HOME > 게시판 > 자유게시판
게시판| 자유게시판
※ 게시판 용도에 맞지 않는 글(광고및 홍보 글 등)은 임의삭제될 수 있습니다.

 
작성일 : 02-02-25 11:45
올해 보안시장의 이슈와 전망
 글쓴이 : 관리자
조회 : 1,645  

안철수 연구소 제공자료입니다.

2002년 IT산업 전망 세미나 보고 - 올해 보안시장의 이슈와 전망


지난 1월 28일 삼성동 섬유센터 17층 대회의실에서 "2002년 IT산업 전망 세미나가 열렸다. 첫째날 '보안' 분야에 대한 발표에서는 ▲보안컨설팅 ▲통합보안관리(ESM) ▲공개키기반구조(PKI) ▲가상사설망(VPN) ▲생체인증시스템 등 분야별 시장 현황과 전망에 대한 내용이 다루어졌다. 각각의 주제별로 어떠한 내용이 다루어졌는지 살펴보고, 2002년 보안 산업에 대한 시장 전망과 동향을 알아보자.
김진경(renekim@intizen.com)/시큐레터 객원기자

▲정보보호컨설팅 시장 전망과 동향

"선 보안컨설팅 후 솔루션 구축"

정보보호전문업체 지정 이후 시장 확대의 기틀이 마련되고 있는 보안컨설팅 시장 현황과 전망은 전문업체로 지정된 A3시큐리티의 김휘강사장이 맡았다.

우선 보안컨설팅이 무엇인지 살펴보면, 보안컨설팅이란 조직의 목적을 달성하는데 있어 전산시스템과 네트워크 등 모든 IT 자산과 조직에 일어날 수 있는 위험을 분석하고, 이에 대한 대책을 수립해 관리자와 조직이 그 대책을 실현할 수 있도록 지원하는 독립적인 전문 자문 서비스를 말한다. 그리고 네트워크 및 전산장애에 대한 취약점 분석 및 대응책을 제시하고, 정보보호 정책을 수립하며, 교육을 통한 보안기술 이전으로 고객기업에 보안 자생력을 갖추어 고의 또는 실수로 인한 인가되지 않은 파괴, 유출, 변조로부터 정보자산의 보안을 강화하는 것이다. 마지막으로 보안컨설팅이란 보안점검, 보안진단, 위험분석 및 평가, 보안정책수립, 보안 모델 설계, 보안 솔루션 제안 그리고 보안교육 등 기업의 보안을 강화하기 위한 전문적인 진단과 대책을 수립하는 총체적 행위라고 정리할 수 있다.

금융, 통신, 에너지, 운송 분야 등 취약성 검사 필수
2001년 7월부터 시행된 정보통신기반보호법에 의해 국가안전보장, 행정, 국방, 치안, 금융, 통신, 운송, 에너지 등 정보통신기반 시설 중에서 정보통신기반보호법 제8조의 규정에 의해 '전자적 침해행위'로부터 보호가 필요하다고 인정해 주요 정보통신기반 시설로 인정한 시설은 2년마다 '취약점 분석·평가/보호대책 수립 및 보호계획'을 수립해야 한다.

따라서 2002년 보안컨설팅 시장은 '기반보호시설의 취약점 분석 및 대책수립 업무' '금융권 IT 경영실태평가' 'BS7799 인증' '민수시장의 보안컨설팅' 등이 될 것이다.

김휘강 사장은 "야후, 이베이 등의 인터넷 업체가 서비스 거부공격으로 보안상 이슈가 됐다"며 점차 금융권을 중심으로 관리보안이 증가하고 있는 상황에서 증권사, 생명보험사 등 제2금융권과 통신사, 제조업, 공공기관이 정보통신기반보호법에 의해 취약점 분석을 받아야 한다는 것이 올해 보안컨설팅 시장 성장에 큰 영향을 미칠 것으로 보인다"고 말했다. 이는2000년 70억, 2001년 94억으로 매년 50.08%의 성장률을 보이고 있으며, 2002년에는 193억의 매출 기록할 것이라는 2002년 1월 정보보호산업협회 발표 자료에서도 알 수 있다.

