한국정보보호진흥원(KISA)의 인터넷침해사고대응지원센터 직원들이 사이버 위협에 발 빠르게 대처하기 위해 모니터링을 강화하고있다

2008년은 정보보호에 대한 관심이 그 어느 때보다 높았던 해이다. 대형쇼핑몰, 대기업, 청와대까지 해킹으로 인해 정보가 유출된 것으로 알려졌다. 올해 개인정보보호에 대한 관심을 불러일으켰던 옥션사태는 아직도 법정 소송 중이다. 끊임없는 사건 사고에도 불구하고 아직도 정보보호는 기업들에 투자기피 1순위로 꼽히고 있다. 더군다나 전세계를 강타하고 있는 경제위기 상황으로 인해 기업들은 더욱 지갑을 열지 않고 있다.      송영록 기자 syr@ittoday.co.kr

내년에 개인정보보호법이 제정되면 더 이상 기업들은 정보보호에 투자를 미룰 수 없다. 개인정보보호법뿐만 아니라 자통법, 차세대시스템 구축으로 인한 금융권의 통합 보안 및 연동 서비스 수요 증가가 맞물려 시장이 확대될 전망이다.

정부도 정보보호에 대한 중요성을 인식한 듯, 2009년 보안예산을 올해보다 8.4% 높은 1742억원으로 책정했다. 이같은 보안시장에 대한 낙관적인 전망과 함께 보안업체들의 경쟁은 더욱 치열해질 것으로 예상된다.

지난해 정보보호진흥원이 155개 기업을 대상으로 조사 분석한 결과, 국내 정보보호산업 전체의 총 매출액은 지난해 7431억5400만원에서 올해는 8244억6900만원으로 증가할 것으로 보인다. 또한 2006년부터 2012년까지 7년간 연평균 7.4% 상승해 오는 2012년엔 매출규모가 1조837억9700만원에 이를 전망이다.

7년간 연평균 7.4%의 성장

’시스템 및 네트워크 정보보호 제품’ 분야를 보면 지난해 매출액은 6286억500만원이었으며 올해 6985억5100만원으로 증가할 것으로 예상된다. 지난 2006년부터 2012년까지 7년간 연평균 6.9%씩 성장해 2012년엔 9134억6500만원에 이를 것으로 보인다.

’정보보호서비스’ 분야의 경우는 2007년 1145억4900만원을 기록했으며 2008년도 매출액은 1259억1800만원으로 예상된다. 2006년부터 2012년까지 7년간은 연평균 10.5%가 성장해 오는 2012년엔 1703억3200만원 규모로 증가할 것으로 전망된다.

정보보호산업의 매출 전망(자료=정보보진흥원)

정보보호산업의 분류별 매출전망(단위:백만원)(자료=정보보진흥원)

’시스템 및 네트워크 정보보호 제품’ 중에서도 통합보안시스템(UTM)의 매출액은 지난 2006년 299억5000만원에서 2012년엔 513억4700만원으로 연평균 9.4%씩 증가할 전망이다. ’보안운영체계(Secure OS)’와 ’바이오인식 제품’은 이 기간 연평균 9.3% 성장할 것으로 보인다. ’보안운영체제’의 매출액은 지난해 221억4300만원에서 오는 2012년에는 377억1700만원에 이르고 ‘바이오인식 제품’은 지난해 631억6900만원의 매출을 올린데 이어 2012년엔 967억3400만원 규모를 형성할 것으로 예측됐다.

’가상사설망(VPN)’은 지난 해 매출액이 506억1100만원에서 2012년에는 818억8400만원으로 연평균 8.4% 증가하고 이밖에 ’침입방지시스템(IPS)’과 ’보안관리’는 각각 8.0%, ’’인증제품’은 7.7%, ’접근관리’는 7.2%씩 성장할 것으로 예상된다.

시스템 및 네트워크 정보보호 제품의 매출 전망(자료=정보보호진흥원)

’정보보호 서비스’는 유지보수, 보안컨설팅, 보안관제, 인증서비스, 기타 서비스 등으로 분류된다. 그 중 인증서비스는 정보보호 서비스 가운데 가장 높은 연평균 19.3%의 성장률을 보이고 있다. 지난해 75억원에서 오는 2012년엔 140억6300만원에 이를 전망이다.

