“방화벽, 이젠 바꿔야 할 때다(It's time to fix the Firewall)”라는 구호를 들고 등장한 미국업체인 팔로알토네트웍스가 국내 보안 시장에 출사표를 던졌습니다. (관련기사 팔로알토네트웍스, 국내 ‘차세대 방화벽’ 시장 공략 본격화)

지사는 없지만 유퀘스트, 윌스텍 등 4개의 국내 공급 파트너사가 팔로알토의 차세대 방화벽(PA 시리즈) 공급을 본격적으로 시작했습니다.

이들의 이야기를 들어보면 앞으로 ‘차세대 방화벽’은 충분히 관심가질 만한 이슈입니다.

기존의 방화벽이 못했던 기능인 애플리케이션과 사용자, 콘텐츠를 인식하고 통제하면서도 기존의 통합위협관리(UTM)이 엔터프라이즈 시장까지 확대되지 못했던 단점인 성능저하 문제도 해결했다는 평가를 받으면서 팔로알토는 해외 시장에서 꽤 주목받고 있습니다.

국내 기업과 시장에서는 그동안 이런식의 이야기에 워낙 많이 속아(?)온 터라, 혁신을 이뤘다는 ‘차세대’ 방화벽이 의심의 눈초리를 딛고 제대로 인정받을 수 있을 때까지는 일정한 검증의 시간이 필요할테지만요.

포트와 IP주소 차단 중심에서 애플리케이션, 사용자, 콘텐츠 인식하는 방화벽으로

팔로알토가 주창하는 차세대 방화벽은 애플리케이션과 사용자, 콘텐츠를 인식해 통제하는 기능을 핵심으로 합니다.

사용자 삽입 이미지
국내 사업을 본격화하기 위해 최근 방한한 PK(Pun Kook) 림 팔로알토네트웍스 아세안 및 북아시아지역 비즈니스 총괄 부사장은 “IP주소와 포트넘버를 통제하는 방화벽은 이제 한계에 왔다. 15년 전에 개발된 방화벽의 통제 방식은 애플리케이션과 사용자, 콘텐츠를 인식해 이를 정확히 통제하는 기능으로 바뀌어야 한다”고 강조했습니다.

기존 전통적인 방화벽이 IP주소와 포트, 프로토콜에 기반에 트래픽을 허용하거나 차단하는 기능은 복잡한 로그만을 보여줄 뿐 더이상은 이제 무의미하다는 것인데요.

한마디로 말해, 웹2.0 시대에 걸맞게 방화벽도 이젠 변화해야 한다는 주장입니다.

림 부사장은 “기업은 애플리케이션이 변화하고 애플리케이션을 통한 위협도 증가하면서 방화벽이 하지 못하는 역할을 보조하기 위해 침입탐지시스템(IDS), 침입방지시스템(IPS), URL 필터링, 웹방화벽 등 보안 제품의 개수를 늘려왔지만 여전히 문제는 해결되지 않고 네트워크의 복잡성만 높이고 유지보수 비용을 증가시키는 결과를 불렀다”고 지적했습니다.

이어, “멀티기가비트에서 10기가비트의 속도로 애플리케이션과 콘텐츠, 사용자를 인식해 통제하는 차세대 방화벽이 네트워크에 대한 가시성을 확보할 수 있고, 보안위협을 막을 수 있다”고 덧붙였습니다.

메신저와 이메일, 소셜네트워크서비스 등 각종 웹2.0 애플리케이션 사용이 널리 확대되는 상황에서, 방화벽이 애플리케이션과 각종 콘텐츠를 누가 사용하는지 알고 대응해야 적절한 보안 인프라를 갖출 수 있다는 것이 키입니다.

애플리케이션을 주축으로 큰 변화가 일고 있지만 방화벽 기술은 예전 그대로인데, 이젠 바꿔야 한다는 겁니다.

“포트 숫자가 애플리케이션이 아니고, IP주소를 사용자로 볼 수 없고, 패킷이 곧 콘텐츠가 아니다”라는 건데요.

팔로알토가 만든 동영상입니다. 이 동영상에 이들이 이야기하는 바가 압축돼 있습니다.

“방화벽이 여러 영문모를 로그 말고 네트워크의 모든 애플리케이션을 자세히 볼 수 있는 능력과 이를 통제하는 기능을, 모든 애플리케이션을 포트번호, 프로토콜과 상관없이, 심지어 암호화된 SSL 애플리케이션도 분석가능하다면? 애플리케이션과 연관된 특정 위협을 보여줄 수 있고, 더 나아가 의심스런 애플리케이션과 악성코드를 방역하고 신용카드번호, 주민번호 등 민감한 정보까지 막을 수 있다면요? 그리고 더 많은 기능을 10기가비트 성능으로 제공한다면?”

소감이 어떠신가요?

괄목할 성장, 네트워크 보안 시장 파장 불러온 팔로알토

팔로알토네트웍스는 지난 2005년에 설립됐는데요, 두명의 창립자는 전세계 네트워크 방화벽을 발명(?)했다고 해도 과언이 아닌 인물입니다.

창립자 중 한명이면서 현재 팔로알토의 CTO인 니어 주크(Nir Zuk)는 대표적인 방화벽 업체인 체크포인트의 첫 엔지니어로, 방화벽 표준기술이라 할 수 있는 스테이트풀 인스펙션 기술을 개발했다고 합니다.

주니퍼네트웍스가 인수한 넷스크린이 이전에 인수했던 원시큐어를 설립했었고, 주니퍼에서 CTO까지 역임했던 사람이랍니다. 원시큐어는 첫 침입탐지방지시스템(IDP) 을 개발한 회사랍니다.

공동 창업자이자 최고아키텍트(Chief Architect)를 맡고 있는 유밍마오(Yuming Mao)씨는 넷스크린의 엔지니어 출신으로, 하이엔드 방화벽을 설계한 사람이랍니다.

이들은 네트워크 보안 트렌드를 선도한 족적을 보여줍니다.

이들의 명성과 시장 상황에 맞는 한발 앞선 아이디어와 제품 때문인지 팔로알토는 지난 2007년에 PA 시리즈를 출시한 지 3년 만에 벌써 50개국에서 1800개가 넘는 고객사를 확보했다는데요. 포춘 500대 기업에 포함된 기업들도 상당수 고객사로 확보하고 있답니다.

세계적인 시장조사기관인 가트너는 2010 엔터프라이즈 네트워크 방화벽 매직 쿼드런트에 이 회사를 비저너리군에 포함시켰습니다.

또 작년 10월, ‘차세대 방화벽’을 정의한 보고서를 내놓았죠. 여기에 담긴 보고서는 팔로알토 제품의 요건에 부합합니다.

림 부사장은 “팔로알토는 매년 300%씩 성장하고 있으며, 최근 3년간의 성장률은 그간 짧은 시간에 큰 성장을 이룬 것으로 지목됐던 리버베드, 포티넷의 기록을 깼다”고 설명했습니다.

애플리케이션 콘트롤 이슈 부각, 차세대 방화벽 경쟁은 이미 시작

팔로알토의 두드러진 성과 때문인지, 아니면 많은 진짜 시장 요구 때문인지 ‘차세대 방화벽’은 네트워크 보안 시장에서 화두가 될 조짐을 보이고 있습니다.

내노라하는 네트워크 보안 업체들인 시스코시스템즈, 주니퍼네트웍스, 체크포인트 모두 차세대 방화벽 또는 자사 방화벽에 추가할 애플리케이션 콘트롤 모듈이나 블레이드를 내놓을 준비를 이미 마친 상태입니다.

시스코시스템즈는 ASA 방화벽에 차세대 방화벽 신기술을 적용할 계획입니다. 사용자 신원을 식별과 다양한 상태정보를 기반으로 한 동적인 방화벽 정책 적용 신기술을 8.4버전부터 지원할 예정입니다. 고객은 소프트웨어 업그레이드만 하면 이 기능을 사용할 수 있는데요, 신버전은 연내 선보일 것으로 예상됩니다.

주니퍼네트웍스는 SRX 방화벽에 추가되는 애플리케이션 보안 관련 솔루션을 잇달아 선보이고 있습니다.

지난 5월, 네트워크상에서 사용되는 애플리케이션의 유형을 확인해 사용량 통계 등 가시성을 제공하는 ‘앱트랙(AppTrak)’을 이미 내놨습니다. 또 연말께에는 기업 정책에 따라 소셜네트워크서비스, 메신저, P2P 등 특정 애플리케이션 사용을 막거나 통제할 수 있는 ‘앱아이덴티피케이션(AppIdentification)’을 연말에 선보일 예정입니다.
(관련기사 주니퍼, 차세대 데이터센터 ‘뉴네트워크’ 2011년 실현)

방화벽 강자인 체크포인트도 자사의 확장형통합위협관리(XTM) 보안 제품에 적용되는 ‘애플리케이션 콘트롤 블레이드’를 발표하면서 올 9월 출시를 예정하고 있지요.

