[김홍선의 보안이야기]기업-소비자 눈높이 맞춰야


정보보안의 산업특성(1) 기술/제품/서비스 구조

정보 보안이 독립적인 산업으로 형성된 시기는 1990년대 중반으로 볼 수 있다. 물론 훨씬 이전부터 정보 보안을 전문으로 하는 기업들이 적지 않았고, 군이나 특수 기관에서 정보 보안은 정보처리 업무의 근간(根幹)이긴 했다. 그러나, 인터넷과 PC의 대중적 보급에 따른 패러다임 변화가 정보 보안이 중요한 테마로 등장하게 된 본질적 이유이기 때문에 정보 보안 산업의 태동기를 인터넷 브라우저와 Windows 95가 보급되기 시작한 1990년대 중반으로 보는 게 타당하다.

실제로 우리 나라의 정보 보안 기업도 1995년을 기점으로 창업되기 시작했다. 미국은 그보다 약간 이르게 보안 전문 기업들이 등장했지만, 1995년경부터 벤처 캐피탈이 정보 보안을 투자 대상으로 적극 고려하면서 투자와 시장이 활기를 띠기 시작했다. 그 이후 수많은 보안 업체가 탄생했고 활발한 인수 합병과 성공적인 주식 공개가 이루어졌다.

Cisco, Microsoft, IBM 같은 대형 벤더에서도 보안 사업은 큰 축을 이루고 있다. 오늘날 ‘정보 보안’이 상품이나 서비스 카탈로그에 포함되어 있지 않은 IT 기업이 드물 정도로 정보 보안은 IT 산업에서 확고한 위상을 차지하고 있다. 그런 점에서 정보 보안이 산업적 측면에서 어떤 특성을 지니고 있는지 이해할 필요가 있다. 업의 본질을 이해해야 정확한 진단을 할 수 있기 때문이다.

일반적 IT 분야는 기술, 제품, 서비스의 구분이 뚜렷

보통 산업을 구성하는 요소를 기술(Technology), 제품(Product), 서비스(Service)로 구분할 수가 있다. 특히 기술이 보조적 생산 도구가 아닌 핵심으로 자리매김하고 있는 IT 산업의 경우 이 분류 방식은 더욱 의미가 있다.

PC 산업을 예로 들어 보자. PC에 들어간 기술은 운영체제(OS), CPU, 전기 회로, 파워 서플라이(Power Supply), 응용 소프트웨어 등이 있다. 제품으로서 PC는 데스크톱, 노트북, eBook 형태부터 요즘은 PDA나 스마트폰도 PC에 버금가는 기능을 보유하고 있다. 서비스로는 PC의 판매, 공급, 기술 서비스, 유지 보수가 있다. 물론 PC 안에 내장된 부품이나 소프트웨어도 단순한 기술이라기 보다는 제품의 형태로 포장된다. 그러나, 여기에서는 편의상 PC 제품을 중심으로 한 PC 산업으로 논의의 대상을 한정하기로 한다.

PC 산업에서 기술, 제품, 서비스를 제공하는 기업들은 서로 다른 영역에서 사업을 영위하고 있다. 예를 들어, 인텔과 마이크로소프트는 PC에 들어가는 대표적 기술을 제공하고 있고 IBM, HP, Dell, 삼성 등은 PC 본체를 제조해서 공급하는 데 주력한다. PC를 구매하거나 기술 서비스를 받으려면 대리점이나 양판점을 이용할 수도 있고, 홈쇼핑 채널에서 구입하거나, 온라인에서 직접 거래를 할 수도 있다. 요점은 기술, 제품, 서비스 분야에서 활동 중인 기업들의 사업 모델은 별개라는 점이다. 물론 델 컴퓨터와 같이 온라인으로 직접 상거래와 서비스를 하는 경우도 있다. 그러나, 큰 틀에서 보면 각 영역에 속한 기업들의 공통적 속성(commonality)은 크지 않다.

