99년 CIH 바이러스로 보안 이슈 부상, 침입차단 기술에 컨설팅 강화로 차별화

 

[아이티데일리] 2000년은 보안의 중요성이 특히 강조된 해였다. 1999년 CIH 바이러스가 세계적인 이슈가 된데다 ‘야후’, ‘아마존’, ‘바이닷컴’ 등이 크래커들의 공격으로 수 시간 동안 기능이 마비되는 사건이 발생해 보안에 대한 관심이 크게 높아졌다. 이러한 보안 위협에 대응하기 위해 국내 보안 업체들은 그동안의 침입차단 외에 컨설팅에 관심을 갖기 시작했다.

2000년은 국내 보안 시장이 처음으로 1000억 원을 돌파한 해로 기록되기도 했다. 시장 확대와 함께 보안 인력의 부족현상도 나타났다. 보안 인력확보가 곧 업체의 경쟁력 강화로 이어져 시장에서는 인력확보에 대한 경쟁도 치열하게 전개됐다.


국내 보안 업체, 2년만에 30여개에서 100개 넘어

2000년에는 전 세계적으로 보안 이슈가 발생하면서 국내에서도 정보 보안에 대한 관심이 크게 높아졌다. 기업은 물론 일반 개인 역시 보안에 대한 관심이 증가하면서 보안 시장이 크게 확대됐다.

2000년 당시 국내 정보보안 시장은 1999년에 비해 약 4배 성장, 1,000억 원에서 1,500억 원 규모를 형성했다. 시장이 확대되면서 참여 업체도 크게 늘어났다. 1998년 30여 개에 불과한 국내 보안 업체는 2000년에 정보보호산업협회(KISIA)에 등록된 업체만도 100개를 넘어섰다.

▲ 1999년 해외 보안 시장 현황 (출처: 인포메이션 시큐리티 마켓 ’99 설문보고서)

2000년 국내 보안 시장의 가장 큰 특징은 제품외에 보안 컨설팅에 대한 수요도 늘어났다는 점을 들 수 있다. 특정 제품만으로는 보안에 한계가 있고, 수많은 제품 가운데 자사에 적합한 제품을 선택하는 것도 쉬운 일이 아니라는 점을 보안 담당자들이 깨닫기 시작한 것이다.

보안 업체들 역시 이 같은 시장상황에 적극적으로 대응했다. 1999년까지 솔루션을 패키지화해 판매하는 데 주력해온 국내 보안 업체들이 보안 컨설팅을 제공하기 시작했다. 컨설팅 없이 기밀성(Confidentiality), 통제성(Control), 무결성(Integrity), 확실성·인증(Authenticity), 가용성(Availability)이라는 보안의 5가지 핵심 요소를 제공할 수 없었던 것이다.

그러나 패키지 공급에 주력해온 국내 보안 업체들이 컨설팅을 제공한다는 것이 말처럼 쉬운 일은 아니었다. 기존 보안 업체들이 컨소시엄을 구성해 보안 컨설팅에 나선 것도 이런 이유에서 였다. 보안 컨설팅에 나선 대표적인 업체로 ‘코코넛’, ‘이글루시큐리티’, ‘사이버패트롤’, ‘시큐아이컴’ 등을 들 수 있었다.

코코넛은 정보보호 호스팅 전문업체로 1999년 데이콤인터내셔널, 안철수연구소, 펜타시큐리티 등 3사가 공동으로 설립한 기업이다. 코코넛은 KIDC에 입주한 업체를 대상으로 보안 호스팅 서비스를 제공하는데 초점을 맞췄다.

이글루시큐리티는 에스원, 사이버텍홀딩스, 어울림정보기술, 신원텔레콤 등 4개사가 공동으로 설립한 보안 업체다. 이글루시큐리티는 2000년에 이글루 아시아퍼시픽, 차이나, 아메리카, 재팬 등 4개 현지법인 설립을 추진했다. 사이버패트롤은 한국소프트중심, 두산건설, 범아종합경비 등이 공동으로 설립한 회사였다.

보안 컨설팅에 대한 수요가 늘어난 데다 보안 컨설팅없이 보안 시장에서 영향력을 확대할 수 없다는 판단에 따라 기존 보안 업체들 역시 전문 컨설팅 업체로 변신하고 있었다. 그 동안 보안 솔루션을 공급해오던 시큐어소프트, 안철수연구소, 소프트포럼, 이니텍 등도 보안 컨설팅 업체를 표방했다.

