국가정보원이 올해 초 각급 공공기관에 내년 3월까지 보안 USB메모리 드라이브 도입을 권고하는 ‘USB메모리 등 보조기억매체 보안관리지침’을 발표하면서, 보안 USB메모리 시장이 주목되고 있다. 보안 USB메모리란, 자료 유출을 방지하기 위한 보안 기능이 기본 탑재돼 있는 USB메모리 장치를 의미한다. 이에 닉스테크, 비앤비쏠루션, 세이퍼존, 잉카인터넷 등 보안 기업들과 USB메모리 기업들은 국정원 지침에 준하는 보안 기능을 추가한 USB메모리를 개발, 시장 개화를 기다리고 있다.
|오현식 기자·hyun@datanet.co.kr|
보안 USB메모리라는 용어가 지칭하는 범위는 광범위하다. USB메모리의 이용이 증가하면서 보안기능을 탑재한 USB메모리가 시장에 등장하기 시작했다. USB메모리 분실 시 일어날 수 있는 정보유출을 방지하기 위해 비밀번호 기능을 탑재해 비밀번호를 입력해야만 자료 열람이 가능한 USB메모리가 선보이기도 했으며, 이를 더욱 발전시켜 비밀영역을 지정해 특정 프로그램이나 비밀번호 입력 없이는 비밀영역 자체가 보이지 않게 함으로써 보안성을 더욱 강화한 방식의 USB메모리도 출시됐다.
USB메모리에 담긴 정보를 보호하는 것이 아니라 USB메모리에 보안 기능을 담아 노트북이나 PC를 보호하는 활용 제품도 선보였다. 그 가운데 하나가 USB메모리를 보안키로 활용하는 방식이다. 이는 키가 담긴 USB메모리를 USB 포트에 삽입해야만 노트북 등을 사용할 수 있게 하는 것으로 PC, 노트북 등의 부정사용을 방지하는 역할을 수행한다. 뉴테크웨이브, 안철수연구소, 하우리 등은 안티바이러스 프로그램을 USB메모리에 탑재시켜 보안이 취약한 PC나 노트북에서도 USB메모리 안티바이러스 구매자는 안티바이러스 USB메모리를 삽입하는 것만으로 안심하고 기기를 이용하게끔 하는 제품도 등장했다.
이렇듯 나름의 보안 기능을 탑재하고 있는 USB메모리는 모두 ‘보안 USB’란 이름으로 통칭됐다. 국가정보원은 공공기관의 자료유출 방지를 위한 ‘USB메모리 등 보조기억매체 보안관리 지침’에서 보안 USB메모리의 필수 보안 기능을 명시, 광범위하게 이용되고 있는 보안 USB메모리란 용어에서 오는 혼란의 해소를 꾀했다.
국정원 지침에서 규정된 보안 USB메모리의 필수 보안 기능으로는 ▲사용자 식별·인증 기능 ▲지정데이터 암·복호화 기능 ▲저장된 자료의 임의복제 방지 기능 ▲분실 시 데이터 보호를 위한 삭제 기능 등 네 가지다. 즉, 지침에 따른 공공기관의 보안 USB메모리 도입 특수를 좇기 위해 보안 기업들은 이 네 가지 필수 보안 기능을 만족하는 제품을 출시해 국정원의 국가 보안적합성 검증을 받아야 한다.
USB메모리 편리성 이용한 정보유출 ‘증가’
오랜 기간 휴대형 저장매체로 애용되던 것은 바로 FDD(Floppy Disc Drive)다. 하지만, USB메모리가 상용화된 이후 FDD는 급격하게 사라졌다. 몇 년 전부터 신규 출시되는 PC들은 FDD 장치를 아예 탑재하지 않을 정도다.
USB메모리란 명칭 그대로 플래시메모리(Flash Memory)를 이용하는 USB메모리는 디스크 기반의 FDD보다 저장 속도 측면에서 훨씬 우수하다. 또 FDD가 1.44MB란 용량 한계를 가졌던 반면, USB메모리의 용량은 가격이 걸림돌일 뿐 비약적인 발전을 거듭하고 있으며, 가격 문제 역시 이용확대에 따라 급속도로 해소되고 있다. 현재 1GB USB메모리는 시장에서 1만원 이하에 구입할 수 있을 정도로 낮아진 상태다. 뿐만 아니라 쉽게 파손돼 세심한 주의가 필요했던 FDD와 달리 USB메모리는 저장 자료의 손상 위험도 더욱 적다.
그러나 편리함만큼 USB메모리는 악용 시 위험도도 크다. 내부 이용자가 더욱 쉽게 더 많은 정보를 유출할 수 있기 때문이다. IT의 발전에 따라 점차 많은 주요 정보가 데이터화돼 저장되는 상황에서 USB메모리에 대한 보안대책이 필요한 까닭이다. 특히 지난 5월 발생한 현대기아차의 정보유출 사건은 USB메모리로 인한 정보유출 위험성을 보여주는 사례로 꼽힌다.
