“개인정보를 철통방어 하라” … 사용자 경각심 ‘절실’
상태바
“개인정보를 철통방어 하라” … 사용자 경각심 ‘절실’
  • 데이터넷
  • 승인 2008.05.06 00:00
  • 댓글 0
이 기사를 공유합니다

개인정보 유출방지 솔루션
“개인정보를 철통방어 하라” … 사용자 경각심 ‘절실’
개인정보 노출 인한 손실 사례 증가 … 공공기관 종합대책으로 확산 ‘기대’

개인정보의 중요성은 아무리 강조해도 지나치지 않다. 본인확인 수단으로 온라인은 물론 오프라인에서도 광범위하게 사용됨으로써 유출시 큰 문제가 발생할 수 있는 주민번호는 물론, 개인의 이메일, 전화번호, 신용카드번호, ID/PW 등도 유출시에는 생활의 불편과 예기치 않은 피해를 불러일으킬 수 있다. 이에 개인정보에 대한 사용자들의 관심은 증가하고 있으며, 이에 개인정보를 다량으로 보유한 공공기관 등에서 개인정보 유출방지 솔루션에 대한 요구가 늘어나고 있다. | 글·오현식 기자·hyun@datanet.co.kr |

개인정보 유출방지 솔루션이란, 민감한 개인정보의 유출을 방지하는 보안 솔루션을 말한다. 하지만, 이러한 정의를 액면 그대로 받아들이면 곤란하다. 대다수 보안 제품이 포함돼 너무 광범위해지기 때문이다.
앞서의 의미를 그대로 받아들이면, 개인정보 유출방지 솔루션에는 DB보안 솔루션을 비롯한 대다수 보안 제품이 포함된다. 암호화 혹은 접근제어를 통해 DB를 보호하는 DB보안 솔루션 또한 다수의 고객정보, 즉 고객의 개인정보를 보호한다고 볼 수 있으며, 사용자 정보를 유출시키는 악성코드인 스파이웨어를 차단하는 안티스파이웨어 제품군도 포함될 수 있기 때문이다.
따라서 현재의 제품분류에서 개인정보 유출방지 솔루션은 웹 사이트 게시판 등에서 무분별하게 노출된 개인정보를 찾아 삭제하거나, 혹은 일부를 아스타리스크(*) 등으로 치환해 개인정보 노출을 방지하는 제품에 국한된다. 보다 정확하게는 홈페이지 개인정보 차단 시스템, 혹은 개인정보 필터링 시스템이라 부를 수 있겠지만, 편의상 개인정보 유출방지 솔루션이란 이름으로 통용되고 있다.
국내 시장에서는 글로벌다윈의 ‘스마트엑스필터’, 센티널테크놀로지의 ‘쿨필터’, 엑스퍼넷의 ‘레드스캔’, 엑스큐어넷의 ‘비너스/콘텐츠필터’, 위너다임의 ‘프라이버시스캐너’, 위더스정보의 ‘보드클리너’, 위즈디엔에스코리아 ‘핌트레이스’, 이지서티 ‘u프라이버시세이퍼’, 지란지교소프트의 ‘웹필터’, 컴트루테크놀로지의 ‘프라이버시센터’ 등이 관련 시장 개척에 나서고 있다.

구글검색으로 이슈화
개인정보 노출이 이슈화는 구글 검색엔진의 강력한 성능이 계기가 됐다고 평가된다. 구글검색시 다수의 주민번호 등을 비롯한 개인정보가 웹 상에서 그대로 노출돼 그동안 무분별하게 게재된 개인정보 노출의 실태가 심각한 사회적 문제로 대두되게 된 것이다.
구글검색의 강력한 성능으로 인해 검색어의 적절한 조합만으로도 주민번호는 물론, 신용카드번호, 전화번호 등의 개인정보가 검출됐으며, 연이은 검색을 통해 그 인물의 학교성적이나 건강검진 여부까지도 여과 없이 노출됐다. 해킹을 통해서나 가능할 것 같은 각종 개인정보들을 검색만으로도 쉽게 구할 수 있기에 ‘구글해킹’이란 신조어까지 등장했을 정도다.
구글해킹이 한창 회자되던 2005년, 한국정보보호진흥원(KISA)이 공개한 ‘개인정보보호 실태점검 결과자료’에서는 웹 사이트상에 2만2천여명의 주민번호가 노출된 것으로 나타나 충격을 주기도 했다. 또 2006년 3월 정보통신부가 구글 검색엔진과 주민번호 노출점검 소프트웨어를 이용해 개인정보 노출 상황을 점검한 조사에서는 2005년 한 해 동안 공공기관, 기업 등 1천900여개 기관에서 61만여명의 개인정보 노출이 확인되기도 했다.
이러한 원인은 강력해진 검색엔진에 있기도 하지만, 보다 근본적으로는 개인정보의 무분별한 관리가 지적된다. 사용자 스스로도 개인정보의 중요성에 대한 인식이 부족해 웹 게시판에 전화번호를 게재했으며, 다수의 개인정보를 보유한 기관, 기업에서도 개인정보 노출에 대한 경각심 미비로 개인정보가 남겨진 게시판을 방치하거나 담당자의 실수로 개인정보가 담긴 파일이 노출되도록 방치했던 것. 강력해진 검색엔진은 이렇듯 방치된 개인정보를 검색 이용자가 부여한 명령(검색어)에 따라 찾은 것일 뿐이다.
이에 구글해킹이란 신조어가 발생하게 된 근본원인이라고 할 수 있는 웹 사이트에서의 개인정보 노출요소를 제거, 개인정보 오남용 가능성을 원천봉쇄해야 할 필요성이 제시됐으며, 이 요구에 부응해서 탄생한 것이 바로 개인정보 유출방지 솔루션이다.

