흔히 서버보안으로 지칭되는 솔루션의 보다 정확한 명칭은 시큐어OS(Secure OS), 즉 보안운영체제다. 시큐어OS는 운영체제 상에 내재된 취약점으로 인한 공격 방어를 위해 보안 기능이 통합된 보안 커널을 이식한 운영체제를 말한다. 2000년대 초 시큐브와 티에스온넷이 탄생하면서 출발한 국내 서버 보안 시장은 공공기관의 보안 프로젝트에서 필수항목으로 인식되는 등 공공시장에서는 확고하게 자리매김한 상태다. 반면, 민간 시장에서의 시큐어 OS 확산은 더디게 진행되고 있는 상황. 국내 서버보안 시장을 살핀다. |글·오현식 기자·hyun@datanet.co.kr|
한국정보보호진흥원(이하 KISA)가 발표한 ‘2006년 국내 정보보호산업 통계조사’에 따르면, 국내 시큐어OS 시장은 2005년 287억원 규모에서 2006년에는 291억원으로 성장, 1.4%의 성장률을 기록했다. KISA는 서버 보안 시장은 연평균 1.7%의 성장률을 기록하면서 2011년에는 316억원의 시장에 그칠 것으로 예상했다. 시장 성장이 정체기에 접어든 것으로 분석하고 있는 것이다.
이러한 시장의 정체는 공공시장 외에 일반 기업시장으로의 적용이 진행되지 않는 것이 요인으로 지적된다. 공공시장에서는 보안 프로젝트의 필수항목으로 자리할 만큼 도입이 일반화된 추세에 있지만, 민간 시장에서는 더딘 발걸음에 그치고 있다. 이에 당초 500억원 규모로의 발전은 무난하리라 시큐어OS 시장은 300억원 내외의 규모에서 더 이상 시장을 넓혀나가고 있지 못하고 있는 것이다.
KISA의 정의에 따르면, 시큐어OS는 운영체제 상에 내재된 각종 보안결함을 제거하고, 안전하게 시스템을 보호를 위해 접근통제(Access Control), 사용자 인증(Authenticati on), 감사추적(Audit & Trail) 및 침입 탐지(Intrusion De tection) 등의 보안기능이 추가된 운영체제를 의미한다.
사용자 인식 걸림돌
시큐어OS는 다중등급의 보안 접근제어 기능과 커널의 참조 모니터를 통해 해킹을 원천 차단하며, 시스템에 대한 상세한 로그를 제공해 효과적인 모니터링이 가능하게 하는 이점을 제공한다. 무엇보다 다수의 서버 보안 관리를 단일 포인트에서 가능케 하는 이점을 주는 것으로 오늘날 다수의 서버가 이용되는 복잡한 IT 환경에서 이러한 단일 관리 포인트 제공은 시큐어OS의 매력을 더해주는 부문이다.
이러한 시큐어OS는 국가 기간망처럼 어떤 경우에도 그 기능이 정지되어서는 안 되는 기관에 필수적으로 요구되며, 기업 간 거래, 금융 서비스 등 안정성이 요구되는 시스템 등에서 그 필요성이 절실히 요구되는 솔루션이라 말할 수 있다.
하지만, 이 같은 필요성에도 불구하고 일반 기업시장에서 시큐어OS의 도입은 활성화되지 못한 모습이다. 이러한 원인으로는 우선 호환성 문제를 꼽을 수 있다. 시큐어OS 도입 시 기존 사용되던 애플리케이션과 호환을 담보하지 못할 우려가 존재하는 것. 물론 시큐어OS 기업들은 호환성을 계속 확장시키고 있지만, 국내 기업들은 독특한 인하우스 애플리케이션 이용률이 높아 시큐어OS를 쉽게 받아들이지 못하고 있다. 기존에 사용하고 있던 인하우스 애플리케이션들이 그대로 수행되지 못하고 변경돼야 하는 가능성이 농후한 것. 이는 또한 시큐어OS 공급에 상당 기간의 커스터마이징 시간을 요구, 시큐어OS 기업들에게도 부담으로 작용하고 있다.