김휘강 사장은 "은행, 이동통신사 등의 조직은 보안에 대한 책임을 맡고 있는 사람이 따로 있다. 하지만 정보보호컨설팅으로 보안전문인력 부재로 적시대응이 불가능했던 부분을 해결할 수 있고, 운영의 효율과 보안과의 문제를 전문가의 조언으로 해결할 수 있을 것"이라고 말했다. 한 예로 솔라리스를 운영체제로 사용하는 기업의 경우 한 달에 발생하는 취약점만 해도 50여 개가 넘는다. 이는 분기별로 취약점 서비스를 받아야 하는 이유가 되고 있다고 강조했다. 현재 금융권에서 분기별 취약점 평가와 3년 장기계약에 대한 사례가 생겨나고 있다는 게 김 사장의 설명이다.

마지막으로 김휘강 사장은 "새로운 시스템/네트워크 구축시 취약점 분석, 평가를 통해 대고객 서비스에 들어가기 전 안전도평가를 실시하게 되는 풍토가 자리잡게 될 것"이라며 "전문업체가 지정된 이후 '선 보안컨설팅 후 솔루션 구축'에 대한 필요성이 대두되고 있다"고 전망했다.


▲ESM(Enterprise Security Management)의 시장동향과 전망

"시스템 관리의 새로운 패러다임"

ESM이란 기업체에서 갖고 있는 다양한 종류, 벤더 또한 지역적으로 분리된 보안장비를 중앙에서 종합적으로 모니터링하고 관리하며, 공격을 차단하기 위한 액션까지 지원하는 '통합보안관리 툴'이다. 다시 말해 파이어월, IDS, VPN, 백신 등 이기종간 보안솔루션을 관리해주는 것을 ESM이라고 할 수 있다.

ESM 시장동향과 전망의 발표를 맡은 한시큐어의 한근희 사장은 "기존의 NMS는 네트워크뿐만 아니라 보안까지 관리하는 욕구가 일어나고 있어 점점 통합추세"라며 "올해 ESM 시장이 국내 보안 업체들에게 새로운 기회가 되고 있다"고 말했다.

다양한 종류의 보안시스템에 대한 관리상의 부담, 지속적이며 일관성 있는 보안정책의 수행, 통합적이며 종합적인 모니터링의 필요성, 공격에 대비한 능동적이고 지능적인 대응, 지역적으로 분리된 지역의 보안시스템에 대한 관리, 여러 보안 장비의 중앙 집중적 관리, 각 보안장비의 로그를 중앙에서 관리하는 등의 문제해결에 대한 요구가 그것이다. 즉 모니터링뿐만 아니라 그것을 분석하고 그에 대한 적절한 대응까지 모든 것을 한번에 관리하고 처리하는 것에 대한 욕구가 점차 증가하고 있다는 것이다. 최근에는 바이러스에 해킹기술까지 결합되는 양상을 보이고 있다.

한근희 사장은 "가장 크리티컬한 문제는 수없이 많은 로그"라며 "하루에 데이터가 모여 모니터링하는 양이 10기가에 달한다. 너무 많은 데이터를 분석해야 하는 것이 문제"라고 말했다.

전세계 IT시장에서 5∼6% 정도가 보안시장이 차지하고 있으며, 올해 국내 보안시장은 2200억 정도로 예상하고 있다. 세계적인 정보보안 컨설팅 업체인 트루시큐어가 발행하는 인포메이션시큐리티매거진은 2002년 주요 보안 이슈에 대한 예측을 통해 ESM을 최고의 이슈로 꼽았다.

한근희 사장은 ESM의 장점에 대해 "전체적인 보안정책 파악이 쉽고, 정책의 일관성을 보장할 수 있다"며 "하지만 자동화 리액션 시스템으로 100% 가동하는 것이 문제다. 완전히 컴퓨터로 할 수 없는 상황이어서 휴먼리소스가 투입될 수밖에 없는 상황도 발생한다"고 말했다.

한 사장은 ESM 시장의 기회 요인으로 △다양한 보안 시장의 성숙 △ESM 시장의 미성숙 △주도적인 사업자 미 출현을 꼽았다. 위협요인으로는 △시장의 불확실성 △ESM 솔루션의 독자적인 생존에는 장기간의 시간 필요 △외국 사업자의 진출을 예로 들었다.