5월 검찰과 국정원은 현대기아차의 차체 조립 기술 등을 중국 C자동차에 넘긴 혐의로 A컨설팅 최모 전무와 윤모 팀장, 현대기아차 직원 이모 씨와 지모 씨 등 5명을 구속기소했다. 이들이 빼낸 현대기아차의 비밀자료는 무려 57건에 달한다. 검찰과 국정원은 이들이 불법유출한 기술이 모두 중국에 유출됐다고 가정했을 경우, 2010년까지 현대기아차가 입은 손실은 중국 시장에서만 4조7천억원에 달할 것으로 추정하고 있다. 또 이로 인한 중국 C자동차의 기술력 축적에 따른 시장 잠식으로 세계시장에서 무려 22조3천억원의 손실이 예상된다.
이러한 막대한 정보가 유출된 통로로 이용된 것은 USB메모리. 현대기아차 직원인 이 씨 등은 사내 PC에서 USB메모리를 이용해 정보를 유출한 후 이를 이메일을 통해 A사 직원들에게 넘겨준 것으로 검찰 조사 결과 드러났다. USB메모리를 이용해 손쉽게 대량의 정보를 유출할 수 있었던 것으로 USB메모리 보안의 필요성을 일깨우는 대목이다.
USB메모리를 이용한 정보유출은 어제 오늘의 일이 아니다. 2004년에는 주성엔지니어링 서모 상무가 회사 핵심 기술자료 3GB를 USB메모리에 담아 경쟁사인 미국 A사에 넘기려다가 검찰에 적발되기도 했다. 미국FBI 통계에 따르면 미국 내에서 발생한 정보 유출 행위의 약 80%가 내부자 소행으로 유출경로로는 이메일, USB메모리 등이 이용되고 있다. 이에 몇몇 기업들은 노트북과 데스크톱PC의 USB 포트 자체를 봉인하거나 USB메모리를 사용하지 못하게 하는 보안 솔루션을 도입해 정보 유출을 방지하는 USB와의 전쟁을 치루고 있다.
하지만, USB 포트의 봉인 등으로 USB메모리 사용을 금지하는 것은 미봉책에 불과하다. USB 기술은 PC 이용 도중에 꽂아도 플러그 인 플레이(Plug in Play) 방식으로 재부팅 과정 없이 즉각 사용할 수 있는 장점이 있을 뿐 아니라 USB2.0의 최고속도는 400Mbit(약 60MB)에 달할 정도로 발전을 거듭하고 있다. 이에 이동식 메모리 뿐 아니라 마우스, 키보드, 조이스틱, 스캐너 등 다양한 PC 주변기기들이 USB(Universal Serial Bus) 인터페이스를 이용하고 있다. 즉, USB 기술을 이용하지 않으면 커다란 불편을 감수해야 하는 것이다. 따라서 USB메모리에 의한 정보유출을 방지할 수 있는 보안 USB가 대안으로 떠오르며, 국정원의 보안지침은 이러한 흐름을 반영한 조치로 여겨지고 있다.
국정원 지침, USB 보안 길잡이 효과 ‘기대’
국정원의 보안 USB메모리 관련 지침 발표는 광범위한 호칭으로 이용되고 있는 보안 USB메모리를 재정의하고, 보안 USB메모리에 대한 가이드라인을 제시했다는 점에서 긍정적 평가를 받고 있다. 물론 지침의 대상이 FDD를 포함한 이동식 저장매체 모두를 규정하고 있지만, FDD가 사실상 역사의 뒤안길로 사라지고 있다는 점을 감안할 때 초점은 USB메모리에 맞춰져 있다고 볼 수 있으며, 보안 USB에 대한 관련 인증 등이 전무한 상황에서 국정원의 보안적합성 검증은 공공기관뿐 아니라 USB 보안 대책을 고민하는 기업에게 있어 제품을 평가하는 주요 지표 중 하나로 활용될 수 있기 때문이다.
국정원이 지정한 필수 보안 기능은 ▲사용자 식별 및 인증 ▲암·복호화 ▲임의복제 방지 ▲분실 시 데이터 보호를 위한 삭제 등이지만, 지침을 보다 자세히 살피면 이동식 저장매체 관리에 대한 가이드라인도 제시하고 있다. 이를 종합해 볼 때 단순히 USB메모리에 보안 기능 탑재시키는 것 외에도, USB메모리를 원격 관리할 수 있는 서버 시스템이 필수요소로 부상할 것으로 보안업계 관계자들은 전망했다. USB메모리 관련 기술뿐만 아니라 네트워크를 활용하는 전문 보안 기술이 요구된다는 것이다.