대기업 표준플랫폼 ‘적용 개시’
시큐어OS 기업들도 일반 기업시장으로의 확산이 제대로 이뤄지지 않고 있다는 데에는 동의하면서도, 기업시장에서의 인식이 점차 개선되고 있다고 전했다. 특히 보안에 대한 관심이 높은 금융권·대기업을 중심으로 조금씩 시장이 열리고 있다는 데 기대를 걸고 있다.
시큐브(대표 홍기융 www.secuve.com)의 경우, 지난해 9월 KB국민은행은 통합계정권한관리시스템 구축사업에 자사의 시큐어OS인 ‘시큐브TOS(Secuve TOS)’를 공급, 금융시장 공략의 교두보를 확보했다. KB국민은행은 계정관리 솔루션과 시큐어OS 및 PKI 솔루션을 기존 보안체계와 연동, 보안성이 한층 강화된 차세대 통합 보안 인프라를 구축할 예정이다.
시큐브TOS는 전자서명(PKI) 인증방식의 강력한 사용자 인증 방식과 다양한 접근통제정책(MAC/MLS/RBAC)을 통해 해커, 크래커는 물론 비인가된 내부사용자 등 불법침입자에 데이터 위변조와 불법정보 유출 등을 방지하는 기능을 제공한다. 불법적으로 시스템관리자(root) 권한을 획득했다고 하더라도 인증을 통과하지 못하면 시스템 접근이 불가능하도록 해 높은 수준의 보안성을 구현하는 것이다.
지난해 9월 정보통신부의 ‘신소프트웨어상품대상’에서 일반 소프트웨어 부문 수상제품으로 선정될 정도로 우수한 기능을 자랑하는 티에스온넷의 ‘REDOWL’은 웹서버와 웹 페이지, 애플리케이션 파일, 시스템 파일 등을 서로 다른 보안영역으로 분리하는 엄격한 시스템 자원 분리로 침입에 따른 추가적인 공격을 차단할 수 있음은 무론 한 대의 서버에서 다수의 웹서버를 보안 영역으로 분리해 상호 독립적인 운영도 가능케 해 보다 효율적인 시스템 구현도 가능케 하고 있다.
‘레드캐슬’이란 시큐어OS를 선보이고 있는 레드게이트(대표 김기현 www.redgate.co.kr) 역시 금융결제원에 제품을 공급했으며, 티에스온넷(대표 임연호 www.tso nnet.co.kr)은 지난해 최대 규모의 프로젝트로 관심을 모았던 SK텔레콤 NGN 프로젝트에 자사의 시큐어OS인 ‘REDOWL’을 공급하는 성과를 이뤄냈다. 금융 및 기업 시장 공략의 신호탄을 쏘아올린 것이다.
레드캐슬은 국가기관용 보호프로파일인 등급기반 접근통제는 물론 일반 기업에서 사용되는 임의적 접근통제, 역할기반 접근통제에 이르는 다양한 접근통제 기능 제공을 특징으로 하는 시큐어OS. 사용자 추적기능, 로그인 통제기능, 방화벽 등 다양하고 강력한 보안 기능을 제공하며, 시스템 계정관리, 시스템 성능관리, 통합 로그관리, 무결성 점검 등의 서버관리 기능을 제공, 서버의 안전성과 효율적인 운영을 동시에 만족시킬 수 있다.
일반 기업 시장으로의 진출과 관련, 유창희 티에스온넷 이사는 “지난해 최대 수요처였던 공공 부문에서 대형 프로젝트가 발생치 않아 전세 시장이 정체되는 경향을 보였지만, 금융권과 대기업 시장에서의 성과로 전체 시장은 소폭이나마 성장을 기록할 수 있었다”는 의견을 제시했다. 즉, 소폭 성장에 그쳤지만, 공공에서 벗어나 다른 분야에서의 기반 확보로 오히려 내실을 더욱 다질 수 있는 한해가 됐다고 평가하고 있는 것이다. 나아가 유 이사는 “시큐어OS 기업들의 향후 발전을 위해서는 제 가격을 받을 수 있는 금융 및 기업시장 공략을 더욱 강화해야할 것”이라고 덧붙였다.
