판은 커지는데 길은 좁아지고...벤처캐피탈도 마르기 시작
신기술 모색하는 전통의 강자들과 보안으로 구매력 높이려는 업체들
▲ 판은 큰데 길은 좁아지고...
[보안뉴스 문가용 기자] 지난 몇 년 간 해외의 정보보안 시장은 꽤나 급한 성장을 이뤄왔다. 냉전이 종식된 후 잊혔던 그 쫄깃한 국제정세의 긴장감이 되살아난 무대로 부각되며, 각종 국제 단체, 국제적인 기업, 각국 정보들의 큰 관심사로 등극했기 때문이다. 이는 지난 해 발생한 미국 민주당 해킹 사건으로 한 차례 더 힘을 받을 예정으로 보인다. 그러니 트럼프 만세? 핑크빛 미래?
아직 이르다. 정보보안 시장 조사 전문업체인 사이버시큐리티 벤처스(Cybersecurity Ventures)의 CEO인 스티브 모건(Steve Morgan)은 “사이버 보안 업체들이 2013년에서 2015년 사이에 한껏 누려왔던 벤처캐피탈이 슬슬 바닥나고 있다”고 설명한다. 이게 무슨 말이냐면, “올해부터 한동안은 인수와 합병의 물결이 이 바닥을 휩쓸고 다닐 것”이라는 거다. “이제 모두가 좋은 성적을 거둘 수 있는 상황이 아닙니다. 분명 잘 나가는 곳이 생기고, 나가떨어지는 업체가 생길 겁니다. 그리고 올해 보안 업체들 중 상장된 기업이 얼마나 되나요? 거의 없죠. 산업으로서 정보보안에 비상등이 켜진 것이나 다름없습니다.”
물론 정보보안 업계의 성장이 막혔다거나 이제 한계에 다다랐다고 말할 순 없다. 왜냐하면 반대 급부에 있는 사이버 범죄 산업이 변함없는 성장세를 보이고 있기 때문이다. 모건은 “솔직히 말해 보안 시장은 현재 사이버 범죄 산업과 어깨를 나란히 하고 있다”며 “범죄자들이 늘어나면 늘어날수록 방어자들에 대한 수요가 늘 수밖에 없어 보안 산업이 성장을 못할 일은 당분간 없을 것”이라고 말한다. “사이버 범죄 시장은 2015년에 약 3천조 원 규모였고, 2021년까지는 6천조에 이를 것이라고 예상합니다. 이 성장 속도나 규모는 정보보안 산업에 그대로 반영될 것이고요.”
한 마디로 시장 전체의 성장은 의심할 여지가 없는데, 그 성장의 혜택을 누릴 자들은 점점 소수가 될 것이라는 게 모건의 전망이다. 그렇기 때문에 이미 이 시장에 뛰어든 업체들은 머신 러닝과 최신 분석기술을 무기 삼아 이 판에서 우뚝 서려는 경쟁을 벌이고 있다. 그래서 일어나는 게 ‘인수합병 전쟁’이다. 최근 보안 업계에서 일어나는 인수합병은 좁아지는 문을 먼저 통과해 살아남기 위한 땀 나는 노력에 가까워 보인다. 여유로운 돈 냄새보다, 온갖 종류의 땀내가 풍기기 시작했다.
1. 콤콤한 냄새는 새 물건 냄새로
소포스(Sophos)와 인빈시아(Invincea)
IT 보안 거인인 소포스가 머신 러닝에 기반을 둔 보안 솔루션 업체인 인빈시아를 1천억 원에 사들였다. 소포스가 점점 치열해지는 보안 시장 내 경쟁에서 살아남기 위해 인공지능이라는 무기를 집어 들었다는 뜻이다. 인빈시아의 가장 대표적인 제품은 프로덕트 X(Product X)로 신경망(neural network)과 행동 관찰(behavioral monitoring) 기술을 통해 멀웨어를 찾아내고 피해를 미리 방지하는 기능을 가지고 있다.
보안 분석가인 존 올트식(Jon Oltsik)은 “소포스가 인빈시아 덕에 훨씬 더 유연해졌다”고 평가한다. “예를 들어 시만텍의 사용자에게 제품을 판다고 했을 때, 기존 시만텍 제품을 전부 들어내고 소포스로 대체하라고 할 필요가 없어졌기 때문입니다. 그냥 있는 환경에 인빈시아의 제품을 구축하면 되는 것이죠.” 이 거래는 2017년 2월 8일에 발생했다.
시만텍(Symantec)과 라이프락(LifeLock)
전통의 IT 강자인 시만텍이 아이덴티티 도난 방지 솔루션 전문업체인 라이프락을 2조 3천억 원에 사들였다. 시만텍이라고 하면 노턴 바이러스라는, 어쩌면 이 업계에서 제일 유명한 제품을 파는 회사인데, 일단 새로운 피를 수혈하면서 안주하지 않겠다는 의지를 보여준 것이다. 그리고 그 새로운 피란 아이덴티티 보안이었다.
존 올트식은 “라이프락의 아이덴티티 도난 방지 기술이 시만텍 제품에 결합되는 걸 상상해보라”며 “일반 사용자들을 위한 보안 솔루션이 더 많은 기능을 수행해야 하는 시대가 된 것”이라고 분석한다. 이는 또한 앞서 “사이버 보안 업계와 사이버 범죄 산업은 어깨를 나란히 하고 있다”는 말을 반영하는 현상이기도 하다. 이 거래는 2016년 11월 20일에 일어났다.
라드웨어(Radware)와 세큘러트(Seculert)
전통의 강자가 신기술을 접목하기 위해 진행한 M&A 사례다. 라드웨어는 일찍부터 디도스 방지와 애플리케이션 데이터 분석으로 유명한 업체이며, 세큘러트는 클라우드를 기반으로 한 데이터 분석 플랫폼 기술을 보유한 업체다. 또한 요즘 각광받고 있는 머신 러닝 기술도 가지고 있다. 거래가 발표된 1월 31일, 라드웨어의 CTO인 데이비드 아비브(David Aviv)는 “라드웨어의 기술력에 머신 러닝과 데이터 분석 플랫폼을 더하면 더 효과적인 방어와 위협 분석이 가능해질 것으로 기대한다”고 발표했다. 아직 금액은 발표되지 않았다.