체크포인트는 지난해 를 인수하면서 인터넷 애플리케이션 관련 대응을 크게 강화했습니다.

‘애플리케이션 콘트롤 소프트웨어 블레이드’는 4500개 이상의 인터넷 애플리케이션 라이브러리인 ‘앱위키’와 체크포인트가 보유한 유저체크 기술 등을 기반으로 웹2.0 애플리케이션 사용 관련 가시성을 제공하고 정책을 조정하고 통제합니다.
(관련기사 체크포인트, 웹 애플리케이션 보안 SW 블레이드 발표)

국내 업체인 시큐아이닷컴도 애플리케이션 콘트롤 기능을 자사 방화벽에 적용하거나 이 기능을 포함한 차세대 방화벽 신제품을 내놓기 위해 2년 전부터 준비해 왔다고 합니다. 내년 하반기 출시가 목표라고 하네요.

이미 차세대 방화벽, 또는 기업에서 사용하는 애플리케이션과 사용자의 가시성 확보, 통제 지원 기능은 네트워크 보안에서 중요한 이슈로 부각하고 있다고 보여집니다.

림 부사장은 이같은 경쟁사의 움직임에 “방화벽은 L3-L4이고, 애플리케이션은 L7이기 때문에 애초에 설계할 때 L7단까지 고려하지 않았다면 모듈이나 블레이드형은 기존 UTM처럼 성능 저하를 불러올 수 있을 것”이라며, “경쟁사들이 우리를 쫓아오려면 2~3년 이상 시간이 걸릴 것”이라고 말하며, 강한 자신감을 나타냈습니다.

국내와 세계 시장에서 팔로알토가 성공가도를 계속 달릴 지 주목됩니다.

2010/08/13 15:43 2010/08/13 15:43

한글과컴퓨터(한컴) 인수전이 막바지에 들어서고 있습니다. 5일, 우선협상대상자가 3개로 좁혀졌는데요, 누가 새 주인이 될 지 관심이 모아집니다.

이날 우선협상자로 선정된 최종 후보군은 한림건설-하우리, 소프트포럼, 하나온-네오플럭스-세븐코스-파로스인베스트먼트코리아 컨소시엄으로, 셋 중 한곳이 한컴을 차지하게 됩니다. (관련기사 한컴 매각 우선협상 대상자 3곳 선정)

그런데 한컴 인수전에 유독 보안업체들의 참여가 두드러집니다. 적어도 작년 초와 올해 치러진 인수전에는 그랬습니다.

초반부터 적극적인 인수 의지를 밝힌 SGA를 비롯해 안철수연구소, 소프트포럼이 단독으로 참여했고 한림건설과 컨소시엄을 구성한 하우리도 보안업체입니다.

소프트포럼은 1년 전에 있었던 인수전에도 참여했었습니다. 그땐 한컴을 인수할 최종 후보자로 넥스지가 이름을 올리기도 했었군요. 물론 넥스지는 전날까지도 인수하는 것으로 알고 있다가 뒤통수를 맞고 결국 셀런에게 한컴이 돌아갔었죠.  

올 초 <정보보안산업 15주년 기획>을 하면서 어느덧 보안업체들이 소프트웨어 산업의 주역으로 성장해가고 있다는 기사를 쓴 적이 있습니다. 어쩌면 이번에 국민기업, 국내 대표 소프트웨어 기업인 한컴 인수에 보안업체들이 적극 참여한 양상도 이를 보여주는 하나의 사례가 아닌가 싶습니다.

보안업체들은 대부분 소프트웨어 업체들입니다. 아직도 국내 전체 보안 시장은 NHN의 매출 규모에도 못 미칠 정도로 작은 규모이지만, 티맥스소프트나 핸디소프트와 같은 기존 국내 소프트웨어 기업들이 맥을 못추며 곤두박질치는 상황에서도 많은 보안업체들에게선 밝은 미래와 희망을 엿볼 수 있습니다.

보안업체는 이제  ‘영세기업’이 아닙니다. 인수는 생각지도 못하고 오직 인수합병 매물로 나올 가능성만 있다고 치부해서는 더더욱 안됩니다.  

필요하다면 스스로 괜찮은 회사를 물색해 인수를 추진할만큼 자금력이 탄탄하고 자기 브랜드와 기술력으로 소프트웨어 사업을 벌이면서 계속 성장해나가고 있는 회사들이 꽤 있습니다.

물론 1, 2차 우선협상대상에 이름을 올린 보안업체들 - 소프트포럼, 하우리, SGA -은 대주주나 경영자 개인이 탄탄한 자금력을 갖고 있거나 다 자기자본은 아닐지라도 그만한 현금동원력을 가진 곳입니다.

저마다 한컴 인수에 나선 목적이 조금은 다를 수 있습니다. 그 중에선 혹시 기존 회사의 사업과 시너지를 내고 보다 회사를 발전시키겠다는 것 자체에 더 많은 관심을 갖고 있기 보다는 한컴의 다른 활용가치에 더 무게를 둔 곳이 있을 수 있겠죠. 결과적으로 한컴의 현금으로 유동성 위기에 빠진 계열사를 지원했던 셀런이 그랬던 것처럼요.

그래도 이들 업체는 자기시장과 자기제품으로 보안 소프트웨어 시장에서 열심히 사업을 벌여나가고 있는 곳이기에 사업 시너지 효과면에서 기대를 걸만 합니다.

하우리는 이번 한컴 인수전에 친분이 두터운 한림건설 회장의 제의에 응해 참여하게 된 것으로 알려졌습니다.

가까운 친인척 관계로 신뢰관계가 형성돼 있는데다가 하우리는 10년이 넘게 소프트웨어 사업을 벌여온 회사여서 한컴 인수에 유리하게 작용할 수 있기 때문입니다.

지분관계 등 향후 구체적인 방향은 일단 확실히 낙점돼야 하겠지만 건설업보다는 하우리가 벌이는 사업과 시너지 효과를 낼 수 있다는 점은 분명합니다.

더욱이 오래전인 2003년에 한컴은 하우리 인수를 검토했던 적도 있습니다. 7년 뒤인 지금은 상황이 역전됐지만요. 지난 2008년에도 한컴은 향후 지분인수를 장기 목표에 두고 그 첫단계로 하우리와 총판계약을 맺어 보안 제품을 공급 및 유통 사업을 했던 적도 있습니다.

프라임그룹이 주인으로 있던 막바지 시점이었는데요, 이 사업을 적극 추진했던 임원이 갑자기 그만두고 내부사정이 어지러워지며 큰 성과를 내지 못하고 흐지부지 됐었습니다. 

이렇게 긴 시간을 두고 여러차례 제휴·협력이나 인수 등이 추진된 것은 두 업체간 사업시너지는 충분하다고 여겨지기 때문일 겁니다.

더욱이 한컴의 경쟁요소 중 하나인 ‘씽크프리’와 하우리가 신규 사업으로 진행하는 모바일 보안 사업을 결합해 큰 성장동력을 창출할 수 있습니다.

또 만일 하우리가 한컴을 인수해 서로 합병한다면, 하우리는 코스닥에 다시 입성할 수도 있습니다. 그리고 한정된 보안사업 영역을 탈피해 소프트웨어 업체로 확장해나갈 수 있겠죠.

공공시장은 하우리도 한컴 이상으로 충분한 영업력을 확보하고 있지만, 교육 시장 등 한컴이 강점을 바탕으로 자기시장을 더욱 확대, 강화할 수 있습니다.

소프트포럼의 경우엔, 일단 대표이사인 김상철 회장이 M&A의 귀재로 알려져 있다는 점이 가장 먼저 생각이 나는 것이 사실입니다. 개인의 자금력도 상당한 것으로 전해집니다.

김상철 회장이 소프트포럼의 오너가 된 후 투자 M&A 회사인 SF인베스트먼트와 국내 유망기업을 발굴해 투자금을 조성하고 해외 증시에 상장시키는 등 해외에 진출시키는 사업을 하고 있는 캐피탈익스프레스를 설립했죠.

소프트포럼은 지난 7월에도 전기자동차업체인 ATTR&D의 유상증자에 참여해 2대 주주(13.41%)로 등극했습니다. 이 때문에 소프트포럼 주가는 연속 상한가를 기록했습니다.

이처럼  최근들어 소프트포럼 이름으로 지분인수 등 M&A 관련 일이 적극 추진되네요.