특히 시큐어OS 기업들이 기대를 걸고 있는 부문은 대형 그룹사의 표준 플랫폼으로 자리매김하는 것이다. 앞서 언급한 것처럼 시큐어OS가 다수의 서버 보안 관리를 단일 포인트에서 가능케 하는 장점이 있어 다수의 서버가 운영되는 대기업 환경에서 더욱 큰 이점을 얻을 수 있다.
시큐어OS 기업의 입장에서는 대형 그룹사의 표준플랫폼으로 자리매김하게 되면 그룹 계열사 공급으로 지속적 매출이 발생은 물론 커스터마이징 작업 부담의 완화도 기대된다. 표준화되지 않은 인하우스 애플리케이션으로 인해 대기업 공급에서도 커스터마이징 작업이 필요하지만, 계열사에 대한 추가 공급 시에는 이러한 작업 부담을 한층 덜게 될 수 있기에 시큐어OS 기업들은 대형 그룹사 공략에 열을 올리고 있다.
국산 솔루션, 시큐어OS 시장 ‘주도’
다른 시장과 마찬가지로 시큐어OS 시장 역시 외산솔루션과 국산 솔루션이 경합하고 있다.
국산 솔루션으로는 시큐브의 ‘시큐브TOS’, 레드게이트의 ‘레드캐슬’, 티에스온넷의 ‘REDOWL’, 티맥스소프트의 ‘시스키퍼OS’, 안랩시큐브레인의 ‘하이자드’를, 외산 솔루션으로는 한국CA의 ‘e트러스트 액세스 컨트롤’, 한국IBM의 ‘티볼리 AMOS’ 등을 꼽을 수 있다. 여기에 더해 지난해 5월 시만텍코리아가 ‘SCSP5.0’을 출시하며, 시큐어OS 시장 경쟁에 뛰어든 상태다.
외산과 국산 솔루션의 경쟁 구도에서 보면, 초기에는 한국CA e트러스트 액세스 컨트롤을 필두로 외산 솔루션이 강세를 보였지만, 시큐어OS 시장이 본격적으로 형성된 지난 2004년 이후로는 시큐브, 티에스온넷, 레드게이트 등 국산 솔루션이 시장을 주도하는 모습이다.
공공에서의 수요가 대부분인 시큐어OS 시장에서 다른 보안 분야와 마찬가지로 외산 솔루션의 공공기관 공급이 사실상 제한받고 있는 것이 주된 이유. 또한 인하우스 애플리케이션이 다수 사용되는 현실에서 커스터마이징이 보다 원활한 국산 솔루션의 장점이 부각된다는 점과 더불어 국산 솔루션이 외산 솔루션에 비해 손색없는 성능과 보안성을 자랑한다는 점도 이를 뒷받침하는 요인이 되고 있다.
이와 관련, 업계의 한 관계자는 “시중에 출시된 시큐어OS는 대부분 유사한 기능과 보안성을 지니고 있는 상황”이라고 지적하고, “실제 적용에 있어 서버 영향을 최소화할 수 있는 적용 능력이 경쟁력의 기준으로 작용할 것”이라고 언급하기도 했다.
시장을 주도하고 있는 국산 시큐어OS 기업들 중에서는 시큐브와 티에스온넷, 레드게이트의 활동이 두드러진다. 티맥스소프트의 경우, 독자적인 시장 확대보다는 자사의 다른 애플리케이션들과 연계한 공급에 보다 주력하고 있어 눈에 띄는 활동을 보이지는 않고 있다.
51개 정부부처, 기관과 16개 시도행정정보시스템에 시큐어OS를 공급한 시큐브는 지난해 정부통합전산센터 ‘통합운영환경 보강 및 확충사업’에서 시큐어OS 부문을 수주하는 등의 성과를 올렸으며, 2005년 ‘교육행정정보시스템(NEIS)’ 공급을 이뤄냈던 레드게이트는 행자부의 시군구공통기반사업에서도 자사 레드캐슬을 공급하는 등의 성과를 이뤄냈다. 전통적으로 공공시장에서 두각을 나타냈던 티에스온넷은 민간시장으로의 수요 확산에 나서 SK텔레콤 NGM 프로젝트에 ‘REDOWL’을 공급하는 등 시큐어OS 시장의 대형 프로젝트를 나눠가졌다.
