로그인회원가입
SW 보안

[이슈분석]위기의 정보보호 산업...해법은?

[이슈분석]위기의 정보보호 산업...해법은?

“2008년 개발 이후 유지보수가 거의 이뤄지지 않았다. 개발 당해와 이듬해 투입된 8억6000만원이 전부였다. 통상 시스템 유지보수 비용은 전체 비용의 20% 정도가 책정돼야 한다.”-공공아이핀 담당자.

최근 행정자치부 산하 한국지역정보개발원이 운영하는 공공아이핀 시스템이 해킹돼 75만건이 부정 발급됐다. 공공아이핀 담당자는 사고 후 유지보수 등 관리 소홀을 인정했다. 공공아이핀 해킹 사고는 국내 정보보호 시스템 관리 현주소를 그대로 반영한다. 정보보호 제품을 설치해 놓고도 관리하지 않고 방치한 기업과 기관이 상당수다. 보안사고가 잇달으면서 보안수준 강화 요구 목소리가 높아졌지만 현장 보안 수준은 제자리다. 보안기업은 경영악화를 겪으며 고사하는 악순환이 반복되고 있다.

◇정보보호 투자 제자리

자료:KISIA
자료:KISIA

지난해부터 정보보호산업계는 혹독한 생존경쟁에 내몰렸다. 최근 10년 이래 최악 수준이다. 한국지식정보보안협회(KISIA)가 내놓은 국내 정보보호산업 실태 보고서에 따르면 지난해 정보보안산업 매출은 2013년과 비교해 4% 성장에 그쳤다. 2013년 3.4%에 이어 2년 연속으로 개선될 기미가 보이지 않는다. 올해도 낙관적 전망을 내놓은 곳은 없다.

2013년 ‘3·20 전산망 마비 사태’에 이어 ‘6·25 사이버테러’가 발생했다. 지난해도 ‘금융·통신사 개인정보 대량 유출사고’에 ‘한국수력원자력 원전도면 유출’ 등 대형 사고가 끊이지 않았다. 그럼에도 불구하고 한국인터넷진흥원이 발간한 ‘정보보호 실태조사’에 따르면 정보보호 예산을 편성한 사업체 83.8%가 지출금액을 늘리지 않았다. 대형 사고는 늘었지만 상당수 기업에서 정보보호 예산을 편성하지 않았다. 이유는 ‘정보보호 사고로 인한 피해가 거의 없어 필요성을 느끼지 못함’이라고 응답했다. 종사자 수가 작은 사업체는 정보보호를 어떻게 해야 하는지 몰라 예산을 아예 편성하지 않았다.

지난해 기업 정보보호 예산을 편성한 기업도 정보기술(IT) 예산 중 5% 미만인 기업이 대다수다. 업계는 보안에 대한 관심은 높았지만 투자로 연계되지 않았다고 토로한다. 심종헌 KISIA 회장은 “정부 등 공공기관이 기존 솔루션을 교체하지 않고 신제품 구입도 저조했다”며 “사고는 빈번하게 발생하는데 투자는 제자리걸음이거나 오히려 줄었다”고 말했다.

◇정보보호 서비스 대가는 쥐꼬리

자료:KISIA
자료:KISIA

정보보호 제품은 살아 숨 쉬는 유기체와 같다. 각종 사이버 테러 위협은 하루도 쉬지 않고 늘어난다. 대응책이 없는 제로데이(Zeroday) 위협도 끊임없다. 그러나 국내 기업과 기관은 정보보호 솔루션을 설치한 후 관리하지 않는다. 해킹을 당한 후 유지보수에 나선 공공아이핀과 같은 서비스가 산재했다. 보안 솔루션은 설치 후 지속적으로 위협 패턴 등을 업데이트해야 제 역할을 한다. 하지만 기업과 기관은 이의 서비스 대가를 제대로 주지 않는다.

대부분 국산 정보보호 솔루션은 설치 첫해 서비스 대가를 받지 못한다. 이후에도 서비스 대가는 평균 5~8%에 수준에 머문다. 글로벌 보안 솔루션이 20%대를 받는 것과 비교하면 4분의 1 수준이다. 심지어 지난해부터 일부 기관은 콜베이스 유지보수를 요구했다. 보안 솔루션에 문제가 생길 때 시간당 서비스 대가를 주는 정책이다. 사이버 위협을 업데이트하는 데 들어가는 비용은 예산에 전혀 반영하지 않는다. 문재웅 KISIA 감사는 “국내는 설치 첫해 유지보수는 공짜인데다 이듬해부터 서비스 도입 대가를 책정하더라도 매우 낮다”며 “이마저도 제대로 하지 않는 곳이 대다수”라고 지적했다. 그는 “이 같은 구조가 지난 10년간 국내 정보보호 기업이 건전하게 성장할 수 있는 기반을 무너뜨렸다”고 덧붙였다.

심 회장은 “정보보호 서비스 대가를 정상화하면 관련 기업 수익이 늘어나고 우수 인력이 유입된다”며 “기술과 제품 경쟁력이 향상되고 산업 성장으로 이어지는 선순환 구조 형성이 시급하다”고 설명했다.

◇살 만한 제품이 없다?

수요자인 기업은 보안업체와 다른 시각이다. 기업 입맛에 맞는 제품이 없어 사려고 해도 살 수 없다고 한다. 정보보호 시장 큰손인 금융사의 말이다.

금융사는 ‘557 규정’을 따른다. 전체 인력 중 5%는 IT인력이다. 이 중 5%는 정보보호 인력이며 전체 IT예산 중 정보보호 예산을 7% 이상으로 한다는 규정이다. 한 금융사 CISO는 “이 규정에 따라 예산을 마련했지만 국산 보안제품은 필요한 기능이 누락돼 있고 성능도 미흡해 외산 제품을 도입할 수밖에 없다”고 말했다. 그는 “이제 보안은 위협을 누가 빠르게 분석하고 공유하는지의 인텔리전스 서비스 싸움”이라고 덧붙였다.

다른 금융사 보안 담당자는 “과거와 달리 글로벌 보안 제품은 혁신적인 서비스로 무장하고 엄청난 마케팅 비용을 쏟아부으며 한국 시장을 공략하고 있다”며 “제품성능비교시험(BMT)을 해보면 확연히 기술력에서 차이를 보인다”고 말했다. 그는 “애국심에 호소해 국산 보안 제품 구매를 요구하는 시대는 지났다”며 “독보적인 성능과 기능을 가진 국산 대체품이 나오지 않으면 지금의 구조가 바뀔 가능성은 없다”고 설명했다.

김인순기자 insoon@etnews.com

보안이슈분석인터넷해법해킹이슈플러스