<국내정보보호산업 현황과 과제-김홍선 시큐어소프트 사장>
국내에서 정보보호 분야가 산업으로 인식된 것은 96년부터라고 볼 수 있다. 96년부터 외산제품들이 국내에 소개되면서 정보보호에 대한 마인드가 조금씩 형성되기 시작했다. 그러나 97년말 불어닥친 IMF 여파로 특히 민간부문의 투자가 위축되고 여기에 정보화 역기능에 대한 불감증으로 침체기에 들어갔다. 이후 98년 8월경부터 IT분야의 투자분위기가 공공분야를 중심으로 형성되면서 회복기에 접어든다. 국내 기술들이 시장에서 검증되기 시작한 것도 이 시기다. 올 상반기부터는 민수시장도 회복기에 접어들면서 업체의 우열이 가려지기 시작했다.
지금은 정보보호가 정보화 패러다임의 중요한 성분으로 인식되고 전자상거래 시장의 활성화 등으로 이제 도약을 준비하는 단계라고 볼 수 있다.
정부의 정보보호 산업육성 정책으로 전문기업들이 자리잡기 시작했고 2000년에는 3, 4개 업체가 코스닥에 상장할 것으로 예상된다. 세계적으로는 이미 98년부터 인터넷 업체 50위 안에 8개 업체가 정보보호업체로 선정될 정도다.
보안이 정보기술의 여타분야로 확장될 것이라는 기대심리는 높지만 아직은 그러한 기대심리에 인력이나 산업 측면에서 모두 대응하기 어려운 상황이다. 특히 인력난은 업체들이 호소하는 공통된 애로점이다. 문제는 이밖에도 많다. 우선 정보보호 마인드가 아직은 부족하다. 해킹이나 바이러스 등 위협요소에 대한 인식이 약하고 특히 최고경영자들의 마인드가 약하다. 전자상거래가 부각되고 있지만 보안에 대한 관심도는 낮다. 쇼핑몰 업체들의 경우 보안의 심각성에 대한 인식이 약하다. 악영향이 우려될 정도다. 그러나 무엇보다 보안분야의 문제점은 전문인력이 절대 부족하다는 것이다. 프로그래머, 시스템관리자, 네트워크 관리자 등 하부구조 인력이 적시에 공급되지 못하고 있으며 컨설팅 인력에 대한 시장의 시선도 호의적이지 않다. 정보보호 산업은 컨설팅 사업이 구축되면 시장이 완성된 것이라고 본다.
이제 다각도의 대책마련이 있어야 할 것이다. 정보보호 마인드 확산 노력을 더욱 경주해야 한다. 해킹 바이러스 등의 위협에 대해 대대적인 홍보가 필요하다. 외국의 경우 총 IT투자의 5∼7%는 정보보호에 투자하는데 국내에서는 1∼2% 미만에 머물고 있다. 의무성을 부가하는 것도 방법이다. 이와 함께 전문인력을 적극 양성해야 한다. 산학연 대책수립이 필요할 것이다. 글로벌 경쟁산업으로 육성하기 위해 글로벌 표준을 지향하고 상대적 우위가 있는 통합기술 개발을 촉진해야 할 것이다. 정보보호 업체들도 정보보호 제품을 사용하기 어렵다는 인식이 강한 만큼 사용자를 고려한 상품 및 서비스를 개발해야 할 것이다.
<전자상거래서 정보보호의 역할-정태명 성대 정보공학과 교수>
기하급수적으로 늘어나는 인터넷 사용자와 더불어 2000년대 초에는 전체 상거래의 20% 이상이 전자상거래를 통해 이루어질 것으로 전망된다. 그러나 소비자의 불신으로 전자상거래 활성화가 아직은 때를 기다리고 있다.
소비자의 신뢰성 확보를 위해 진열상품의 진실성, 소비자 권익보호, 안전한 전자상거래 환경구축이 필수적으로 이루어져야 하며 특히 안전한 전자상거래 환경 구축은 기술적인 지원과 투자를 필요로 한다.
안전한 전자상거래 환경 구축의 첫번째 요건은 보안이며 보안은 다시 물리적 보안, 지불환경의 보안, 전자상거래 인프라의 보안으로 나눌 수 있다.
현재 가장 관심있게 진행되는 부문은 역시 전자상거래 인프라 보안의 문제로 인프라 보안은 대상객체에 따라 거시적인 보안(방화벽), 미시적인 보안(침입탐지시스템), 통신상의 보안(가상사설망), 기타(바이러스, 전자우편 보안, 취약점 분석 등)로 나뉜다.