그동안 김 회장은 소프트포럼이 진행하는 보안소프트웨어 사업에는 크게 관여하지 않는 것으로 알고 있습니다.

다만 소프트포럼이 만든 ‘코드게이트’라는 해킹방어대회 및 보안컨퍼런스는 김상철 회장 의지로 만들어져 운영되고 있는 행사입니다. 지식경제부, 행정안전부 등 정부가 하는 행사처럼 보이고자 하고 있지만요. 정부나 방송사 등 언론, 각종 협단체의 힘을 더해 국내를 대표하고 세계적인 행사로 키우는 것을 목표로 하고 있습니다. 무엇보다 시기적으로 정부의 요구와도 딱 맞아떨여졌습니다.

국민기업이자 대표 소프트웨어 기업 명성을 가진 한컴이 이름을 더욱 드높이고 이익까지 실현해준다면 훌륭할 것입니다.

또 여전히 소프트포럼은 소프트웨어 개발·공급을 주력으로 하고 있는 업체입니다. 공개키기반구조(PKI) 및 공인인증 관련 분야에서는 1~2위를 다투는 대표적인 기업입니다. 이러한 솔루션이나 DB보안 제품 등이 금융권과 함께 주력하는 공공 시장 영업을 강화할 수 있습니다.

당연히 IT시장 핫이슈인 스마트폰 관련 신규 분야 진출에 활용할 수도 있습니다.

종 결과가 어떻게 나오든, 회사를 창업한 이찬진씨가 회사를 내놓은 뒤 지난 10년 간 8번이나 주인이 바뀌면서 우여곡절을 경험한 한컴이 새주인을 제대로 만나 사업을 일구고 회사 비전을 실현하는데 집중할 수 있길 바랍니다.

그런데 소프트포럼과 하우리가 우선협상대상에 선정돼 한컴 인수 가능성이 높아졌다는 언론 보도가 잇따르면서 상승세를 보였던 한컴의 주가는 이날 크게 떨어졌습니다. 반면 소프트포럼 주가는 급등했죠. 물론 다시 급하강했지만요.

사용자 삽입 이미지

그런 면에서 보안업체들이 시장에 확실한 성공비전이나 신뢰를 주기엔 아직 갈 길이 먼 것 같긴 합니다.


 

2010/08/06 10:16 2010/08/06 10:16

사용자 삽입 이미지
안철수연구소가 그간 온라인 다운로드 방식으로만 제공해온 개인용 종합 PC 보안·관리 솔루션 패키지 제품인 ‘V3 365 클리닉 PC 주치의’를 출시하면서 전국 49개 ‘홈플러스’ 매장에서 판매하기 시작했습니다.

소프트웨어를 돈을 주고 사는 것이 일반화돼 있는 미국이나 일본에서는 백신 제품도 유통점에서 쌓아놓고 판매하고 있다지만, 대형할인점에서 개인용 보안 패키지를 판매하는 것은  국내에서는 처음이라네요.  

‘V3 365 클리닉’은 그간 온라인 다운로드 방식으로만 제공됐는데요, 이번에 패키지 제품이 출시됐습니다.
이 제품명에 붙은 ‘PC주치의’는 ‘V3 365 클리닉’의 핵심 서비스입니다.

안철수연구소의 전문가들이 원격으로 사용자 PC에 접속해 악성코드 감염 등의 보안 문제나 프로그램 오류 등으로 생긴 PC 장애를 해결할 수 있도록 도와주는 고객지원 서비스입니다. 소프트웨어 사용 방법을 잘 모르는 사용자들도 도와줍니다. PC 사용에 친숙하지 않은 분들에게는 유용하겠죠.

그래서인지 ‘V3 365 클리닉’은 고객 만족도가 계속 높게 유지되고 있다고 합니다.

이 패키지를 한번 구매한 사용자는 이 ‘PC주치의’ 서비스를 1년 간 필요한 만큼 받을 수 있습니다.

사용자 삽입 이미지
재미있는 점은 안철수연구소가 국내 최초로 대형 할인점에 이 패키지 제품을 출시하면서 안철수 박사(카이스트 교수)를 제품 모델로 등장시킨 것입니다.

다들 아시다시피, 안철수 박사는 22년 전 지금은 ‘V3’로 불리는 토종 바이러스 치료 소프트웨어 ‘백신(Vaccine)’을 국내 최초로 개발한 인물입니다. 지금은 안철수연구소의 경영일선에서 떠나 카이스트 교수로서 후학 양성과 벤처 생태계 조성에 힘쓰고 있습니다.

사람을 고치는 ‘의사’에서 악성코드에 감염된 PC를 치료하는 백신 개발자로 성공해 주목을 받았었고, 이후 성공한 경영인으로, 교수로서 사회에서 존경을 받고 있습니다.

원조 ‘PC 주치의’라 할 수 있는 그는 이번 ‘V3 365 클리닉 PC 주치의’ 모델로는 최적이 아닐 수 없습니다.

어느 때보다 사용자 보안인식과 보안생활화가 강조되는 이 때, 안철수 박사와의 이미지가 국내 개인사용자 보안수준 제고에 긍정적인 영향을 미칠 수 있습니다.

특히, 대형 할인점은 여성뿐만 아니라 남성, 즉 부부와 아이들까지 가정구성원들이 함께 나와 먹거리 장만도 하고, 가정에 필요한 각종 물품을 살 수 있는 곳입니다. 아이들 장난감, 옷, 가전제품, PC 및 주변기기까지 없는 게 없습니다. ‘홈플러스’ 매장에 국한되긴 합니다만, 이제는 보안 소프트웨어까지 판매합니다.

안 박사는 작년에 인기 TV 프로그램 ‘무릎팍도사’에 출연하면서 자녀 교육에 관심이 높은 부모들에게 큰 반향을 일으키기도 했었죠. 매장에 진열된 V3 패키지를 보거나 사면서 부모는 컴퓨터로 인터넷과 게임을 하는 아이들에게 백신이 무엇인지, 왜 필요한지를 설명하면서, 그리고 직접 사면서 보안의식을 함양시킬 수 있는 교육의 장으로 활용한다면 좋겠네요.

사실 안철수 박사가 모델이 된 것은 이번이 처음은 아닙니다.

사업 초창기인 1996년 ‘V3 프로 95’ 제품을 출시할 때 패키지 모델이 된 적이 있었습니다. 바로 이 사진입니다.
사용자 삽입 이미지

TV와 신문 등 언론매체 광고 모델이 된 적도 있습니다. 이 광고는 저도 생생히 기억하는데요. “안철수가 변했다”는 카피와 함께 형형색색으로 물들인 요상한(?) 머리스타일로 변신한 안철수 박사가 광고 모델로 등장했었습니다.
사용자 삽입 이미지

지난 2000년, 안철수연구소가 CI를 새롭게 바꾸고 로컬 백신 기업에서 글로벌 통합보안 기업으로 변신하겠다는 의지를 담은 광고였다고 합니다. 아래는 추억의 예전 안철수연구소 CI입니다.
사용자 삽입 이미지

그리고 10년... 안철수연구소는 글로벌 통합보안 기업이 되기 위해 계속 노력하고 있습니다.

물론, 일각에서는  “또다시 ‘안철수 박사’를 모델로 내세움으로써 안철수연구소가 그 이름아래 안주해 편한 길을 가려하고 있는 것이 아니냐”는 비판적인 시각도 있습니다.

이와 함께 “네트워크 보안 등 새로 진출한 사업분야에서 그간 두드러진 성과를 내지 못해 결국은 ‘백신’과 ‘PC보안’ 사업 중심으로 뒷걸음질 하고 있는 것”이란 냉소적 분석도 나옵니다.

이러한 평가나 추측은 현재의 안철수연구소가 딛고 넘어야 할 과제임은 분명합니다.

다만, 안철수연구소를 직접 경영하던 시절에 등장한 광고와 이번 ‘V3 클리닉 PC주치의’ 패키지 광고 모델로서의 의미는 일단 다르다고 생각합니다.

또 안 박사가 모델이 된 V3 패키지 출시가 ‘V3’ 제품(보안기술)의 또 다른 획기적인 진화, 개인용 무료백신 시대에 개인용 보안관리 유료 서비스 확산 분수령이 됐으면 합니다.

그리고 보안 제품뿐 아니라 일반 소프트웨어 제품이 유통점에서 ‘유료’로 판매되는 모델이 이번 기회를 계기로 우리나라에서도 점점 자리잡아 나가길 바라마지 않습니다.

