"일본 공공조달 IT시장, 원산지 안 따져"

[도쿄(일본)=임민철 기자] "국내업체든 해외업체든 일본 정부조달시스템에 자유롭게 입찰 참여할 수 있다. 딱히 일본 업체에 더 유리하지 않다. 보안솔루션 분야에 일본 제품은 적다."

10일 일본 도쿄 재팬IT위크 행사장에서 만난 보안컨설턴트 요기 다이스케 씨의 설명이다. 일본 정부 주도의 공공부문 IT보안시장 문턱이 한국회사 '외산' 솔루션에 특별히 더 높게 형성돼 있진 않다는 뜻이었다.

요기 씨는 지난 2000년부터 정보보안업계에서 일했다. 현재 노무라종합연구소(NRI) 산하 보안전문컨설팅업체 'NRI시큐어테크놀로지스'의 사업추진부 담당부장 겸 '정보시큐리티대학원대학' 산하 보안시스템연구소(SSLab) 소속 연구원이다. 국제공인 정보시스템보안전문가(CISSP) 자격을 보유했고 일본 정부의 관련 자문에 응한 경험도 있다.

그에 따르면 일본 총무성같은 정부부처가 주도하는 가이드라인을 통해 보안시장에 일정한 솔루션 수요가 형성된다. 가이드라인의 요구사항은 지방자치단체 조직에 적용돼 공공부문 시장을 형성한다. 일반 개인이나 기업에겐 가이드라인을 따를 의무가 없지만, 기업은 보안관련 문제 발생시 책임소재 부담을 안게 돼 정부의 가이드라인을 준용할 유인을 갖는다.

일본 정부 차원의 가이드라인이 품은 IT솔루션 관련 요구사항은 현지 업체에게 유리한 것 아니냐고 묻자, 그렇지 않다는 답이 돌아왔다. 그는 일본의 '내각관방정보보안센터(NISC)'가 공공시장 관련 가이드라인 내용 및 세부 충족요건을 모두 결정한다고 언급했다. 그래서 NISC가 온라인을 통해 공개하는 자료만 보면 가이드라인과 관련 기술적 충족요건을 파악할 수 있다고 했다. 설명이 이어졌다.

"국내 기업과 해외 기업 모두 일본 정부 조달시스템에 자유롭게 입찰 참여를 할 수 있다. 일본 기업에 특별히 더 유리하지 않다. 정부, 지방자치단체, 공공기관 등 어떤 가이드라인을 받고 충족하고자 솔루션을 쓰는데 그 때 국내뿐아니라 해외기업에도 도입을 문의한다. 가이드라인 따를 때 관련 예산을 받아 실행해야 하는데, 요건 충족 실패시 담당자가 책임을 져야 하기 때문에 최대한 그럴 요인을 줄이려는 거다."

일본 시장의 정보보안 솔루션 구매자들에게는 제품의 국적을 따지기보단 좋은 제품을 찾으려는 유인이 크다는 뉘앙스였다.

"일본에 일단 국산 보안솔루션이 좀 적다. 예를 들어 널리 활용되고 있는 안티바이러스 솔루션이 맥아피, 트렌드마이크로 등 전부 외산이다. 물론 국산도 있긴 있는데 FFRI의 야라이(Yarai)라는 제품이다. 이는 (주류 솔루션들과 달리) 패턴매칭방식이 아닌 휴리스틱엔진 기반 안티바이러스 제품이다. 이밖에도 지난 3년간 시장에 가장 많이 도입된 품목은 샌드박스 솔루션인데 이쪽으로 유명한 업체는 파이어아이다."

과거 일본 공공부문에 사이버공격 피해 사례가 발생한 적이 있다. 이를테면 3년전 일본연금기구(JSP)가 사이버공격을 받았다. 125만명 규모 개인정보 유출사고가 발생했다. 이런 사건이 이후 보안을 강화하는 정부 가이드라인으로 이어졌을 것으로 추정된다. 더불어 규제준수 의무가 없는 현지 민간 기업에서도 정보보호 강화 인식이 고조되는 추세다. 정보보호 필요성이 중시되는 배경은 뭘까.

"벌금 등 규제 위반에 따른 제재보다는, 정보유출사고 경과 자체에 기업 차원의 우려가 크기 때문이다. 회사는 콜센터를 만들고 피해자에게 일일이 연락해 보상책을 알리고, 사죄하고, 책정된 배상규모에 따라 지출을 감수해야 한다. 사장이 회사 평판과 주가를 떨어뜨린 책임을 지고 잘리기도 한다. 이용자에게 피해가 갈 경우 그 배상에 엄청난 비용이 들기 때문에, 그러지 않기위해 보안에 투자한다고 봐야 한다."

최근 정부차원의 경제성장 실현과제로 떠오른 '일하는 방식 개혁(?き方改革)' 확산을 촉진하기 위한 IT솔루션 수요도 확대됐다. 일하는 방식 개혁은 노동인력 부족과 저출생 상황 타개책으로 직장인 일과 삶의 균형, 육아와 업무의 병행을 위한 원격근무 또는 재택근무 확산 등을 장려하고 동시에 그에 필요한 원격 업무환경 이용과 보안조치를 기술적으로 지원하는 방향으로 전개되고 있다.

"일하는 방식 개혁은 공공부문에서 이미 시작된 변화다. 민간부문에서는 더 변화가 필요하다. 대기업 조직은 이미 과반이 대응을 시작했거나 검토 중이다. 중소기업은 아직 그렇게 움직이지 않고 있다. IT로 일하는 방식 개혁을 추구한다면 리모트데스크톱, 원격 화상회의, 보안성을 갖춘 클라우드 파일공유 솔루션이 유용하다. 또 재택근무시에도 법정근로시간을 확인해 근태관리를 구현하는 툴도 갖춰져야 한다."

요기 씨는 일하는 방식 개혁에 앞서 지난해부터 강조된 '무해화' 솔루션 중심으로 현지 영업을 강화하고 있는 소프트캠프의 기회도 커질 수 있다고 봤다. 소프트캠프는 악성파일이나 문서를 해체해 동일한 내용을 안전한 파일로 재구성하는 '콘텐츠 무장해제 및 재조합(CDR)' 기술에 기반한 무해화솔루션 '실덱스'를 공급 중이다.

"소프트캠프의 실덱스는 일본에서 활발하게 공급될 것 같다. 정부기관에서 큰 정보유출사고가 있었기 때문에, 이후 나온 총무성 가이드라인을 따라 모든 지방자치단체가 망분리를 적용하게 됐다. 인터넷과 내부망 사용 구획을 나눠 쓰는 것이다. 망분리 환경의 보안을 더 강화하려면 악성코드 유입 가능성을 한층 차단하기 위해 무해화 역할을 하는 실덱스까지 적용하는 게 좋을 것 같다."

관련기사

그에게 이번 재팬IT위크 전시회 참가업체 중 다른 주목할만한 보안솔루션 업체가 있는지도 물었다.

"일하는 방식 개혁 가이드라인에 대응하는 방향으로 대기업 가운데 NTT, 후지쯔, 히타치같은 곳이 다양한 솔루션을 보유하고 있어 주목할 만하다. 중소기업 중에 엔드포인트 보안위협과 정보유출을 막을 수 있는 EDR 솔루션업체로 일본에서 사이버리즌, 카본블랙, 크라우드스트라이크, 3곳이 유명하다. 웹필터 기술로 성장해 왔고 최근 문서권한관리 솔루션도 내놓은 일본회사 디지털아츠도 있다."