보안관제는 매출액이 지난해 373억9100만원에서 2012년엔 576억9400만원으로 추정된다. 2006년부터 2012년까지 7년간 연평균 12%의 성장이 예상된다. ’기타 서비스’의 매출액은 지난해 103억1100만원에서 연평균 11.9% 성장하며 오는 2012년엔 424억4100만원까지 증가할 것으로 보인다. 보안컨설팅은 지난해 298억2100만원에서 2012년엔 402억7300만원으로 증가할 전망이다.

정보보호서비스의 매출전망(자료=정보보호진흥원)

정보보호서비스의 분류별 매출전망(자료=정보보호진흥원)

IT 컴플라이언스 증가 추세

내년도 보안이슈는 올해와 마찬가지로 ’개인정보보호’가 될 전망이다. 김홍선 안철수연구소 사장은 내년도 보안 이슈를 묻는 질문에 대해 "아직 개인정보보호 이슈는 시작도 안했다"고 잘라 말했다. 2008년에 이어 2009년에도 개인정보보호가 가장 큰 보안 이슈라는 설명이다.

또한 전 세계적으로 개인정보보호를 의무화하는 IT컴플라이언스가 증가하고 있는 추세다. 전 세계 기업들이 수집하고 보관하고 있는 개인정보를 보호하기 위해 기업들이 준수해야할 요구사항들을 담고 있는 많은 IT컴플라이언스가 존재한다.

이러한 규제들은 기업들로 하여금 암호화와 DB보안 등 개인정보에 대해 합리적 수준의 보호를 제공할 것을 의무화하고 있다.

이같은 상황과 맞물려 내년에는 디지털저작권관리(DRM), DM보안, DM암호 등의 DM/콘텐츠 보안이 떠오를 전망이다. 지난해에는 이 분야의 매출규모가 593억1500만원이었으며 오는 2012년엔 845억1700만원으로 추정된다. DB/콘텐츠 보안은 소프트웨어적인 성격이 강해 향후 정보보호 트렌드와 맞물리면서 내외부 직원으로 부터 개인정보유출방지 및 IT컴플라이언스에 부합되는 솔루션으로 지속적인 성장세를 유지할 것으로 전망된다.

DB콘텐츠 보안의 매출 전망(자료=정보보호진흥원)

특히 이 시장은 DRM이 주목을 받고 있다. 대형제조업체를 중심으로 빠르게 도입이 확산되는 추세다. 조선, 자동차 업종에서의 수요가 폭발적이다. 지난해 4월에 시행된 산업기밀 유출 방지법이 올해초 법 개정으로 더욱 강화됐고 자동차, 조선, 통신분야에서 내부정보 유출사고가 빈번해짐에 따라 DRM에 대한 수요가 증가하고 있다.

DRM시장은 소프트캠프, 파수닷컴, 마크애니 등 3개사가 약 94%의 시장을 차지하고 있다. 더욱이 신규 시장 진입이 어려워 앞으로도 3개사의 치열한 경쟁은 지속될 전망이다. 조규곤 파수닷컴 사장은 "DRM은 오피스, 캐드, OS 등 기업에서 쓰이는 모든 애플리케이션과 관련이 있다. 따라서 이와 연동한 다양한 개발항목이 존재한다"며 "후발업체가 들어와서 모두 개발하려면 시간이 상당히 걸리기 때문에 시장을 따라 잡기 어렵다"고 설명했다.

파수닷컴은 최근 미국 길베인 컨퍼런스에서 KTF에 구축한 DRM프로젝트의 성공사례를 발표했고 삼성, 포스코, KTF 그리고 행정안전부 등의 레퍼런스를 보유하면서 지명도를 높여가고 있다. 최근엔 미국내 2개 디스트리뷰터와 DRM제품 공급계약을 체결하고 미국시장에 본격 진출했다. 조규곤 파수닷컴 사장은 "이번 미국 채널 오픈을 통해 본격적인 미국 시장진출이 추진될 것"이라며 "내년엔 실질적인 레퍼런스가 나올 것으로 기대하고 있다"고 말했다.

