사이버보안의 미래는 스타트업에 달려있다...대기업들의 기존 패러다임 한계 드러나

애플리케이션 계층으로 이동한 보안 전장에서 스타트업이 새로운 해법 제시

[한국정보기술신문] 사이버보안 업계에서 패러다임의 대전환이 일어나고 있다. 수십 년간 보안 업계를 지배해온 대기업들의 접근법이 한계를 드러내는 가운데, 스타트업들이 새로운 보안 생태계의 주역으로 떠오르고 있다.

벤처캐피털 NFX가 최근 발표한 보고서에 따르면, 기존 사이버보안 업계의 핵심 가정이 무너지고 있다. 지난 수십 년간 기업들은 운영체제 주변에 방화벽, 백신 소프트웨어, 엔드포인트 탐지 도구 등의 보안 체계를 구축해왔다. 운영체제를 통제하면 보안을 확보할 수 있다는 단순한 가정 하에서였다.

애플리케이션 계층으로 이동한 보안 전장

하지만 현재 보안 전장은 운영체제에서 애플리케이션 계층으로 완전히 이동했다. 소프트웨어가 지속적으로 업데이트되는 유동적 생태계로 변화하면서, 기존의 보안 접근법으로는 대응이 불가능한 새로운 공격 표면이 생겨났다.

이러한 변화의 배경에는 소프트웨어 개발 패턴의 근본적 변화가 있다. 1980년대 초반 소프트웨어는 대부분 온프레미스 환경에서 단독으로 실행됐다. 당시 가장 큰 위협은 플로피디스크를 통해 확산되는 바이러스였다.

1990년대 인터넷이 보급되면서 네트워크 자체가 취약점이 됐다. 1988년 MIT에서 버클리까지 며칠 만에 수천 대의 컴퓨터를 감염시킨 모리스 웜은 네트워크 연결이 공격 표면을 기하급수적으로 확대시킨다는 사실을 입증했다.

스타트업의 새로운 기회

2000년대 클라우드 컴퓨팅의 등장으로 이런 패턴이 가속화됐다. 애플리케이션이 DevOps를 통해 빠르게 개발되고 실시간으로 수정되면서, 데이터와 워크로드가 전 세계 가상 서버에 분산됐다. 이때부터 운영체제 보호만으로는 충분하지 않게 됐고, 코드 자체에 보안을 구축하는 DevSecOps가 등장했다.

현재는 애플리케이션 계층이 새로운 보안 전장이 됐다. 애플리케이션은 코드 패키지, 플러그인, 확장 프로그램, AI 모델, 업데이트의 전체 생태계로 구성되며, 기업들은 조직에 어떤 소프트웨어가 들어오는지에 대한 가시성이나 통제력이 거의 없다.

Koi의 성공 사례

이런 변화를 일찍 포착한 기업 중 하나가 Koi다. 창립자 아미트 아사라프는 기존 보안 시스템이 이런 변화를 인식하지 못하고 있다는 점을 간파했다. 그는 이를 증명하기 위해 가짜 VSCode 테마 확장 프로그램을 만들어 일주일 만에 국가 법원 네트워크를 포함한 300개 이상의 조직을 감염시켰다.

NFX는 Koi가 사이버보안 업계의 핵심 패턴을 보여준다고 평가했다. 소프트웨어의 지속적 진화가 새로운 위협을 만들어내고, 이것이 스타트업들에게는 소프트웨어의 새로운 수호자 역할을 할 기회를 제공한다는 것이다.

Koi는 출시 후 Wiz, Snyk, Vanta, Figma, Loom보다 빠르게 연간 반복 수익 100만 달러를 달성했다. 이는 이 분야에서 진정한 솔루션에 대한 수요가 얼마나 큰지를 보여준다.

대기업의 한계와 스타트업의 장점

전장이 바뀔 때 기존 대기업들의 장점은 오히려 부담이 된다. 규모, 기존 고객 기반, 기존 아키텍처가 모두 구 패러다임에 발목을 잡는 요소가 되기 때문이다.

반면 스타트업들은 새로운 패러다임에 맞춰 처음부터 구축할 수 있고, 레거시 시스템에 얽매이지 않으며, 빠르게 방향을 전환할 수 있다는 장점이 있다.

사이버보안에서 구 패러다임에 고착되는 것은 치명적이다. 이는 스타트업에게는 좋은 소식인데, 이 분야의 기존 업체들이 다른 산업보다 더 취약하기 때문이다.

지난 5년간 수십 개의 새로운 사이버보안 회사들이 10억 달러 규모의 기업으로 성장했다. 사이버보안에서 유일한 상수는 변화이며, 스타트업이라면 이것이 오히려 유리하게 작용한다는 것이 업계의 평가다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org