팔로알토 네트웍스(Palo Alto Networks)와 라이트사이버(LightCyber)
팔로알토 네트웍스가 라이트사이버를 끌어들이기 위해 투자한 금액은 현금으로 1050억 원이다. 역시 위의 몇 경우처럼 ‘전통의 강자가 신기술을 덧입은 것’이라고 요약이 되는 거래다. 네트워크 및 방화벽 보안 기술에 인공지능 기술이 더해져 더 강력한 보안 성능을 고객들에게 제공하겠다는 것이 팔로알토의 큰 그림인 것은 누가 봐도 알 수 있는 일.
존 올트식은 “팔로알토는 방화벽 시장에서 엄청난 영향력을 발휘했던 곳이지만 새롭게 떠오르는 이상 탐지 시장에서는 이렇다 할 성과를 내지 못하고 있었다”며 “새로운 길을 모색해야만 했었다”고 설명한다. 역시 ‘살아남기 위한’ M&A로 해석할 수 있다는 것이다. 팔로알토는 2017년 말까지 라이트사이버의 기술이 접목된 차세대 보안 플랫폼을 출시할 계획이다. 2017년 2월 28일에 거래가 성사되었다.
2. 다른 산업에까지 퍼져가는 보안 자체의 향
아마존 웹 서비스(Amazon Web Services)와 하베스트에이아이(harvest.ai)
이 건은 조금 오래된 감이 있는데, 계속해서 숨겨져 왔기 때문에 여기서 언급한다. 2016년 초반부터 이 둘 사이의 미묘한 기류가 탐지되어 일부 매체를 타기도 했다. 당시 밝혀졌던 금액은 190억~200억 원 사이. 하지만 이 인수합병이 보도되기 시작한 건 올해 초부터다. 한 익명의 투자가가 ‘확실히 둘 사이에 인수합병 거래가 있었다’고 언급했기 때문이다.
하베스트는 그리 잘 알려진 업체는 아닌데, 인공지능과 관련된 뛰어난 알고리즘을 가지고 있다고 한다. 그리고 이 알고리즘을 클라우드 환경에 저장된 문서 보안에 접목해 강력한 성능을 자랑한다고 한다. 존 올트식은 “클라우드에 집중하고 있는 아마존 입장에서 하베스트를 눈여겨 본 건 당연한 일”이라며 “클라우드 고객을 더 많이 확보하고자 클라우드 업계에서 보안 기능을 도입한 사례”라고 분석한다.
애플(Apple)과 리얼페이스(RealFace)
애플이 이스라엘의 안면 인식 기술 보유 업체인 리얼페이스를 인수했다는 소식은 어쩌면 올 상반기 최대 인수합병 뉴스일지도 모른다. 일부 전문가들은 올해 최대의 소식이라고 꼽기도 한다. 금액 면에서가 아니라 ‘아이폰에 안면 인식 기술이 장착될지도 모른다’는 전망이 여러 IT 분야를 들썩였기 때문이다. 그리고 실제 애플은 내년부터 출시되는 아이폰 시리즈에 안면 인식 기술을 탑재할 것으로 보인다.
스티브 모건은 “이 건이 굉장히 중요한 이유는 애플이라는 대표적인 IT B2C 업체가 소비자들의 구매력을 높이기 위한 일환으로 보안 기술에 투자를 했고, 그 사실이 굉장히 많은 일반인들에게 파급력 있게 퍼져나갔기 때문”이라고 설명한다. 인기 소비자 가전기기의 구매력과 ‘팬심’을 타고 보안이라는 분야가 알려지기 시작했다는 것이다. 모건은 “앞으로 이런 의미를 갖는 거래가 더 많이 일어날 것”이라고 예상한다. “애플이 보안 회사가 되지는 않겠지만, 보안의 중요한 고객이 될 가능성은 높습니다.” 이 거래는 2월 20일에 여러 뉴스 매체에 실렸다.
액센추어(Accenture)와 엔드게임(Endgame)
엔드게임은 엔드포인트 탐지와 사건 대응에 특화된 보안 기업으로, 세계적인 전략, 컨설팅 서비스 업체인 액센추어의 간택을 받았다. 그러니까 액센추어는 다른 기업들에게 여러 전문 영역의 기능을 제공해주는 업체인 것인데, 이 업체가 보안 전문 업체를 사들였다는 건 요즘 추세에 너무나 당연한 일. 모건 역시 “이름만 봐도 이해가 가는 거래”라고 말할 정도다. “요즘 기업들이 가장 원하는 ‘전문 서비스’가 보안이거든요.”
엔드게임은 요즘 정보보안에서도 가장 어렵다는 보안 분석과 위협 사냥에서 두각을 나타내던 곳이다. 한국에서는 좀 덜 한데, “위협 사냥이라고 하면 일반 기업들이 가장 관심을 갖고 있는 보안 기술”이기도 하다. 업체의 필요를 가장 잘 아는 액센추어가 엔드게임을 인수했다는 것이 기업들 사이의 이런 ‘니즈’를 잘 파악했다는 것. 액센추어는 이와 동시에 또 다른 보안 업체인 베리사인(VeriSign)으로부터 첩보 서비스 사업부인 iDefense Security Intelligence Services를 사들이기도 했다. 이 거래는 2017년 2월 8일에 성사되었으며 금액은 아직 미공개다.
시놉시스(Synopsys)와 씨지탈(Cigital)과 코디스콥(Codiscope)
지난 11월, 소프트웨어 업체인 시놉시스가 소프트웨어 보안 업체인 씨지탈을 인수했다. 동시에 보안 툴 업체인 코디스콥(Codiscope)도 같이 사들였다. 시놉시스가 완전한 소프트웨어 보안 솔루션을 제공하기로 야심찬 계획을 세웠기 때문이다. 이는 보안 솔루션을 ‘하나의 소프트웨어 제품’으로 인식한, 새로운 접근이자 시각으로도 해석이 가능하다.
