사례1.지난 4월 국내 대표적인 인터넷 쇼핑몰인 옥션에 해킹사고가 발생했다. 이번 해킹으로 옥션이 확보하고 있는 전체 회원의 약 60%에 해당하는 1,081명의 개인정보가 유출됐다.
인터넷 개인정보유출 사고로는 사상 최대 규모다.
이 사고로 옥션은 피해를 본 2만3천여명으로부터 집단 손해배상 청구소송을 당해 지금도 송사와 씨름하고 있다.
특히 이번 사태로 옥션은 기업 이미지가 커다란 상처를 입었다. 옥션은 추락된 신뢰 회복을 위해 엄청난 공력을 들이고 있지만 한번 잃어버린 신뢰가 다시 회복될지는 미지수다.
사례 2.
국내 한 유명 이동통신사는 고객 정보가 해킹에 의해 실시간으로 인터넷에 유출되는 바람에 고객들로부터 호된 질책을 받은 바 있다.
다행이 극소수의 고객 정보만 유출돼 ‘찻잔속의 태풍’으로 소동이 가라앉았지만 만약 고객정보 전량이 공개됐다면 ‘제2 하나로텔레콤 사태’로 번질 수 있었다는 게 업계의 진단이다. 안도의 가슴을 쓸어내린 이 이통사는 현재 종합적인 고객 정보 유출 방지 대책 마련에 비지땀을 흘리고 있다.
사례 3.
국내 한 유명 조선업체는 자사에 파견된 중국인 선급검사관이 자사 서버에 보관된 드릴십 설계도면, 액화천연가스(LNG) 운반선 등 각종 기술자료 1500여개 파일을 복사, 유출하려 한 사고를 당할 뻔 했다.
만약 범인이 이 정보를 중국으로 빼돌렸다면 10년간 수백억원을 투입해 기술자립한 핵심 선박기술이 중국으로 흘러들어가 우리 조선산업을 위협하는 하는 것은 불문가지. 다행이 아찔한 사태를 사전에 인지, 피해를 막았지만 이 기술이 중국으로 빠져나갔다면 약 32조원 정도의 산업피해가 예상된다는 게 업계의 추산이다.
디지털 경제로 산업의 패러다임이 전환되면서 기업의 DB보안 내지 정보보안은 기업 경영의 핵심 이슈로 부각됐다.
정보보안이 생명인 인터넷 기업에서 고객정보 유출은 기업의 생존을 좌우할 정도로 미션크리티컬 사안이 돼 버렸다.
물론 일반 산업계도 마찬가지다. 앞서 언급했듯이 조선업체의 최첨단 핵심 기술정보가 국외로 유출된다면 이는 특정 조선업체만의 차원을 넘어 국가 경쟁력과 직결되는 중차대한 사안이다.
특히 우리나라가 세계 시장을 주도하고 있는 반도체, 핸드폰, 디스플레이 등 국가 핵심 산업과 관련된 산업 기밀이 유출된다면 해당기업은 기업의 존망을 위협받고 우리 산업계는 일순간에 먹거리를 잃어버리게 된다.
여기에다 우리나라가 세계 IT시장의 ‘테스트베드’ 시장으로 부각되고 핵심 제조산업의 메카로 급부상하면서 21세기형 사이버 범죄인 ‘DB해킹 내지 정보 해킹’의 표적국가로 지목되고 있다.
특히 지금까지 해킹은 단순한 해커들의 실력과시용이 주류를 이뤘다면 최근 들어서는 산업 기밀을 취득하거나 고객정보를 빼내 ‘돈벌이 수단’으로 삼으려는 국제 규모의 범죄 조직까지 연루된 산업스파이전으로 발전해 가고 있어 기업의 DB보안 내지 정보보안 투자는 기업의 IT투자 1순위 항목으로 떠오르고 있다.
선진국인 미국, 유럽 등에서는 샤베인옥슬리(Sarbanes-Oxley) 법안, 바젤 Ⅱ 협약에 대응해 금융은 물론 일반 기업에서도 고객 프라이버시정보는 물론 비즈니스 정보 등 각종 분야별 정보리스크에 대한 철저한 대비를 촉구하는 한편 개별 기업들도 DB보안망 구축에 총력을 경주하고 있다.
일본에서도 금융기관은 물론 정부공공기관, 일반 기업할 것이 없이 DB보안을 경영의 최우선 과제로 두고 선행 투자를 아끼지 않고 있는 실정이다.