개인정보노출 ‘여전’·솔루션 도입확대 ‘절실’
개인정보 유출방지 솔루션의 최대 수요처는 공공기관이다. 공공기관은 다량의 개인정보를 보유하고 있을 뿐 아니라 정보공개 제도가 도입되면서 담당자의 사소한 실수로 인해 개인정보가 웹에 노출되는 경우가 종종 발생해 유출방지 솔루션 도입이 시급히 요구됐기 때문이다. 예를 들어, 민원을 접수하는 과정에서 민원인의 실수로 민원인의 개인정보가 노출되기도 했으며, 행정정보 공개를 위해 민원처리를 결과를 공개할 때 담당자의 부주의로 인해 민원인의 개인정보가 노출되는 일도 발생했다.
또 공공기관 홈페이지를 통한 개인정보 유출 사례를 감소시키기 위해 정보통신부, 행정자치부 등을 통해 개인정보 유출방지를 위한 기술적 조치 마련이 지속적으로 권고됐다는 점도 공공시장을 개인정보 유출방지 솔루션의 최대 수요처가 되도록 만든 요인으로 꼽힌다. 지침과 실태점검 등을 통해 지적되고, 담당자에 대한 징계 등이 이뤄져 유출방지 솔루션 도입이 활발하게 이뤄진 것이다.
2005년부터 개인정보 유출방지 솔루션 도입이 시작된 이후 점차적으로 도입 기관이 증가, 개인정보 유출이 크게 줄어들었지만, 아직도 개인정보 유출은 완전히 사라지지 않고 있다. 지난해 행정자치부 주관으로 실시된 공공기관 홈페이지 개인정보 노출 점검 결과는 이를 반증한다.


행자부가 2007년 7월부터 12월까지 700여개 공공기관의 1286개 웹사이트(주요 사이트 800, 서브 사이트 486개)의 개인정보 노출실태를 집중 점검한 결과, 800개 주요 사이트는 11월 557건의 개인정보 노출을 기록했으며, 486개의 서브 사이트는 12월 2천169건의 노출건수를 기록해 여전히 개인정보 유출은 지속됐다. 물론 조사 시작 시점(주요 사이트 7월 점검 4만7천636건, 서브 사이트 10월 점검 6천643건)과 비교해 보면 유출 건수가 크게 줄어들었다는 점은 다행스러운 점이지만, 아직 완벽하지는 않은 것. 이러한 결과는 개인정보 유출방지 솔루션이 아직 모든 공공기관에 도입된 것이 아닌 도입확산의 과정에 있기 때문으로 풀이할 수 있다. 업계는 “정보유출방지 솔루션 시장이 본격적으로 확산된 것은 지난해부터”라고 입을 모았는데, 바꿔 말해 실태조사 기간에도 지속적으로 제품 도입이 이뤄지면서 유출사례를 감소시킬 수 있었던 것이다.
결국 이러한 결과는 웹에서의 개인정보 유출이 결코 막을 수 없는 것이 아니라, 실태점검을 통한 경각심 고취와 솔루션 도입을 통한 기술적 조치 등을 통해 충분히 방지할 수 있는 것임을 보여준다고 할 수 있다. 최근 ‘개인정보보호 종합대책’을 발표한 행정안전부에 따르면, 현재 중앙부처 및 광역지자체의 필터링 시스템(개인정보 유출방지 시스템) 도입률은 62%로 집계되고 있는데, 보다 철저한 개인정보보호를 위해서는 유출방지 솔루션의 도입 확대가 절실하다고 지적 된다.