서버-클라이언트 기술을 이용해 중앙에서 통제되는 보안 시스템을 구축하고, 네트워크를 통해 USB메모리가 승인·사용되게 함으로써 무단반출 제어, 추적 등이 가능해져 보안성을 한층 강화시킬 수 있을 뿐만 아니라 관리 용이성 역시 한층 향상될 것이기 때문이다. 더불어 필수 보안 기능으로 ▲암·복호화 ▲임의복제 방지 등의 기술이 요구되고 있어 기존의 USB메모리 기업이 아닌 보안업체가 시장 주도권을 가져갈 수 있을 것으로 보안 업체는 기대하고 있다.
서버-클라이언트 보안 솔루션을 응용하면, 기본적으로 온라인 상태에서만 USB가 사용되게 함으로써 무단 반출 시 USB를 외부에서 사용하지 못하도록 제어할 수 있다. 즉, 보안성이 한층 강화되는 것. 예를 들어 잉카인터넷의 경우에는 USB 사용이 감지되면 네트워크 대역, 서버연결 정보, 네트워크 패킷 전송 정보 등을 조합해 반출 여부를 판단하고, 무단 반출 시에는 ▲USB 파일 완전 삭제 ▲USB 장치 사용제한 ▲시스템 잠금 등의 조치를 취하도록 하고 정상적인 반출의 경우에도 관련 사용내역이 로그로 저장됨으로써 향후 감사 자료로 활용될 수 있으며, 외부 오프라인 환경에서 사용할 수밖에 없을 경우에는 이를 사전에 승인받아야 한다. 서버 시스템이 사전에 오프라인 사용을 승인, 오프라인 상태에서도 사용할 수 있는 상태로 만들어야 오프라인 상태에서 사용이 가능하다.
또한 서버-클라이언트 보안 솔루션 응용방법은 네트워크를 통한 연계로 지침에 따른 보고서, 관리대장 등을 자동생성하고, 인사 DB 등과 연동할 수도 있어 관리의 편의성을 더욱 향상시킬 수 있다. USB메모리만을 활용해 지침을 충족하는 경우, 관리대장 등을 수작업에 의존할 수밖에 없는 반면, 서버 시스템을 통해 보유수량, 사용통계, 반출통계 등을 자동으로 산출함으로써 USB메모리의 관리를 한층 편리하게 지원한다.
지침에 분명하게 명시된 것은 아니지만, 이처럼 관리 서버와 연동하는 서버-클라이언트 기반 방식이 보안성과 편의성을 더욱 향상시킬 수 있으므로 보안 USB 시장에는 서버-클라이언트 방식의 PC보안 기술을 보유한 보안 기업들이 속속 뛰어들고 있다.
비앤비쏠루션·세이퍼존 ‘수성 다짐’
비앤비쏠루션, 세이퍼존, 엔트랙커 등은 국정원의 보안 지침 발표 이전부터 USB 보안 시장의 가능성에 주목하고 관련 솔루션을 출시해온 기업들이다. 이들은 공공 시장 공략을 위해 국정원 지침에 맞춰 자사 USB 보안 솔루션의 세부 기능을 개선, 시장 수성을 자신하고 있다. 무엇보다 이들은 ‘레퍼런스를 통한 검증된 보안성 및 운용 안정성’을 장점으로 내세우고 있다. 지침 이전의 레퍼런스지만, 지침에 맞추더라도 큰 폭의 변화가 아닌 세부 기능 측면에서 다듬는 것에 불과해 솔루션의 안정성은 이미 검증을 완료한 것으로 불 수 있다는 것이 이들의 주장이다. 지침 발표 이전 비앤비쏠루션은 경찰청에, 세이퍼존은 H자동차에 USB 보안 솔루션을 공급한 것으로 전해진다.
지난 2001년 설립된 세이퍼존(대표 권창훈 www.safer zone.com)은 설립과 함께 선보인 PC보안 솔루션이 행정업무용 소프트웨어로 선정되는 등 만만치 않은 기술력을 자랑한 기업이다. CJ·KT·한화·현대 등에 보안 제품을 공급하는 등의 성과를 올리기도 했다. 특히 KT와는 전략적 제휴를 체결, 2년여의 연구개발을 거쳐 웹 기반 ASP서비스인 ‘KT 시큐어넷 보안서비스(securenet.bizmeka.com)’를 출시하고, 공동영업·마케팅을 진행하는 등 보안 기술력을 인정받고 있다.
지난해 ‘데프콘 시큐어USB(Defcon Secure USB)’라는 USB 보안 솔루션을 선보여 H자동차에 공급하기도 했던 세이퍼존은 이번 국정원 도입 지침에 따라 세부 기능을 다듬고, 보안성 및 관리 편의성을 한층 향상시킨 신제품을 8월 출시할 예정이다. 국정원 지침에서 필수 기능으로 언급된 ‘분실 시 데이터 보호를 위한 삭제 기능’ 추가가 이번 업데이트의 주요 내용. 제품 개발을 책임지고 있는 손원장 세이퍼존 이사는 “지침에 맞추는 작업 외에도 8월 출시되는 버전에서는 특정 USB를 관리하는 기능 등 제어 기능 강화에 초점을 맞춰 제품 개발을 진행하고 있다”고 밝혔다.