우리정부도 잇따른 정보유출 사고로 인한 산업 피해내지 개인 프라이버시 침해 사고가 빈발하자 그간 표류해온 개인정보보호법의 입법을 서두르고 있다. 이 법이 올 정기 국회를 통과하는 것을 계기로 국내 DB보안 산업은 하나의 분수령을 넘게 될 것으로 점쳐진다.
이를 계기로 DB보안은 ‘당위적 과제’에서 ‘실천적 과제’로 진화될 것이라는 게 해당 솔루션업계의 한결같은 분석이다.
산업계의 움직임은 더욱 빠르다. 이미 국내 최대 조선업체인 현대중공업은 최근 기술유출사고를 방지하기 위해 한국정보보호진흥원과 사이버 보안관리 협약을 체결했다. 국내 제조업체로는 처음이다.
물론 국내 주요 기업들은 DB보안 내지 정보보안망 구축에 선제적 투자를 해오고 있는 것도 사실이지만 정보보호법 제정은 이같은 움직임에 촉매제 역할을 할 것으로 기대되고 있다.
이제 막 맹아기를 넘어 개화기에 접어든 국내 DB보안 시장은 얼마나 될까.
한국정보보호산업협회(KISIA)가 최근 내놓은 ‘2007 국내 정보보호 시장 및 동향보고서’에 의하면 DB암호화와 접근제어 솔루션을 합쳐 국내 DB보안 시장은 약 190억원대에 달한 것으로 나타났다.
올해 국내 DB보안 시장의 경우 접근제어에서 약 198억원, 암호화 부분에서 약 42억원 등 총 약 240억원대를 형성할 것이라는 게 KISIA의 전망이다.
또 오는 2012년까지 접근제어 시장은 연평균 약 12%의 성장률을 보이며 약 325억원에 달하고 암호화 시장은 연평균 8.5%씩 성장해 약 54억원에 이를 것이라는 것. 이렇게 되면 4년후 국내 DB보안 시장은 줄잡아 총 400억원대에 달할 것으로 보인다.
작지만 제법 쏠쏠한 시장으로 커나가고 있는 국내 DB보안 시장은 어디에서 생겨날까.
이 분야 업체들은 금융, 통신기업 및 공공기관이 주 타깃이라고 입을 모으고 있다.
특히 DB보안 투자는 통신, 포털, 게임, 인터넷기업 등에서는 더 이상 미룰 수 없는 발등의 불이라는 게 보안 솔루션업계의 지적이다.
특히 최근 발생한 일련의 개인정보 유출 사건 등으로 DB보안은 가장 시급성이 요구되는 최우선 전산 투자로 부각됐다는 것이다.
이미 국민은행, 우리은행, 경남은행, 광주은행, 대한생명, 금융감독원, 대우증권, 삼성카드, 한화증권, 한화손해보험, 삼성증권, 현대카드, 교보생명, BC카드 등은 DB보안 투자를 추진중에 있으며 정부통합전산센터, 교육인적자원부, 국세청, 해군본부, 국민건강보험공단 등 공공부문에서도 DB보안 시장이 열리고 있다.
또 포스코, 현대중공업 등 대형 제조업체는 물론 롯데닷컴, 인터파크 등 인터넷업체, 서초케이블, 하나로텔레콤 등 통신업체들도 DB보안 솔루션을 도입하거나 도입을 검토 중인 것으로 알려지고 있다.
이처럼 DB보안 시장이 알토란같은 먹거리로 자리잡아가자 펜타시큐리티, 웨어밸리, 피앤피시큐어, 이글로벌시스템, 소만사 등 국내 SW업체들이 솔루션을 잇따라 개발, 시장에서 경쟁을 벌이고 있으며 최근들어 시만텍 등 외국 솔루션업체들도 시장에 가세, 시장을 달구고 있다.
손삼수 웨어밸리 사장은 “그간 금융권에서는 내부자의 의한 고객 명단, 패스워드 등의 유출로 인한 금융 사고를 방지하기 위해 DB보안 솔루션을 전사적으로 도입, 적용해 왔다”며 “최근에는 시스템 가용성을 보장하기 위해 어플라이언스 형태의 제품, DB마스킹 등 접근제어와 암호화 솔루션이 결합, 진화하고 있어 그간 도입을 주저해왔던 통신과 인터넷 사업자 를 중심으로 솔루션 도입 움직임이 활발하다”고 시장 상황을 설명했다.