유출방지 솔루션 시장 ‘도약’ 기대
2005년부터 시장형성이 시작돼 2007년 공급이 활성화됐다고는 하지만 전체 시장 규모로는 100억원에 미치지 못한다는 것이 업계의 중론이다. 몇몇 관계자는 2007년의 시장규모로 100억원 수준을 관측하기도 했지만, 대다수는 70~80억원에 그친 것으로 집계하고 있다.
올해의 시장규모에 예측에서도 업계는 큰 폭의 시장 확대는 기대하지 않고 있다. 지난해와 유사하거나 소폭 상승하는 수준에 그칠 것으로 전망하고 있는 것. 이는 민간에서의 수요가 거의 발생하지 않는 현실을 고려할 때 공공수요만으로는 시장 확대에 한계가 있기 때문이다. 아직까지 민간 부문에서 개인정보 유출방지 솔루션을 도입하는 사례는 전무하다고 말해도 될 정도로 민수 시장에서 유출방지 솔루션 도입은 불붙지 못하고 있다.
이와 관련 한 업계 관계자는 “공공 시장만을 본다면 솔루션 도입이 가능한 예산 여력을 갖춘 중앙부처, 광역지자체, 대형공사 등 도입대상 공공기관 중 50% 이상이 유출방지 시스템을 도입한 것으로 집계된다”며 “민수 수요가 급격하지 일어나지 않는다면 올해 시장 규모도 지난해에 비해 비약적으로 성정할 것으로 보이지는 않는다”고 지적했다.
그렇지만, 3월 말 개인정보 유출방지 시장 확대를 촉진시킬 수 있는 호재가 발생했다. 정부조직 개편으로 개인정보 총괄·조정 기능을 수행하게 된 행정안전부가 개인정보보호를 위한 ‘공공기관 개인정보보호 종합대책’을 마련해 발표한 것. 이 제도에서는 특히 달성 과제의 하나로 개인정보 노출 차단 시스템 도입률을 현재 62%(중앙·광역지자체 기준)에서 2009년까지 80%까지 끌어올리겠다고 명시돼 업계의 기대를 부풀리고 있다.
또 웹 사이트 개인정보 노출 집중점검 대상 사이트를 지속적으로 확대함과 동시에 노출에 따른 징계 처벌을 강력하게 수행할 방침임도 밝혔다. 행정안전부에 따르면, 적발된 지난해 공공기관 개인정보유출 사례의 74%가 담당자의 부주의로 인한 것으로 분석됐다.
행정안전부 임우진 정보화전략실장은 “그동안 공공기관에서의 정보유출 징계 수위가 민간부문 정보유출에 대한 관련법인 정보통신망법에서의 처벌보다 강도가 약했다”고 지적하면서 “공공부문 개인정보 침해에 대한 징계가 최소한 정보통신망법 수준이 되도록 수위를 높이겠다”고 밝혔다. 개인정보보호 강화에 대한 행정안전부의 강력한 의지를 엿볼 수 있게 하는 언급이다. 또 임우진 실장은 “개인정보 노출실태를 기관의 정보화 평가에 반영하겠다”는 방침도 밝혔다.
개인정보 유출방지에 대한 주무기관의 이러한 강력한 의지가 솔루션 공급업계에는 시장 확대의 기회로 돌아올 것임은 두말할 나위가 없다. 특히 강력한 징계가 언급되고 있기에 예산미비를 이유로 아직까지 솔루션 도입을 미루고 있던 공공기관에서의 정보유출방지 솔루션 도입을 촉진할 수 있는 계기가 될 것으로 전망된다.
엑스퍼넷 측은 “중앙부처나 광역단체의 경우에는 개인정보 유출방지 솔루션 보급률이 비교적 높은 기관”이라며 “이번 조치로 상급기관 뿐 아니라 예산 부족으로 도입을 미루던 공공기관도 서둘러 시스템 도입에 나설 것으로 기대된다”고 밝혔다.

개인정보보호법 제정 ‘호재’
무엇보다도 반가운 사실은 개인정보보호법 제정과 관련된 계획이다. 행정안전부는 이번 대책 발표에서 공공과 민간, 온라인과 오프라인을 포괄하는 단일 ‘개인정보보호법’ 제정을 핵심 과제로 설정하고, 연내 제정을 목표로 추진하겠다고 밝혔다.
단일 개인정보보호법은 그동안 관련 시민단체 등에서 강력히 요구했던 부문. 개인정보보호에 관련된 부분은 현재 정보통신망법 외에도 정보통신기반보호법·정보화촉진법·전자서명법·전자거래기본법·전자거래소비자보호법 등에 산재해 있어 개인정보의 범위도 상이할 뿐만 아니라 처벌 수위도 달라 혼선을 불러일으켰던 것이 사실이다.
이에 각 영역에 산재된 개인정보 관련 조항을 통합, 체계화함으로써 보호대상 개인정보의 범위와 의무적 보호 조치를 명확히 하고, 처벌 규정 또한 공고히 할 수 있어 개인정보보호 문화를 구축하는데 일조할 것으로 전망된다. 또 웹2.0, 유무선통합 등 기술진화에 따른 새로운 환경변화를 수용하기 위해서도 개인정보보호법의 시급한 제정과 시행이 요구된다.
정보보호산업적인 측면에서도 개인정보보호법은 산업 성장을 촉진할 수 있는 호재로 지난 몇 년간 주목돼 왔다. 17대 국회에서는 노회찬 의원의 ‘개인정보보호기본법’과 정성호 의원의 ‘개인정보보호법’, 이은영 의원의 ‘개인정보보호기본법’ 등 3개 법안에 더해 이들 법안을 기초로 마련된 변재일 의원의 통합안 등이 제출되면서 단일 개인정보보호법 제정에 대한 기대가 높았지만, 법안간 합의점 도출실패와 이어진 정쟁으로 3년간 계류되다가 결국 통과되지 못해 아쉬움을 남겼다.
그렇지만, 이번에 행정안전부가 단일 개인정보보호법의 연내 제정을 개인정보보호 종합대책의 핵심과제로 선정함에 따라 그 어느 때보다도 법안 통과에 대한 기대감이 높다. 개인정보유출과 오남용을 근절하기 위해 필요한 중요 민생법안으로 사회 각층에서 법안 마련을 요구하는 목소리 또한 높을 뿐 아니라, 17대 국회에서 3년간 계류되다가 결국 자동 폐기됐던 것인 만큼 올해는 반드시 법안이 제정되기를 희망하고 있는 것이다.
주변국의 경우를 보아도 일본은 이미 2005년부터 프라이버시 보호를 위해 강력한 개인정보보호법을 시행하고 있으며, 중국도 당사자 동의 없이 제3자에게 개인정보 제공을 금지하는 개인정보보호법을 마련해 실시하고 있다. 이에 비춰보면 우리나라는 IT 강국임을 자부하면서도 개인정보보호에는 뒤처져 있는 것. 법안 제정이 늦은 만큼 행정안전부는 국회처리 시 잡음 없이 신속하게 처리될 수 있도록 그동안 의원입법, 시민단체 등에서 논의됐던 주요 이슈를 적극 수용하고, 연구와 공론화 과정을 거쳐 신중하게 입법안을 마련할 계획이다.