▲PKI 시장 주요 이슈와 전망

"사용자 편리성과 이동성에 맞춰 시장 성장할 것"

비시큐어 박성준 사장은 "정보통신망에서의 중요정보 전송의 급증과 전송되는 데이터 의 종류의 다양화에 따라 개인 프라이버시 보호 등 일반인의 암호기술 사용 필요성이 증가하고 있다."는 얘기로 발표를 시작하면서 국내 PKI 시장의 현황과 사업 형태 그리고 앞으로의 망에 대한 내용을 발표했다.

정보기술 활용에 따른 새로운 정보보호 서비스 출현에 의해 기밀성 기능 외에 암호기술의 기능이 인증, 무결성, 부인봉쇄 기능 등으로 확대되면서 암호의 기능이 확대되고 있다.

1990년대 후반이 안전한 네트워크 시장의 주도권 확보를 위한 경쟁으로 유닉스와 윈도 NT의 경쟁은 누가 보다 더 안전한 암호기술을 확보해 보안 문제점을 해결하느냐에 성패가 달렸었다면, 2000년대는 가상공간의 주도권 확보를 위한 경쟁으로, 가상공간에서의 여러 암호기술을 이용한 부가서비스 창출이 관건이 될 것이라는 것이다.

박 사장에 따르면 PKI 시장은 지난해부터 성숙기로 접어들었고 올해부터는 사용자 편리성과 이동성에 맞춰 시장이 성장할 것으로 전망된다고 말했다. 또한 "보안관제서비스 사용에는 익숙해졌지만 암호인증서비스에 대해서는 알려져 있지 않다"고 지적하며 "국가주도의 공인인증 PKI 인프라가 갖춰져 최근 인터넷뱅킹, 사이버 트레이딩 분야에서 활성화되고 있다"고 말했다.

PKI 보안업체들이 솔루션을 중심으로 관련 사업을 추진하고 있으며, 주로 기업 내 인트라넷 보안문제 해결에 적용되고 있으며, 공공기관의 내부 보안 및 대민 서비스용 PKI 구축이 진행되고 있는 추세다. PKI 응용 제품 관련 분야는 초기 공인인증 서비스 활용을 목적으로 금융, 증권, 전자계약 관련 제품 개발이 이뤄지고 있다. 특히 전자복권과 같은 신규 부분에서의 PKI 보안 요구가 추가적으로 발생하고 있다.

사설인증시장 곧 열릴 것으로 기대 돼
박 사장은 "은행에서 꼭 인감도장 써야 하는 건 아니다. 은행에서 꼭 인감도장을 써야하는 것이 아니듯 공인인증서가 아닌 사설인증서도 필요하다고 본다"며 "자체 CA를 구축해 인증서 대량발급에 따른 비용을 절감할 수 있을 것"이라고 시장확대에 대한 기대를 밝혔다.

최근 공인인증기관의 추가 지정으로 PKI 시장이 확대되고 있으며, 앞으로 B2B 및 전자무역 관련 분야에서도 PKI 적용이 기대된다. 또 기업 애플리케이션에 보안 기능을 확장하는 형태와 기업 내 시스템 통합을 위한 PKI 솔루션 등 기업 내에서 PKI 응용 솔루션 수요가 꾸준히 확대될 것으로 기대된다.


▲VPN 시장동향과 전망

"엑스트라넷, 모바일, 클라이언트 VPN 분야 유망"

올해 네트워크 보안 솔루션 중 가장 큰 성장세가 예상되는 VPN 시장 동향 및 전망은 임채훈 퓨쳐시스템 연구소장이 맡았다.
VPN(Virtual Private Network)은 자체 정보통신망을 보유하지 않은 사용자가 공중 데이터 통신망을 이용해 마치 개인이 구축한 통신망과 같이 이를 집적 운용, 관리할 수 있는 것을 말한다. 즉 로컬네트워크도 본사 네트워크로 인식하게 해주는 시스템이라고 할 수 있다.

VPN 핵심 기술은 '보안'
VPN은 공중망을 이용하기 때문에 필연적으로 보안에 대한 대책이 마련돼야 한다. 결국 VPN에 관한 대부분의 기술적인 문제들이 '보안 문제'에 귀결된다고 볼 수 있다.

VPN 보안은 주로 터널링 기술을 기반으로 한다. 터널링(Tunneling)은 인터넷상에서 가상으로 구성되는 통로로 다양한 고객들의 트래픽을 분리하고, 특정 사용자끼리만 유효한 패킷으로 변환해 단일 전용망처럼 사용할 수 있게 한다.