시놉시스의 부회장인 안드레아스 쿨만(Andreas Kuehlmann)은 “시놉시스와 씨지탈, 코디스콥은 같은 비전을 가지고 있었기에 힘을 합할 수 있었다”고 설명한다. 그 비전이란 “소프트웨어 개발의 전 과정과 공급망까지 탄탄하게 만들겠다는 것”이다. “씨지탈의 보안 컨설턴트들은 소프트웨어 개발 초기에 개입해 올바른 방향 설정을 해줄 수 있고, 코디스콥의 개발자용 툴들은 실제 제품 개발을 안전하게 만들 수 있습니다. 이러한 서비스를 시놉시스가 제품으로 만들어 제공하는 것이고요.”
3. 땀내의 세밀한 스펙트럼까지 흡수하기
HPE와 니아라(Niara)
HPE는 보안 분석 기능과 네트워크 포렌식 기능을 강화하기 위해 해당 기술에 특화된 기업인 니아라를 사들였다. 하지만 그 전에 네트워크 보안 업체인 아루바(Aruba)를 사들였다는 것도 같이 봐야 한다. 2년 전 무선 보안의 강자였던 아루바를 HPE가 합병한 건, 한창 보안의 ‘핫 이슈’였던 모바일 보안 시장에서 치고 나가겠다는 HPE의 전략이 드러난 것이라고 볼 수 있다. 하지만 키워드는 ‘무선’이다. 즉, 사물인터넷까지 염두에 둔 움직임이다.
이 관점에서 니아라를 다시 보자. 니아라는 사용자/조직 행동 분석 시장의 강자로 꼽히던 곳이다. 선제적으로 이상 현상을 탐지하는 기술을 보유했던 곳으로, 역시 머신 러닝 및 데이터 분석 기술에 있어서 남다른 위치를 선점했었다. 아루바의 클리어패스(ClearPass) 네트워크 관리 소프트웨어에 이러한 기술을 도입시켜 기존 방어력을 강화하겠다는 것이다. 즉, 아루바 합병으로 드러난 HPE의 전략이 니아라를 통해 보강된 것이라고 볼 수 있다. 거래액은 미공개지만 2017년 2월 첫날에 거래가 성사되었다.
CA와 베라코드(Veracode)
CA가 애플리케이션 보안 강자인 베라코드(Veracode)를 6140억 원에 인수했다. CA는 요 몇 년 사이 ‘데브옵스 보안’이라는 시장의 점유율을 높이기 위해 집중해왔지만 “원래는 아이덴티티 보안 및 관리 시장에서 힘을 발휘해온 곳”이라고 모건은 설명한다. 모건은 “CA가 베라코드를 인수함으로써 보안 시장 안에서의 영향력을 보다 넓힐 계획인 것 같다”고 분석한다. 약 10년 전에 창립된 베라코드는 SaaS 플랫폼에서 자동화된 맞춤형 보안 분석 서비스를 처음 제공한 것으로 유명하다. 아이덴티티, 애플리케이션, 데브옵스 등 점차 영역을 확대해가는 CA의 행보가 흥미롭다. 이 거래는 2017년 3월 6일에 발생했다.
포스포인트(Forcepoint)와 스카이펜스(Skyfence)
스카이펜스는 임퍼바(Imperva)의 한 사업부였다. 포스포인트가 한 사업부를 통째로 경쟁업체에서 사들인 것인데, 이는 클라우드 보안에 집중하기 시작한 포스포인트의 사업 전략 방향을 그대로 보여주는 사례다. “포스포인트는 최근 클라우드 내 보관되어 있는 지적재산 보호에 신경을 많이 쓰고 있는데, 스카이펜스의 CASB 기술이 적합하다고 판단한 듯 하다”는 모건의 설명을 덧붙인다. 거래액은 역시 미공개며, 2017년 2월 8일에 발표되었다.
4. 가장 원초적인 것, 땅 냄새
옵티브 시큐리티(Optiv Security)와 콤 솔루션즈(Comm Solutions)
3월 20일에 진행된, 매우 따끈따끈한 거래. 2017년 중반에 완전히 합쳐질 예정으로, 아직은 거래만 성사됐지 사실상 따로따로 운영되고 있는 중이다. 이 거래가 특이한 건, 위 11개 인수합병과 그 성질이 완전히 다르기 때문이다. 위의 거래들이 ‘전통 강자 + 신기술’이나 ‘시장 확장’, ‘IT + 보안’으로 분류가 된다면, 옵티브와 콤은 그저 ‘땅’을 넓히기 위해 합친 것이다. 옵티브는 덴버를 위주로 서부 지역에서 주로 활동하던 기업이고 콤 솔루션즈는 미국 북동부를 중심으로 활동하던 기업이다.
악산(Arxan)과 아페리안(Apperian)
위 두 업체가 서로 다른 지역의 시장을 흡수하기 위해 뭉쳤다면, 악산과 아페리안은 미국 동부 지역을 중심으로 활동하다가 만났다. 악산의 본부는 메릴랜드에 있고 아페리안은 매사추세츠 주다. 물론 가깝다고 뭉친 것만은 아니다. 악산은 모바일 애플리케이션과 IoT 보안 시장에서 활동을 해오던 업체이고, 아페리안은 모바일 애플리케이션 관리(mobile application management, MAM)라는 틈새 시장을 공략한 스타트업이다. 마침 아페리안의 매그누스 미여슨(Magnus Mjøsund) 제품 관리자가 한국에 있다고 해서 만나봤다.
▲ 악산과 합친 아페리안의 미여슨(오른쪽)
보안뉴스 : 아페리안이 제공하는 MAM 서비스가 생소하다. 설명을 부탁드린다.
미여슨 : 한 마디로 서드파티 앱스토어다. 물론 여기에 많은 이유와 기능이 추가된다. 일단 공식 앱스토어는 애플 환경이든 안드로이드 환경이든 전 세계의 모든 사람이 거기에 등록된 앱에 접근해 설치하는 게 가능하다. 하지만 기업에 따라 ‘우리 고객’ 혹은 ‘우리 직원’들에게만 배포하고 싶은 앱이 있을 수 있고, 이 틈새 시장의 수요가 꽤나 높다.