개인정보보호, 민수 시장 활성화 기대
온·오프라인과 민·관을 포괄하는 단일 개인정보보호법의 제정은 개인정보보호와 관련된 보안 시장 성장에 기름을 부을 수 있는 호재로 평가된다. 기업들은 그동안 개인정보보호에 대한 높은 관심을 갖고 있었음에도 불구하고 관련 사항이 여러 법안에 산재돼 발생한 혼란으로 인해 개인정보보호에 적극적으로 나서지 못했던 것으로 풀이되고 있기 때문 이다.
이는 한국침해사고대응팀협의회(CONCERT)가 2008년 1월 CONCERT 정회원사 105개를 대상으로 실시한 조사 결과에서도 드러난다. 이 조사에 따르면, 2007년과 2008년 응답자들은 공통적으로 ‘개인정보보호’를 가장 큰 화두로 꼽았지만, 실제로 개인정보 유출사고 발생시 기업이 법적으로 책임져야 할(또는 향후 그렇게 될) 부분에 대해 구체적으로 이해하고 있다는 답변은 전체 응답자의 48.2%(그렇다 36.5%, 매우 그렇다 11.7%)에 그쳤다.
이에 대해 CONCERT 심상현 사무국장은 “기업들의 개인정보보호 문제에 대한 관심과 대책은 아직까지 다소 ‘막연한’ 수준”이라며 “개인정보보호 문제는 현 시점에서 피해자도 ‘막연히’ 불안하고, 가해자도 ‘막연히’ 불안한, 그래서 그 막연함이 갑작스레 구체화될 때 ‘연쇄폭발’을 일으킬지도 모른다는 불안감을 주고 있는 것”이라고 평가했다.
그렇지만, 개인정보보호법이 제정되면, 곧 민간부문의 수요를 창출할 수 있을 것은 보다 분명해 보인다. 이는 다른 보안 이슈와 달리 개인정보보호에 대해서는 기업의 경영진이 먼저 적극적으로 나서고 있기 때문이다. CONCERT의 조사에서 다른 보안 이슈와 비교해 개인정보보호에 대한 경영진의 관심도를 묻는 질문에 적극적이란 응답은 30.4%, 매우 적극적이란 응답도 8.7%에 달했다. 앞서의 개인정보보호의 막연함을 토로하는 조사 결과를 고려하면, 경영진의 이러한 적극성은 모호성이 사라지면 개인정보보호 수요가 창출될 것이란 기대감을 갖게 하기에 충분한 결과라고 할 수 있다.

법 제정으로 공공 한계 벗는다
개인정보보호법의 제정은 여러 보안 분야에 영향을 미칠 수 있는 동력이다. 개인정보 유출방지 분야는 물론 개인정보보호 관련 컨설팅 방법론을 개발한 정보보호컨설팅 분야, 대량의 고객정보가 집중된 DB보안 분야 등의 성장이 예상된다.
특히 정보보호컨설팅 업계의 기대치가 높다. 컨설팅 기업들은 의원 입법으로 법 제정이 회자되던 때부터 개인정보보호 관련 컨설팅 방법론을 개발해 이를 준비해왔기 때문이다. 국내 대표적인 컨설팅 기업인 에이쓰리시큐리티컨설팅의 경우, 개인정보보호 영향평가 시스템을 마련해 이를 SK텔레콤에 공급하는 등의 성과를 거두고 있기도 하다. 이에 개인정보보호법이 연내 제정되면 개인정보 영향평가와 관련된 수요가 급증할 수 있을 것으로 기대하고 있다.



