2013년 지능형 지속위협(APT) 공격이 성행하면서 다시 주목받고 있는 슬로건이 ‘데이터 중심 보안’이다. APT의 궁극적인 목표는 데이터 유출이나 시스템 파괴지만, 시스템 파괴는 정치·사회적인 목적을 가진 사이버테러의 일환으로 발생하며, 빈도가 잦지 않다.
데이터 유출은 사이버 범죄 조직에게 직접적으로 금전적인 이득을 주기 때문에 더 자주, 더 많이 발생하게 된다. 따라서 공격자가 데이터를 불법적으로 가져가지 못하도록 하거나, 데이터를 가져가도 활용할 수 없도록 하는 방법이 제안됐으며, ‘데이터 중심 보안’이라는 슬로건으로 힘을 받게 된 것이다.
암호화 키관리 시장 개화
데이터 보안의 핵심 기술은 암호화다. 우리나라에서는 개인정보보호법 발효 후 개인정보에 대한 암호화 사업이 크게 늘어나면서 DB 암호화 시장이 폭발적으로 성장했다. 암호화는 데이터가 유출됐을 때에도 그 의미를 알 수 없게 하는 기술로, 데이터 보호를 위한 가장 기본적이고 핵심적인 기술로 꼽힌다.
우리나라에서는 펜타시큐리티, 이글로벌, 케이사인 등 토종기업이 강세를 보이고 있으며, DBMS를 제공하는 오라클, MS 등에서도 암호화를 제공하고 있다. 세이프넷, 보메트릭 등 암호화 전문기업 역시 글로벌 레퍼런스를 기반으로 꾸준히 시장을 확장하고 있다.
DB 암호화 시장은 개인정보보호법이 본격 시행된 2011년 하반기부터 2012년 한 해 동안 놀라운 속도로 성장했으며, 2013년에는 제1금융권에서도 암호화 도입 사업을 추진하면서 시장 규모가 큰 폭으로 늘어났다.
2014년에는 DB 암호화와 함께 ‘키관리’가 중요한 문제로 부상할 것으로 보인다. 많은 기업/기관들이 DB 암호화 사업 구축완료로 인해 암호화된 데이터를 안전하게 보호할 수 있는 키관리에 관심을 갖고 있기 때문이다.
DB 암호화 시장 1위의 펜타시큐리티가 이러한 흐름에 빠르게 대응해 암호화 키관리 어플라이언스 ‘디아모 SG-KMS’를 출시했다. 이 제품의 키관리 서버는 국정원 CC인증과 IT보안인증사무국의 암호 검증 KCMVP 레벨2와 국제인증인 FIPS도 진행하고 있다.
대규모 DB암호화에 강점을 가진 이글로벌은 DB 암호화 솔루션 ‘큐브원’에 키관리 서버를 옵션으로 제공해 안전한 데이터 암호화 관리가 가능하도록 했다. 동양증권 개인정보 DB, 삼성생명 SAP 암호화 등의 사업을 성공적으로 추진하면서 2013년 DB암호화 시장에서 좋은 성과를 거뒀다.
글로벌 기업, 공격 영업 시작
키관리 시장의 세계적인 강자는 세이프넷이다. 세이프넷의 하드웨어 보안 모듈(HSM)은 키관리의 대명사로 불릴 만큼 오랜 기간 강력한 암호화 키관리 솔루션으로 인정받아왔다. 그러나 국내에서는 비싼 가격과 커스터마이징이 어려운 점, 키관리 솔루션에 대한 낮은 이해 등의 문제로 글로벌 시장만큼 확산시키지 못했다.
더불어 우리나라에서는 자체적인 CC인증 제도를 마련하고, 암호화 모듈에 대해서도 국내 기준을 적용한 인증을 받도록 하고 있기 때문에 외산 솔루션의 정착이 어려운 상황이다. 이러한 인증제도는 공공기관에 공급되는 솔루션을 대상으로 하고 있지만, 최근 국내 컴플라이언스가 강화되면서 금융기관이나 엔터프라이즈에서도 국내 규제에 맞는 제품을 찾기 때문에 국내 인증 문제를 해결하는 것이 국내 시장 확대에 도움이 된다.