예를 들면 이런 거다. 어떤 항공사의 경우 은퇴한 이전 근무자들이 항공표를 더 싸게 구입할 수 있도록 해주는데, 그런 기능을 가진 앱을 개발하고도 앱스토어에 올릴 수 없었다. 앱스토어에 올리면 은퇴자만 설치하리라는 법이 없으니까. 보다 은밀하고 비밀스러운 앱 배포 방법이 필요했고, 아페리안의 솔루션을 활용해 해결했다. 한국에서도 여러 은행들이 이런 앱들을 많이 만들고 또 사용하고 있다. 직원 전용 앱이나 자기 고객 전용 앱들이 꽤나 많다.
보안뉴스 : 그렇게 은밀하게 앱을 배포하고 싶다면 사내 이메일이나 메신저 등을 통해 설치파일을 배포할 수는 없는가? 굳이 아페리안의 서비스를 거쳐야 하는가?
미여슨 : 그렇게 배포했을 때 통제 문제는 어떻게 해결하겠는가? 예를 들어 그런 앱에 대한 보안 업데이트를 진행한다면, 또 업데이트 파일을 이메일이나 메신저로 일일이 보내면서 설치 안내를 해야 한다. 게다가 그걸 받은 사람들이 진짜 업데이트를 했는지 안 했는지 알 길이 없다. 또한 이미 사용 중에 있는 앱의 정책을 변경해야 한다면 어떨까? MAM은 그런 문제를 해결해준다.
애초에 MAM의 목표가 애플리케이션의 전 생애주기를 안전하게 관리하는 것이었다. 여기에는 개발은 물론 배포 방법까지 포함된다. 배포까지 안전하다는 건, 사용자가 기기를 어떻게 관리하든 상관없이 앱이 안전하다는 걸 의미한다. 기업이 통제할 수 있는 기기에 설치가 되든, 그렇지 않은 사용자나 파트너사 기기에 설치가 되든, MAM을 통해 배포가 된 앱은 보호를 받는다. 기기 자체 보안에 크게 영향을 받지 않는 것, 그게 MDM과의 결정적인 차이다.
보안뉴스 : 아무튼 개발자 입장에서는 MAM의 사용법을 더 익혀야 하고, 여기에다가 앱을 올리고 내리고 하는 단계를 하나 더 거쳐야 한다면 불편하지 않겠는가?
미여슨 : MAM은 앱 생애주기 보안 플랫폼이다. 개발을 마친 앱을 바이너리 상태로 여기에 올리면 다양한 보안 검사를 할 수 있다. 앱 평판 분석을 통해 구멍이 있는 곳의 코드행렬을 정확히 파악할 수 있고, 충돌이 나는 정책이나 사용자 권한 허용도 발견해낼 수 있다. 암호화, 위치 마스킹 기능 등이 있어 앱의 개별적인 래핑(wrapping)이 가능하다. 코드 수정이나 SDK도 필요 없다. 게다가 앱 서명 기능이 수분 만에 처리되기 때문에 스토어에 등록되는 시간도 매우 빠르다. 공식 앱스토어는 수일씩 걸리지 않는가? 오히려 개발과 보안을 편리하게 추구할 수 있도록 해놨다.
보안뉴스 : 굳이 악산과 손잡을 필요가 있었는가?
미여슨 : 악산의 오랜 경험과 기술력, 강력한 정책, 화이트리스트를 더하면 아페리안의 보안 점검 기능이나 정책 설정이 훨씬 강력해진다. 아페리안은 스타트업으로서 보다 더 검증된 보안 기술이 필요한 상태였다. 악산은 시큐어 코딩 솔루션부터 해서 정적, 동적 분석, 모의 해킹 및 자동화 솔루션을 시장에 내놓은 업체다. 어떻게 보면 다년 간의 포트폴리오를 통해 앱 개발의 생애주기 보안을 다뤄온 곳이라고도 볼 수 있다. 악산의 그런 과정이 어떻게 보면 아페리안을 통해 압축적, 통합적으로 제공될 수 있는 것이다. 즉 서로가 추구해왔던 바가 맞았던 것이라고 볼 수 있다. 악산은 아마 아페리안에게서 자신들의 지난 역사를 보았을 것이고, 아페리안은 악산이라는 강력한 보강책을 본 것이다. 우연히 미국 동부에 같이 있기도 했고…
보안뉴스 : 보통은 영역을 확장하기 위해 M&A를 하는데, 둘은 오히려 한 곳을 더 깊이 파고들려고 M&A를 한 것처럼 보인다.
미여슨 : 모바일 애플리케이션이란 분야에 더 집중하고자 함은 맞다. PC 생태계에서도 비슷한 서비스를 제공할 수 있지만, 그렇게 하고 있지 않으며, 당분간 그럴 계획도 없다. 이렇게 보면 악산과 아페리안이 모바일 앱 보안 시장만을 노리고 힘을 합한 것이라고 볼 수 있다. 하지만 모바일 기술은 결국 사물인터넷으로 귀결된다. 그래서 이번 M&A는 사물인터넷 보안 시장을 염두에 둔 움직임이기도 하다. 굳이 모바일의 장인이 되기 위해서 M&A를 했다고만은 볼 수 없다.
좀 더 크게 보면, 애플리케이션의 안전한 개발 문화를 이끌어내는 것에도 두 회사의 비전이 맞닿아 있다. 현재 사물인터넷 생태계의 가장 큰 문제점은 개발자 혹은 제조사들이 보안을 불편해 한다는 것이다. 지금 상태의 MAM이 이 문제의 완벽한 해결책이라고 볼 수는 없지만, 보안도 편리해야 한다는 화두를 업계에 던질 수 있을 것으로 기대한다. 개발자들의 인식 전환만을 꾀하는 것은 답이 아니라고 본다. 보안도 좀 더 살가워져야 한다.
보안뉴스 : 한국에도 런칭을 하기 위해 방한했나?
미여슨 : 그렇다. 현재 로컬라이징 작업을 시작한 단계이며, 한국의 엔시큐어를 통해 서비스가 제공될 것이다. 이미 불어, 독일어, 스페인어, 네덜란드어, 태국어 등으로 서비스가 되고 있기 때문에 로컬라이징 작업이 생소하지 않다. 조만간 한국 여러 기업들의 ‘우리만의 private 앱 시장’ 수요가 해결되리라 본다.