개인정보 유출, 사용자·기업 관심 ‘절실’
인터넷 이용자가 폭발적으로 증가했지만, 그동안 개인정보 보호에는 다소 소홀했던 것이 사실이다. 사용자의 경각심도 부족해 전화번호나 주민번호 등 자신의 개인정보를 각종 게시판 등에 노출하는 경우도 많았으며, 홈페이지 관리자들도 이를 그냥 방치하는 경우가 많았다. 하지만, 개인정보는 결코 소홀히 다뤄질 수 없는 부문이다.
특히 대면이 없는 사이버 세계에서는 개인정보보호가 더욱 중시된다. 주민번호는 사이버상에서 본인확인수단으로 광범위하게 이용되고 있어 유출될 경우, 얼굴도 모르는 제3자에게 자신의 모든 정보가 노출되거나 혹은 노출된 개인정보가 범죄에 악용돼 용의자로 지목되는 등의 피해를 입을 수 있다.
예를 들어, 홍길동이란 사람이 어떤 사이트에 가입했는가는 홍길동 씨의 주민번호만 안다면, 인터넷 검색을 통해 쉽게 확인할 수 있다. 또 이 명의를 도용해 사이트에 가입하는 것도 가능하다. 2006년 초 논란이 됐던 인기 온라인게임 리니지의 명의도용 사건은 주민번호 관리 소홀과 이를 이용한 명의도용의 실태를 엿볼 수 있게 하는 사례라고 할 수 있다.
극단적인 예이기는 하지만, 주민번호 노출로 범죄자로 몰리거나 신용불량자가 되는 사례도 발생할 수 있다. 노출된 주민번호로 개설된 대포폰이 범죄에 이용되거나, 또 도용된 주민번호를 이용해 성인사이트를 개설됨으로써 성매매사범이 될 수도 있으며, 신용카드나 이동전화가 발급돼 신용불량자가 될 수도 있다.

다양한 분야에서 법 제정에 따른 특수를 기대하고 있지만, 무엇보다 높은 기대감을 갖는 것은 바로 개인정보 유출방지 솔루션 분야의 기업들이다. 이들은 법 제정으로 개인정보 유출에 따른 처벌 규정이 명확해지면, 이를 피하기 위해 일반 기업에서도 유출방지 솔루션 도입이 개시될 것으로 희망섞인 관측을 내놓고 있다. 현재 공공기관에 국한돼 갖던 시장 성장의 한계를 확대할 수 있을 것이란 희망이다.
담당자 부주의로 인한 개인정보 유출은 비단 공공기관에서만 일어날 수 있는 문제는 아니다. 직원의 eDM 발송 실수로 인해 고객 개인정보를 유출해 배상판결을 받은 국민은행의 사례는 이를 보여주는 사례라고 할 수 있다. 국민은행은 온라인 복권 가입자에게 이벤트를 발송하는 이메일을 발송하다가 직원의 실수로 온라인 복권 가입자들의 정보가 담긴 파일을 첨부, 1인당 20만원의 피해보상 판결(서울고법 2007년 11월)을 받았다.
개인정보가 노출된 고객수가 많지 않고, 또 피해보상 금액 또한 크지 않았기에 은행의 전체 손실 금액은 적었지만, 이는 손실금이 적었다는 사실에 안도해서는 안 될 일이다. 정보유출을 차단할 수 있는 시스템 구축이 필요한 것이다.
해킹에 의한 개인정보 노출로 경우는 다르지만, 옥션 사태는 반면교사가 될 수 있다. 해킹으로 대량의 고객정보를 유출한 것으로 알려지는 옥션에 대해 집단 소송을 준비하고 있는 사용자들이 요구하는 피해배상 규모는 1인당 최대 200만원에 달한다. 1천700만명 이상의 회원정보가 유출됐다는 루머가 사실이고, 법원에서 사용자들의 손을 들어줄 경우, 옥션의 피해 규모는 상상을 초월한다.
만일 이러한 유출이 내부 직원의 실수로 웹 게시판에서 벌어진다면. 기업 경영진으로서는 상상하기조차 싫은 일이다. 개인정보 유출방지 솔루션 기업들은 “현재 개인정보 유출방지 솔루션의 수요자는 공공기관에 국한돼 있지만, 웹 게시판을 운용하는 기업들은 모두 잠재고객”이라면서 민간 수요가 창출되기를 기대하고 있다. 이러한 업계의 기대에 개인정보보호법은 신호탄이 될 수 있다.
나아가 내부 직원에 의한 대량의 개인정보 유출은 물론, 고객 보호를 위해 사용자들의 부주의로 인한 게시판의 개인정보 등록을 방지하는 기술적 조치 등이 마련되는 단일 개인정보보호법에 포함된다면, 이는 일반 기업 시장에서 개인정보 유출방지 솔루션의 도입의 물꼬를 터트리는 계기가 될 전망이다.
실제로 한 사용자는 “가입한 보험회사에서 보낸 이메일 제목이 주민번호로 왔다”며 개인정보 유출 사례인지를 게시판에서 문의했는데 이 때 그 메일 제목을 그대로 써 보여 스스로의 정보를 유출하는 실수를 저지르고 있는 등 포털 사이트 게시판에서는 사용자 부주의에 의한 개인정보 누출 사례를 심심찮게 만나 볼 수 있다.
다윈네트웍스 최복희 이사는 “포털 등에서는 고객보호를 위해 개인정보 유출방지 솔루션을 도입할 필요성이 높다”며 “공공수요가 다수이지만, 민간 기업들도 개인정보보호의 예외는 될 수 없다. 하루빨리 개인정보 유출방지 솔루션을 도입해 고객의 민감한 개인정보 유출을 방지해야 할 것”이라고 강조했다.

