기술-규제 대격변…보안 시장 새판 짜진다

카드 3사 개인정보유출과 한국수력원자력 해킹 사건 등 대형 보안 침해 사고의 확산, 클라우드와 모바일로 대표되는 새로운 IT패러다임의 급부상, 여기에다 정부발 규제 완화 정책과 보안도 편리해야 한다는 사용자 요구의 증가까지.

2015년 보안 시장을 둘러싼 환경이 달라져도 확 달라졌다. 규제와 기술 패러다임이 한꺼번에 바뀌는 가운데, 보안 시장 판세가 연초부터 요동치는 양상이다. 환경의 변화는 업계 판도 변화를 예고하는 전주곡들이다. 달라진 환경에서 지분을 확대하려는 업체 간 헤게모니 싸움이 그 어느 때보다 뜨겁게 펼쳐질 것으로 전망되는 이유다.

가장 큰 변화는 금융권에서 시작됐다. 지난해부터 시작된 액티브X, 공인인증서 없는 간편결제 환경을 만들자는 논의는 이제 핀테크 열풍으로 확산되는 모양새다. 금융 보안을 다루고 있는 전자금융거래법, 전자금융감독규정의 경우 2002년 2월 인터넷뱅킹에 공인인증서 사용이 의무화된 뒤 12년만에 의무사용규정이 폐지된다. 관련 법 개정안은 오는 2분기안에 국회 통과가 유력하다.

지난 1월에는 금융규제당국은 IT금융융합지원방안을 통해 전자상거래 영역 뿐만 아니라 은행, 증권사에도 비액티브X 방식 결제를 허용토록 권고했다. 보안솔루션을 도입하려는 금융사가 필수적으로 신청해야 했던 보안성심의, 공인 인증서 대체 인증수단으로 인정받기 위해 거쳐가야 했던 관문인 인증방법평가 위원회도 폐지하기로 했다. (관련기사 : 핀테크 사전 보안성 심의 폐지…사후 책임↑)

그동안 사용자들이 불편함을 호소해왔던 백신, 방화벽, 키보드 보안 프로그램 등 보안 3종 세트 역시 반드시 설치하지 않아도 되도록 규제가 완화된다.(관련기사 : 금융권 '보안 3종 세트' 의무적용 없어진다)

액티브X 이후 보안 환경을 둘러싼 업체 간 경쟁도 본격화됐다. 전자상거래 부문을 제외하고 은행, 증권사 등을 포함한 금융사들이 규제 환경 변화에 발빠르게 대응하는 것은 아니다. 최근의 변화는 보안규제 완화로 보일 수도 있다. 그러나 자세히 살펴보면 기조의 변화에 가깝다. 금융사 자율에 맡겨 편리함과 보안성 사이에 중심을 잡도록 유도하되 더 엄격한 사후책임을 묻는 쪽으로 정책의 무게중심이 넘어간 것이다.

올해 들어 보안 시장은 클라우드와 사물인터넷(IoT) 등 새로운 IT패러다임의 직접적인 영향권에 들어섰다. 뜬구름 잡는 비전이 아니라 디테일을 갖춘 비즈니스 모델들이 속속 등장하고 있어 주목된다.

SK텔레콤이 글로벌 보안 업체인 시만텍과 협력해 자사 클라우드를 기반으로 한 보안서비스를 제공하려 하는 것이 최근 사례다.(관련기사 : SKT-시만텍 제휴, 클라우드 보안 탄력받나)

IoT 보안 시장을 잡기 위한 관련 업계의 행보도 빨라졌다. IoT에 활용되는 개별센서들에 대한 보안은 네트워크 포인트, 센서들이 데이터를 교환하는 창구인 게이트웨이 단을 보호해야 가능해진다. 그런 만큼 단순한 장비, 솔루션 설치가 아니라 서비스형 소프트웨어(SaaS), 서비스형 플랫폼(PaaS), 서비스형 인프라(IaaS)와 같이 특정 기간 동안 사용료를 지불하고 보안서비스를 활용하는 형태의 비즈니스가 확산될 것이란 전망이다.(관련기사 : IoT 시대, 클라우드 기반 보안 힘실려)

IoT 환경을 겨냥한 보안 위협은 더 이상 먼 얘기가 아니라고 전문가들은 강조한다. 지난해 12월 발생한 SK브로드밴드, LG유플러스 망을 노린 분산서비스거부(DDoS) 공격에는 일반 가정에 설치된 무선 인터넷 공유기가 악용된 것으로 확인됐다.(관련기사 : 이통사 겨냥 DDoS 공격, 공유기 허점 노렸다?)