이 제품으로 홈플러스 매장 판매를 시작한지 보름정도 지났는데요. 안철수연구소에 물어보니 의외의 지역인 안산 지역 매장에서 가장 잘 판매되고 있다고 합니다. 컴퓨터와 관련 주변기기도 원래 안산 매장이 잘 팔린다고 하네요. 조금은 의외였습니다.

앞으로 안철수연구소는 다른 유통점으로도 이 제품 판매를 계속 확대할 계획이라고 합니다.


 

2010/07/27 16:16 2010/07/27 16:16

13일 청와대가 발표한 수석급 인사 명단에 김희정 한국인터넷진흥원(KISA) 원장이 올랐습니다. <관련기사 김희정 KISA 원장, 청와대 대변인 내정, KISA, 당분간 원장 직무대행체제…신임원장 공모 진행 예정>

김 원장은 작년 7월 23일 출범한 통합 한국인터넷진흥원 초대원장 자리를 물러나 청와대 대변인으로 옮기게 됩니다.

원장 임기 3년 중 1년도 다 채우지 못하고 가게 됐습니다. 이제는 인터넷진흥원 ‘원장’이 아니라 청와대 ‘대변인 내정자’로 불러야겠습니다.

이번 인사까지 포함해 김 대변인 내정자는 이제 항상 화제를 몰고 다니는 인물이 되고 있군요.

서른세살의 나이로 17대 한나라당 국회의원이 됐을 때에는 최연소 당선자였던 것을 비롯해 작년에 한국정보보호진흥원, 한국인터넷진흥원, 정보통신국제협력진흥원이 통합해 출범하는 거대 정부의 IT산하기관 초대원장으로 최초의 여성원장, 가장 젊은원장이 됐습니다.

젊은 나이와 경험, ‘한나라당’ 국회의원 출신이란 점이 더해져 원장 선임과 취임까지 많은 우려와 함께 뒷말도 많았었습니다. 이번에도 김 원장의 청와대 인선을 두고 결국은 한국인터넷진흥원장직이 경력을 잠깐 만들어 주기 위해 활용됐다는 식의 이야기도 물론 나오고 있습니다.

그러나 김 원장의 지난 1년간의 평가는 대체로 좋습니다. 기관 통합작업을 성공적으로 수행했고, 국회의원 출신으로 인터넷진흥원 위상을 높이는데도 상당히 기여했다고 평가됩니다. 대국민 정보보호 인식제고 등에서도 아주 열정적이고도 두드러진 활동을 보였습니다.

특히, 그가 가진 뛰어난 언변을 보면 앞으로 청와대에서 맡을 ‘대변인’의 역할을 잘 해낼 수 있을 것으로 보입니다.

가장 문제는 출범 1년도 안돼 한국인터넷진흥원 원장직에 공백이 생기게 됐다는 점입니다.

한국인터넷진흥원은 최근 직급 및 임금체계 일원화까지 마치면서 출범 당시 가장 핵심과제였던 ‘통합’의 한고비는 넘겼지만, 현실적으로 신임원장 공모와 선출에 소요되는 두세달 정도의 공백기간, 그리고 향후 성향이 다른 신임원장과 조직원의 적응기간이 필요해 앞으로 어떤 영향을 미치게 될지 아무도 모르는 상태입니다.

현정부에서 챙겨야 할 사람의 자리를 봐주는식과 같은 합리적이지 못한 인선이 된다면 상황은 아주 나빠질 것입니다. 

사실 김 내정자가 원장임기 3년을 채울 것이란 생각은 안했습니다. 저뿐 아니라 많은 분들이 정치인 출신인 김 원장이 당연히 다음 국회의원 선거에 출마할 것이라고 예상을 했을 겁니다.

3년의 임기는 아니더라도 2년 가까이는 채울 수 있지 않을까 싶었는데요. 11개월 반은 너무 이르긴 합니다.

어찌됐든 나라에서 더 큰일에 쓰겠다고 부르니, 응해야겠지요.

김 내정자도 이러저러한 면에서 부담이 되는 듯, 트윗터에 이런 글을 남겼습니다.

사용자 삽입 이미지


“정말 긴 하루가 지나고 있습니다. 이제 더 긴여정을 가려합니다. 두렵고 설레이고 무겁고..... 함께 해주는 친구가 많았으면 합니다. 함께라면 어떤 길이라도 헤쳐갈 수 있는 그런 친구. 그런 친구가 되어 주실거죠?”

그리고 이런 글도 남겼습니다. “트윗 친구분들 중에 보안하시는 분들 많으시죠. 푸른지붕집에 정보보호를 잘 이해하고 전파시키려는 사람 한 명이 더 생겼다고 생각하고 저 응원 좀 해주세요. 이제 좀비PC 척결과 정보보호는 홍보수석실에서부터 많이 많이 전파해야죠.”

보안하는 사람들이 혹시라도 힘이 빠질까봐서일까요? 아니면 힘주기 위해서였을까요?

원장 자리를 떠나 청와대 대변인으로 가더라도 정보보호 인식제고와 관련정책에 계속 매진하겠다는 스스로의 의지를 더욱 다지고 명분도 얻고자 함이었을까요...

개인적으로는 보안인들을 생각하는 마음과 의지의 표현이 모두 함께 담겼다는 긍적적인 생각이 듭니다.

한국인터넷진흥원장으로 있으면서 했던 경험과 지식, 마음이 이후 청와대와 향후 (가능하다면)국회에서의 활동에서 더욱 빛나게 발휘되길 바랍니다.




 

2010/07/14 10:13 2010/07/14 10:13

한국IDC가 2009년 국내 정보보안 시장 조사 자료를 토대로 향후 5년 간의 보안 소프트웨어 시장을 전망한 보고서(한국 보안 소프트웨어 분석 및 전망보고서, 2010-2014)를 발간했습니다.

이 자료에 따르면, 일단 보안 소프트웨어 시장은 대체로 전망이 밝습니다. 연평균 7.6% 성장률로 오는 2014년 3161억원 규모의 시장이 형성될 것이란 예측입니다.

그러나 보안 소프트웨어 세부분야별 희비는 엇갈립니다.

IDC의 작년 시장조사 결과에서도 살펴볼 수 있는데요. 백신과 기업DRM을 포함한 콘텐츠보안 및 위협관리(SCTM) 영역은 성장세가 주춤하고(성장률 1%), ESM`TMS 등 보안관리 및 취약점관리(SVM) 분야와 암호화·DB보안·운영체제보안 등 내부보안 및 정보유출방지 영역이 포함한 기타 보안영역이 크게 성장한 것을 볼 수 있습니다.

SCTM의 낮은 성장세는 백신(안티바이러스) 시장의 축소가 가장 큰 요인이라는 점을 알 수 있습니다. IDC는 기업용 DRM 및 모바일 보안 수요에도 불구하고 안티바이러스 영역에서의 가격 경쟁 심화, 무료백신 확산으로 이같이 낮은 성장률을 보였다고 분석했습니다.

그러면 앞으로 보안 소프트웨어 시장이 어떻게 흘러갈 것인가가 더 궁금한데요. 향후에도 마찬가지입니다.

사용자 삽입 이미지

SVM이 연평균 10.7%, 기타 보안 분야가 연평균 9.6%로 가장 많이 성장할 것이라고 예측됐기 때문입니다.

다만 작년에는 기타 보안 분야 성장세가 더 두드러졌지만 향후에는 보안관리 분야가 훨씬 더 성장률이 높을 것 같네요.

SVM에는 기업 보안 시스템의 모니터링, 보안 정책 설정, 구성 결정, 취약점 검사 수행, 패치 관리, 포렌직, SIEM(System Information and Event Management), 보안 로그 통합 및 분석, 이기종 보안 기술의 싱글 포인트 관리를 수행하는 보안관리 분야가 주축입니다.

시장 규모도 2009년을 기준으로 SVM(370억원)과 IAM(360억원)이 비슷하지만, 2014년에는 SVM 시장이 기타 보안에 비해 1.8배가량 크고 IAM 시장 1.2배가량 커질 것이란 예상입니다.

그래도 보안 소프트웨어 시장에서 최대 규모를 자랑하고 있는 SCTM 분야는 2014년에도 1672억원 규모를 유지할 것으로 보입니다.

사용자 삽입 이미지

2010/07/08 08:40 2010/07/08 08:40

'씨큐비스타'라는 국내 보안업체가 DDoS 대응능력을 검증하는 전문 솔루션(넷스피어)을 발표했습니다.

세계 최초로 독자기술로 개발한 DDoS 전용 시험장비랍니다. (관련기사 DDoS 대응능력 검증 전문장비 등장)

제품은 실제와 유사한 각종 DDoS 공격 트래픽을 생성해 각 기업이나 기관의 네트워크 및 보안체계가 제대로 작동하는지, 대응능력을 평가할 수 있는 솔루션입니다. DDoS 공격에 특화돼 있는 전문 시험장비입니다. 