소프트캠프도 KT의 PC-DRM 프로젝트를 성공적으로 마친 것은 물론이고 SK그룹, 현대그룹, 기아, 신세계그룹, 한화그룹 등을 고객사이트로 확보했다. 또 현대자동차 연구소의 설계 보안을 완료해서 가동 중이다. 자국 회사가 아니면 신뢰하지 않는다는 일본시장에서도 혼다연구소와 시세이도에 DRM을 구축해 화제가 됐다. 현재 미국, 중국, 싱가포르 등에 영업채널을 구축하고 시장공략에 한창이다.

소프트캠프는 앞으로 가상영역 보안에 힘을 쏟을 전망이다. 배환국 소프트캠프 사장은 "문서보안의 기술적, 비용적 한계를 극복하기 위한 가상영역 보안이 탄생했다"며 "기업내 설계 정보에 대한 부적절한 접근 및 유출을 방지하기 위한 가상영역보안 기술을 응용해 설계 정보의 생성에서 사용, 유통, 폐기의 모든 행위가 사용자 단말기 내 가상의 안전한 보안 영역에서만 이뤄진다"고 설명했다.

마크애니도 DRM과 워터마킹 분야에서 10년 가까이 기술력을 축척해온 DRM대표 업체 중 하나다. 미국, 중국, 독일에서는 로열티까지 받는 성과를 올렸고 내년에는 일본과 동남아시아 시장을 공략할 계획이다.

올해 예상보다 저조한 모습을 보였던 데이터손실방지(DLP)솔루션도 개인정보보호법 제정을 기회로 올해 못다 핀 꽃망울을 내년엔 활짝 피울 태세다.

내부정보유출방지 솔루션의 통합위협관리(UTM)으로 불리는 DLP는 DRM, 스팸차단, DB보안, 메신저보안 등을 한데 묶어 낸 종합 내부정보유출 방지 솔루션이다.

IDC는 DLP시장의 경우 전 세계적으로 2007년 1억9400만달러를 기록했고 2009년엔 4억3500만달러로 성장할 것이란 전망을 내놓았다. 또한 2014년말까지는 21억달러에 이를 것으로 전망하고 있다. 2007년부터 2014년까지 8년간 연평균 41%의 성장률이다.

국내 DLP시장의 경우 기업 내부정보 유출 사건으로 통합 보안에 대한 이슈가 커지고, 보안 프로세스의 효율성 증대와 시너지효과 창출이라는 명분에 따라 올연말쯤이면 크게 확대될 것으로 기대했지만 아직 두각을 나타내지 못하고 있다.

이는 국내 DRM 시장의 진입 장벽이 높고, 대기업의 경우 여러가지 보안 솔루션을 이미 구축해놓은 기업이 많아 윈백이 어려우며, 아직은 국내에서 DLP의 개념이 모호하기 때문인 것으로 보인다.

하지만 한 업체가 정보유출과 관련된 모든 솔루션을 제공하기 때문에 유지, 보수에 강점을 갖고 있고 각 솔루션이 전사적으로 구축돼 시너지 효과 발휘가 가능하다. 또 솔루션을 각각 따로 도입했을 때보다 비용이 절감되는 효과가 있기 때문에 아직 문서보안이나 UTM을 도입하지 않은 SMB 시장 또는 공공기관을 중심으로 확산될 것이라고 전문가들은 내다보고있다. 국내 업체로는 소만사, 컴트루테크놀로지, 엑스큐어넷, 워터월시스템즈등이 있으며 시만텍, 맥아피, 트렌드마이크로 등 글로벌업체가 지난해 말부터 내부정보유출방지 전문 업체들을 인수하면서 이 시장에 뛰어들기 시작했다. EMC RSA와 IBM도 내년부터 본격적으로 DLP시장에 진출할 예정라고 밝혔다.

