‘암호화의 역습’이 시작됐다. 악성코드를 암호화해 분석을 어렵게하는 공격이 등장하는가 하면, 무단으로 데이터를 암호화 한 후 금전을 요구하는 랜섬웨어 공격도 창궐하고 있다. 한편에서는 암호화를 이용해 다양한 데이터를 보호하고자 하는 연구도 지속되고 DB, 문서, 이미지, 동영상 등 다양한 형식의 데이터에 존재하는 기밀정보를 보호하기 위한 암호화 기술이 제안되고 있으며, IoT·간편결제를 위한 경량 암호화 알고리즘도 등장하고 있다. 암호화의 명과 암을 짚어보고, 데이터 특성별로 다른 암호화 기술 적용 방법을 제안한다.<편집자>
2012년 개인정보보호법 시행으로 암호화 시장이 그야말로 폭발적인 성장을 기록했으며, 특히 가장 높은 시장점유율을 갖고 있는 펜타시큐리티, 이글로벌, 케이사인 3사가 높은 성장을 기록했다.
지난해 신한은행 전사 주민번호 암호화 이후 제1금융권에서도 주민번호 암호화 사업을 검토하고 있으며, 토종 솔루션 기업들이 이 시장에서 유리한 고지를 차지할 것이라고 기대하고 있다. 높은 가격 경쟁력과 유연한 커스터마이징을 내세워 시장우위를 지키겠다고 하고 있지만, 실제로 이 사업이 벤더의 수익으로 이어질지는 미지수다.
금융권 암호화 사업은 사업 규모는 큰 편이지만, 암호화를 위해 컨설팅과 데이터 품질관리에 필요한 작업을 진행한 후 암호화 솔루션 비용과 하드웨어 장비 구입 비용, 구축에 투입되는 인력의 비용 등을 감안했을 때 충분한 수익이 보장된다고 할 수 있을지 미지수다.
대부분의 금융기관이 암호화 사업에 여전히 소극적인 모습을 보이고 있는데, 어차피 의무화 기간은 내년까지이므로 다른 경쟁사의 사업 진행 상황을 따라가겠다는 입장으로 읽힌다. 또한 개인정보보호법에서 주민번호 수집을 제한하고 있으며, 보유한 주민번호 중 법적인 근거가 없으면 삭제하도록 했기 때문에 실제 기업이 보관하고 있는 주민번호가 이전보다 대폭 줄어들어 암호화 사업에서 특수를 기대하기 어렵다.
박형도 한국오라클 상무는 “금융기관, 이커머스 업체 등 주민번호를 대량으로 보유하고 있는 기업들이 앞장서서 암호화를 추진해야 하는데, 현재는 경쟁사 눈치 보기에 머물러있는 상황이다. 또한 기업이 보관하고 있는 주민번호도 대폭 줄었으며, 토큰, 아이핀과 같은 대체키를 사용하고 있어 실제 암호화 수요가 크게 늘어났다고 보기는 어렵다”고 말했다.
금융기관의 계정계를 제외하고는 이미 상당부분 개인정보에 대한 보호조치가 이뤄진 상황이어서 개인정보보호법 특수를 기대하지 못한다. ISMS에서 개인정보에 대한 암호화, 감사, 접근제어 요건을 갖추도록 하고 있어 ISMS 인증을 받은 기업은 암호화를 구축했으며, 기타 개인정보 보호 요건을 강조하는 컴플라이언스에서도 암호화를 요구하고 있다.
“핀테크 산업서 개인정보 암호화 수요 늘 것”
암호화 시장에 대한 상반된 전망이 제기되고 있지만, 일단 암호화 업계에서는 컴플라이언스로 인한 시장 활성화를 기대하고 있다. 개인정보보호법에서 정확하게 주민번호 암호화를 명시하고 있어 금융권에서 암호화 사업이 확실하게 늘어날 것으로 예상하고 있으며, 핀테크, VAN/PG 등도 보유한 개인정보를 암호화 할 것으로 기대하고 있다.
조돈섭 이글로벌 이사는 “대부분의 금융기관의 개인정보보호법 준수를 위해 주민번호 암호화를 검토하고 있으므로 하반기부터 본격적으로 사업 수주가 이뤄질 것으로 기대한다”며 “초기 암호화는 도입만하고 DB서버 적용은 안하는 일이 다반사였지만, 이제는 금융감독당국의 감사가 강화돼 실제 운영 환경에 암호화가 적용돼 있는지 실사를 진행하기 때문에, 저가수주로 시늉만 하는 암호화 사업은 없을 것”이라고 밝혔다.