솔루션간 시너지로 시장확대
시만텍코리아, 한국CA, 한국IBM 등 글로벌 기업들은 최대 시장인 공공시장 접근의 어려움으로 인해 대폭적인 시장 확대는 기대하지 않고 있는 상황. 하지만, 점차 확대되고 있는 일반 기업시장을 타깃으로 차별화된 성능을 제공, 점진적 시장 확대를 이끌어나간다는 방침을 갖고 있다. 일반 기업시장의 경우에도 국내에 만연한 인하우스 애플리케이션으로 인해 글로벌 기업들은 국내 기업에 비해 커스터마이징 측면에서 불리함을 안고 있지만, 자사의 다른 솔루션과 연계를 통한 차별화된 성능을 제공, 일반 기업시장에서는 우위를 가져간다는 전략이다.
초기 국내 시큐어OS 시장을 이끌었던 한국CA는 e트러스트 액세스 컨트롤의 IAM(Identity and Access Mana ger) 기능을 한층 부각시키는 전략을 펼치고 있으며, 한국IBM은 보유한 서버 기술력을 기반으로 뛰어난 부하 처리 능력을 강조하고 있다.
한국CA(대표 김용대 www.ca.com/kr) e트러스트 액세스 컨트롤(eTrust Access Control)은 중요한 데이터나 비즈니스 서비스에 대한 액세스를 통제함으로써 비즈니스 인프라를 보호하고 보안 리스크를 최소화하는 기능을 제공한다. 사용자가 허가되지 않은 정보에 액세스하려고 할 경우 이를 차단함은 물론 그 사실까지도 기록하고, 시스템 로그온에 대한 개별적인 액세스 제어와 로그인 방법이나 시간, 네트워크 속성, 액세스 프로그램 등의 엄격한 기준을 통한 차등권한 부여로 보다 안전한 네트워크가 구성되도록 돕고 있다.
한국IBM(대표 이희성 www.ibm.com/kr)의 티볼리 AMOS(Tivoli Access Manager for OS)는 유닉스/리눅스를 위한 서버보안 엔진으로 각 시스템별로 다른 보안 레이어를 적용하고, 중앙집중적인 보안정책관리와 강제화를 실현할 수 있다. 특히 서버 자체에 대한 부하를 최소화하는 아키텍처와 멀티쓰레드 디자인 적용 등 서버시스템에 대한 IBM의 노하우를 결합시켜 높은 성능을 제공하며, IBM 메인프레임을 보유하고 있는 경우에는 z-리눅스 서버 보안 관리를 중앙에서 통합 관리할 수 있는 기반이 되기도 한다.
시만텍코리아(대표 윤문석 www.symantec.co.kr)의 SCSP 5.0(Symantec Critical System Protection 5.0)은 설치 후 별도 설정 작업을 거치지 않고도 운영 시스템, 애플리케이션 및 데이터베이스를 보호하기 위한 보안 정책이 자동 설정돼 관리 복잡성을 감소시키는 장점이 있다. 이는 기업의 인하우스 애플리케이션을 포함한 모든 운영 시스템 및 애플리케이션에 자동 적용됨으로써 커스터마이징에 대한 부담을 감소시켜주는 효과로 나타날 수 있어 시장 반응이 주목된다.
아울러 ‘시만텍 클라이언트 시큐리티(Symantec Client Security)’나 ‘시만텍 안티바이러스 기업용 에디션(Symantec AntiVirus Corporate Edit ion)’과 함께 설치하는 경우, 이미 알려진 시그니처와 패치가 존재하지 않는 경우에도 애플리케이션 및 운영 시스템을 보호하는 것이 가능한 장점이 있어 시만텍코리아 측은 시장 공략을 자신하고 있다.
국산 기업 중에서는 티맥스소프트가 이와 유사한 전략을 펼치고 있다. 지난해 국내 컴퓨팅 솔루션 시장에서 돌풍을 일으키며, 국내 최대 소프트웨어 기업으로 부상한 티맥스소프트는 다른 소프트웨어와 연계한 활동을 통해 경인교육대학교, 공정거래위원회, 광주광역시 교육청, 국방부, 남원시청, 대전광역시청, 동양공업전문대학, 무안군청, 부산정보대학, 여수시청, 예산군청, 전남대학교, 전북대학교, 전북은행, 한국과학기술연구원, 요르단정부(한국국제협력단) 등 다수의 공공기관 및 기업의 공급사례를 확보하는 녹녹치 않은 성과를 보유하고 있다.