세이프넷의 데프콘 시큐어USB 솔루션은 웹 메일, 메신저, 게시판 등 웹을 통한 정보유출까지 감지할 수 있는 장점이 있다. 세이퍼존은 시큐어USB 기능을 기존 PC보안 솔루션인 ‘데프콘 프로(Defcon Pro)’에 포함하는 제품과 데프콘 시큐어USB 별도 제품군을 출시해 다양한 수요에 대응한다는 방침이다.
비앤비쏠루션(대표 정연탁 www.bnbsol.net)은 2003년 8월 삼성전자 암호장비사업 분야가 분사해 탄생한 기업으로 산업자원부로부터 방위산업체로 지정돼 국가용 보안장비 사업을 주력으로 하고 있다. 또한 무선인터넷 정보보호시스템 등을 개발, SK텔레콤, KTF, LG텔레콤 등 주요 이동통신사업자에 공급한 바 있다. 보안 USB와 관련해서는 경찰청에 제품을 공급하는 성과를 올렸다. 경찰청은 현재 본청 및 14개 지방청에서 비앤비 보안 USB메모리를 시범 서비스 중이며, 이후 예하 경찰서 및 지구대로 확대할 계획이다.
비엔비쏠루션의 보안 USB 역시 서버-클라이언트 시스템을 이용해 비인가 저장장치의 이용을 제한하고, 인가된 USB메모리의 외부사용을 통제하는 등 서버-클라이언트 방식의 다른 보안 USB와 동일한 기능을 제공한다. 비앤비쏠루션의 특징은 비밀문서 관리를 위한 전용 프로그램에 있다. 전용 프로그램을 이용해 기존 USB메모리와 동일하게 저장되는 일반 문서와 달리 비밀문서는 저장장치의 비밀영역에 암호화돼 보관되도록 함으로써 향상된 보안을 제공하는 것이다. 또 이 프로그램을 통해 중앙정책을 수립 및 배포할 수 있어 향상된 보안성을 제공한다.
더불어 다양한 인증과정을 이용하는 점도 비앤비 보안 UBS의 강점이다. 비앤비쏠루션 한오석 부장은 “비밀번호를 통한 인증을 수행, 전수공격(Brute-force attack)이나 사전공격(Dictionary attack) 등에 취약한 대다수 제품과 달리 비앤비쏠루션은 사설 인증서, 비밀번호, 키 테이블 등 많은 조건의 식별 및 인증과정을 통해 보안성을 더욱 강화하고 있다”며 “생체인식을 통한 인증도 가능해 지문 및 안면인식 기능도 부가 기능으로 제공, 비밀번호의 취약점을 제거하고 있다”고 강조했다.
엔트랙커(대표 임종규, 정규용 www.ntracker.co.kr)는 지난해 8월, 7중 보안을 적용한 USB 메모리 ‘엔트랙커USB 엔터프라이즈(NTRACKER USB Enterprise)’를 출시했다. 엔트랙커USB는 사용자 인증, 임의 복제 방지 기능, 지정데이터 암·복호화기능, 원격 데이터 삭제, 원격 메시지 전송 등의 기능을 제공한다.
엔트랙커는 유비쿼터스형 추적 시스템에 대한 원천 기술을 보유한 기업으로 엔트랙커USB는 분실시 원격 추적 기능을 제공하는 점이 가장 큰 특징. USB 사용 시 접속한 PC 및 네트워크 정보를 개인 이메일과 서버로 전송해 분실, 도난 시 추적할 수 있는 정보를 제공받을 수 있는 것이다. 또한 이를 이용해 보안 관리자는 USB메모리가 언제, 어디에서 사용되었는지 효과적으로 관리할 수 있게 된다.
닉스테크·잉카인터넷, 시장 공략 ‘본격화’
공공기관의 수요증가가 예상됨에 따라 보안 시장의 전통적 강자 중 하나인 잉카인터넷과 닉스테크 등도 신제품을 출시하고 이 시장에 뛰어들었다.
닉스테크(대표 박동훈 www.nicstech.com)는 ‘세이프USB(SafeUSB)’를 지난 6월 발표하고, 공공시장 수요 공략의 돛을 올렸다. 세이프USB는 사용자 식별·인증 후 데이터 읽기/쓰기 허용, 환경값(MAC, IP, 기업 내·외부)에 의한 정책적 사용허가, 온·오프라인 사용자 인증, 분실장치에 대한 원격 데이터 파괴, USB 입출력 데이터 로그 저장 등의 기능을 제공한다.
닉스테크 장원석 보안개발팀 부장은 “기존 사용하던 일반 USB메모리를 보안 USB메모리로 바꿔주는 서비스를 아울러 제공해 고객 불편을 최소화하도록 했다”며 “이외에도 고객 편의성을 향상시킬 수 있는 다양한 방법 적용을 계획하고 있다”고 밝혔다.
닉스테크는 기존의 통합 PC보안 솔루션인 ‘세이프PC 엔터프라이즈(Safe PC Enterprise)’의 옵션사항으로 세이프USB 기능을 제공할 계획이다. 세이프PC 엔터프라이즈는 조직 내 주요 업무 환경인 데스크톱에 대한 통합 관리를 제공하는 기반 인프라라고 할 수 있다. 클라이언트 PC에 에이전트를 설치, 에이전트와 서버 시스템간 연동을 통해 패치관리, 자산관리, IP관리 등 조직 내 IT 인프라 관리 요구사항을 통합적으로 해결함으로써 내부정보 유출로 인한 기업 핵심가치의 손실을 미연에 방지하게 한다. 여기에 USB 포트를 관리하는 기능을 추가하는 옵션을 제공해 국정원 지침에서 요구하는 보안 USB 시스템을 구현하도록 한다는 것이다.
이러한 방식은 닉스테크의 입장에서는 농촌진흥공사, 한국가스안전공사 등 다양한 공공기관에 공급돼 있는 이점을 최대한 활용할 수 있는 장점이 있고, 동시에 세이프PC 엔터프라이즈 고객의 입장에서는 비용 부담을 최소화할 수 있다는 장점이 있다. 또 이러한 정책은 국정원 국가보안성 검증 절차도 보다 신속하게 통과하게 할 것으로 닉스테크 측은 기대하고 있다. 세이프PC 엔터프라이즈는 검증필을 부여받은 제품으로 보안성 검증을 새롭게 받아야 하는 별도 제품보다 옵션 사항으로 신고, 보다 신속한 검증이 이뤄질 것이라는 게 닉스테크 측의 생각이다.
닉스테크 측은 “먼저 기존 세이프PC 엔터프라이즈 시장을 집중 공략할 계획으로 아직 별도 제품은 생각하지 않고 있다”며 “기반 기술을 갖춰 놓았기에 별도 제품에 대한 요구 증가 시 신속하게 출시할 수 있을 것”이라고 밝혔다.
잉카인터넷(대표 주영흠 www.inca.co.kr)도 ‘엔프로텍트 엔터프라이즈UMS(nProtect Enterprise UMS)’를 지난 6월 선보이고, 시장 공략을 준비중에 있다. 잉카인터넷 또한 자사의 통합 PC보안 솔루션인 ‘엔프로텍트 엔터프라이즈(nProtect Enterprise)’가 국정원 보안성 검증필을 받은 제품으로 보다 신속한 검증 획득을 기대하고 있다.
엔프로텍트 엔터프라이즈는 한국산업은행, 대구은행 등의 금융기관을 비롯해 한국산업인력공단, 행정자치부, 감사원, 과학기술부, 문화관광부, 철도청 등의 공공기관에서 폭넓게 사용되는 통한PC보안 솔루션이다. 더불어 잉카인터넷은 기존 고객사 외 신규 고객 확보를 위해 보안 USB 기능만을 분리한 별도 제품도 출시하고, 국정원 보안성 검증을 신청할 계획. 별도 제품의 경우, USB메모리 관리를 위한 관리콘솔과 클라이언트 프로그램, 그리고 보안 USB메모리로 구성된다.
잉카인터넷 신종훈 솔루션사업본부 부장은 “엔프로텍트UMS의 모태가 되는 엔프로텍트 엔터프라이즈를 비롯해 잉카인터넷은 다양한 보안 분야에서 많은 노하우를 갖고 있다”며 “매체제어를 비롯한 제어 기능에서 강점을 갖고 있어 시장에서 잉카인터넷의 보안USB가 더 큰 호응을 받을 수 있을 것으로 자신한다”고 밝혔다.
이어 신종훈 부장은 “추후 고객의 요청이 있으면, 보안 USB메모리에 방화벽, 백신 등의 보안 기능을 탑재시킬 수 있도록 해 보다 다양한 보안 기능 제공으로 다른 제품과의 차별화를 꾀할 계획”이라고 덧붙였다.
임시파일까지 철통보안
코디아(대표 고병수 www.kodia.co.kr)는 임시파일까지 보안하는 독특한 기능으로 보안 USB 시장을 노리고 있다. 국정원 지침 발표에 따라, 암·복호화 및 서버-클라이언트 기술을 갖춘 보안 기업들로 관심이 집중되는 것과 달리 비보안 업체로 보안 USB 시장을 노리고 있는 것이다. 하이브리드CD(Hydrid CD) 기술을 보유한 코디아는 이 기술을 이용해 관련 시장을 공략하던 기업이다. 하이브리드CD 기술이란, CD 내 파일 복사 방지는 물론 CD 인스톨 횟수 및 사용 횟수 제한 등이 가능한 기술이다.
코디아 조상구 상무는 “코디아의 보안 USB인 ‘시큐어아이USB(Secure-i USB)는 하이브리드CD 기술을 활용해 스크린 캡쳐 등을 방지할 뿐 아니라, 파일 열람시 생성되는 임시파일까지 제거하는 기능을 통해 정보유출의 가능성을 최소화한다”고 주장했다.