국내 전자상거래 보안 환경의 실태를 보면 현재 700여개의 B to C(Business to Customer) 쇼핑몰이 있는 것으로 추산된다. 그러나 대부분의 인터넷 쇼핑몰이 보안시스템을 전혀 구축하지 않은 상태다. 심지어 그 중요성마저 인식하지 못하고 있다.
보안시스템 관리를 위한 휴먼웨어가 절대적으로 부족하다. 시스템의 가치는 이러한 시스템의 기능을 정확히 이해하고 사용할 때 창출된다.
바이러스 치료나 침입차단시스템 등 분야에서 국제 수준에 가까운 상품이 개발되고 있다는 것과 정부의 전자상거래 보안에 관한 이해도가 높아지고 있다는 것은 반가운 일이다. 그러나 전자상거래 관련 전문보안시스템의 개발이 필요하고 특히 이러한 시스템을 개발할 수 있는 인력이 절실히 필요하다.
전자상거래의 활성화를 위해서는 B to G(Business to Government)나, 무역의 증진을 위해서는 B to B 형태의 전자상거래를 육성하는 것이 필요하다. 이와 함께 안전한 전자상거래 환경을 구축할 수 있는 기반산업이 성장할 수 있도록 지원되어야 한다. 전자상거래 보안 기술의 개발 산업을 육성하고 보안서비스 및 컨설팅 서비스의 활성화가 필요하다. 서비스는 돈이 아니라는 생각이 바뀌어야 한다. 보안기술 개발 전문인력의 양성과 보안 관리자의 교육도 필요하다.
전자상거래가 생활의 일부가 되고 있는 것처럼 보안의 문제도 이제는 문화로서 이해되어야 하며 이를 위해 일반 국민을 대상으로 한 보안개념의 홍보 및 교육이 필요하다. 안전한 전자상거래를 위해 보안 환경구축을 의무화해야 하며 이를 통해 신뢰할 수 있는 전자상거래 환경을 조성하고 전자상거래의 활성화 시점을 만들어 내야 한다.
<정보화 역기능 대응 현황-안철수 안철수컴바이러스연구소 대표>
컴퓨터바이러스는 악성소프트웨어(Malignant Software, Malware)의 하나다. 악성소프트웨어는 바이러스 외에 트로이목마, 웜(Worm)이 있다. 감기 바이러스가 몸에 들어와 증식하면서 감기를 발병시키는 것과 같이 바이러스는 스스로 증식을 하며 피해를 준다. 트로이목마는 증식은 않고 병만 일으키는 것과 같다. 독극물을 예로 들 수 있다. 백오리피스와 같은 해킹 툴도 트로이목마로 볼 수 있다. 이밖에 웜은 증식이나 발병은 바이러스와 같지만 바이러스가 정상소프트웨어에 기생해 발병하는 데 반해 웜은 독립적인 프로그램으로 존재한다는 점이 차이다.
현재 도스기반의 바이러스는 감소하고 윈도기반 바이러스 및 매크로 바이러스가 증가하고 있다. 매크로 바이러스 같은 경우 누구나 쉽게 만들고 변형할 수 있어 바이러스 제작자의 연령을 낮추는 데 일조하고 있다.
기업이나 단체 사용자의 피해가 늘고 인터넷을 전파 수단으로 활용하고 있으며 감염속도 및 피해액수가 커지고 있다. 멜리사 바이러스의 경우 스스로 E메일을 통해 바이러스를 다수에게 보낼 수 있다. 이 경우 문서와 함께 전달되면서 보안문제까지 발생한다. 바이러스가 해킹 도구화하고 있고 자료 파괴 대신 자료를 변형시키는 양상도 나타나는데 이것은 더 큰 위험을 내포하고 있다.
매크로 바이러스는 잡종 교배를 하는 특징을 갖고 있다. A바이러스가 B바이러스와 교배해 새로운 C바이러스가 생겨난다. 세계 최초의 바이러스가 자신도 모르게 개인의 PC에서 잡종 교배해 탄생하고 있는 것이다. 이러한 국지적 문제로 최근에는 24시간 바이러스 대응체제를 구축해야 할 정도다.