또 초기에는 오라클 등 국내에서 많이 사용하는 DB 중심으로 DB보안이 적용돼 왔으나 최근에는 오라클은 기본이고 MS SQL, 사이베이스, 알티베이스, 큐브리드 등 대다수 상용 DB를 지원하는 추세라는 것.
DB보안 솔루션은 기업의 중요 정보를 DB화할 경우 해당 특정필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않은 내부자에 의한 불법적인 정보유출을 방지하는 기능을 수행한다.
펜타시큐리티 유창목 수석컨설턴트는 “정보보호의 궁극적인 목표는 저장하고 있는 DB내의 중요 데이터를 내외부 공격으로부터 안전하게 보호하는 것”이라며 “방화벽, IPS, 안티 DDoS 솔루션 등 각종 보안솔루션들도 결국 기업의 주요 자산이 저장된 DB를 보호하기 위한 방어수단”이라고 강조했다.
DB를 보호하는 방법은 크게 데이터베이스 암호화(Data Encryption), 인증 및 접근제어(Authentication & Access Control), 감사(Audting) 등 3가지다.
이중 DB 사용자의 접근을 제어하는 솔루션과 DB 자체를 암․복호화하는 솔루션이 국내 DB보안 시장의 주류를 형성하고 있으며 일부 외국기업은 감사 기능에 특화된 솔루션을 공급하고 있다.
접근제어 제어 솔루션에서는 웨어밸리, 피앤피시큐어, 바넷정보기술, 소만사, 모니터랩, STG시큐리티 등이 강세를 보이고 펜타시큐리티, 이글로벌시스템, 소프트포럼, 이니텍 등은 DB 자체를 암․복호화하는 솔루션 부문에서 명성을 얻고 있다는 게 업계에 정통한 관계자의 설명이다.
또 시만텍 등 외산 제품들은 침입 탐지와 감사 기능 등이 특화된 DB보안 시장에 나름대로 활약상을 펼치고 있다고 보는 게 정설이다.
이처럼 국내외 업체들이 각자의 영역에서 경쟁을 벌이고 있는 하반기 국내 DB보안 시장을 더욱 뜨겁게 달굴 이슈는 CC인증이다.
지금까지는 국정원 보안적합성평가만으로도 공공기관 등에 납품할 수 있었으나 내년 5월부터는 CC인증을 받지 않으면 공공기관 납품이 불가능해졌다. 따라서 CC인증을 먼저 받아 공공기관 등을 선점하려는 업체들의 치열한 러시가 시작된 것.
현재 접근제어쪽에서는 웨어밸리, 피앤피시큐어 등이, 암호화쪽에서는 펜타시큐리티 등이 선두권을 형성하고 있으나 CC인증을 먼저 받는 업체가 이 순위를 뒤집을 수도 있을 것으로 전망되고 있다. 이니텍, 모니터랩, 소만사 등 다수의 업체들이 이미 CC인증 평가계약을 체결하고 올 하반기경 CC인증을 획득을 준비 중이다.
최근들어서는 해외시장 개척 움직임도 가시화되고 있다.
웨어밸리, 펜타시큐리티 등은 이미 일본시장에서 좋은 평가를 받으며 짭짤한 수익을 올리고 있으며 피앤피시큐어, 소만사, 이글로벌시스템, 모니터랩 등도 일본 시장 진출을 준비하고 있어 일본이 국내 DB보안업체의 차세대 먹거리로 떠오를 전망이다.
소만사 유영선 본부장은“기업의 주요 정보자산 1순위인 DB를 보호하기 위한 DB보안은 이제 선택이 아닌 필수 경영 이슈로 자리잡았다”면서 “주요 정보는 반드시 암호화해서 저장해야하며 권한에 따른 접근 제어가 반드시 필요할 것”이라고 DB보안의 중요성을 역설했다.
시만텍 윤광택 팀장은 “DB보안은 기술적 관점이 아닌 경영적, 조직적, 프로세스적 관점으로 논의돼야한다”며 “외부 침입방지 시스템이나 CEO, CIO가 기업 정보자산에 대한 보안전략을 수립하고 그에 따른 조직을 운영, 업무 절차를 수립한 후 효율적인 보안 인프라를 구축하는 등의 전사적 체제의 보안 방식이 도입돼야 한다”고 지적했다.
즉 DB보안 솔루션이 단지 DB에 대한 접근을 막는 한정적인 의미에 멈출 것이 아니라 기업의 가장 근간이 되는 중요 정보자산에 대한 궁극적인 보호와 건전한 운영을 위한 전사적인 경영 전략 차원에 접근해야 된다고 이 지사장은 힘주어 강조했다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr