최소 안전장치마저 드물어…위협에 무방비 노출

[컴퓨터월드] 전 세계적으로 정보보호의 중요성이 대두되면서 기업 및 기관들은 점차 보안 수위를 높여나가고 있는 추세다. 이에 맞춰 정보보호 기업들도 좀 더 강력한 보안 기능을 제공하는 솔루션들을 출시하고 있다. 그러나 이러한 흐름은 영세한 중소기업들에겐 먼 나라 이야기다. 비록 정보보호의 중요성을 알고 있더라도 당장 직원들 월급 주기도 빠듯한 이들이 적게는 수십, 많게는 수백만 원을 호가하는 보안 솔루션을 도입하기란 결코 쉬운 일은 아니기 때문이며, 적은 인원으로 ‘가족같이’ 일하고 있는 직원들이 회사의 중요 정보를 유출시킬 것이라는 생각은 하지 않기 때문이다. 그 결과 최소한의 안전장치마저 하지 않은 중소기업들도 부지기수이며, 이들은 정보보호의 사각지대에 고스란히 노출되고 있다.


‘매우 심각’한 중소기업 정보보호 현황
OLED 핵심공정을 보유한 B사는 정보보호에 대한 대비를 소홀히 했다가 큰 피해를 입었다. B사에 계획적으로 입사한 산업스파이가 퇴사하면서 개인 이메일, 메신저 및 USB를 통해 B사가 가진 핵심 기술 자료를 유출시켰기 때문이다. 이로 인해 B사는 해당 기술과 관련된 영업이익 부문에서 손실을 입었다.

이처럼 클라우드, BYOD, 스마트워크 등 IT가 발전하면서 업무 편의성은 높아졌지만, 데이터 이동이 자유로워진 만큼 기업 내부 정보의 유출 위험 또한 커지고 있다. 특히, 메일, 메신저를 통한 업무 협업, 파일 송수신 등 인터넷을 기반으로 한 업무 환경이 형성되면서, 고의든 실수든 내부자가 본인이 가진 권한 내에서 데이터를 외부로 유출시킬 가능성이 한층 높아졌다. 모든 곳이 마찬가지겠지만 관공서, 금융권, 대기업 등에 비해 상대적으로 보안 수준이 낮고 관리 취약점이 많은 중소기업에서는 이에 대한 대비책 마련이 필요하다.

그러나 아직까지 중소기업에서 정보보호를 논하기에는 부족한 점이 많아 보인다. 인력과 자금 모두가 부족한 상황에서 정보보호만을 전담으로 맡는 조직 또는 담당자를 두거나 기술적 조치방안을 마련하고 있는 곳은 그리 많지 않은 것으로 나타났기 때문이다.

SW 전문기업 지란지교소프트와 IT지식 커뮤니티 쉐어드IT가 공동으로 지난 1월 25일부터 2월 5일까지 중소기업 14개 업종 458개 기업을 대상으로 실시한 ‘2016년 중소기업 정보보호 현황조사’에 따르면, 응답기업의 64%가 정보보안을 전담하는 책임자를 배치하지 않는 등 체계적인 관리를 하지 못하고 있었으며, 67%의 기업이 USB 등 이동식 저장매체나 메일·메신저 등 인터넷을 통한 정보유출에 대해 기술적 조치방안이 마련돼 있지 않은 것으로 나타났다. 이는 직원 중 누군가가 마음만 먹으면 손쉽게 기업 정보를 유출할 수 있다는 것을 단적으로 보여준다.

있으나 마나한 보안 규정도 문제인 것으로 드러났다. 응답기업 중 83.2%가 자체 보안 규정을 보유하고 있지만, 이를 엄격히 지키고 있다는 곳은 18.2%에 불과했다. 보안 규정을 지키지 않는 이유로는 현업 업무를 하는데 번거로움(48.6%), 보안 솔루션의 부재(24.5%), 담당자 부재(11.7%) 등의 순이었다.

▲ 중소기업 보안 규정 마련 및 준수 관련(출처: 지란지교소프트, 쉐어드IT)

중소기업 정보보호의 걸림돌, ‘의식부재’
이미 오래전부터 보안성을 높이는 것과 업무 효율성은 반비례한다는 것이 증명돼왔으며, 최고경영자(CEO)나 IT담당자는 이 간극을 어떻게 메꾸는 것이 가장 좋을지에 대해서 고민해왔다. 초기에는 경영성과 및 업무 효율성을 위해 보안이 무시되는 경향이 많았지만, 최근에 와서는 보안이 단지 비용이 아닌 언제 발생할지 모를 사고에 대비하는 투자 개념으로 인식되면서 점차 강화되고 있는 추세다. 물론, 복잡한 보안에서 간단한 보안으로 점차 그 방식이 변화하고는 있지만, 이는 어디까지나 대기업 수준에서나 가능한 이야기일 뿐 중소기업 수준으로 가면 달라진다.

앞선 설문조사 결과에서도 확인할 수 있듯이 많은 중소기업들이 정보보호를 위한 기술적 조치를 마련하지 않았거나, 보안 규정이 있음에도 이를 철저히 지키지 못하고 있다. 이는 법적인 문제도 있겠지만, 중소기업들의 정보보호 의식이 대기업에 비해 저조하다는 것을 의미한다.

한국산업기술보호협회 관계자는 “중소기업 특성상 정보보호 전담자가 많지 않은 것을 감안하면, 각 기업들의 대표가 정보보호에 신경을 써야 된다. 하지만, 실제로 만나본 중소기업 대표들 중 정보보호의 중요성을 파악하고 이에 적극적으로 대응하려는 사람들은 극히 드물었다”고 전했다. 그동안 별다른 사고 없이 기업을 운영해왔기 때문에 굳이 할 필요를 느끼지 못한다는 설명이다.

그는 또한, “대기업에서 특정 기술이 유출됐다고 해서, 그것을 활용해 경쟁사가 즉각 제품이나 서비스를 공급하기는 어렵다. 대기업이 만들어내는 제품과 서비스는 특정 기술로만 이뤄지는 것이 아니기 때문이다. 그러나 중소기업의 기술이 유출되면, 그것은 곧 그 기업의 수익과도 직결될 정도로 치명적이다. 문제는 실제로 기술이 유출됐는지도 모른 채 손해를 입을 수 있다는 것이다. 그렇기에 중소기업들도 보안을 비용으로만 생각하지 말고, 기업이 한 단계 더 발전할 수 있도록 하는 디딤돌로 보고 소홀히 해서는 안 된다”고 강조했다.

비싼 보안 솔루션, 도입 엄두조차 못 내
중소기업이라고 해서 모두가 정보보호 방안을 외면하고 있는 것은 아니다. 보안 업계에 따르면 중소기업에서도 정보보호 솔루션 도입에 대한 문의가 조금씩 늘어나고 있는 추세다. 그러나 중소기업에서 감당하기 어려울 정도로 값 비싼 보안 솔루션들은 중소기업들로 하여금 정보보호에 대한 관심을 끊어버리게끔 하고 있다.

보안 업계 관계자는 “중소기업들은 독자적으로 사업을 수행하기도 하지만, 대기업의 협력업체인 경우도 많다. 이들은 상위에 있는 대기업의 요청으로 정보보호 솔루션을 도입하려 하지만, 막상 도입할 만한 정보보호 솔루션을 찾는 것도 쉽지 않은 상황”이라고 밝혔다.

▲ 향후 우선적으로 투자할 계획인 IT보안 분야(출처: 지란지교소프트, 쉐어드IT)

지란지교소프트와 쉐어드IT가 실시한 설문조사에 따르면, 중소기업들이 도입을 희망하는 정보보호 솔루션 1순위는 내부정보 유출방지 솔루션(DLP)인 것으로 집계됐다. 그러나 DLP솔루션은 도입 규모와 방식에 따라 차이는 있겠지만 구축하는데 중소기업이 감당하기 부담스러운 비용이 소요된다.

보안 업계 관계자는 “한 공장 고객사는 보안 업체에 DLP솔루션 견적을 의뢰했는데 약 1억 원이 든다는 답변을 받고 솔루션 도입을 포기하려 했었다”며, “이처럼 부담스러운 솔루션 구축비용은 중소기업들이 정보보호를 소홀히 하게 되는 이유”고 설명했다.

그는 이어 “규모가 작은 기업일수록 내부정보 관리를 위해 구체적으로 마련된 정책이 없고, 일반적인 솔루션의 획일화된 정책을 적용하기도 어렵다. 이 때문에 중소기업들의 실정에 최적화된 보안 솔루션이 필요하다”고 강조했다.

정부, 안전한 중소기업 기술개발 환경 조성 나서
기업 규모가 크고 작고를 떠나 기업들은 핵심 기술이나 고객 명단 등을 비롯한 중요 내부정보가 유출되지 않기를 원한다. 특히, 우리나라 국가 경제의 큰 축을 담당하고 있는 중소기업들이 안전한 환경에서 비즈니스를 할 수 없다면, 요즘처럼 어려운 시기에 경기가 회복되기 어렵다는 우려의 목소리도 나오고 있다. 이에 정부에서도 중소기업들의 안전한 기업환경을 보장하기 위한 지원 정책들을 내놓고 있다.

그 중 하나가 중소기업청에서 시행하고 있는 ‘중소기업 기술보호 지원사업’이다. 올해는 지난 2월 지원사업 시행계획이 발표됐다. ‘중소기업 기술보호 지원사업’은 중소기업들의 기술보호 기반과 역량을 강화해 안정적인 기술개발 여건을 조성하자는 취지로 시행되며, 기술 보호를 위한 진단에서부터 유출로 인한 피해 구제에 이르기까지 기술보호 전반에 걸친 통합 서비스가 제공된다.

세부적으로 살펴보면 보안진단, 법률상담, 신고·수사 등 분야별 기술보호 전문가가 기업 현장을 직접 방문해 중소기업의 보안 취약점을 진단하고 해결방안을 제시하는 ‘기술보호 전문가 상담·자문’이 있다. 이를 희망하는 중소기업은 보안교육을 포함해 3일간 전문가의 사전 진단 및 자문을 무료로 지원받을 수 있으며, 사전진단 결과 심각한 보안문제가 발견됐거나 기술유출 피해발생에 따른 대응을 위해 자문비용의 75%를 지원받아 최대 7일까지 추가로 컨설팅 지원받을 수 있다.

기술유출 분쟁 시 재판 진행에 드는 막대한 시간과 비용을 감당하기 어려운 중소기업은 ‘중소기업 기술분쟁 조정·중재’ 제도를 이용할 수 있다. 기술유출 피해를 겪은 중소기업이 조정 또는 중재를 신청할 경우 분쟁사건에 대한 법률 및 기술보호 전문가 자문, 법률대리인 선임비용 및 소송비용을 지원받을 수 있다.

또한, 중소기업의 핵심기술 정보를 안전하게 보관하고, 기술유출이 발생했을 경우 보유사실을 입증할 수 있는 ‘기술자료 임치제도’도 있다. 중기청 R&D사업을 지원받은 기업에게는 임치수수료가 지원돼 사업수행 완료 후에도 개발기술을 안전하게 보관할 수 있도록 하고 있다.

아울러 24시간 내내 실시간 감시를 통해 정보유출 예방과 이상 징후 탐지 내용을 신속하게 알려주는 ‘기술지킴서비스’와 네트워크, 서버 및 PC보안, 문서보안 등 기술적인 보안과 출입통제설비 구축 등 물리적인 보안시스템을 구축해주는 ‘기술유출방지시스템구축’도 있다. 신청기업은 총사업비의 50% 이내에서 4천만 원까지 지원을 받을 수 있다.

▲ 중소기업청 기술보호 지원제도 플랫폼

중소기업 위한 보안 시장 확대 기대
비록 정부에서 자문·상담 및 비용지원을 해 준다 하더라도, 실질적으로 DLP 등 기술적인 장치가 없이는 정보보호를 달성할 수 없다. 그러나 문제는 막상 중소기업들이 도입할 수 있는 솔루션들이 많지 않다는 점이다. 시장에 출시된 많은 보안 솔루션들이 공공, 금융 및 엔터프라이즈 시장을 타깃으로 개발됐기 때문이다.

이런 시장 상황을 반영, 중소기업을 위한 정보보호 솔루션이 출시되고 있지만 아직은 손에 꼽을 정도다. 그러나 시장에서의 반응은 좋아 관련 업계에서도 주시하고 있는 상태다.

현재 가장 두각을 나타내고 있는 곳은 지란지교소프트다. 지난 2012년 1월부터 중소기업용 내부정보 유출방지 솔루션(DLP) ‘오피스키퍼’를 시장에 공급하면서 중소기업들의 정보보호 수준 향상과 시장 확대라는 두 마리 토끼를 동시에 잡기 위해 노력하고 있다. 이제 갓 3년을 넘긴 시점이지만, 반응은 생각보다 뜨겁다. 지란지교소프트는 ‘오피스키퍼’ 첫 출시 이후 매년 세 자릿수 매출 성장을 기록해오고 있으며, 2016년 1월 기준으로 9천여 레퍼런스를 확보하고 있다.

지란지교소프트의 중소기업용 솔루션이 시장에서 좋은 반응을 얻고 있는 이유는 중소기업의 상황과 수요에 따라 맞춤형 솔루션 제공이 가능하다는 점과 기존 DLP솔루션과의 가격 경쟁력이 크게 작용했다.

지란지교소프트의 ‘오피스키퍼’는 사내 시스템과 통합하는 형태의 서버 구축형, 클라우드 기반의 렌탈형, 미니서버 기반의 간편 설치형 등 기업이 원하는 형태로 구매 후 즉시 설치 및 도입이 가능하다. 가격 역시 타사의 서버 구축형 제품과 동일한 기능을 저렴하게 제공하고 있으며, 기업 규모나 직원 수에 따라 유연하게 조정도 가능하다. 즉, 중소기업들도 필요한 기능들을 적은 부담으로 사용할 수 있도록 한 것이 주효했다는 분석이다.

현재 지란지교소프트 이외 SK브로드밴드와 LG유플러스, SK텔레콤 등에서도 중소기업을 대상으로 하는 정보보호 솔루션을 공급하고 있지만 아직까지 관련 시장이 활성화되지는 못하고 있는 상황이다. 그러나 점차적으로 중소기업 보안에 대해 이야기하고 있는 곳이 늘어나고 있는 만큼, 관련 시장 성장과 함께 중소기업들의 보안 솔루션 도입도 활발해질 것으로 기대된다.

▲ 지란지교소프트 오피스키퍼 미니서버 제품

“누구나 쉽게 쓸 수 있는 사람 중심의 보안 솔루션 만들 것”

▲ 지란지교소프트 박상호 연구소장

‘오피스키퍼’ 제품만의 특징은 무엇인지
▶ 오피스키퍼는 고객이 원하는 바에 따라 설치형 미니서버 제품과 렌탈형인 클라우드 제품, 그리고 서버 구축형 등 3가지 종류로 이용할 수 있으며, 타사 제품 대비 가격도 저렴한 편이다. 특히, 미니서버 제품은 가로 11.5cm, 높이 5.1cm의 초소형 미니서버에 오피스키퍼 DLP솔루션을 탑재한 제품으로, 간편하게 공유기에 연결하는 것만으로 설치가 가능하다. 따라서 별도의 서버 설치 공간이 필요 없고, 전문 관리자가 아니더라도 쉽게 설치 및 관리를 할 수 있다는 것이 큰 장점이다.

