서비스

[2011 상반기 IT결산/정보보안] 잇단 대형 보안사고 이슈

이유지 기자
- 금융사 보안 강화 종합대책, 정부 정보보호 강화 계획, 개인정보보호법 제정 등이 하반기 시장 확대 견인 전망

[디지털데일리 이유지기자] 올해 상반기에는 굵직한 보안사고가 연이어 터지면서, 사회적 이슈로 부각했다. 특히 금융권에서 발생한 잇단 보안사고는 이용자들의 불안감을 증폭시키면서 부족한 금융사 보안인식과 투자가 도마에 올랐다.
이같은 대형 보안사고는 결국 사회 전반의 보안의식을 제고하고 국가 전반의 보안수준을 강화시킬 수 있는 계기로 작용했다고 평가되고 있다.

정부·관계기관은 보안사고 수습과 더불어 행정기관과 금융사를 대상으로 보안 실태조사를 벌이면서 보안수준 점검에 나섰다. 또 보안 투자 및 인력 확대, 인적 전문성 강화를 위한 대책을 수립하는데 분주한 시기를 보냈다.    

◆DDoS·농협 전산망 장애 등 연이은 대형 보안사고=지난 3월 정부기관과 금융, 포털 등 국내 주요 웹사이트 50곳을 대상으로 분산서비스거부(DDoS) 공격이 발생한 데 이어, 4월에는 해킹으로 인한 현대캐피탈 고객정보 대량 유출, 사상초유의 농협 전산망 장애 사고가 발생했다.

뒤이어 리딩투자증권, 한국전자금융, 세티즌 등의 개인정보 유출 사고가 봇물을 이루면서 몸살을 앓았다.  

해외에서도 역시 EMC RSA, 소니, 씨티뱅크을 비롯해 미국 중앙정보국(CIA)등 정부기관을 대상으로 한 굵직한 사이버공격 및 침해사고 소식이 잇따랐다.

해커집단인 ‘어나너머스’와 ‘룰즈섹’은 미국, 독일, 영국 등의 정부기관을 대상으로 사이버공격을 퍼부으면서 피해를 유발했다.

한편, 애플과 구글이 스마트폰 이용자의 위치정보를 무단 저장해 개인정보보호 및 프라이버시 침해 이슈가 불거지면서 사업자의 위치정보 수집 문제가 범죄인지 여부에 논란이 일기도 했다. 경찰 등 수사당국은 구글코리아와 다음을 압수수색하고 위치정보를 수집한 모바일광고업체들을 대상으로 수사하기도 했으며, 방송통신위원회도 구글과 애플 등을 대상으로 위치정보 불법 수집·저장 여부와 국내법 위반 등에 조사를 벌여왔다.  

◆개인정보보호법 제정 등 강화된 보안 관련법·제도=현대캐피탈, 농협 전산장애 사태를 계기로 금융위원회와 금융감독원은 금융사 보안실태 점검을 바탕으로 IT보안 강화를 위한 종합대책을 마련했다.

이 종합대책에 따라 금융사는 CISO(최고정보보호책임자) 지정과 IT보안인력과 예산비율을 일정수준 이상로 확대할 것을 의무화됐다. 또한 CEO가 직접 연간 IT보안계획을 승인·이행하도록 해 책임지게 됐으며, 보안사고시 제재수준도 강화된다.

금융권 사고를 계기로 정부 역시 행정기관을 대상으로 실태조사를 벌이고, 분산서비스거부(DDoS) 대응장비, 방화벽 등 사이버침해대응 인프라 확충과 내부자 보안관리 강화, 정보보호 투자 확대와 인적역량 강화를 위한 ‘전자정부 정보보호 중기 추진계획’을 확정했다.

올 상반기에는 정보보호관련법도 크게 강화됐다. 오랜 기간 제정작업이 추진됐던 개인정보보호법이 지난 3월에 마침내 국회를 통과해 제정, 공포되면서 오는 9월 30일 전면 시행을 앞두고 있다.

이에 따라 개인정보보호법의 규율을 받는 사업자들이 350만개로 확대될 예정이다.

온·오프라인 개인정보, 공공·민간기관 또는 기업·비영리단체에 관계없이 일정수준 이상의 개인정보를 수집·저장·이용하는 사업자·단체는 개인정보보호법을 준수해야 한다.

행정안전부는 개인정보보호법 시행 초기 혼란을 최소화하기 위해 개인정보보호법 시행령과 시행규칙, 각종 지침·고시를 제정작업에 속도를 내고 있다.