정경호 한국인터넷진흥원(KISA) 부원장은 올해가 IoT 공격의 첫 시발점이 될 것 같다면서 무선랜 공유기는 물론 중앙 냉난방시스템과 같이 넓은 의미에서 IoT 영역에 포함되고 있는 기기에서 발생한 보안위협에 대응할 수 있어야 한다고 말했다. 그는 또 IoT를 둘러싼 보안 위협은 PC, 스마트폰 등 인터넷 네트워크를 기반으로 한 공격 보다도 더 큰 문제를 초래할 수 있다고 경고했다.

차세대 네트워크 보안 시장도 격전지로 부상했다. 그동안 앞문을 지키는 '경계보안'에 역량을 집중해 왔다면 이제는 네트워크 전 영역을 보고, 세부적인 정책설정까지 가능케 하는 일명 '전수보안'의 필요성이 강조되고 있기 때문이다. 스마트폰과 같이 PC 외에 기기들이 업무용으로 활용되기 시작하고, 클라우드 기반 서비스들이 보급되면서 애플리케이션(L7) 영역에 대한 세부적인 정책관리가 중요해졌다는 점이 가장 큰 이유다. 이에 더해 공격자들이 추적을 피하기 위해 암호화 통신을 악용하기 시작하면서 SSL 등으로 암호화된 트래픽에 대해서도 분석이 필요해졌다.

APT는 올해도 보안 업계를 주도할 중량감 있는 키워드다. 알려지지 않은 보안위협에 대응하기 위해 필요한 전제조건은 '공격에 당할 수도 있다'는 점을 받아들이는 일이다. 모든 알려지지 않은 공격을 100% 막아낸다는 말은 거짓말이다. 그만큼 공격을 얼마나 빠르게 확인하고, 또한 피해를 최소화 하는 대책을 세울 수 있는가에 역량을 집중해야한다는 것이다.

2015년 보안 시장 관전 포인트 중 하나는 인텔리전스가 보안 업계 판도에서 중요한 변수로 등장했다는 것이다. 인텔리전스는 전 세계에 보안센서를 통해 수집한 위협정보를 분석하는 것이 골자다.

시만텍, 인텔시큐리티(맥아피), 카스퍼스키랩, 트렌드마이크로, 블루코트, 파이어아이 등 글로벌 보안회사들은 물론 IT인프라 회사인 IBM, HP 등도 단순히 악성코드를 분석하는데 그치지 않고, 일련의 공격흐름을 파악하는 용도로 활용하고 있음을 강조하는 것이 최근 추세다.(관련기사 : 글로벌 보안 업계, 경쟁우위로 인텔리전스 전진배치)

아이폰의 등장으로 관심을 끈 사용자 경험(UX) 이슈도 보안 시장을 강타하기 시작했다. 액티브X, 공인인증서 없는 금융환경에 대한 사용자들의 요구는 보안은 반드시 불편함을 수반할 수밖에 없다는 주장에 의문으로 이어지는 양상이다.

애플페이, 카카오페이 등장 이후 최근 삼성전자까지 관심을 보일 정도로 논의가 뜨거운 핀테크 열풍도 뒤집어 보면 기존과는 달리 편리하면서도 안전한 서비스에 대한 사용자들의 열망이 녹아있다. 무작정 보안성이 있으니 불편해도 괜찮다고 외치는 건 변명으로 비춰질 수 있다는 얘기다. 사용자 편의성은 이제 매출과도 직결되는 사안으로 부상했다.