‘오피스키퍼’가 제공하는 기능은 어떤 것들이 있나
▶ 오피스키퍼는 내부정보 유출방지(DLP) 기능 외에도 출력물 보안, 인터넷 사용관리, IT자산관리, 개인정보보호, 원본파일 저장 등 중소기업에서 필요로 하는 기능들을 하나의 솔루션에서 모두 제공한다.

향후 계획은
▶ 현재 오피스키퍼를 통해 좋은 성과를 내고 있는 점을 기회로 삼아 정보 유출방지를 비롯한 중소기업 보안의 범위를 확대, 대중화를 이루기 위해 오피스키퍼를 기반으로 한 오피스(OFFICE)를 위한 SW서비스 플랫폼 오피스웨어(OfficeWare)를 준비하고 있다. 오피스웨어는 중소기업에서 필요한 다양한 솔루션들의 통합 채널로 2016년 오피스NAC, 오피스박스(백업, 파일유실대비), 오피스메신저 등 총 3개의 제품 출시를 시작으로 기반을 다져나갈 예정이다.

또한, 최근 보안 솔루션들이 기술 중심으로 발전하다보니 IT전문가가 아니면 다루기 어려워지고 있다는 문제가 있다. 이에 기술도 중요하지만 누구나 쉽고 간편하게 쓸 수 있도록 사람 중심의 보안 솔루션을 만들어 나가겠다.

그래도 부담된다면? 무료 지원 프로그램 활용을
비록 저렴한 보안 솔루션들이 출시되고 있다 하지만, 정말 소규모로 영세하게 운영되는 곳들은 이마저도 부담이 될 수도 있다. 그런 기업들을 위해 무료로 정보보호 솔루션을 지원하는 프로그램이 운영되고 있다.

한국산업기술보호협회 중소기업기술지킴센터는 50인 이하 중소기업을 대상으로 중소기업기술지킴서비스를 제공하고 있다. 해당 서비스는 초기 투자비용 및 운영비 부담으로 인해 또는 보안관리 능력 및 전문인력 부재로 인해 다양한 보안 위협에 노출된 중소기업들을 보호하고자 마련된 것으로, 보안관제 서비스와 내부정보 유출방지 서비스, 악성코드 탐지 서비스를 무상으로 제공한다.

▲ 한국산업기술보호협회 중소기업기술지킴센터가 제공하는 서비스

보안관제 서비스는 기업 내 통합보안장비(UTM)가 설치돼 있어야 이용이 가능하다. 구매하거나 임대해서 사용하는 것 모두 가능하며, 이를 통해 서비스가 연동되면 중소기업기술지킴센터에서 온라인상 기술유출 및 외부공격의 이상 징후에 대해 실시간 감시·분석을 제공한다. 현재 3천여 기업에서 해당 서비스를 이용하고 있다.

내부정보 유출방지 서비스는 최대 50인까지 이용 가능한 DLP솔루션 라이선스를 무상 발급받아 이용하는 것으로, 기업 내 중요문서가 유출되는 것을 신속히 감지해 차단할 수 있도록 한다. 해당 서비스는 1천여 기업에서 활용 중이다.

악성코드 탐지 서비스는 내부정보 유출방지 서비스처럼 최대 50인까지 이용 가능한 라이선스를 무상으로 지원받아 사용하는 서비스다. 악성코드 감염으로 인한 기술유출 예방 과 더불어 감염 시 관제를 통해 즉각적으로 대응 및 조치를 할 수 있도록 제공하며, 1천여 기업이 도움을 받고 있다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지