[국제부 문가용 기자(globoan@boannews.com)]
신기술 모색하는 전통의 강자들과 보안으로 구매력 높이려는 업체들
▲ 판은 큰데 길은 좁아지고...
[보안뉴스 문가용 기자] 지난 몇 년 간 해외의 정보보안 시장은 꽤나 급한 성장을 이뤄왔다. 냉전이 종식된 후 잊혔던 그 쫄깃한 국제정세의 긴장감이 되살아난 무대로 부각되며, 각종 국제 단체, 국제적인 기업, 각국 정보들의 큰 관심사로 등극했기 때문이다. 이는 지난 해 발생한 미국 민주당 해킹 사건으로 한 차례 더 힘을 받을 예정으로 보인다. 그러니 트럼프 만세? 핑크빛 미래?
아직 이르다. 정보보안 시장 조사 전문업체인 사이버시큐리티 벤처스(Cybersecurity Ventures)의 CEO인 스티브 모건(Steve Morgan)은 “사이버 보안 업체들이 2013년에서 2015년 사이에 한껏 누려왔던 벤처캐피탈이 슬슬 바닥나고 있다”고 설명한다. 이게 무슨 말이냐면, “올해부터 한동안은 인수와 합병의 물결이 이 바닥을 휩쓸고 다닐 것”이라는 거다. “이제 모두가 좋은 성적을 거둘 수 있는 상황이 아닙니다. 분명 잘 나가는 곳이 생기고, 나가떨어지는 업체가 생길 겁니다. 그리고 올해 보안 업체들 중 상장된 기업이 얼마나 되나요? 거의 없죠. 산업으로서 정보보안에 비상등이 켜진 것이나 다름없습니다.”
물론 정보보안 업계의 성장이 막혔다거나 이제 한계에 다다랐다고 말할 순 없다. 왜냐하면 반대 급부에 있는 사이버 범죄 산업이 변함없는 성장세를 보이고 있기 때문이다. 모건은 “솔직히 말해 보안 시장은 현재 사이버 범죄 산업과 어깨를 나란히 하고 있다”며 “범죄자들이 늘어나면 늘어날수록 방어자들에 대한 수요가 늘 수밖에 없어 보안 산업이 성장을 못할 일은 당분간 없을 것”이라고 말한다. “사이버 범죄 시장은 2015년에 약 3천조 원 규모였고, 2021년까지는 6천조에 이를 것이라고 예상합니다. 이 성장 속도나 규모는 정보보안 산업에 그대로 반영될 것이고요.”
한 마디로 시장 전체의 성장은 의심할 여지가 없는데, 그 성장의 혜택을 누릴 자들은 점점 소수가 될 것이라는 게 모건의 전망이다. 그렇기 때문에 이미 이 시장에 뛰어든 업체들은 머신 러닝과 최신 분석기술을 무기 삼아 이 판에서 우뚝 서려는 경쟁을 벌이고 있다. 그래서 일어나는 게 ‘인수합병 전쟁’이다. 최근 보안 업계에서 일어나는 인수합병은 좁아지는 문을 먼저 통과해 살아남기 위한 땀 나는 노력에 가까워 보인다. 여유로운 돈 냄새보다, 온갖 종류의 땀내가 풍기기 시작했다.
1. 콤콤한 냄새는 새 물건 냄새로
소포스(Sophos)와 인빈시아(Invincea)
IT 보안 거인인 소포스가 머신 러닝에 기반을 둔 보안 솔루션 업체인 인빈시아를 1천억 원에 사들였다. 소포스가 점점 치열해지는 보안 시장 내 경쟁에서 살아남기 위해 인공지능이라는 무기를 집어 들었다는 뜻이다. 인빈시아의 가장 대표적인 제품은 프로덕트 X(Product X)로 신경망(neural network)과 행동 관찰(behavioral monitoring) 기술을 통해 멀웨어를 찾아내고 피해를 미리 방지하는 기능을 가지고 있다.
보안 분석가인 존 올트식(Jon Oltsik)은 “소포스가 인빈시아 덕에 훨씬 더 유연해졌다”고 평가한다. “예를 들어 시만텍의 사용자에게 제품을 판다고 했을 때, 기존 시만텍 제품을 전부 들어내고 소포스로 대체하라고 할 필요가 없어졌기 때문입니다. 그냥 있는 환경에 인빈시아의 제품을 구축하면 되는 것이죠.” 이 거래는 2017년 2월 8일에 발생했다.
시만텍(Symantec)과 라이프락(LifeLock)
전통의 IT 강자인 시만텍이 아이덴티티 도난 방지 솔루션 전문업체인 라이프락을 2조 3천억 원에 사들였다. 시만텍이라고 하면 노턴 바이러스라는, 어쩌면 이 업계에서 제일 유명한 제품을 파는 회사인데, 일단 새로운 피를 수혈하면서 안주하지 않겠다는 의지를 보여준 것이다. 그리고 그 새로운 피란 아이덴티티 보안이었다.
존 올트식은 “라이프락의 아이덴티티 도난 방지 기술이 시만텍 제품에 결합되는 걸 상상해보라”며 “일반 사용자들을 위한 보안 솔루션이 더 많은 기능을 수행해야 하는 시대가 된 것”이라고 분석한다. 이는 또한 앞서 “사이버 보안 업계와 사이버 범죄 산업은 어깨를 나란히 하고 있다”는 말을 반영하는 현상이기도 하다. 이 거래는 2016년 11월 20일에 일어났다.
라드웨어(Radware)와 세큘러트(Seculert)
전통의 강자가 신기술을 접목하기 위해 진행한 M&A 사례다. 라드웨어는 일찍부터 디도스 방지와 애플리케이션 데이터 분석으로 유명한 업체이며, 세큘러트는 클라우드를 기반으로 한 데이터 분석 플랫폼 기술을 보유한 업체다. 또한 요즘 각광받고 있는 머신 러닝 기술도 가지고 있다. 거래가 발표된 1월 31일, 라드웨어의 CTO인 데이비드 아비브(David Aviv)는 “라드웨어의 기술력에 머신 러닝과 데이터 분석 플랫폼을 더하면 더 효과적인 방어와 위협 분석이 가능해질 것으로 기대한다”고 발표했다. 아직 금액은 발표되지 않았다.