터널링 기술에는 IPsec, PPTP(Point to Point Tunneling Protocol), L2TP(Layer 2 Tunneling Protocol), L2F(Layer 2 Forwading Protocol) 등이 있다. 이 중 인터넷에서 사설 통신을 하기 위한 암호화된 터널을 쉽게 구축할 수 있도록 TCP/IP 패킷을 인터넷으로 내보내기 전에 암호화하는 방법을 규정한 IPSec(IP Layer Security Protocol)이 업계 표준으로 통용되고 있다. 따라서 IPSec을 지원하는 장비는 기본적으로 VPN을 가능케하는 기본적인 기술 요건을 갖춘 것으로 볼 수 있다.

QoS·IPSec으로 성능·보안 문제 해결
보안문제 해결과 더불어 고려할 점은 성능 향상이다. 공중망인 인터넷은 응답시간, 신뢰성, 그리고 예측 가능성이 사설망에 비해 떨어진다. 시간적으로 중요한 정보를 주고받을 때 그 성능이 보장되지 않는다면 VPN을 사용할 수 없을 것이며, 기업에 좋은 기회를 주기보다는 방해가 될 것이다. 이에 대해 서비스 제공업체는 SLA(Service Level Agreement) 등을 통해 QoS(Quality of Service) 수준에 대해 협정을 맺어 일정 수준 이상의 대역폭을 보장하는 방안을 제시하기도 한다. 이렇게 현 수준의 성능 보장 외에 MPLS나 디프서브(Diffserve)같은 새롭게 QoS를 제공하는 기술들이 논의되고 있다.

임채훈 소장은 최근 VPN 시장 동향과 관련 "국제표준으로 자리잡은 IPSec VPN이 자리를 잡아가고 있으며 ISP사업자와의 연계를 통한 고성능 VPN 서비스도 새롭게 시장으로 떠오르고 있다"고 설명했다. 또 "VPN 시장에서의 경쟁력은 관리와 안정성이 될 것이며 엑스트라넷과 모바일 VPN 시장이 미개척 분야로 남아있다"고 강조했다. 이외에 "클라이언트 VPN이 유망 분야로 등장하고 있다"고 말했다.


▲생체인식시스템의 주요 이슈와 전망

"생체인식시스템 국내 기술 세계적 수준"

시큐아이티 이주형 사장은 9.11테러 이후 관심의 대상이 되고 있는 생체인증 시장의 현황과 전망에 대해 설명했다. 국내 생체인식 업체는 40여 개에 달하며, 이 중 지문 업체가 22개로 가장 많은 것으로 나타났다. 이 외에 얼굴인식업체가 4개, 홍채, 화자, 정맥인식 업체가 각각 2개가 시장에서 활약하고 있다.

이주형 사장은 국내 생체인증 산업의 현황과 관련 "국내 생체인증 산업의 기술 수준은 선진국과 비교해 크게 뒤지지 않으며 최근 들어 생체인증 업체와 보안업체들과의 제휴가 활발하게 진행되고 있지만, 성능의 신뢰성이 떨어진다는 것, 가격이 비싸다는 것, 기술에 대한 이해가 부족하다는 것 등을 생체인식 제품의 보급이 저조한 이유"라고 말했다. 따라서 생체인식에 대한 인식을 높이는 것이 업계가 해결해야 할 최우선의 문제로 꼽았다.

최근 생체인증기술의 패러다임은 '다중인식'이다. 지문이나 얼굴 또는 지문과 홍채 등 두 가지 이상의 생체기술을 결합한 보안 솔루션이 시장의 주류로 등장하고 있다는 것이다. 각 부분마다 취약성을 갖고 있기 때문에 멀티모델로 바뀌고 있는 것.

이주형 사장은 "지문인식과 PKI 그리고 스마트카드를 결합한 보안 솔루션으로 보안성을 확보하고 있다"고 말했다. 또한 "생체인증 시장을 드라이브하기 위해서는 표준화가 필요하다"며 "표준화를 하게 되면 초기 시장 형성에 유리하고 국제적인 경쟁력을 갖춰 시장 확대가 가능한데다 사용자로부터 신뢰성 확보까지 끌어낼 수 있다"고 강조했다.

 


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기