H/W 방식·S/W 방식 경쟁
국내 시장에서 개인정보 유출방지 시장에서는 10여개 기업이 경쟁하고 있다. 글로벌다윈의 ‘스마트엑스필터’, 센티널테크놀로지의 ‘쿨필터’, 엑스퍼넷의 ‘레드스캔’, 엑스큐어넷의 ‘비너스/콘텐츠필터’, 위너라임의 ‘프라이버시스캐너’, 위더스정보의 ‘보드클리너’, 위즈디엔에스코리아 ‘핌트레이스’, 이지서티 ‘u프라이버시세이퍼’, 지란지교소프트의 ‘웹필터’, 컴트루테크놀로지의 ‘프라이버시센터’ 등이 그들이다.

이들은 다시 소프트웨어 제품과 하드웨어 제품으로 나눌 수 있다. 센티널테크놀로지의 쿨필터, 엑스퍼넷의 레드스캔, 위너다임의 프라이버시스캐너, 위더스정보의 보드클리너, 위즈디엔에스코리아 핌트레이스, 이지서티 u프라이버시세이퍼, 지란지교소프트의 웹필터 등이 소프트웨어형 제품이며, 글로벌다윈의 스마트엑스필터, 엑스큐어넷의 비너스/콘텐츠필터, 컴트루테크놀로지의 프라이버시센터 등은 하드웨어형 제품이다.
다시 하드웨어형 제품들은 두 가지로 나눌 수 있는데, 하드웨어로 공급되지만 소프트웨어형처럼 게시판 소스 코드에 스크립트 삽입 작업이 필요한 소프트웨어, 하드웨어 중간형 제품과 소스코드 변경 등의 일체의 작업이 필요치 않는 하드웨어 일체형 제품으로 분류할 수 있는 것. 일체형 제품은 비너스/콘텐츠필터, 스마트엑스필터, 프라이버시센터 등이다. 중간형 제품은 소프트웨어를 어플라이언스에 탑재시켜 일부를 강화시켜 기능을 강화한 제품을 말한다. 그렇지만, 하드웨어 일체형과 달리 소스코드의 변경이 필요해 완전한 하드웨어 제품이라기보다는 소프트웨어 기반으로 평가받기도 한다. 지란지교와 위더스정보 등이 소프트웨어 제품과 어플라이언스 형태의 공급을 동시 진행해 이들이 공급하는 웹필터와 보드클리너는 중간형 제품으로 분류되기도 한다.
먼저 시장에 등장한 것은 소프트웨어 제품군이다. 엑스퍼넷의 레드스캔을 비롯해 스캔 기술을 토대로 웹에서 개인정보 유출 문서를 찾아 조치하도록 하는 솔루션이 먼저 등장한 것. 무분별한 개인정보 이용으로 웹에 유출된 개인정보가 상당수였으며, 이로 인해 발생하는 명의도용 등의 문제가 개인정보 유출방지 솔루션을 촉발시켰음을 감안하면, 스캐너 기반 제품들이 시장에 먼저 등장한 것은 당연한 수순이라고 할 수 있다.

엑스퍼넷 정창섭 대리는 “개인정보 유출방지 솔루션의 효시는 2005년 행정자치부에서 실시한 ‘공공기관 홈페이지 평가사업’이라고 할 수 있다”면서 “이 사업에서 개인정보 노출 검사를 위해 용역툴로 개발된 것이 바로 엑스퍼넷 레드스캔”이라고 밝혔다.
소프트웨어형 제품들은 웹 서버에 탑재되거나 별도의 어플라이언스를 이용해 설치되게 된다. 대상 게시판에 글을 쓰고자 할 때 필터링을 위해, 혹은 스캐닝과 교정(아스타리스크로 치환 등)을 위해 소스코드에 스크립트 추가가 필요하다.
하드웨어 일체형 제품들은 통상 인라인 방식으로 제공되며, 게시판 소스코드에 수정이 필요한 불편을 개선해 설치 즉시 사용되도록 한 제품들이다. 스캔 기능 보다는 필터링(개인정보 게재시 업로드 차단) 기능이 강조된 점이 특징 이다.
엑스큐어넷 김현철 차장은 “소프트웨어형 제품에 비해 하드웨어 일체형 제품은 소스코드 수정 등의 작업이 필요치 않은 편리함으로 각광받고 있다”면서 “특히 웹은 지속적으로 개편되기에 그때마다 소스코드 수정에는 불편함이 있기에 점차 일체형 제품들이 각광받고 있다”고 밝혔다.
물론 이에 대해 소프트웨어 제품 기업들은 반론을 제기한다. 위너다임 남기호 연구소장은 “스크립트 삽입으로 보다 철저하고 세밀한 통제가 가능해질 뿐만 아니라, 스크립트 삽입은 그리 번거롭지 않은 작업”이라고 밝혔다. 남 소장은 “철저한 개인정보 유출방지를 위해서는일정한 커스터마이징은 반드시 수행돼야 하며, 때문에 공급벤더의 구축 노하우와 기술력이 중시되는 것”이라고 덧붙였다.