시큐어아이USB는 아래한글, 파워포인트나 엑셀, 훈민정음, 아크로뱃 리더 등 현재 상용화된 대부분의 문서파일을 지원하는 전용뷰어를 제공, 복사 방지 모드로 설정된 파일을 전용뷰어를 통해서만 열람 가능하도록 함으로써 임시파일에 의한 자료 유출 가능성을 제거하는 것이다. 전용뷰어의 경우, 열람은 가능하지만 원본 카피나 인쇄 등의 기능이 제한되며, 키보드나 마우스를 이용한 스크린샷도 방지해 악의적 사용자에 의한 자료 유출을 철저하게 차단한다. 또한 시큐어아이USB는 자료 유효기간 설정, 서버를 이용한 온라인 컨트롤 등도 가능하다. 반면, 시큐어아이USB는 전용뷰어로 인해 보안 솔루션의 영역이 42MB로 다소 큰 것이 단점으로 꼽힌다. 또한 서버 연동에 의한 온라인 컨트롤이 가능하지만, 세밀한 관리 기능을 제공하고 있지도 못하다.
이에 대해 코디아 조상구 상무는 “관리 서버와 연동한 관리 기능을 현재 보강 중에 있다”고 답했으며, “보안 솔루션 설치를 위한 용량 잠식은 USB메모리가 점차 고용량화되고 있는 추세이므로 걸림돌이 되지는 않을 것”이라고 전망했다.
시큐어아이USB는 개발 완료와 동시에 국내보다 먼저 일본 자기연구소에 관련 소프트웨어 5만카피가 수출되는 등 국내 시장보다 먼저 해외 시장에서 관심을 끌고 있는 상황이다. 또 미국 국방부 등에 USB 보안 솔루션으로 제안되고 있다고 코디아 측은 전했다.
조상구 상무는 “국내의 경우, 올해보다 내년에 본격적으로 시장이 개화될 것으로 보인다”면서 “먼저 해외시장에서 안정적 성장 기반을 마련하고, 국내 시장은 관련 기능을 보완한 후 본격적 공략에 나설 것”이라고 밝혔다.
보안성·편리성 황금조율 ‘승부 키’
닉스테크, 세이퍼존, 잉카인터넷 등 보안 USB 시장을 노리는 기업들의 고민은 ‘제품 차별화’다. 국정원의 ‘USB메모리 등 보조기억매체 관리 지침’이 보안 USB의 가이드라인 역할을 하고 있지만, 그만큼 업체간 변별력이 사라져 제품 차별화가 쉽지 않기 때문이다. 이 때문에 업체는 자사 제품의 우위 확보를 위한 차별화 요소 개발을 위해 여념이 없다.
신종훈 잉카인터넷 부장은 “보안 USB 구현 방법이 대동소이해 그만큼 차별화가 어려운 것이 사실”이라며 신 부장은 “제품 차별화 없이는 가격 경쟁으로 나아갈 수밖에 없다”며 “가격 경쟁에 휘말리지 않기 위해 차별화 확보를 최우선 사항으로 우선, 안정성과 편리성을 동시에 줄 수 있는 방안에 대해 연구하고 있다”고 전했다.
특히 업계가 신경을 쓰는 것은 보안성에 걸맞는 편의성 확보다. USB메모리는 간편하게 휴대하면서 언제, 어디서나 쓸 수 있는 것이 큰 장점이지만, 보안 USB메모리는 이러한 편의성을 저해할 수 있는 것이 사실이다.
설치되는 PC 에이전트가 사용자 불편을 부르는 대표적인 부문. 보안성 강화 및 관리편의성 향상을 위해 대부분의 제품들이 네트워크에 의한 관리를 수행하는데, 이를 위해 자동 설치되는 에이전트가 사용자 불편을 초래한다는 지적이다. 에이전트가 일단 설치되면, 인가된 보안 USB 외에는 사용이 금지된다. 기업이나 기관 내부 PC라면 에이전트 설치가 당연하겠지만, 외부에서 임시로 사용된 PC라면 에이전트가 매번 설치됨으로써 사용자의 불편을 야기할 수 있다. 예를 들어 집에서 보안 USB에 담긴 업무를 수행한 후 일반 USB를 이용하려 하면 PC에 설치된 에이전트를 삭제해야 한다. 재택근무가 잦다면 에이전트의 설치/삭제를 매번 수행해야 하는 불편이 존재하는 것이다.
세이퍼존 손원장 이사는 “현재는 내부 USB 보안에 관심이 집중돼 사용자 불편에 대한 고려가 이뤄지지 않고 있지만, 보안 USB 도입이 진행될수록 사용자 편의성 부문이 부각될 것”이라며 “세이퍼존의 경우, 보안 USB 내에서 에이전트가 구동돼게 해 PC에서는 에이전트를 설치하지 않음으로써 사용자 불편을 최소화했다”고 답했다.
세이퍼존의 경우처럼 업계는 다양한 사용 시나리오를 만들어 보면서 사용 불편 최소화를 위한 세부 조정 작업에 나서고 있는 것으로 각 업체들은 기본 기능을 완성한 상태에서 사용자 편의성을 보다 확보하기 위한 회의를 연일 지속하고 있다고 알려진다.
닉스테크 장원석 부장 역시 “지침이란 가이드라인이 있기에 보안 USB의 기능적 측면에서 업체간 차이는 적다”라고 지적하면서 “보안성을 기본으로, 누가 더 고객 편리성을 확보하는가에 승부의 키가 달려 있다”고 지적했다.
교두보 확보 후 2008년 성장 기대
도입 지침으로 공공기관 특수가 기대되지만, 올해 그 폭은 크지 않을 것으로 업계는 예상하고 있다. 지침이 올해 초 발표됐기에 예산확보 문제가 존재하는 것이 그 이유다. 예비비 등으로 확보했던 예산을 이용한 일부 기관의 도입이 예상되지만, 큰 물량은 아닐 것으로 업계는 예상하고 있다.
이와 더불어 아직까지 인증제품이 존재하지 않다는 점도 올해 큰 폭의 수요를 기대하기 어렵게 만드는 요인으로 꼽힌다. 업계는 조만간 인증 제품이 나오기 시작할 수 있을 것으로 예상하고 있지만, 시기적으로 볼 때 큰 폭의 수요를 창출해내기는 어려울 것으로 판단하고 있다. 이에 대다수의 업계는 올해 시장 진입을 위한 교두보를 확보하고, 내년 본격적인 시장 확산을 꾀한다는 전략이다. 나아가 공공기관의 도입으로 일반 기업시장에서의 보안 USB 수요 또한 창출될 것을 기대하고 있다.
김대봉 세이퍼존 부장은 “USB 보안에 대한 문제는 공공기관 뿐 아니라 내부자 정보 유출로 인해 대다수 기업들이 갖고 있는 고민”이라며 “공공기관에서의 도입으로 안정성과 유용성이 검증되면, 일반 엔터프라이즈 시장에서도 수요가 급격히 높아질 것으로 본다”는 기대를 전했다.
보안 USB 시장 규모에 대해 추측하기는 쉽지 않다. 국정원 검증 제품이 아직 존재하지 않아 공공시장조차도 열리지 않은 상태이기 때문이다. 또 가격적인 문제도 변동의 소지가 크다. 보안 USB는 탑재되는 보안 솔루션, 그리고 관리 콘솔 등으로 인해 많게는 일반 USB의 4~5배의 높은 가격이 형성되고 있지만, 수요 증가로 인해 가격하락의 여지는 충분하다.
시장을 예측하기는 힘들지만, 보안 USB의 시장 폭발력은 상당할 것으로 예상된다. 공공기관의 경우만 보아도, 비밀등급별로 별도의 USB메모리를 갖춰 놓아야 한다. 하나의 물리적 USB메모리에 다른 등급의 보안 자료를 저장하는 혼합저장이 금지되기 때문이다. 예를 들어 2급 기밀 문서와 3급 기밀 문서를 하나의 USB메모리에 담을 수 없고, 2급 기밀문서용 USB, 3급 기밀문서용을 별도로 마련해 등급별로 나눠 보관해야 한다. USB메모리가 보편화되는 추세로 미뤄볼 때 엄청난 수요가 예상되는 것이다.
이에 대해 국정원 측은 “비밀문서를 저장하는 USB메모리는 ‘보안업무규정 시행규칙’ 제27조에서 말하는 ‘보관용기’가 아니며 그 자체가 비밀이기 때문에 그 관련등급 내용만 저장해야 한다”고 설명했다.
한편, 출혈 경쟁은 벌써부터 우려되고 있다. 앞서 언급한 것처럼 보안 USB의 차별화 요소가 아직 뚜렷하게 나타나고 있지 않기 때문이다. 각 기업들은 솔루션의 차별화를 위해 동분서주하고 있지만, ▲사용자 식별·인증 ▲암·복호화 ▲임의복제 방지 ▲분실 시 데이터 삭제 등 국정원이 언급한 필수보안 기능을 만족하는 방법에는 큰 차이가 없는 것이 사실이다.
대부분의 업체가 사용자 식별·인증은 대부분 ID와 패스워드를 통해 해결하고 있으며, 암·복호화의 경우 국가 표준 암호화 알고리즘인 SEED와 ARIA 등을 이용하고 있다. 또 분실 시 데이터 삭제의 경우, 몇 회의 인증 실패 시 자동 삭제, 혹은 원격제어를 통한 삭제 등으로 대응하는 등 대동소이 하다. 때문에 가격에 의한 출혈 경쟁이 나타날 소지가 다분한 것이다.