이 제품을 개발한 씨큐비스타의 전덕조 대표이사는 "7.7 DDoS 공격 이후 안티DDoS(DDoS 전용 탐지·차단) 솔루션이나 라우터 등 네트워크 장비, 방화벽, 침입방지시스템(IPS), L4스위치 등을 이용해 DDoS 대응체계를 구축하고 있지만, 실제 DDoS 공격 방어 능력 등을 검증할 방안과 도구가 부재하다"라고 지적했습니다. "DDoS 공격을 예방하기 위해선 대응능력을 효율적이고 제대로 평가, 검증할 수 있어야" 하기 때문에 DDoS 대응능력 검증 전문 솔루션을 개발하게 됐다는 설명입니다.

개발배경과 취지에 공감이 갑니다.

돈을 내고 보안 제품을 구매해 설치하는 이유는 미래에 발생할 수 있는 보안위협을 막고 혹시 있을 지 모를 손실을 최소화기 위해서입니다. 그래서 보안이 '보험'에 비유되기도 하는 거죠.

정부공공기관과 민간에서도 DDoS 대응체계를 구축한 것은 당연히 향후에 발생할 지 모르는 공격을 최대한 막아 피해를 최소화하기 위한 목적이지요.

백신이 악성코드 감염을 방지하거나 치료하기 위한 것이고, PC에 저장돼 있는 개인정보를 암호화하거나 이동식저장매체 등의 사용을 제어하는 이유는 정보유출을 막기 위한 것처럼요.

실제 공격이 현실화된 상황에서 투자된 보안 제품이 효용가치를 발휘하려면 현재 구축돼 있는 대응체계를 제대로 평가, 검증하는 것이 중요합니다. 계속되는 검증과정을 통해 미비점이 있다면 보완해야 보다 완벽한 대책을 마련할 수 있기 때문입니다.

DDoS 방어 장비를 설치하기 전에 제품 성능과 기능을 제대로 평가하는 것도 마찬가지입니다.

정부와 금융권에서 정기적으로 모의훈련을 실시하는 것도 같은 이유라고 생각합니다.

만일 DDoS 모의훈련이 잘못된 평가방식으로, 혹은 형식적으로 치우친다면 실제 상황에 하등 도움이 안될 것입니다.

또한 DDoS 공격 방어 장비를 도입할 때 장비의 성능과 기능에 대한 평가기준·방식이 올바르지 않다면 이 평가도 의미가 없을 것입니다.

그런 점에서 현재 DDoS와 관련한 각종 시험·평가방식은 사실 잘못돼 있습니다.

씨큐비스타도 그 점을 부각했습니다. 현재 국내에서 널리 이용되는 DDoS 대응능력 평가 또는 검증 방식이 잘못돼 있다는 점을 지적했습니다.

예를 들어, DDoS 보안 장비를 도입해 DDoS 대응체계를 구축할 때나 모의훈련을 할 때 주로 이용되는 시험장비는 네트워크 성능을 측정하는 계측기입니다. 익시아, 브레이킹포인트라는 네트워크계측장비가 가장 많이 활용되고 있답니다.

씨큐비스타에 따르면, 네트워크 장비의 쓰루풋과 레이턴시 등과 같은 성능 측정을 목적으로 하는 네트워크 계측장비를 DDoS 대응 시험에 쓰고 있으니 제대로 평가하는 것이 아니라는 겁니다.

전 사장은 "네트워크 계측장비를 이용해 생성한 트래픽은 실제 DDoS 공격 트래픽과는 차이가 있다. 때문에 제한적인 테스트만 가능하며, 또 정형화된 트래픽을 생성하기 때문에 예측가능하다는 단점을 갖고 있다"고 강조했습니다.

또 "현재는 DDoS 대응능력 평가나 검증을 제대로 할 수 있는 도구와 방법론이 없다. 특히 7.7 DDoS 공격에 이용됐던 대규모 봇넷 공격에 대한 평가는 할 수 있는 방법이 없다"라며, "DDoS 대응책을 수립하고 있는 지금 심히 우려되는 상황"이라고 진단했습니다.

그동안 각종 DDoS 대응체계 구축 사업 BMT나 DDoS 전용 방어장비 시험 수행에서 평가방식이 종종 도마에 오르며 관련 업계에서 논란이 일곤 했습니다.

대표적인 것이 국가정보원 DDoS 탐지·차단 장비 시험입니다. 작년 하반기 정부가 범정부 DDoS 대응체계 구축 사업을 긴급히 추진하면서 시중 공급되는 DDoS 보안 장비에 대한 보안성 평가 등 시험이 필요했었습니다. 국정원은 '별도지정' 제도를 통해 DDoS 장비의 시험기준과 방법을 정하고 평가를 수행해 목록에 등재했습니다.

그 때 장비의 성능 측정도 브레이킹포인트 등 두가지 네트워크 계측기를 썼던 것으로 기억합니다. 많은 업체들이 당시 평가에 불만을 드러냈었고, 그 과정에서 포기한 업체들도 있었습니다.

해 진행된 DDoS 관련 사업 BMT 등에서도 이같은 문제는 종종 제기됩니다.

공공기관, 금융기관의 DDoS 모의훈련도 네트워크 계측장비를 이용한다고 합니다.

채문창 씨큐비스타 연구소장은 "네트워크 계측장비를 이용하는 모의훈련 방식은 결국 하나도 효과를 거둘 수 없다"고 설명했습니다.

씨큐비스타는 제대로된 DDoS 공격 및 방어 능력 검증 환경을 구현할 수 있다고 자신감을 드러냈습니다.

"수억원대를 호가하는 네트워크 계측장비보다 저렴한 가격으로 이 제품을 공급해 DDoS 공격 방어를 위한 도전과제를 극복하는데 일조하겠다"는 포부도 밝혔습니다.

앞으로 '세계 최초' DDoS 전용 시험도구인 이 제품의 성능과 기능, 품질에 대한 검증도 필요할 것입니다. 

이 제품 출현이 우리나라가 DDoS 공격 방어체계를 더욱 견고히 수립할 수 있는 토대를 다지는데 기여할 수 있게 되길 바랍니다.

이번 기회에 현재의 DDoS 대응 관련 평가방식에 대한 국가정보원, 행정안전부, 한국인터넷진흥원, 금융감독원 등 관계부처·기관, 기업의 고찰이 이뤄졌으면 합니다.

2010/07/07 10:03 2010/07/07 10:03

해킹 등으로 유출된 주민번호를 이용해 타인의 명의로 ‘아이핀(I-PIN)’을 대량 부정 발급한 사건이 발생했습니다.  

이 사건으로 방송통신위원회가 개인정보보호 대책으로 적극 추진해온 ‘아이핀(i-PIN)’의 발급체계상의 허점이 처음 드러나게 됐습니다.

‘아이핀’은 인터넷상에서 과도한 주민등록번호 수집으로 인해 커지는 개인정보 유출 피해를 근절하기 위해 주민번호를 사용하지 않고도 인터넷사이트 회원으로 가입하고 이용할 수 있는 본인확인수단입니다.

인터넷상에서 주민등록번호 수집·이용이 과도하게 이뤄지는 상황에서 주민번호 대신에 ‘아이핀’을 사용해 심각한 개인정보침해사고의 근원인 인터넷상에서 주민번호 사용을 줄여나가고, 해킹 등으로 유출된 주민번호 도용 피해도 막자는 취지에서 지난 2005년 정보통신부가 만든 것입니다.

그런데 ‘아이핀’이 명의도용, 개인정보침해에 악용됐습니다.

‘아이핀’을 발급하려면 서울신용평가정보, 한국신용정보, 한국신용평가정보, 한국정보인증, 코리아크레딧뷰로 등의 본인확인(인증)기관 사이트에서 주민번호와 성명, 비밀번호 등을 입력한 후, 공인증서나 신용카드, 휴대전화 번호, 대면확인 방식을 골라 신원확인 절차를 거치면 됩니다. 

이번에 경찰에 검거된 일당은 유출된 주민번호와 휴대폰 대리인증, 대포폰과 무기명선불카드(기프트카드)로 아이폰 발급에서의 신원확인 절차를 모두 통과해 총 1만3000여 개의 ‘아이핀’을 발급했다고 합니다.

또 부정발급한 아이핀을 이용해 게임사이트나 포털사이트 계정을 만들고 광고메일을 보내는데 이용됐습니다.

대리인증은 명의도용 우려가 제기돼 지난해 방통위는 청소년과 외국인의 경우에만 허용하는 방식으로 제한했습니다.