시큐어OS와 관련, 티맥스소프트는 SK C&C와 협력해 자사의 시큐어OS인 ‘시스키퍼OS’에 SK C&C가 개발한 지눅스 지원 기능을 추가시켰다. 티맥스소프트와 SK C&C는 최근 통신용 소프트웨어 공동개발에 관한 MOU를 체결하는 등 협력 관계를 더욱 강화하고 있는 상태. 지눅스 기능 추가와 협력 강화로 티맥스소프트는 SK그룹사 공략을 강화하는 한편, SI 시장에서 SK C&C 갖고 있는 영향력을 십분 활용해 시장 확대를 기대하고 있다.
금융권의 차세대 시스템 구축 등이 다수 예정돼 있어 시큐어OS 시장이 크게 성장할 것이라는 예상도 존재하지만, 국내 시큐어OS 시장에 대한 전망은 소폭 성장세를 예상하는 다소 보수적인 의견이 주류를 이루고 있다.
차세대 시스템 구축 등으로 수요증가가 예상되는 반면, 가격 경쟁으로 인해 가격이 지속적으로 하락하고 있다는 게 보수적 전망의 배경이다. 앞서 언급한 것처럼 시큐어OS 제품들이 엇비슷한 특성을 보이는 관계로 가격적인 측면이 주로 부각되고 있어 가격경쟁은 더욱 심화되는 현상을 보이고 있다. 이에 국내 시큐어OS 기업들은 해외시장 공략으로 시선을 옮기고 있다.
가격경쟁 걸림돌 ‘해외로, 해외로’
시큐브의 경우 중국에 현지법인을 설립했으며, NEC를 통한 일본 시장 공략에도 힘을 기울이고 있다. 일본 시장의 경우, NEC소프트를 통한 공급을 진행했지만, 올해 초에는 NEC 본사 차원의 공급으로 확대되는 등 호조를 보이는 상태. 시큐브에 따르면, 지난해 말 NEC와의 협력을 통해 도쿄 증권거래소 제1부 및 뉴욕 증권거래소에 상장된 글로벌 제조기업에 시큐브TOS를 공급을 이뤄내기도 했다.
지난해 일본 후지쯔로부터 10억원의 투자를 유치하는 등 글로벌 시장에서 기술력을 인정받고 있는 티에스온넷은 후지쯔를 비롯한 파트너를 통한 해외시장 진출이 가시화되고 있다. 티에스온넷 측은 “올해 해외 수출비중이 매출의 25% 수준까지 뛰어오를 것”이라며 강한 자신감을 피력했다.
레드게이트도 해외시장으로 눈을 돌리고 있다. 지난해 베트남 중앙은행에 레드캐슬 공급을 이뤄내 교두보를 확보, 이를 기반으로 동남아 시장 및 일본 시장 공략을 강화한다는 것이다. 특히 아시아눅스와의 협력을 통해 제품 개발 로드맵을 공유하고 있는 레드게이트는 아시아눅스를 통한 수출 가시화를 기대했다.
한편, 안철수연구소 인수 이후 해외시장 공략에 주력하고 있는 안랩시큐브레인은 지난해 말 모회사인 안철수연구소와 일본 굴지의 전기 제조 기업인 메이덴샤와 협력, 임베디드OS를 위한 ‘안랩 화이트쉴드’를 개발하고 해외 시장 공략을 더욱 강화한다는 계획을 밝혔다. 안랩 화이트쉴드’는 제조 공장 내 임베디드 운영체제(OS)에서 발생할 수 있는 제조 공정상의 보안 이슈를 해결해주는 솔루션으로, 메이덴샤의 산업용 제어기기(Controller)에 장착돼 웜 바이러스 방지, 부정 프로그램 실행 방지 등을 수행하는 제품으로 제조용OS란 특화시장 공략과 해외시장 공략을 동시에 노리고 있는 것이다.