하드웨어 방식 ‘각광’
하드웨어형태와 소프트웨어 형태가 치열하게 경쟁하고 있지만, 하드웨어 일체형 제품들이 점차 힘을 얻고 있는 것이 사실이다. 지난해 30억원의 매출을 올렸다고 밝혔다. 개인정보 유출방지 시장이 100억원 미만으로 추정되는 상황에서 시장 1위임을 자부할 수 있을 만한 성과를 거둔 것.
컴트루테크놀로지 지용미 차장은 “지난해 높은 성과를 거둔 것에는 지금까지 나온 개인정보보호 사업 중 가장 큰 규모(10억원)였던 경북도교육청 구축사업을 수주한 데 힙입은 바가 컸다”면서 “일일이 웹 서버를 웹 서버를 수정할 필요없이 중앙집중형에 설치하는 것만으로 완료되는 프라이버시센터의 편리한 장점이 일선 담당자들에게 높은 호응을 받고 있다”고 밝혔다.
웹 가속기와 개인정보 유출방지를 결합한 독특한 컨셉이 눈에 띄는 글로벌다윈 역시 늦은 출발(2006년 말 출시)에도 불구하고, 전자교육과학원, 대구시청 등 30여개의 공급사례를 확보하면서 빠른 시장 확산세를 보였다. 글로벌다윈은 센티널테크놀로지의 쿨필터를 자사의 웹 가속기 스마트CDS에 통합시킨 스마트엑스필터를 선보이고 있다.

글로벌다윈 최복희 이사는 “글로벌다윈의 웹 가속기 기술에 개인정보 유출방지 기술을 결합시킴으로써 특히 대용량 트래픽이 필요한 대형 사이트에서 각광받고 있다”며 “스마트엑스필터로 웹 가속기 능력과 개인정보보호 기능을 동시에 이용할 수 있어 비용은 물론 활용도 측면에서도 장점이 있다”고 밝혔다.
엑스큐어넷 또한 정통부, 통일부, 서울시청 등에 공급사례를 확보하면서 세를 확산해 나가고 있다. 엑스큐어넷의 경우 국내 대형 그룹사 중 하나인 S사에 솔루션을 공급하는 등 개인정보 유출방지 분야에서는 흔치 않은 공공 외 민간 사례를 보유하고 있는 장점도 있다.
하드웨어 방식의 이러한 호조로 인해 기존 소프트웨어 방식의 기업들도 하드웨어 일체형 솔루션 출시를 준비하고 있는 것으로 알려진다. 엑스퍼넷의 경우가 대표적으로, 엑스퍼넷은 하드웨어 타입의 제품군을 곧 출시할 예정으로 막바지 작업이 한창이다.

보다 철저한 개인정보보호
간편한 구축으로 하드웨어 타입이 인기를 끌고 있지만, 소프트웨어 방식의 장점도 적지 않으며, 이에 대한 선호도도 적지 않다. 특히 소프트웨어 방식은 스캔 기능이 뛰어나 개인정보가 올라와 있는 기존 웹 페이지를 검출하고, 이에 대한 조치를 취하게 할 수 있다는 강점이 있다. 실시간 필터링을 수행한다고 하더라도 정기적인 스캔 점검 등이 필요한데, 이 부문에서 강점을 갖는 것이다.
소프트웨어 제품군은 행정자치부 등이 실시하는 공공기관 평가 점검에 이용될 정도로 뛰어난 스캔 기능을 인정받고 있다. 특히 공공기관의 개인정보 유출방지 솔루션 도입의 동력은 바로 평가점검 등의 감사라고 할 수 있는데, 이 감사에서 소프트웨어 제품군이 사용된다는 점은 소프트웨어형의 시장 우위를 가져다 줄 수 있는 요소다.
감사가 시장 동력인 상황에서 사용되는 제품을 사용을 선호하는 것은 당연한 일이기 때문이다. 지난해 행정자치부(현 행정안전부)의 평가점검 소프트웨어로는 위너다임의 프라이버시스캐너, 엑스퍼넷의 레드스캔 등이 사용돼 평가점검을 수행한 바 있다.
또한 소프트웨어 제품들은 각 게시판별로 스크립트를 추가하기 때문에 게시판별로 다른 보안 강도를 설정하는 등 세밀한 정책을 수행할 수 있어 보다 탄력적인 운용이 가능하다는 장점도 있다. 특히 개인정보 유출방지가 언급되던 초기부터 활동해 더 다양한 공급사례를 갖고 있다는 점은 빠뜨릴 수 없는 우위점이다. 엑스퍼넷의 경우, 광주통합센터 중앙인사위원회를 비롯해 54개 기관에 솔루션을 공급하는 등의 성과를 보이고 있다.
이에 지란지교 웹필터의 어플라이언스 타입은 양 방식의 장점을 흡수하려 한 제품으로 볼 수 있다. 이들은 하드웨어와 소프트웨어를 혼용한 형태로 스크립트 추가가 필요하지만, 서버 종속적이지 않고, 여러 대의 웹 서버의 필터링이 가능한 하드웨어의 장점과 차단강도 조절, 게시판별 필터링 등 보다 세밀한 정책설정이 가능한 소프트웨어 방식의 장점을 결합해 인기를 끌고 있다. 지란지교의 경우, 정보통신부, 인천광역시, 충청북도교육청 등 30여개 사이트를 확보하고 있다.