문제는 기프트카드와 대포폰인데요. 기프트카드는 한 카드사가 발급하는 기프트카드가 횟수의 제한 없이 사용자의 등록·변경이 가능하다는 허점을 노려 신원확인 방식에 사용했기 때문입니다.

이 카드사는 신용카드번호가 아닌 기프트카드를 ‘아이핀’ 발급을 위한 본인확인 수단으로 사용한 것을 허용했습니다. 신용카드를 이용한 ‘카드인증’ 방식에 기프트카드를 써도 되는 것이 참 의아합니다.  

방통위는 이에 대해 “금융위원회의 판단을 기대하겠다”는 입장입니다. 또 “원래는 기프트카드를 신원확인에 이용하려면 공인인증서를 통한 인증 절차를 거쳐야 하는데, 본인확인 절차를 제대로 거치지 않고도 수수료를 받고 이를 아이핀 발급 수단으로 이용하도록 했기 때문에 해당 카드사에 강력한 제재를 요청할 것”이라고도 방통위 담당과장은 말했습니다.

아이핀 정책을 제대로 펼치기 위해선 주무부처인 방통위와 금융위원회 등 금융감독당국과 세부적인 협조와 그에 맞는 관리감독이 선행됐어야 했는데, 미비했던 것입니다.

대포폰을 이용할 경우에는 완전히 사전에 막기는 어렵고, 다만 스팸 대책과 연관해 대포폰 전화번호로 발급된 아이핀을 추적·검증해 사후에 사용중지 조치를 수행한다는 방침입니다.

결국 이번 사건은 인터넷상에서 주민등록번호를 대체하는 본인확인 수단으로 전국민이 사용할 수 있도록 하려면 총체적인 관리체계를 더욱 개선해야 할 필요가 있다는 점을 보여줬습니다. 

방통위는 그간 ‘아이핀’ 이용을 활성화하기 위해 편의성을 개선하는데 중점을 둬 왔는데요, 총체적인 보안관리체계 수립에도 더 박차를 가해야 할 것입니다.  이번에 발견되지 않은 허점이 있을지도 모릅니다.

또 이미 그간에도 본인확인기관의 보안성, 이들의 법적근거 미비 등 신뢰성 우려가 제기되지 않은 것도 아니기 때문입니다. 

개인정보보호를 위한 ‘아이핀’ 활성화의 선결조건은 다름 아니라 ‘아이핀’ 발급·운영·관리·사용체계 전체의 신뢰성이 담보돼 있어야 합니다. 

더욱이 2015년까지 인터넷상에서 ‘아이핀’을 의무사용토록 하려면, 전국민이 인터넷상의 ‘주민번호’로 대신 사용토록 하기 위해선 안전성이 보장돼야 할 것입니다.

그래도 부정발급으로 확인된 ‘아이핀’을 즉각적으로 사용중지 조치할 수 있다는 게 다행스러운 감은 있습니다. 가능하다면 경찰 수사나 이용자들의 ‘우연한 발견’에 의해서가 아니라도 부정 발급·사용된 ‘아이핀’을 즉각 확인해 걸러낼 수 있다면 좋겠습니다.  

2010/06/07 18:40 2010/06/07 18:40

행정안전부와 한국인터넷진흥원이 조달청을 통해 30개 기관이 제공하는 전자정부 서비스에 정보보호관리체계를 적용하는 G-ISMS 인증 컨설팅 사업을 최근 발주했습니다. (관련기사)

추정 사업규모(예산) 12억원으로, 정보보호컨설팅 사업으로는 역대 최대규모로 꼽힙니다.

물론 경영·IT컨설팅 등 다른 분야 컨설팅 사업과 비교하면 우스운 규모 수준이겠지만, ‘이젠 단일 정보보호컨설팅 사업도 10억원이 넘는 규모로 진행될 만큼 중요해지고 있구나.’라는 생각이 들 정도 입니다.

이 사업은 전자정부 정보보호 수준제고를 목표로 중앙행정기관과 그 소속기관, 광역·기초자치단체, 국공립 대학이 제공하는 30개 서비스를 대상으로 합니다.

그런데 이 사업은 유찰됐습니다. 지식정보보안컨설팅 전문업체들 아무도 이 사업에 참여하지 않았기 때문입니다.

보통 대규모 사업이 나오면 당연히 업체들이 너도 나도 참여해 수주전을 펼칠 것으로 예상했는데요. 의외입니다.

관련업계에서는 당연히 이 사업에 정말 참여하고 싶지만 현실적으로 참여하기 어려운 사업이라고 입을 모으고 있습니다.

그 이유는 입찰 제안조건이 아주 까다롭기 때문입니다.

정부의 정보보호컨설팅 사업 입찰은 일단 '지식정보보안컨설팅 전문업체'로 지정받은 업체만 참여할 수 있도록 돼 있습니다.

현재 전문업체는 롯데정보통신, 시큐아이닷컴, 안철수연구소, 에이쓰리시큐리티, 인젠, 인포섹, STG시큐리티 7곳입니다.

이 중에서 시큐아이닷컴과 인젠은 사실상 컨설팅 사업에 참여할 수 없는 상황입니다. (시큐아이닷컴은 컨설팅 사업을 접은 거나 다름없다할만큼 크게 축소한 상태이고, 인젠은 내부 사정이 복잡합니다.)

그렇다면 5개 업체만 주사업자로 참여할 수 있습니다.

사업 규모가 큰 만큼 투입해야 하는 컨설팅 인력이 많기 때문에 이 사업에는 단일 업체가 자사 인력만으로 참여할 수는 없는 상태라고 하는데요.

컨설팅 투입 및 상주 인력 수와 등급을 정해놓은데다, 주사업자 투입인력을 전체의 50% 이상으로 정해놨기 때문에 부담스럽다는 것이 업체들의 이야기입니다.

정보통신기반시설 취약점 진단 등 공공과 민간 분야에서 정보보호 컨설팅 사업이 최근 많이 발주되고 있는데, 다른 사업을 포기하고 이 사업에 ‘올인’할 수는 없기 때문입니다 .

그렇다고 이 사업을 위해서 컨설팅 인력을 왕창 뽑기도 어렵지만, 뽑더라도 하반기 수요가 가뭄일 때는 그 인력을 유지하는 것이 힘들기 때문입니다.

이해를 돕기 위해 관련 제안요청서 내용을 붙여보겠습니다.

- 컨설팅 투입인력은 기관당 중급인력 4인 이상을 원칙으로 하되 투입인력 중 2명 이상은 최근 3년 이내에 ISMS, ISO27001 분야의 보안컨설팅 경험이 있는 인력으로 배치하여야 하며,

- 상주인력 중 1명은 고급이상의 인력으로 투입하여야하며, 인력 상주로 발생하는 모든 비용은 제안사에서 부담하여야 함

- 주사업자 투입인력은 전체인력의 50% 이상이어야 하며, 투입인력 전원은 입찰마감일 현재 당해 소속사의 직원으로 1년 이상 근무한 경력이 있어야 함

- 본 사업에 참여하는 인력 중 50% 이상은 국내 또는 국외 정보보호 관련 자격증(ISMS, ISO27001, SIS, CISA, CISM, CISSP 등)을 보유하여야 함

20일이 조달청 전자입찰 마감시한이었습니다. 입찰 마감 이후 일주일이 다돼가도 아직도 이 사업 재공고가 뜨지 않고 있는데요.

재공고가 나도 업체들이 참여하기 힘들 것을 알기 때문일 겁니다.

이 사업을 주관하고 있는 한국인터넷진흥원(KISA)도 고민이 될 것입니다.

전자정부의 정보보호수준제고를 위한 사업이기 때문에 컨설팅 수준을 낮출 수는 없는데, 업체들이 사업에 참여할 수 없는 현실적인 면을 고려하지 않을 수도 없기 때문이지요.

아무리 좋은 사업이 진행되더라도 현실과의 괴리가 크다면 결국 죽도 밥도 지을 수 없다는 것을 이번 사업이 보여주고 있습니다.

행정안전부, KISA, 그리고 정부가 지정한 지식정보보안컨설팅 업체들이 함께 지혜를 모아 봉착한 현실적인 어려움을 잘 해결할 수 있는 방안을 찾았으면 합니다.

이 사업이 결국 진행되지 못하고 표류할 것이 아니라 반드시 성사시켜 전자정부 보안수준을 더욱 높이는 기회가 될 수 있길 바랍니다.

2010/05/26 16:21 2010/05/26 16:21

사용자 삽입 이미지
조선일보가 20일 ‘스마트폰 도청 위험 청와대 지급보류’란 제목으로 지식경제부가 아이폰으로 도청을 시연했다고 보도했습니다.