이러한 한계를 넘기 위해 세이프넷은 국내 암호화 전문 기관으로부터 국내 인증을 받은 암호화 모듈을 제품에 탑재하는 한편, 암호화 라이선스를 저렴한 가격에 제공해 DB 암호화 사업 전반의 비용을 낮출 수 있도록 할 계획이다.
박종필 세이프넷코리아 이사는 “공공기업은 물론이고 금융권에서도 국제CC가 아니라 국내 CC 인증 제품을 원하기 때문에 국내 시장 확장이 어려운 상황이다. 그래서 규제를 만족시키는 국내 암호화 전문 기관으로부터 암호화 모듈을 제공받아 키관리 서버와 함께 제공할 예정”이라며 “키관리 서버를 구입하는 고객에게 암호화 라이선스를 저렴하게 제공해 DB 보안 전반에 대한 가격 경쟁력을 높일 수 있도록 할 것”이라고 말했다.
이와 함께 세이프넷은 비정형 데이터를 포함한 빅데이터 보안을 위해 파일 기반 암호화 솔루션도 적극적으로 드라이브 할 예정이다. 보메트릭이 파일 데이터 암호화 솔루션으로 빅데이터 시장을 개척하고 있는 것을 겨냥한 것이다. 또한 가상환경에서의 암호화 기술을 앞세워 클라우드 보안 시장을 선점한다는 계획도 세웠다.
세이프넷은 가상머신에 대한 암호화 기술을 제공할 수 있으며, 아마존과 함께 암호화 클라우드 서비스를 제공하고 있다. ‘VM웨어 레디’ 인증을 받은 가상환경 암호화 기술은 VM 전체를 암호화하는 방식으로, VM 탈취를 통한 데이터 유출을 방지할 수 있다.
VM암호화를 제공하는 경쟁사는 파일단위 암호화이기 때문에 VM 스냅샷을 수행하면 암호화되지 않은 상태에서 VM을 탈취할 수 있어 클라우드 환경에서 VM을 보호하지 못한다. 세이프넷은 VM 전체를 암호화하며, 강력한 키관리 서버와 함께 제공되기 때문에 가상환경이나 퍼블릭·프라이빗 클라우드 환경에서도 데이터를 보호할 수 있다. 세이프넷의 가상환경 암호화 기술은 아마존뿐 아니라 세계적인 클라우드 서비스 제공사업자를 통해서도 서비스할 예정이며, 국내 클라우드 사업자와도 논의하고 있다.
보메트릭도 키관리 분야에서 높은 기술력을 갖고 있다. 강력한 어플라이언스 형태의 키관리 서버를 제공해 암호화된 데이터가 쉽게 해독되지 않도록 한다. 또한 파일 기반 암호화 기술을 토대로 비정형 데이터 암호화 기술을 제공해 빅데이터 환경에서도 중요 데이터를 안전하게 보호할 수 있도록 한다.
보메트릭의 암호화 기술은 파일 및 OS 단위 암호화 솔루션을 제공하기 때문에 국내 기업/기관에서 원하는 DB 암호화와는 구분이 된다. 그러나 보메트릭은 애플리케이션 수정이나 성능저하 없이, 정형/비정형 데이터 모두에 대한 암호화를 제공할 수 있다는 점 때문에 주목을 받았다. 2012년 말 국내에 정식 지사가 설립되기 이전에 금융권 고객을 다수 확보한 바 있으며, 지난해에는 금융기관을 넘어 공공시장까지 확장해 나가고 있다.
암호화·접근제어 통합 솔루션 속속 등장
개인정보보호법으로 촉발된 DB암호화 시장의 폭발적인 성장으로 토종기업은 물론이고 외산 기업들도 매출 성장의 혜택을 누리고 있다. 암호화 알고리즘은 국제 표준에 따르고 있기 때문에 암호화 기술 자체의 어려움은 없다. 이를 DB 환경에 얼마나 잘 맞추느냐에 따라 경쟁력이 달라지며, 커스터마이징에 탁월한 강점을 가진 토종 기업들이 상당한 점유율을 차지하고 있는 것이다.