팔로알토 네트웍스(Palo Alto Networks)와 라이트사이버(LightCyber)
팔로알토 네트웍스가 라이트사이버를 끌어들이기 위해 투자한 금액은 현금으로 1050억 원이다. 역시 위의 몇 경우처럼 ‘전통의 강자가 신기술을 덧입은 것’이라고 요약이 되는 거래다. 네트워크 및 방화벽 보안 기술에 인공지능 기술이 더해져 더 강력한 보안 성능을 고객들에게 제공하겠다는 것이 팔로알토의 큰 그림인 것은 누가 봐도 알 수 있는 일.
존 올트식은 “팔로알토는 방화벽 시장에서 엄청난 영향력을 발휘했던 곳이지만 새롭게 떠오르는 이상 탐지 시장에서는 이렇다 할 성과를 내지 못하고 있었다”며 “새로운 길을 모색해야만 했었다”고 설명한다. 역시 ‘살아남기 위한’ M&A로 해석할 수 있다는 것이다. 팔로알토는 2017년 말까지 라이트사이버의 기술이 접목된 차세대 보안 플랫폼을 출시할 계획이다. 2017년 2월 28일에 거래가 성사되었다.
2. 다른 산업에까지 퍼져가는 보안 자체의 향
아마존 웹 서비스(Amazon Web Services)와 하베스트에이아이(harvest.ai)
이 건은 조금 오래된 감이 있는데, 계속해서 숨겨져 왔기 때문에 여기서 언급한다. 2016년 초반부터 이 둘 사이의 미묘한 기류가 탐지되어 일부 매체를 타기도 했다. 당시 밝혀졌던 금액은 190억~200억 원 사이. 하지만 이 인수합병이 보도되기 시작한 건 올해 초부터다. 한 익명의 투자가가 ‘확실히 둘 사이에 인수합병 거래가 있었다’고 언급했기 때문이다.
하베스트는 그리 잘 알려진 업체는 아닌데, 인공지능과 관련된 뛰어난 알고리즘을 가지고 있다고 한다. 그리고 이 알고리즘을 클라우드 환경에 저장된 문서 보안에 접목해 강력한 성능을 자랑한다고 한다. 존 올트식은 “클라우드에 집중하고 있는 아마존 입장에서 하베스트를 눈여겨 본 건 당연한 일”이라며 “클라우드 고객을 더 많이 확보하고자 클라우드 업계에서 보안 기능을 도입한 사례”라고 분석한다.
애플(Apple)과 리얼페이스(RealFace)
애플이 이스라엘의 안면 인식 기술 보유 업체인 리얼페이스를 인수했다는 소식은 어쩌면 올 상반기 최대 인수합병 뉴스일지도 모른다. 일부 전문가들은 올해 최대의 소식이라고 꼽기도 한다. 금액 면에서가 아니라 ‘아이폰에 안면 인식 기술이 장착될지도 모른다’는 전망이 여러 IT 분야를 들썩였기 때문이다. 그리고 실제 애플은 내년부터 출시되는 아이폰 시리즈에 안면 인식 기술을 탑재할 것으로 보인다.
스티브 모건은 “이 건이 굉장히 중요한 이유는 애플이라는 대표적인 IT B2C 업체가 소비자들의 구매력을 높이기 위한 일환으로 보안 기술에 투자를 했고, 그 사실이 굉장히 많은 일반인들에게 파급력 있게 퍼져나갔기 때문”이라고 설명한다. 인기 소비자 가전기기의 구매력과 ‘팬심’을 타고 보안이라는 분야가 알려지기 시작했다는 것이다. 모건은 “앞으로 이런 의미를 갖는 거래가 더 많이 일어날 것”이라고 예상한다. “애플이 보안 회사가 되지는 않겠지만, 보안의 중요한 고객이 될 가능성은 높습니다.” 이 거래는 2월 20일에 여러 뉴스 매체에 실렸다.
액센추어(Accenture)와 엔드게임(Endgame)
엔드게임은 엔드포인트 탐지와 사건 대응에 특화된 보안 기업으로, 세계적인 전략, 컨설팅 서비스 업체인 액센추어의 간택을 받았다. 그러니까 액센추어는 다른 기업들에게 여러 전문 영역의 기능을 제공해주는 업체인 것인데, 이 업체가 보안 전문 업체를 사들였다는 건 요즘 추세에 너무나 당연한 일. 모건 역시 “이름만 봐도 이해가 가는 거래”라고 말할 정도다. “요즘 기업들이 가장 원하는 ‘전문 서비스’가 보안이거든요.”
엔드게임은 요즘 정보보안에서도 가장 어렵다는 보안 분석과 위협 사냥에서 두각을 나타내던 곳이다. 한국에서는 좀 덜 한데, “위협 사냥이라고 하면 일반 기업들이 가장 관심을 갖고 있는 보안 기술”이기도 하다. 업체의 필요를 가장 잘 아는 액센추어가 엔드게임을 인수했다는 것이 기업들 사이의 이런 ‘니즈’를 잘 파악했다는 것. 액센추어는 이와 동시에 또 다른 보안 업체인 베리사인(VeriSign)으로부터 첩보 서비스 사업부인 iDefense Security Intelligence Services를 사들이기도 했다. 이 거래는 2017년 2월 8일에 성사되었으며 금액은 아직 미공개다.
시놉시스(Synopsys)와 씨지탈(Cigital)과 코디스콥(Codiscope)
지난 11월, 소프트웨어 업체인 시놉시스가 소프트웨어 보안 업체인 씨지탈을 인수했다. 동시에 보안 툴 업체인 코디스콥(Codiscope)도 같이 사들였다. 시놉시스가 완전한 소프트웨어 보안 솔루션을 제공하기로 야심찬 계획을 세웠기 때문이다. 이는 보안 솔루션을 ‘하나의 소프트웨어 제품’으로 인식한, 새로운 접근이자 시각으로도 해석이 가능하다.