국가보안기술연구소(NSRI)의 한 보안전문가가 아이폰에 전송된 이메일을 클릭해 도청 프로그램을 설치해, 도청에 성공했다는 내용이었습니다.

결국 이 기사는 오보로 판명됐고, 이날 조선일보 온라인판 기사에서 표현된 ‘아이폰’은 ‘스마트폰’으로 모두 교체됐습니다.

이 기사가 나온 후 ‘아이폰 도청’, ‘스마트폰 도청’, 그리고 스마트폰 위험성이 다시 이슈화 됐습니다. 여러 언론매체가 이 기사를 그대로 받아쓰기도 했습니다.

몇몇 보안전문가들은 이 보도를 접하고는 곧바로 ‘아이폰’ 도청 시연 여부에 의문을 제기했습니다.

권석철 터보테크 부사장은 “아이폰 운영체제는 구조상 멀티태스킹이 안되고, 애플 앱스토어를 통해서만 프로그램을 배포하기 때문에 도청이 안된다. 만일 시연에 성공했다면 탈옥폰일 것”이라며, “기사 내용이 잘못된 것 같다”고 지적했습니다.

이어 권 부사장은 “도청은 아니지만 아이폰에서 통화를 하다 전화통화 종료 버튼을 누르지 않은 채 홈버튼만 눌러 화면을 전환하게 되면 계속해서 연결돼 있어 자신이 하는 말을 상대방이 들을 수 있게 돼 있어, 사용자는 주의해야 한다”는 말도 덧붙였습니다.

또 이같은 스마트폰 보안문제를 마치 새로운 위협처럼 부각시켰다는 의견도 있었습니다.

신수정 인포섹 사장은 트위터를 통해 “역시 조선일보의 힘은 대단. 보안하는 사람은 누구나 알고 있는 이슈를 새로운 이슈인 것처럼 뒤집어지게 하는군”이라고 평가했습니다.

그래도 신 사장은 “PC해킹은 정보유출이 더 큰 이슈였는데 스마트폰 해킹은 도청이 더 큰 이슈가 될 수 있음... 선정적이긴 하지만 경각심을 주는데 일가견이 있다”며 스마트폰 도청 위협, 스마트폰 보안 인식을 가져야 한다는 점도 강조했습니다.

다른 보안전문가는 “가능성으로는 당연히 스마트폰을 포함한 모든 디지털기기가 해킹이나 도청 위협에 노출돼 있지만, 잘못된 정보를 이용하거나 위험성만을 너무 부추기면 사용자들이 이용을 꺼리게 만드는 결과를 초래할 수 있다”고 지적했습니다.

결국 이날 지식경제부는 이날 이 보도에 대한 해명자료를 내고, 조선일보 기사에 언급된 시연회에서 “아이폰은 시연되지 않았고 타 스마트폰으로 시연한 바 있다”고 밝혔습니다.

또 “일반적으로 스마트폰은 PC기능과 통신의 결합상품으로 PC 보안 위협과 부가적 보안위협(통신기능에 따른 도청, 분실시 정보유출)이 있을 수 있다”면서도 “스마트폰 보안위협에 과도한 우려는 경계할 필요가 있다”는 점을 분명히 했습니다.

스마트폰 악성코드 유포사례가 드물고, 스마트폰 사용 안전수칙 준수시 보안사고는 방지될 수 있다는 것이 그 이유입니다.

최근 스마트폰 열풍이 불면서 연초부터 몇달 간 스마트폰 보안위협이 최고의 화두가 됐었습니다.

그 사이 전문가들은 스마트폰 보안위험성이 너무 과도하게 부각돼 혼란이 더 심해진다는 지적도 함께 제기했습니다.

특히 스마트폰 해킹 공개시연을 통해 위험성을 너무 부각시키는 것은 자제해야 한다는 목소리까지 나왔었습니다.

해킹시연은 특히 전문가들이 통제한 환경에서 이뤄지고, 때로는 의도한 결과를 얻을 수 있게 특별히 제작된 악성코드나 프로그램을 사용할 수 있기 때문이라는 점에서 경각심과 예방을 강조하자는 차원을 넘어선 결과를 불러올 수 있다는 점에서 지적된 것입니다.

결국 이날 조선일보 보도는 오보 해프닝이 됐습니다.

특히 언론이나 전문가들이 정확한 정보를 올바로 전달해야 한다는 점. 그 중요성을 새삼 느끼게 해준 해프닝이 됐다고 봅니다. 저에게도 해당되는 일입니다.

그리고 여전히 보안은 중요합니다. PC나 스마트폰, 인터넷을 이용할 때 사용자는 보안수칙을 염두에 두고 생활에서 실천해야 합니다.

그런 의미에서 방송통신위원회에서 발표했던 ‘스마트폰 이용자 10대 안전수칙’을 붙여보겠습니다.

① 의심스러운 애플리케이션 다운로드하지 않기

- 스마트폰용 악성코드는 위・변조된 애플리케이션에 의해 유포 될 가능성이 있으므로 의심스러운 애플리케이션의 다운로드 자제

② 신뢰할 수 없는 사이트 방문하지 않기

- 의심스럽거나 알려지지 않은 사이트를 방문할 경우 정상 프로그램으로 가장한 악성프로그램이 사용자 몰래 설치될 수 있으므로. 신뢰할 수 없는 사이트 방문 자제

③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기

- 멀티미디어메세지(MMS)와 이메일의 첨부파일 기능은 악성코드 유포 수단으로 사용되는 경우가 많으므로 발신인이 불명확하거나 의심스러운 메시지 및 메일은 열어보지 말고 즉시 삭제 필요

④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기

- 단말기를 분실 혹은 도난당했을 경우 개인정보 유출 및 악성코드 설치 방지를 위하여 단말기 비밀번호 설정 필요

⑤ 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기

- 악성코드 감염 가능성을 줄일 뿐만 아니라 단말기의 불필요한 배터리 소모를 막기 위해서는 블루투스 등 무선 인터페이스는 사용 시에만 활성화

⑥ 이상증상이 지속될 경우 악성코드 감염여부 확인하기

- 이상증상 발생 시 스마트폰 매뉴얼에 따라 조치하며 조치 후에도 이상증상이 지속될 경우 악성코드에 의한 감염 가능성이 있으므로 백신 프로그램을 통한 단말기 진단 및 치료 필요

⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기

- 스마트폰용 악성프로그램은 특정 프로그램이나 파일에 숨겨져 유포될 수 있으므로, 프로그램 및 파일 다운로드 ․ 실행 시 스마트폰용 백신프로그램으로 바이러스 유무 검사 후 사용

⑧ PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기

- 스마트폰과 PC간 데이터 백업, 복사, 전송 등의 작업수행 과정에서 PC에 숨어있는 악성코드가 스마트폰으로 옮겨질 수 있으므로 PC에 대한 백신 프로그램 설치 및 정기점검 필요

⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기

- 스마트폰 플랫폼 구조를 변경(예: Jailbreak) 사용할 경우, 기본적인 보안기능 등에 영향을 주어 문제가 발생할 수 있으므로 이용자 스스로 구조 변경 자제

⑩ 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기

- 해커들은 보안 취약점을 이용하고 다양한 공격기법을 사용하고 있으므로 이용자는 자신이 사용하는 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트하여 사용

2010/05/20 18:00 2010/05/20 18:00

사용자 삽입 이미지
[IT 전문 블로그 미디어=딜라이트닷넷] 지난 3월 말 정부가 전자금융거래 공인인증서 의무화 규제를 풀기로 한 뒤, 민관 차원에서 공인인증서를 대체할 수 있는 사용자 보안(인증) 방안에 대한 활발한 조사 연구가 진행되고 있습니다.

명확하게 표현하자면 ‘동등한 수준의 안전성을 가진 공인인증서 대체수단’에 관한 가이드라인을 마련하고 있지요.(기밀성, 무결성, 부인방지, 인증 기능을 충족하는 기술)

그런데 다른 한편으로는 스마트폰에서 모바일 뱅킹 등 다양한 인터넷거래서비스를 이용할 때 사용자들이 공인인증서를 보다 편리하게 쓸 수 있도록 하는 기술도 활발히 모색되고 있습니다. 

공인인증서가 지금까지 주로 마이크로소프트 인터넷익스플로러를 통해 ‘액티브X’라는 플러그인 방식으로만 제공되면서 지적됐던 특정 플랫폼 종속 문제와 이로 인한 사용자 불편을 개선할 수 있는 기술이 잇달아 개발되고 있는 것입니다.