외국계 기업중엔 시만텍이 가장 활발한 움직임을 보이고 있다. 지난 6월에 본투 DLP 8.1을 국내에 발표했고 2009년 상반기 DLP 9를 선보일 예정이다. 시만텍은 국내 대형 제조업체 및 금융권 윈백보다 DRM이나 DB보안을 구축한 기업을 대상으로 추가 부분을 설치한다는 전략이다.

또한 국내 마케팅 강화 차원에서 현지화 작업을 진행 중이다. 아래아 한글, 훈민정음, 네이트온 등 국내에서 사용률이 높은 프로그램과 메신저 지원 작업을 하고 있다.

지난 10월엔 삼성SDS와 DLP분야를 주축으로한 보안사업 공동추진계획도 발표했다.

국내업체 가운데는 소만사가 눈길을 끈다. 국내 DLP제품 중 유일하게 지난 9월엔 메일아이(Mail-i)와 메시지아이(Msg-i)가 국제공통평가기준(CC) 평가계약을 체결한 소만사는 공공, 일반 기업을 포함한 500여개의 고객사를 확보한 상태다. 소만사는 내년에 공공시장에 대한 마케팅을 더욱 강화할 예정인데, 최근에는 기획재정부의 망분리사업을 수주했다.

엑스큐어넷의 DLP솔루션은 웹메일, 까페, 웹하드 등 인터넷을 통해 업로드 되는 컨텐츠 키워드 필터링 및 로깅 기능 제공하고 있다. 우정사업본부, 교육과학기술부 등 100여개의 공공기관 레퍼런스 보유하고 있으며 최근 7건의 공공기관 망분리사업 발주 중 6건의 발주를 수주했다.

개인정보보호법, 2009년을 달굴 듯

정부는 지난 4년간 개인정보보호법 제정에 앞장서 왔다. 공공과 민간을 규율하는 개인정보보호 일반법 제정이 필요했고 공공과 민간의 공통적인 개인정보보호 및 처리원칙 규정을 만들고 피해구제 창구를 일원화 하는 등 국민 권익 구제를 강화하기 위해서였다.

정부는 OECD 8원칙 등 국제적 기준을 적극 반영하고 국내 정책 환경을 고려한 개인정보보호법을 만들고 국회의 통과를 기다리고 있다.

내년도 정부의 개인정보보호 정책에 대해 이필영 행정안전부 개인정보보호과장은 "개인정보보호법 제정이 개인정보보호를 위한 정부의 가장 큰 정책 방향"이라고 말했다. 구체적인 법안이 나오고 법제처심의를 마친 만큼 4년간 끌어온 개인정보보호법이 내년 상반기 국회를 통과하고 하반기엔 시행될 것으로 행안부 측은 보고 있다. 또한 개인정보보호법 제정을 통해서 그동안 문제돼 온 개인정보보호에 관한 문제를 어느 정도 해결할 수 있을 것으로 기대하고 있다.

내년도 제정될 개인정보보법안과 OECD8원칙을 비교하면 다음과 같다.

개인정보보호법엔 개인정보 수집이용 요건과 고지의무, 개인정보 수집제한, 개인정보 파기 등을 명시해놓았다. 또한 불특정 다수가 이용하는 목욕탕, 화장실 등 사생활 침해우려 장소에는 영상정보처리기기(CCTV)를 설치하지 못하게 했고, 공공기관이 CCTV를 설치할때에는 공청회 등 사전 의견수렴 절차를 의무화했다.

CCTV를 설치목적과 다르게 임의로 조작하거나 녹음기능 사용을 금지했고, 운영과 관리 지침 등 안전조치를 의무화하도록 했다.

또 개인정보의 안전한 관리와 보호를 위해 개인정보의 안전한 처리를 위한 적절한 기술적,관리적 보호조치를 의무화 했다. 개인정보 유출사실을 인지한 경우엔 지체없이 유출사실을 정보주체에게 통지하고 피해 최소화를 위한 필요조치를 해야 한다.