휴대전화를 예로 들어 위의 3가지 요소들의 이해를 돕고자 한다. 일단 휴대전화의 가장 핵심 기술인 휴대 전화 통신 기술이 있다. CDMA, IMT2000, WCDMA와 같은 것들이 우리가 흔히 듣는 대표적인 기술이다. 그리고 멀티미디어를 구현하기 위한 비디오, 오디오 관련 기술이 있고 얼마 전 폐지 결정된 한국형 무선인터넷 플랫폼인 WIPI도 휴대 전화의 기술에 해당된다. 퀄컴이나 브로드컴, TI, 인피니언 등 대표적인 칩셋 밴드뿐 아니라 크고 작은 기술이 들어간다.

그리고 다음이 제품, 휴대 전화이다. 삼성, 엘지, 팬택 같은 국내 업체와 노키아, 모토로라 등 해외 업체가 단말기 제조를 담당하고 있다. 그리고 우리가 흔히 통신사라고 부르는 SK 텔레콤이나 KTF, LG 텔레콤은 서비스를 담당한다. 기본적인 전화 기능뿐 아니라 게임이나 멀티미디어, 내비게이션, 뉴스 검색부터 풀브라우징까지 다양한 서비스를 제공하는 것이 통신사들이다.

다른 IT 분야의 경우도 비슷하다. 서버나 네트워크에서 사용하는 각종 하드웨어 장비의 경우, 제조사(vendor)와 IT 서비스 업체(NI 혹은 SI 업종)가 엄연히 분리되어 있다. 심지어는 데이터베이스와 같은 소프트웨어의 경우도 제품의 패키지화에 주력하는 벤더, 제품을 공급하고 지원하는 총판 대리점, 그리고 업무 현장에서 이 제품을 이용해서 최종 결과물을 만들어 내는 IT 서비스 업체로 역할이 구분되어 있다. 제품과 서비스 기업 간에는 서로 다른 사업적 포커스를 견지하면서도 긴장감과 우호적 관계로 공존하는 가치 사슬을 형성한다.

정보 보안은 기술, 제품, 서비스가 밀접하게 결합

그러나, 정보 보안은 그렇지가 않다. 정보 보안 전문 업체들은 전문 기술을 보유함은 물론, 제품의 개발 및 공급, 그리고 실제 서비스를 동시에 하고 있다. 또한 사용자도 기술과 제품, 서비스 세 가지를 포괄적으로 이해하는 전문성이 있어야 어떤 상황에서 부닥치는 문제를 해결할 수 있다. 어느 대기업의 CIO가, “IT의 모든 분야를 관장하다 보면 보통 전체적인 업무 범위와 방향만 잡아주면 된다. 그런데, 정보 보안은 들여다보면 볼수록 끝이 없이 빨려 들어가는 느낌이 든다”고 푸념하는 것을 들었는데, 이런 곤혹스러움은 정보 보안의 이러한 속성에 기인한다.

일반적으로 어떤 시스템을 구축할 때 전반적인 기획과 운용은 IT 서비스 업체가, 제품은 벤더가 담당한다. 그러나, 정보 보안 문제에 관해서는 IT 서비스 업체가 할 수 있는 폭이 상당히 적다. 더 나아가 각종 신규 위협에 대응하려면 보안 기술을 기반으로 한 서비스가 전제가 된다. 이렇게 기술, 제품, 서비스가 결합된 특성은 정보 보안 산업이 여타 IT 산업과 대비되는 점이다.

그러면, 어떤 요소들이 정보 보안을 구성하는가? 기술적 요소에는 악성코드 분석 능력, 패킷 필터링(Packet Filtering), 침입 탐지(Intrusion Detection), 인증(Authentication), 암호화(Cryptography) 등이 있다. 제품으로는 바이러스 백신(Anti-Malware), 방화벽(Firewall), VPN, IPS, UTM, ESM, PKI 등이 있다. 서비스에는 정책 수립, 관제 서비스, 모의 해킹, 취약점 점검, 보안 SI, 교육이 있다. 요컨대 이러한 기술과 제품, 서비스를 분리하기 어렵고 밀접하게 연관(Tightly Coupled)되어 있다(그림 1).