PDF 변환 자동 변환 ‘진화’
개인정보 유출방지 솔루션은 기능 추가로 보다 철저한 개인정보보호가 가능한 방향으로 진호하고 있다.
그 가운데 하나가 PDF 변환 시 자동 추가 기능이다. 공공기관 등에서는 첨부파일을 PDF로 전환해 게시하는 경우가 많은데, 이 때 자동으로 개인정보를 검출, 치환함으로써 개인정보 유출을 방지하는 것. 특히 공공기관에서 민원처리 결과를 공개할 때 PDF로 변환 사용하기에 유용한 기능이다.
현재 엑스큐어넷이 공공기관 그룹웨어 시장을 석권한 핸디소프트와 협력, 자동변환 기능을 추가한 것이 대표적이다. 엑스큐어넷 김현철 차장은 “현재의 개인정보 유출방지 솔루션은 대부분 게시 단계의 차단”이라며, “엑스큐어넷은 PDF 자동변환 기능을 통해 문서 생성에서부터 개인정보보호를 자동으로 처리할 수 있도록 해 개인정보 노출을 사전에 예방하도록 하고 있다”고 강조했다. 김 차장은 “엑스큐어넷은 이 기능을 정보통신부와 서울시청에 공급해 이미 안정성을 검증받았다”고 강조했다.

업체들은 또한 이미지 검색을 통한 개인정보 차단 기능 개발에도 나서고 있다. 현재의 유출방지 솔루션은 이미지 내의 개인정보를 검사, 차단할 수 있는 기능은 없다. 하지만, 화면캡처 이미지를 첨부파일로 해 업로드할 때 개인정보가 포함돼 노출되는 문제점이 있어 이를 방지하는 기술을 개발, 차별화를 꾀하기 위해 제품개발에 나서고 있는 것이다.
엑스퍼넷은 “이미지는 물론 동영상 내부의 개인정보 노출을 검사, 차단할 수 있는 멀티미디어 개인정보 보호 기능을 개발하고 있다”며 “현재 베타 테스트 중으로 이르면 올 상반기에 시장에 선보일 수 있을 것”이라고 자신했다.

지란지교 또한 “유해동영상, 저장매체 등을 통해 개인정보는 물론 욕설, 음란물 등이 유통되는 것을 방지하는 통합 유해물 차단 시스템을 개발하고 있다”면서 “이러한 앞선 기능을 토대로 시장의 선두로 도약할 것”이라고 자신하고 있다.
개인정보 유출방지 솔루션 시장은 이제 막 걸음마 단계에 들어선 분야이지만, 또 공공시장에 국한된다는 한계로 인해 벌써부터 시장의 한계가 전망되고, 이에 틈새시장에 그친다고 평가받고 있다.
하지만, 이 시장의 잠재력은 이에 그치지 않는다. 민간기업에서 개인정보 유출방지 솔루션에 대한 수요가 열리게 되면, 잠재력은 가히 폭발적이라고 할 수 있기 때문이다. 개인정보보호에 대한 사용자 인식이 점차 개선되고 있을 뿐 아니라, 이에 대한 법적 규제의 목소리도 높아지고 있어 컴플라이언스 이슈가 발생할 가능성도 높아 민간 기업들도 언제까지 이 부문을 외면할 수는 없을 것으로 지적되고 있다. 실제로 KISA 개인정보침해신고센터에 접수되는 민원은 2000년 2천35건에 불과했지만, 사용자 인식개선과 더불어 급증, 2007년에는 2만5천965건에 달하고 있다.
또 개인정보 유출방지 솔루션은 정책 설정에 따라 개인정보 뿐 아니라 게시판에 난무하는 욕설, 광고글 등을 차단할 수도 있어 포털은 물론, 게시판을 운용하지만 관리인력 부족으로 어려움을 느끼고 있는 기업들에게 유용하게 사용될 수 있다. 2008년 개인정보 유출방지 솔루션을 주목해야 할 때다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.