88년 최초의 바이러스가 발견된 이후 매년 발생률이 증가해 93년 이후 매년 2배씩 증가하는 추세다. 지난해 총 276종의 신종바이러스가 발견됐고 올해 300종이 예상된다. 이 가운데 3분의 2가 국산 바이러스다. 우리는 세계 3위의 바이러스 생산국이다.
바이러스는 대부분 학생들이 만들어 유포한다. 방학기간인 7∼8월, 12월부터 1, 2월에 신종바이러스가 대거 발생하고 있다. 실제 검거된 바이러스 유포자들 대부분이 어린 학생들이었다. 국산 바이러스는 세계적으로 악명을 떨치고 있다. 외국에서 만난 바이러스 백신 제작자들도 한국산 바이러스의 악성에 혀를 내두른다.
바이러스를 치료, 예방해주는 유일한 방안은 바이러스 백신 소프트웨어다. 현재 백신은 컴퓨터 바이러스뿐 아니라 트로이목마, 웜, 개인용 해킹 툴 등의 공격을 효과적으로 막아 줄 수 있는 종합 보안솔루션이다. 신종 컴퓨터 바이러스에 대한 빠른 대응능력이 가장 중요한 관건이다.
<정보화정책서 정보보호 위상과 추진방향-신용섭 정통부 정보보호과장>
정보화가 진전되면서 개인은 물론 국가도 정보의 의존도가 심화되고 있다. 이와 함께 인터넷이라는 개방형 네트워크의 확산으로 정보보호의 중요성이 급증하고 있다.
산업적 측면에서도 보안시장이 커지고 있고 또 국가안보와도 직결되는 문제이기 때문에 각국 정부 또한 관심이 크다. 각국이 암호법 제정을 추진하고 있고 관련 정부조직을 확대, 강화하고 있는 추세다.
정부에서도 종합대책을 마련중에 있다. 국내에서도 이제 과 단위가 아닌 국 단위로 정보보호 담당조직을 확대, 강화할 필요성을 절감하고 있다.
보안시장의 확대에 따라 산업적으로도 관심이 커지고 있지만 국내 시장은 아직 영세한 수준이다. 따라서 산업육성에 대해서도 큰 관심을 갖고 있다.
산업육성을 위해 우선 정부는 시장 창출 지원, 기술개발을 지원, 정보보호 전문인력 양성 등을 계획하고 있다. 시장 창출을 지원하기 위해 보안에 대한 인식을 제고해야 한다. 우선 공공부문부터 정보보호 시스템 구축을 확대해갈 것이다. 현재 정부 기관중 4% 정도만이 방화벽을 설치한 상황이다. 정보화 예산중 정보보호 부문 투자를 확대할 것이다. 또 정보보호 시스템에 대한 평가제도를 확립할 필요가 있다. 98년부터 방화벽에 대한 평가를 하고 있지만 인력 부족 등 때문에 아직은 정착이 되지 않고 있다. 이를 더욱 강화하고 모든 정보보호 제품에 대한 평가제도를 확립하는 데 노력할 것이다.
기술개발 지원을 위해서는 알고리듬 개발이나 암호분석과 같은 기초 기반기술 연구에 지원의 초점을 둘 계획이다. 지금 업체들은 외국 알고리듬을 가져다 쓰는 상황이다. 국가적으로 암호연구에 제약이 있었던 것이 사실이다. 정보보호센터의 예산도 매년 2배씩 증액하고 암호학이 수학적 접근이 반드시 필요한 분야이므로 대학의 수학과에 장기적으로 대대적인 지원을 할 계획이다.
정보통신부가 그 동안은 정보화의 순기능적인 면에 투자를 해왔는데 이제 역기능에도 초점을 두고 투자를 해야 할 것이다. 정보보호 전문인력 양성에도 신경을 써 정보보호학회를 중심으로 인력을 양성하고 이 분야 벤처에 대해 다각도로 지원할 예정이다.
법과 제도도 현재 산업시대의 관점에서 머물러 있으므로 이를 정보화시대에 맞게 개편해야 할 필요가 있다. 각 기관내 건물에 따라 보안 등급이나 대비책은 있지만 각 기관의 전산망에 대해서는 대비가 전혀 안돼 있는 실정이다. 외국에서는 가상침투 훈련도 한다. 방어기술을 개발해야 한다.
국제적인 상호 협력체제를 구축하고 각국이 추진하고 있는 법과 제도를 적절히 조화하는 것도 정보보호과의 임무라고 생각한다.
정리=김상범기자 sbkim@etnews.co.kr