개인정보보호 영역도 확대한다. 공공기관과 교육, 정보통신망 등으로 한정돼 있는 개인정보보호 영역을 대형할인점, 백화점, 호텔/콘도, 온라인사업 등으로 확산할 예정이다.

공공기관의 개인정보파일 관리도 강화된다. 공공기관은 개인정보파일 운용 시, 근거와 목적 등을 행안부 장관에게 등록해야한다. 또한 등록현황에 대해선 누구든지 쉽게 열람할 수 있도록 공개해서 자신도 모르게 개인정보파일이 남용되고 있는지 확인할 수 있도록 했다.

신속한 권리구제와 다양한 침해사례 유형에 대한 제도개선을 위해 정부는 개인정보보호위원회와 개인정보분쟁조정위원회도 구성했다.

이강신 정보보호진흥원 개인정보보호지원센터 팀장은 “연간 개인정보보호의 총 가치는 약 1조3000억원이다”라며 “개인정보보호를 위해선 개인정보에 대한 기술적ㆍ관리적 보호조치가 필요한데, 이를 위해 법적인 규제가 반드시 필요하다"고 말했다.

내년 정보보호 예산 8.4% 증가

개인정보보호를 위해 정부는 예산을 확대한다는 방침이다.

2009년 정보보호 예산은 올해 1608억원에서 8.4% 증가된 1742억원 규모가 될 것으로 보인다. 기획재정부는 정보보호 기반 조성에 176억원, 전자정부 통합인증체계 구축에 40억 원을 투입할 예정이고, 정보화역기능에 대한 부처별 정보보호 투자 확대를 위한 예산을 434억원에서 577억원으로 확대했다. 또한 지식정보보안 산업인력양성에 30억원의 예산을 편성했다.

아울러 개인정보보호 대책 등 역기능을 방지하고 국내외에서 해킹이나 바이러스 개인정보 유출등 복합적인 형태의 정보보호 위협을 대비한 예산도 늘어났다.

백승주 기획재정부 지식경제예산과 과장은 “개인정보 노출 대응체계 구축을 위한 예산이 28억원이 책정됐으며, 방통위가 추진하고 있는 해킹 바이러스 대응 체계 고도화예산을 102억에서 133억원으로 늘릴 예정이다”라고 밝혔다.

늘어나는 정보보호 예산을 이용해 정보보호시스템 도입도 확대할 예정이다. 보안 전담조직도 설치된다. 중앙은 계단위로 2~3명, 시도는 팀단위의 4~5명으로 구성된다.

주요 정보통신기반시설에 대한 보호체계도 강화할 예정이다. 현재는 금융, 에너지, 통신 등 101개 시설에 대해 평가주기 2년으로 보호체계를 구축해놓았으나 이행상태관리가 미흡하고 평가 주기가 너무 길다는 평을 받아왔다. 앞으론 평가주기를 1년으로 단축하고 이행 실태 점검도 강화할 예정이다. 또 민간업체와 행정공공기관으로 까지 확대할 예정이다.

정부는 정보보호를 위해 중소기업과의 협약도 강화한다는 방침이다. 한국정보보호진흥원(KISA)은 지난달 20일 중소기업기술혁신협회(이노비즈협회)와 중소 기업 정보보호 수준제고 및 인식확산을 위한 업무 협약을 체결한다고 밝혔다.

앞으로 양 기관은 ▲중소기업의 인터넷 침해사고 대응 역량 강화, ▲CEO 및 전문 인력의 정보보호 수준 제고를 위한 서비스 ▲정보보호 교육 ▲정보보호 인식확산을 위한 공동 캠페인 추진 등 부문에서 상호 협력하게 된다.

이번 협약체결을 계기로 KISA는 중소 기업에 정보보호 콘텐츠를 무료로 제공할 계획이라고 밝혔다. 특히 공개 웹 방화벽, 해킹탐지 프로그램 등을 보급하고 취약점 점검과 정보보호 수준 자가진단 서비스를 제공하게 된다.

2009년 정보보호 예산(단위 백만원)

*각 부처별 정보보호투자는 콘텐츠 보안, 시스템 보안, 네트워크 보안 등