이니텍, 소프트포럼 등 공공·금융 고객을 다수 확보한 기업의 경우는 이미 충성스러운 고객을 다수 확보하고 있기 때문에 DB 암호화 사업을 상당수 확보할 수 있었다. 그 어느 기업보다 개인정보보호법의 특수를 누린 기업이 케이사인이다. 케이사인은 경쟁사보다 저렴한 가격을 내세워 2012년 크고 작은 개인정보 암호화 사업을 수주하면서 많은 매출을 올렸다. 이러한 실적을 기반으로 2013년 기업공개를 추진했으나 상장실질심사에서 탈락하고, 특허분쟁에도 휘말리면서 어려움을 겪기도 했다.
그러나 2013년 말 DB 암호화와 접근제어를 통합한 올인원 솔루션을 출시하면서 재기를 노리고 있다. 올인원 솔루션은 중소기업을 위한 합리적인 가격의 DB보안 솔루션으로, ASP 방식의 DB보안 서비스로도 이용할 수 있다.
신시웨이는 DB 암호화와 접근제어, 마스킹, 테스트 데이터 변환 등 DB 보안을 위한 모든 기술을 제공할 수 있다는 점을 장점으로 든다. 신시웨이는 DB서버에 에이전트를 설치해 에이전트를 통해서만 데이터에 접근할 수 있는 방식을 채택한다. DB 수정 없이 암호화와 접근제어를 수행할 수 있으며, 메인 메모리 기반 DBMS ‘SOHA’를 사용해 성능저하를 최소화한다. SOHA는 DB 접근로그를 전문으로 관리하는 DBMS로 기존 DBMS 사용시보다 2배 이상 빠른 성능을 제공한다.
DB 접근제어는 DB에 직접적인 영향을 미치지 않기 때문에 DB 암호화보다 훨씬 폭넓은 분야에 사용돼왔다. 특히 국내에서는 토종 솔루션 기업들이 탁월한 경쟁력을 보여주고 있는데, 해외에서는 시스템 접근제어 솔루션을 널리 사용하며, DB만을 위한 접근제어 시스템을 별도로 사용하지 않는 편이다.
국내에서는 컴플라이언스와 함께 DB 보호를 위해 널리 사용돼 왔으며, 2012년 개인정보보호법으로 인한 높은 성장을 보였다. 2013년에는 개인정보보호법 특수가 사라진 상황에서 공공시장이 위축돼 성장세가 다소 주춤하는 모습을 보였다. 특히 국내 시장은 이미 충분히 성숙한 상황으로, 해외시장으로 진출하지 않으면 더 이상 의미 있는 성장을 보이기 어려운 상황이다.
DB 접근제어 시장의 1위 기업인 피앤피시큐어는 DB와 시스템에 대한 단일 접근제어 정책과 통합계정관리 시스템을 함께 제공하면서 차별화된 경쟁력을 보여주고 있다. DB와 시스템 접근제어가 분리 운영되면 보안홀이 생기고, 중복인증과 관리 복잡성 문제 때문에 보안 취약점이 높아지므로, 통합운영 환경이 필요하다는 것이 피앤피시큐어의 주장이다.
박천오 피앤피시큐어 대표는 “OS에서 실행되는 명령은 시스템 접근통제 솔루션을 통해 제어할 수 있지만, DB로 접근해 OS 명령어를 실행하면 시스템 접근통제 솔루션이 인지할 수 없어 제어가 어렵다. 또한 시스템과 DB 접근제어 로그가 분산저장돼 일관된 보안정책을 수립할 수 없다”며 “DB와 시스템에 대한 통합된 접근통제 정책이 가능한 ‘디비세이퍼’가 가장 적합한 솔루션”이라고 말했다.
접근제어 시장의 또 다른 강자인 웨어밸리는 데이터 품질관리, DB 취약점 분석, 감사 등 데이터와 관련된 모든 기술을 제공하고 있어 DB를 더욱 안전하게 관리하고 편리하게 운영할 수 있도록 한다. 웨어밸리는 데이터 컨설팅 및 서비스를 비롯해 DB 튜닝 솔루션 ‘오렌지’와 DB 접근제어 ‘샤크라 맥스’, DB 암호화 ‘갈리아’, 취약점 분석 솔루션 ‘싸이클론’ 등을 공급하며 데이터 전문 기업의 경쟁력을 강조한다.
