모바일 디바이스 관리는 이미 보안이 잘 이뤄지고 있다는 이유에서다.

회사 측에 따르면 푸시 시큐리티 서비스는 지난해 7월 출시 이후 수백여 팀들에 의해 사용되고 있다. 사용자수는 5만명 수준이다. 

[사진: 푸시 시큐리티 웹사이트]

SaaS 확산 막을 수 없다...현실 감안한 보안 필요

SaaS에 대한 푸시 시큐리티 접근은  사용자들 활동 자체를 막지 않고 보다 나은 행동으로 이어질 수 있는 제안들을 푸시로 알려주는 것이 핵심이다. 이번 투자를 주도한 GV도 푸시 시큐리티가 직원들 참여를 유도하고 중앙 집중식 IT 부담을 덜어주면서도 기업 내에서 빠르게 확산되는 SaaS를 효과적으로 관리할 수 있다는 점을 높게 평가했다. 

암호 관리, 앱 관리, 데스크톱 관리, 방화벽, 블랙리스트 및 화이트리스트 등을 제공하는 수백 개 회사들이 시장에 나와 있는 가운데, 사람들이 하던 대로 계속 일할 수 있게 해주는 보안 도구들에 대한 투자자들 관심이 크다는 것을 보여주는 것이어서 주목된다.

SaaS 확산은 이미 대세론을 탔다. 보안에 대한 우려를 이유로 SaaS 사용을 막는 것은 생산성 측면에서 잃을게 너무 많은 전술이다. 푸시 시큐리티처럼 SaaS 보안에 접근 하는 방식도 SaaS가 보편적으로 쓰이는 상황을 염두에 둔 것이 현실적이다. 사용성에 과도하게 악영향을 미칠 경우 이론적으로는 통할지 몰라도 현실에선 먹혀들기 어려울 수 있다.