지금의 관점에서 보면 보안 컨설팅 업체라고 주장한 이들 업체들이 진정한 의미의 보안 컨설팅을 제공하지는 못했다고 할 수 있다. 자체 보안 기술력을 갖고 있는 업체도 적었고, 보안 전문 인력도 모자라는 상황에서 통합 컨설팅을 제공하기가 쉽지 않았다는 것이다.

▲ 국내 주요 정보보호 업체 매출 현황 (출처: 제 5회 정보보호 심포지움)


해외로 수출되던 국내 침입차단시스템과 VPN

국내 정보보안의 초기 시장을 주도해 온 제품은 바로 ‘침입차단시스템(IDS, Intrusion Detection System)’이었다. IDS는 외부 불법 트래픽을 막고, 허가되고 인증된 트래픽만을 보호해주는 시스템으로 특히, 내부망과 외부망에 걸쳐 전송되는 패킷에 대한 감시 기능과 접속 사용자에 대한 인증 기능이 중요했다. 국내 제품으로는 시큐어소프트의 ‘수호신 시리즈’, 어울림정보기술의 ‘시큐어웍스’, 외산 제품으로는 체크포인트의 ‘FW-1’과 시스코의 ‘PIX’가 있었다.

국내 IDS는 해외로 수출되고 있었다. 국내 업체들이 IDS 분야에서 기술력을 확보하고 있었다는 반증이다. 어울림정보기술은 자사의 방화벽 제품 ‘시큐어웍스’를 1999년 태국의 넥택사에 공급했다. 또한 말레이시아의 정보 보안업체인 코암 말레이시아사와 제품 공급 계약을 체결하기도 했다.

IDS는 국내 대기업과 금융권 그리고 공공기관에서 많이 도입했다. 2000년 당시 대기업의 약 73%가 IDS를 도입했다. 그러나 중소기업은 20%, 인터넷쇼핑몰 업체는 5%에 불과했다. 기업 전산담당자의 보안에 대한 인식이 높아졌다고 하나 이는 대기업에 국한됐을 뿐 아직도 중소기업에서 보안 도입은 우선순위 밖에 있었던 것이다. 보안이 생명인 쇼핑몰조차도 IDS 도입율이 5%에 불과했다는 점이 이런 형상을 잘 보여주고 있다고 할 수 있다.

IDS는 보안 제품의 2세대라고 불렸을 정도로 시스템에 침입하는 불법 트래픽에 따른 피해를 최소화해주는 보안 시스템이었다. 1998년에는 27억 원, 1999년에는 79억 원 규모였던 IDS 시장은 2000년 198억 원으로 크게 성장할 것으로 전망됐다.

1999년 CIH 바이러스에 이어 2000년 ‘I LOVE YOU’ 바이러스로 온 나라가 떠들썩했다. 특히 2000년에는 20여 종의 변종 러브바이러스가 출현해 시스템에 많은 피해를 줬다. 역설적으로 이 같은 피해가 오히려 바이러스 백신 제품에 대한 인식을 높이는 계기로 작용했다.

대표적인 클라이언트 보안 제품으로 바이러스 백신 제품(Anti Virus Products)을 들 수 있다. 국내에 공급되던 대표적인 바이러스 백신 제품으로는 안철수연구소의 ‘V3 시리즈’, 하우리 ‘바이로봇’, 시큐어소프트 ‘바이러스 월’, 시만텍 ‘노턴 안티바이러스’ 등을 들 수 있었다. 이들 제품들은 새로운 바이러스가 출현할 때마다 소프트웨어(SW) 업데이트를 병행하며, 당시 고객들에게 서비스를 제공하고 있었다.

IDS 외에 VPN도 인기였다. 지금은 VPN이 일반 사람들에게까지 널리 알려져 있지만, 2000년에는 생소한 네트워크 보안 제품이었다. VPN은 통신사업자의 가상 네트워크 암호화 기술을 이용해 사용자가 자신의 전용회선처럼 사용할 수 있게 해주는 보안 시스템이다.

2000년에는 기존에 사용 중이던 전용 회선보다 가격대가 낮아 설치 후 6~9개월 후에는 초기 투자비용의 회수가 가능했다고 할 정도였다. 이런 장점 때문에 한국통신, 데이콤 등은 이미 VPN으로 대체했었다. VPN을 자체 생산하는 퓨처시스템은 HW 기반의 ‘시큐웨이스위트 2000’을 선보여 시스템과 통신 보안을 동시에 제공했다. 당시 퓨처시스템은 국내 VPN 시장의 50% 이상을 차지하면서 2000년 1/4분기 매출이 37억 원으로 1999년 1/4분기보다 5배 이상 성장했었다. 한편, 외국 업체들인 뉴브리지, VP넷, 넷스크린 등도 국내 VPN 시장에 뛰어들 채비를 갖추고 있었다.


인력이 곧 경쟁력

2000년, 보안 시장이 확대되면서 보안 업체 역시 크게 늘어났다. 시장이 확대되고 보안 업체가 늘면서 인력 부족현상이 나타났다. 모든 IT분야가 그렇듯 보안 분야 역시 업체의 경쟁력은 곧 기술력을 가진 유능한 인력을 확보하느냐에 달려있었다.

당시 보안 업체의 직원 구성비를 봐도 알 수 있지만, 보통 보안 회사에서 연구 인력이 차지하는 비중이 1/2 이상이었다. 연구 인력 2/3를 넘는 업체도 많았다. 그만큼 연구 인력이 중요하다는 뜻이다.

그러나 보안 시장이 급속히 확대되면서 인력 양성이 시장을 따라가지 못한 현상이 나타났다.

당시 업계 전문가들에 따르면 국내 보안 전문 인력은 150명 정도였다. 정보보호센터에 등록된 보안 업체가 100여개인 상황에서 150명의 전문 인력은 턱없이 부족한 숫자였다. 보안 전문 인력 확보가 얼마나 어려웠겠는가를 알 수 있는 대목이다.

보안 업계 관계자들은 ‘전문 인력 구하기’가 하늘의 별을 따는 것보다 힘들다고 말했을 정도였다. 유능한 인력을 구하는 것도 어렵지만 업체들은 직원을 빼앗기지 않기 위해 사활을 걸 정도였다.

전문 인력이 이처럼 부족하다 보니 불공정 스카우트 시비도 비일비재했다. 업계 관계자들은 전문 인력을 양성할 수 있는 교육기관 설립이 시급하다고 목소리를 내기도 했다. 2000년 KISIA와 보안업체들이 교육을 하고는 있었지만 양적인 면에서나 질적인 면에서 시장의 요구를 만족시키기에는 역부족이었다.

특히 보안 업체의 경우 실무관리자들을 위해 자사의 제품 이용법에 관해 교육하는 것이 대부분이었다.

▲ 2000년의 보안 컨설팅 방법론 (출처: 컴퓨터월드)


보안 교육기관 설립 시급

2000년 국내 100여개의 보안 업체 중 자체 보안 솔루션을 지니고 있는 업체는 30개사에 불과했다. 특히, 이들 30개 업체도 보안 통합 컨설팅을 제공하기에는 무리가 있다는 지적도 있었다. 인력 부족은 물론 컨설팅을 제공하기에는 기술력이 부족한 업체도 많았던 것이다.

국내 보안 업체들은 인력과 기술력 부족을 해외 보안 기업과의 제휴로 해결해나갔다. 시큐어소프트는 미국의 가상사설망(VPN) 전문 기업인 넷스키린사와, 소프트뱅크는 미국의 네트워크어소시에이트(NAI), 넷시큐어테크놀로지는 이스라엘의 넷가드사, 이니텍은 RSA 시큐리티사와 제휴를 맺고 있었다.

국내 보안 업체들의 이같은 해외 업체와의 제휴에 대해 업계에서는 자칫 국내 보안 시장이 외국 제품 전시장으로 변질될 수도 있을 것으로 우려하기도 했다.

암호화 솔루션 등 보안 솔루션은 각 국가에서 기간 인프라로 인식하고 있다. 그만큼 자국의 암호 보안 솔루션을 다른 나라 업체에게 맡기는 것에 대해 부담스러워 하는 경향이 강했던 것이다. 2000년, 선진국에서 암호제품의 수출을 규제하는 등 정부기관에서 정보보호 기술 개발에 적극 나선 것도 이런 이유 때문이었다.

국내 역시 예외는 아니었다. 한국정보보호센터에서 정보보호 기반 기술 중 암호 알고리즘 및 안전성 분석 모델을 개발하고 있었고, 한국전자통신연구원(ETRI)에서는 정보보호 응용 기술을 개발하고 있었다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지