한국인터넷진흥원(KISA)은 이미 스마트폰에서도 PC에서처럼 하나의 공인인증서로 자유롭게 이용할 수 있도록 인증서 저장소와 저장위치를 표준화하는 기술규격을 만들었습니다.

그리고 KT와 함께 하나의 공인인증서를 사용해 여러 뱅킹, 증권, 결제 서비스를 아이폰에서 편리하게 이용할 수 있도록 아이폰용 공인인증서 공용 앱(App)을 개발했습니다. 이름이 SHOW 인증서입니다.

원래는 4월 중순부터 애플 앱스토어를 통해 배포, 서비스한다고 했지만 아직 제공되지는 않고 있습니다.

그 이유를 확인해보니, 좀 지연돼 애플에서 현재 막바지 검수를 받는 단계에 있답니다. KISA와 KT는 조만간, 5월 초 앱스토어를 통해 서비스될 것으로 예상하고 있습니다. 

그리고 KISA는 KT, SKT, LGT 등 이통사들과 안드로이드용 공인인증서 서비스, 대용량 USIM 기반 공인인증서 서비스 개발도 추진하고 있습니다.

민간 보안업체인 비티웍스는 최근 스마트폰 웹브라우저만 있으면 별도의 앱을 설치하지 않고도 공인인증서 기반의 전자서명을 처리하는 기술(‘BTW-SSLSign’)을 개발했습니다.

표준 웹브라우저가 제공하는 SSL(Secure Socket Layer) 프로토콜을 이용하기 때문에 스마트폰 플랫폼이나 웹브라우저 종류에 관계없이 공인인증서 전자서명을 처리합니다.

특정 웹 환경에 종속돼 있지도, 별도의 플러그인이나 앱을 설치할 필요가 없기 때문에 높은 사용자 편의성을 제공하고, 인터넷서비스 제공업체의 개발·관리 부담도 해소할 수 있다는 것이 비티웍스의 설명입니다.

아직은 특정 인터넷서비스에 상용화돼 있지는 않지만 은행, 증권사 등 금융기관을 대상으로 활발히 이 기술을 소개하고 있답니다.

얼마 전에는 한국전자통신연구원(ETRI)도 비슷한 기술을 개발했다고 발표했습니다. 지난 4월 28일 발표된 ‘스마트서명(Smart Sign)’인데요.

하나의 ‘스마트사인앱’을 설치하면 모든 스마트폰 웹브라우저에서 공인인증서 전자서명을 이용할 수 있도록 하는 기술입니다. 모바일뱅킹과 같은 서비스 앱에서도 ‘스마트사인앱’의 전자서명 기능을 호출해 사용할 수 있다고 합니다. 

‘스마트사인 앱’은 공인인증서 비밀키를 각 애플리케이션에 제공 후 전자서명을 수행하는 공인인증서 공통앱 방식과는 달리, 직접 전자서명을 제공하므로 비밀키 유출 위험이 없고 각 애플리케이션이 중복하여 전자서명 기능을 갖고 있을 필요도 없다는 것이 특징입니다.

ETRI는 이번 스마트서명 기술이 특정 플랫폼이나 특정 회사의 기술에 종속되지 않는 중립성을 확보해 모든 환경에서 사용할 수 있는 높은 적용성을 갖는다고 밝혔습니다.

아직은 이 기술은 프로토타입만 개발된 상태랍니다. 6월 중 아이폰용 ‘스마트사인앱’을 내놓고 8월 중에는 안드로이드 버전을 출시한다고 합니다.

또 ETRI는 이미 이 기술에 대한 특허를 출원했고, 국내외 표준화기구를 통해 표준화도 추진할 예정이라고 하네요. 당연히 민간업체에 이 기술을 이전하겠지요.

이 뿐만 아닙니다. ETRI는 전자서명 비밀키를 USIM에 저장하고 USIM 내부에서 전자서명을 수행해 비밀키 유출 가능성을 차단하는 USIM 저장 및 서명 기능을 개발해 하반기 중 발표할 예정이라고 합니다.

이렇게 스마트폰 웹 기반 전자거래를 안전하고 보다 ‘편리하게’ 이용할 수 있는 공인인증서 관련 기술이 활발히 연구개발되고 그 결과물이 나오고 있다는 점, 그 자체는 참 긍정적인 일입니다.  더 나은 기술이 개발되고 있으니 말이지요.

그런데
보기에는 그리 좋지는 않다는 생각이 드는군요.  결과적으로 인터넷과 정보보호 업무를 담당하는 정부 산하기관, 출연연구기관인 KISA와 ETRI가 동시에 같은 목적을 가진 앱을 경쟁적으로 내놓게 되는 형국이 됐기 때문입니다.

그간 공인인증서 관련 논란의 중심에는 KISA가 있었고, 그 때문에 KISA에서는 스마트폰 공인인증서 이용 표준 기술규격을 만들고, 아이폰 공인인증서 공용 앱 등도 개발했습니다.

그래서인지 갑자기 ETRI가 ‘스마트사인’을 개발했다고 발표한 뒤, KISA도 적잖이 당혹스러워하는 눈치입니다.

이미 KISA가 하고 있는 일인데, ETRI가 이 기술을 왜 개발했는지 모르겠다는 겁니다. KISA 관계자 사이에서는 “(공익적으로 제공해야 하는 기술을 개발해) 특허까지 출원한 것은 적절치 못하다”는 반응까지 나왔습니다.

ETRI 발표 이전까지 KISA는 이를 개발한다는 사실을 전혀 알고 있지 못했다고 합니다.

그러나 ETRI는 당연히 해야 할 일을 했다는 입장입니다.

ETRI 관계자는 “원래 공인인증서를 개발한 것이 ETRI이고, 10여 전에 개발한 공인인증서가 최근 사용 환경이 변화함에 따라 새롭게 업그레이드하는 차원에서 작년 말부터 개발을 진행한 것”이라며, “(KISA가 개발한) 공인인증서 공용 앱 등과는 서비스가 다르다”고 설명했습니다.

보도자료를 통해 김흥남 원장은 “10여년 전 공인인증서 기술을 개발해 안전한 인터넷 서비스 발전에 기여했던 ETRI가 스마트폰 사용의 제약 요건이었던 공인인증서 기술을 개발함으로써, 안전한 모바일 서비스 발전에 다시금 기여할 수 있게 된 점을 매우 뜻깊게 생각한다”고도 이미 밝혔습니다.  

앞서 이야기한 비티웍스와 ETRI와의 관계도 남다릅니다. 비티웍스는 ‘ETRI연구소기업’입니다. 

더욱이, 아주 공교롭게도 이 ETRI의 스마트서명 기술은 비티웍스와 BC카드, 케이사인, 숭실대학교가 공동으로 참여하고 있는 지식경제부 지원 과제인 ‘모바일ID 보안 및 프라이버시 보호를 위한 스마트지갑 개발’ 과제를 통해 개발됐다고 합니다.

국가(정부) 예산이 들어간다는 점에서 기관끼리 머리를 맞댔다면... ETRI가 육성하는 ETRI연구소기업이면서 관련 과제를 함께하는 민간기업과 협력했다면... 하는 생각을 지울 수 없습니다.

적어도 기술을 각각 개발하는데 들어가는 비용이나 시간, 인력 등을 효율적이면서도 더 신속하고 보다 나은 결과를 가져오지 않았을까요?

이로 인해 앞으로 혼란이 가중될까 우려됩니다.

조만간 KT와 KISA는 애플 앱스토어를 시작으로 안드로이드 마켓에서 관련 앱을 등록해 제공할 겁니다.

ETRI가 개발한 기술도 조기 상용화해 민간에 기술이전하게 되면 정식 출시되겠지요.

모바일 전자거래 서비스 제공기관은 어떤 방식을 채택하고 지원해야 할 지 고민하게 될 겁니다. 업체별로 선택해 제공하게 되면 또 여러 방식의 스마트폰 공인인증서 처리 기술을 사용자들이 쓰게 되는 결과가 빚어질 수도 있겠습니다. 적어도 경쟁에서 이겨 하나가 대세로 굳어지기 전까지는요. 

앞으로 허용했으니 공인인증서를 대체할 다른 보안 기술도 제공될 텐데요.

여러 웹이나 앱 방식의 스마트폰 공인인증서 처리 기술이 채택된다면 너무 과도한 다양성으로 인한 사용자 혼란을 줄 수 있지 않을지 우려됩니다.  

‘전자금융거래시 공인인증서 사용의무 규제완화 방안’을 마련한 국무총리실과 금융위, 방통위 등 관계부처, 그리고 민·관 협의체에서 스마트폰 공인인증서 처리기술에 대한 대책도 논의가 이뤄져야 할 수도 있겠습니다.


2010/05/03 08:30 2010/05/03 08:30