시놉시스의 부회장인 안드레아스 쿨만(Andreas Kuehlmann)은 “시놉시스와 씨지탈, 코디스콥은 같은 비전을 가지고 있었기에 힘을 합할 수 있었다”고 설명한다. 그 비전이란 “소프트웨어 개발의 전 과정과 공급망까지 탄탄하게 만들겠다는 것”이다. “씨지탈의 보안 컨설턴트들은 소프트웨어 개발 초기에 개입해 올바른 방향 설정을 해줄 수 있고, 코디스콥의 개발자용 툴들은 실제 제품 개발을 안전하게 만들 수 있습니다. 이러한 서비스를 시놉시스가 제품으로 만들어 제공하는 것이고요.”
3. 땀내의 세밀한 스펙트럼까지 흡수하기
HPE와 니아라(Niara)
HPE는 보안 분석 기능과 네트워크 포렌식 기능을 강화하기 위해 해당 기술에 특화된 기업인 니아라를 사들였다. 하지만 그 전에 네트워크 보안 업체인 아루바(Aruba)를 사들였다는 것도 같이 봐야 한다. 2년 전 무선 보안의 강자였던 아루바를 HPE가 합병한 건, 한창 보안의 ‘핫 이슈’였던 모바일 보안 시장에서 치고 나가겠다는 HPE의 전략이 드러난 것이라고 볼 수 있다. 하지만 키워드는 ‘무선’이다. 즉, 사물인터넷까지 염두에 둔 움직임이다.
이 관점에서 니아라를 다시 보자. 니아라는 사용자/조직 행동 분석 시장의 강자로 꼽히던 곳이다. 선제적으로 이상 현상을 탐지하는 기술을 보유했던 곳으로, 역시 머신 러닝 및 데이터 분석 기술에 있어서 남다른 위치를 선점했었다. 아루바의 클리어패스(ClearPass) 네트워크 관리 소프트웨어에 이러한 기술을 도입시켜 기존 방어력을 강화하겠다는 것이다. 즉, 아루바 합병으로 드러난 HPE의 전략이 니아라를 통해 보강된 것이라고 볼 수 있다. 거래액은 미공개지만 2017년 2월 첫날에 거래가 성사되었다.
CA와 베라코드(Veracode)
CA가 애플리케이션 보안 강자인 베라코드(Veracode)를 6140억 원에 인수했다. CA는 요 몇 년 사이 ‘데브옵스 보안’이라는 시장의 점유율을 높이기 위해 집중해왔지만 “원래는 아이덴티티 보안 및 관리 시장에서 힘을 발휘해온 곳”이라고 모건은 설명한다. 모건은 “CA가 베라코드를 인수함으로써 보안 시장 안에서의 영향력을 보다 넓힐 계획인 것 같다”고 분석한다. 약 10년 전에 창립된 베라코드는 SaaS 플랫폼에서 자동화된 맞춤형 보안 분석 서비스를 처음 제공한 것으로 유명하다. 아이덴티티, 애플리케이션, 데브옵스 등 점차 영역을 확대해가는 CA의 행보가 흥미롭다. 이 거래는 2017년 3월 6일에 발생했다.
포스포인트(Forcepoint)와 스카이펜스(Skyfence)
스카이펜스는 임퍼바(Imperva)의 한 사업부였다. 포스포인트가 한 사업부를 통째로 경쟁업체에서 사들인 것인데, 이는 클라우드 보안에 집중하기 시작한 포스포인트의 사업 전략 방향을 그대로 보여주는 사례다. “포스포인트는 최근 클라우드 내 보관되어 있는 지적재산 보호에 신경을 많이 쓰고 있는데, 스카이펜스의 CASB 기술이 적합하다고 판단한 듯 하다”는 모건의 설명을 덧붙인다. 거래액은 역시 미공개며, 2017년 2월 8일에 발표되었다.
4. 가장 원초적인 것, 땅 냄새
옵티브 시큐리티(Optiv Security)와 콤 솔루션즈(Comm Solutions)
3월 20일에 진행된, 매우 따끈따끈한 거래. 2017년 중반에 완전히 합쳐질 예정으로, 아직은 거래만 성사됐지 사실상 따로따로 운영되고 있는 중이다. 이 거래가 특이한 건, 위 11개 인수합병과 그 성질이 완전히 다르기 때문이다. 위의 거래들이 ‘전통 강자 + 신기술’이나 ‘시장 확장’, ‘IT + 보안’으로 분류가 된다면, 옵티브와 콤은 그저 ‘땅’을 넓히기 위해 합친 것이다. 옵티브는 덴버를 위주로 서부 지역에서 주로 활동하던 기업이고 콤 솔루션즈는 미국 북동부를 중심으로 활동하던 기업이다.
악산(Arxan)과 아페리안(Apperian)
위 두 업체가 서로 다른 지역의 시장을 흡수하기 위해 뭉쳤다면, 악산과 아페리안은 미국 동부 지역을 중심으로 활동하다가 만났다. 악산의 본부는 메릴랜드에 있고 아페리안은 매사추세츠 주다. 물론 가깝다고 뭉친 것만은 아니다. 악산은 모바일 애플리케이션과 IoT 보안 시장에서 활동을 해오던 업체이고, 아페리안은 모바일 애플리케이션 관리(mobile application management, MAM)라는 틈새 시장을 공략한 스타트업이다. 마침 아페리안의 매그누스 미여슨(Magnus Mjøsund) 제품 관리자가 한국에 있다고 해서 만나봤다.
▲ 악산과 합친 아페리안의 미여슨(오른쪽)
보안뉴스 : 아페리안이 제공하는 MAM 서비스가 생소하다. 설명을 부탁드린다.
미여슨 : 한 마디로 서드파티 앱스토어다. 물론 여기에 많은 이유와 기능이 추가된다. 일단 공식 앱스토어는 애플 환경이든 안드로이드 환경이든 전 세계의 모든 사람이 거기에 등록된 앱에 접근해 설치하는 게 가능하다. 하지만 기업에 따라 ‘우리 고객’ 혹은 ‘우리 직원’들에게만 배포하고 싶은 앱이 있을 수 있고, 이 틈새 시장의 수요가 꽤나 높다.