서비스의 대표 격인 컨설팅을 예로 들어보자. 우선 취약점 분석과 업무 환경을 통해 제품 구축이 제대로 되었는지 점검하고, 보안 시스템을 통해 보안 대책이 수립되었는지 확인하는 것이 기본이다. 서비스의 범위는 악성코드부터 해킹, DDoS 공격에까지 미치며, 다양한 현안의 공격에 실시간 대처하는 것이 필수이다. 구체적으로 어떤 기능의 제품을 사용해야 할지, 어떤 주기와 방식으로 시그너처(signature)가 업데이트되어야 할지, 예측하지 못한 공격의 패턴에 어떻게 대비할지 방안을 제시해야 한다. 게다가 위협이 네트워크, 서버, PC에서 전방위적으로 발생하는 상황에서 보안 기술과 제품에 대한 지식이 약하다면 제대로 된 서비스가 불가능하다.

서비스만 그런 것이 아니다. 바이러스 백신(Anti-Malware)이나 IPS 제품의 경우 끊임없이 발생하는 취약점을 기반으로 업데이트를 수시로 수행해야 보안 정책이 유효하다. 또한 기업의 IT 환경과 정책의 변화와도 끊임없이 접목해야 한다. PC 한 대만 새로 들어와도 보안 시스템의 정책이 바뀔 수 있다. 더욱이 차세대 시스템, VoIP 같은 신규 서비스가 도입될 경우 보안 정책과 안전 대책(Safeguard)의 밑그림이 근본적으로 바뀔 수 있다. 따라서 당연히 보안 제품을 기획하고 개발하려면 서비스 역량과 기술에 대한 실질적 분석이 우선되어야 한다.

정보 보안은 단순히 유통될 수 없는 성격

이렇게 기술과 제품, 서비스가 구분되어 있기 때문에, 정보 보안 제품은 단순히 유통될 수 있는 성격이 아니다. 물론 수많은 고객을 상대하려면 대리점과 파트너십을 형성할 수밖에 없다. 그렇지만, 협력업체의 역할이 벤더와 사용자를 연결해 주는 데 그치는 게 현실이다. 제품의 유지 보수는 제품의 설치 및 간단한 관리에 머무르게 되고, 더 심도 있는 서비스를 제공하기 위해서는 전문 기술력이 뒷받침되어야 한다.

관점을 달리 하면, IT 서비스 기업이 시스템 통합(SI) 과정에서 보안으로 부가 가치를 창출하는 데는 한계가 있을 수밖에 없다. 보안 SI에는 기술과 제품에 대한 통찰력과 축적된 경험이 필요하기 때문이다. 일부 인터넷 서비스 기업이나 IT 솔루션 업체가 자체 원천 기술 없이 외산 제품이나 기술을 포장해서 공급하는데, 그것은 ‘단순히 유통될 수 없는’ 정보 보안의 본질적 성격을 이해하지 못한 채 설정된 사업 방향이다. 기술과 제품, 서비스를 통합한 전문성이 있어야 보안 문제를 해결해줄 수 있기 때문에, 아무리 무료로 배포하더라도 그 효과는 제한적일 수밖에 없다. 특히 사용자의 보안 인식이 부족한 경우 사용자 스스로 해결할 수 있는 영역이 적다. 아무리 정보 보안이 시대적 테마라고 해도 그런 사용자들을 대상으로 단순한 마케팅 도구로 사용되기에는 정보 보안은 적합하지 않다.

궁극적으로 정보 보안을 제공하는 기업과 사용자 간에 기술, 제품, 서비스에 대해 눈높이를 맞추어야 현안을 제대로 해결할 수 있다. 특정 제품을 적당히 조합해서 보안 시스템을 구성하는 것으로는 시시각각 발생하는 입체적 위협을 막을 수 없다. 99%를 막더라도 1%가 뚫리면 소용 없는 것이 보안이다. 이러한 정보 보안 산업의 특성에 대해 인식을 공유하는 것이 중요하다

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com






포토뉴스