더불어 USB메모리 기업과 연계가 필요한 사업 구조도 가격 하락을 부를 수 있는 요인으로 지적된다. USB메모리의 경우, 자체 생산보다 전문 생산업체와의 계약을 통해 제공받아 공급하게 된다. 이 때 물량이 많을수록 도입 원가를 절감, 가격경쟁력을 가져갈 수 있는 것은 주지의 사실. 이에 잘못된 시장예측으로 무리한 수량을 도입, 결국 재고 부담에 의해 덤핑을 초래할 가능성이 존재한다.
업계는 “수요 증가로 가격이 다소 낮아질 수는 있겠지만, 관리 시스템 등을 포함하면 보안 USB메모리의 가격이 일반 USB메모리 수준으로 떨어질 수는 없다”며 “향후 지원까지 고려해 업계는 물론 고객사의 가격 경쟁 자제가 필요하다”고 당부했다.
HSM, 표준화 날개 달고 시장 개척 ‘앞으로’
HSM(Hardware Security Module) 인증토큰은 USB메모리 보안기기 중 대표적 매체라고 할 수 있다. HSM토큰은 하드웨어와 암호화툴 등을 결합해 메모리 내에서 암·복호화 등을 수행함으로써 자료 유출을 방지할 수 있는 솔루션으로 주로 공인인증서를 탑재, 인증매체로 활용되고 있다. 현재 금융감독원의 보안등급별 인터넷뱅킹 인출한도 차등화 제도에서 OTP(One Time Password)와 함께 보안 1등급 매체로 지정돼 금융권에서의 도입이 기대되고 있는 상황이다.
HSM 진영의 기업들 역시 이번 ‘USB메모리 등 보조기억매체 보안관리지침’으로 인한 공공기관 특수를 기대하고 있다. 지침에서는 USB메모리의 용도를 개인용과 업무용으로 구분하고, 업무용 USB메모리는 일반용과 비밀용, 그리고 공인인증서용으로 세분하고 있다. 지침에서 국정원은 이 구분에 따른 엄격한 구분을 명시, 하나의 USB메모리에 다른 분류의 데이터가 탑재되지 않아야 한다고 규정했다.
비밀용 USB메모리에 비밀이 아닌 일반 문서를 탑재해서는 안 되는 것은 물론 비밀자료라고 해도 비밀 등급에 따라 별도 기기에 데이터가 탑재돼야 한다. 1등급 비밀문서와 2등급 비밀문서를 하나의 USB메모리에 담을 수 없는 것이다. 비밀문서를 저장하는 USB메모리는 그 자체가 비밀이기 때문에 관련등급 내용만 저장해야 한다는 것이 국정원의 설명이다.
이와 동일하게 공인인증서용 USB메모리에는 공인인증서 외 다른 데이터가 저장돼서는 안 되며, 이로 인해 HSM토큰 도입이 기대된다고 할 수 있다. 국정원 지침에서는 HSM토큰의 도입을 명시하고 있지는 않지만, 개인소지가 허용되는 공인인증서용 USB메모리에 공인인증서 외에 다른 용도를 담지 않도록 강제하기 할 수 있는 HSM토큰이 도입될 여지가 크다. HSM토큰의 경우, 타 데이터 저장이 기본적으로 불가능해 공인인증서용으로 도입하면 공인인증서 외에는 어떤 데이터도 담을 수 없다.
더불어 한국정보보호진흥원(KISA)의 주도로 지난 4월 HSM 기술규격인 ‘보안토큰 기반 공인인증서 이용기술 규격’이 개발된 데 이어 인증서관리프로그램과 토큰 드라이버단에 각각 호환성을 확보할 수 있는 기술이 개발되는 등 표준화가 마련되고 있다는 점도 호재다. 호환성 확보로 인해 HSM토큰 확산의 기반이 마련되기 때문이다.
현재 HSM토큰 시장에서는 소프트포럼을 비롯해 스마트카드테크놀로지와 하이스마텍 등의 국산 기업과 세이프넷, 알라딘 등의 외산 기업이 솔루션을 출시하고 있다. 하지만, 공공기관 도입에는 국정원 보안성 검증이 요구되기 때문에 국산 기업들에 대한 관심이 더욱 크다고 할 수 있다.
소프트포럼의 경우, KISA 표준 규격을 수용한 HSM인증토큰인 ‘엑스큐어HSM(Xecure HSM)’을 출시하고, 시장 공략에 나서고 있다. 소프트포럼 김광 과장은 “공인인증서 외에 다른 데이터 저장이 어떤 경우에도 불가능하다고 말하기 힘든 일반적인 보안 USB메모리와 달리 HSM토큰은 공인인증서만을 담도록 강제할 수 있다”며 “공인인증서용도로 HSM토큰을 도입하는 것이 지침준수와 보안성 향상에 효과적일 것”이라고 밝혔다. 이어 김 과장은 “KISA 표준규격으로 HSM토큰 확산의 계기가 마련돼 공공은 물론 금융시장에서도 HSM토큰의 이용이 확산될 것”이라는 기대를 전했다.