예를 들면 이런 거다. 어떤 항공사의 경우 은퇴한 이전 근무자들이 항공표를 더 싸게 구입할 수 있도록 해주는데, 그런 기능을 가진 앱을 개발하고도 앱스토어에 올릴 수 없었다. 앱스토어에 올리면 은퇴자만 설치하리라는 법이 없으니까. 보다 은밀하고 비밀스러운 앱 배포 방법이 필요했고, 아페리안의 솔루션을 활용해 해결했다. 한국에서도 여러 은행들이 이런 앱들을 많이 만들고 또 사용하고 있다. 직원 전용 앱이나 자기 고객 전용 앱들이 꽤나 많다.
보안뉴스 : 그렇게 은밀하게 앱을 배포하고 싶다면 사내 이메일이나 메신저 등을 통해 설치파일을 배포할 수는 없는가? 굳이 아페리안의 서비스를 거쳐야 하는가?
미여슨 : 그렇게 배포했을 때 통제 문제는 어떻게 해결하겠는가? 예를 들어 그런 앱에 대한 보안 업데이트를 진행한다면, 또 업데이트 파일을 이메일이나 메신저로 일일이 보내면서 설치 안내를 해야 한다. 게다가 그걸 받은 사람들이 진짜 업데이트를 했는지 안 했는지 알 길이 없다. 또한 이미 사용 중에 있는 앱의 정책을 변경해야 한다면 어떨까? MAM은 그런 문제를 해결해준다.
애초에 MAM의 목표가 애플리케이션의 전 생애주기를 안전하게 관리하는 것이었다. 여기에는 개발은 물론 배포 방법까지 포함된다. 배포까지 안전하다는 건, 사용자가 기기를 어떻게 관리하든 상관없이 앱이 안전하다는 걸 의미한다. 기업이 통제할 수 있는 기기에 설치가 되든, 그렇지 않은 사용자나 파트너사 기기에 설치가 되든, MAM을 통해 배포가 된 앱은 보호를 받는다. 기기 자체 보안에 크게 영향을 받지 않는 것, 그게 MDM과의 결정적인 차이다.
보안뉴스 : 아무튼 개발자 입장에서는 MAM의 사용법을 더 익혀야 하고, 여기에다가 앱을 올리고 내리고 하는 단계를 하나 더 거쳐야 한다면 불편하지 않겠는가?
미여슨 : MAM은 앱 생애주기 보안 플랫폼이다. 개발을 마친 앱을 바이너리 상태로 여기에 올리면 다양한 보안 검사를 할 수 있다. 앱 평판 분석을 통해 구멍이 있는 곳의 코드행렬을 정확히 파악할 수 있고, 충돌이 나는 정책이나 사용자 권한 허용도 발견해낼 수 있다. 암호화, 위치 마스킹 기능 등이 있어 앱의 개별적인 래핑(wrapping)이 가능하다. 코드 수정이나 SDK도 필요 없다. 게다가 앱 서명 기능이 수분 만에 처리되기 때문에 스토어에 등록되는 시간도 매우 빠르다. 공식 앱스토어는 수일씩 걸리지 않는가? 오히려 개발과 보안을 편리하게 추구할 수 있도록 해놨다.
보안뉴스 : 굳이 악산과 손잡을 필요가 있었는가?
미여슨 : 악산의 오랜 경험과 기술력, 강력한 정책, 화이트리스트를 더하면 아페리안의 보안 점검 기능이나 정책 설정이 훨씬 강력해진다. 아페리안은 스타트업으로서 보다 더 검증된 보안 기술이 필요한 상태였다. 악산은 시큐어 코딩 솔루션부터 해서 정적, 동적 분석, 모의 해킹 및 자동화 솔루션을 시장에 내놓은 업체다. 어떻게 보면 다년 간의 포트폴리오를 통해 앱 개발의 생애주기 보안을 다뤄온 곳이라고도 볼 수 있다. 악산의 그런 과정이 어떻게 보면 아페리안을 통해 압축적, 통합적으로 제공될 수 있는 것이다. 즉 서로가 추구해왔던 바가 맞았던 것이라고 볼 수 있다. 악산은 아마 아페리안에게서 자신들의 지난 역사를 보았을 것이고, 아페리안은 악산이라는 강력한 보강책을 본 것이다. 우연히 미국 동부에 같이 있기도 했고…
보안뉴스 : 보통은 영역을 확장하기 위해 M&A를 하는데, 둘은 오히려 한 곳을 더 깊이 파고들려고 M&A를 한 것처럼 보인다.
미여슨 : 모바일 애플리케이션이란 분야에 더 집중하고자 함은 맞다. PC 생태계에서도 비슷한 서비스를 제공할 수 있지만, 그렇게 하고 있지 않으며, 당분간 그럴 계획도 없다. 이렇게 보면 악산과 아페리안이 모바일 앱 보안 시장만을 노리고 힘을 합한 것이라고 볼 수 있다. 하지만 모바일 기술은 결국 사물인터넷으로 귀결된다. 그래서 이번 M&A는 사물인터넷 보안 시장을 염두에 둔 움직임이기도 하다. 굳이 모바일의 장인이 되기 위해서 M&A를 했다고만은 볼 수 없다.
좀 더 크게 보면, 애플리케이션의 안전한 개발 문화를 이끌어내는 것에도 두 회사의 비전이 맞닿아 있다. 현재 사물인터넷 생태계의 가장 큰 문제점은 개발자 혹은 제조사들이 보안을 불편해 한다는 것이다. 지금 상태의 MAM이 이 문제의 완벽한 해결책이라고 볼 수는 없지만, 보안도 편리해야 한다는 화두를 업계에 던질 수 있을 것으로 기대한다. 개발자들의 인식 전환만을 꾀하는 것은 답이 아니라고 본다. 보안도 좀 더 살가워져야 한다.
보안뉴스 : 한국에도 런칭을 하기 위해 방한했나?
미여슨 : 그렇다. 현재 로컬라이징 작업을 시작한 단계이며, 한국의 엔시큐어를 통해 서비스가 제공될 것이다. 이미 불어, 독일어, 스페인어, 네덜란드어, 태국어 등으로 서비스가 되고 있기 때문에 로컬라이징 작업이 생소하지 않다. 조만간 한국 여러 기업들의 ‘우리만의 private 앱 시장’ 수요가 해결되리라 본다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