개정, 강화된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)도 지난 4월 공포돼 7월부터 시행됐다.

개정 정보통신망법에 따라 웹사이트 이용자들은 회원가입시 개인정보 제공이나 활용에 동의하지 않더라도 불편없이 회원가입이 이뤄질 수 있도록 사업자에게 개인정보 활용 동의절차가 개선됐다.

개인정보 제3자 제공과 개인정보 취급위탁 동의를 개인정보 수집·이용 동의와 구분해 받도록 했기 때문에, 웹사이트 운영자들은 이에 동의하지 않는다는 이유로 이용자에게 서비스 제공을 거부하지 못한다. 이를 준수하지 않은 사업자는 1000만원 이하의 과태료 처분을 받을 수 있다.

3.4 DDoS 공격을 계기로 국회에서는 한선교 한나라당 의원이 지난해 발의한  ‘악성프로그램 확산방지 등에 관한 법률(일명 좀비PC방지법)’ 제정 논의도 본격화됐다.

DDoS 등 사이버침해사고에 악용되는 좀비PC 확산을 막고 이용자를 안전하게 보호하기 위한 ‘좀비PC방지법’은 국회 문화체육관광방송통신위원회에 상정돼 하반기부터 본격 심사에 들어가게 됐다. 하지만 야당(민주당)은 이 법이 이용자 기본권을 침해할 수 있고 방송통신위원회가 막강한 권한을 행사할 수 있다는 문제를 지적하면서 반대 입장을 나타내고 있어, 법 제정 논의에 난항이 예상된다.

◆하반기 보안투자 확대…보안업계, 밝게 전망=보안사고 여파와 개인정보보호법 공포로 인한 영향으로 보안업계에서는 상반기에 전반적으로 문의는 크게 증가했지만 실제 사업발주와 매출 성과로는 이어지지 않았다고 평가하고 있다.

하지만 하반기부터는 달라질 것으로 밝게 전망하고 있는 상황이다.  

보안업계에서는 금융사들이 보안 강화 대책 수립에 적극 나서면서 보안투자가 본격 이뤄지는 한편, 공공기관과 기업 등의 개인정보보호법 대응을 위한 보안컨설팅 수행, 솔루션 도입 등이 활발해질 것으로 보고 있다.    

그 중에서도 정보유출 방지 및 강화된 보안체계 수립과 개인정보보호법 준수 대응을 위한 보안컨설팅 수요가 가장 증가할 것으로 예상되고 있고, DB보안 솔루션이나 서버보안, 개인정보·내부정보 유출방지 솔루션이 수혜를 볼 것이란 전망이다.

보안 전반에 대한 관심과 중요도가 증대됨에 따라 다양한 보안 솔루션 도입도 활성화되는 효과를 기대하고 있다.

아울러 보안 시장은 기존의 솔루션 중심에서 통합보안체계 수립으로 점차 확장되는 한편, 보안관제서비스 수요도 증가할 것이란 관측도 나오고 있다.

이밖에도 스마트폰 사용자 증가, 모바일 오피스·모바일워크플레이스 구축과 동시에 급증하는 보안위협을 보호할 수 있는 모바일 보안 솔루션 시장도 확대될 것으로 예상되고 있다. 클라우드·가상화 기술 도입으로 가상화 및 클라우드 보안 솔루션 개발과 도입 관심도 점차 커질 것으로 전망된다.

다만 내년 공공기관 지방이전을 비롯해 총선 등을 앞두고 공공 시장이 위축될 가능성도 제기되고 있다는 점은 우려되고 있다. 많은 국내 보안업체들의 공공 시장 의존도가 큰 상황이기 때문이다.

◆보안관제시장 비롯해 보안시장 재편, 경쟁구도 변화 관심=한편, 지식경제부가 하반기 중 보안관제 전문업체를 지정할 예정이어서 향후 공공기관의 보안관제 사업뿐 아니라 민간 기업에도 지정받은 전문업체 위주로 시장이 재편될 것으로 예상된다.

그러나 보안관제전문업체 지정 문턱은 높지 않아 신청하는 대부분의 업체들이 지정받을 것으로 보인다. 최소 20개 업체들이 무난히 지정받을 것으로 예상되고 있다.

결국 보안관제 전문업체 지정으로 대형 IT서비스 업체들의 보안 시장 참여를 넓히는 기회로 작용될 있어, 규모를 키우며 보안SI 사업 진출과 종합·통합보안 분야로 사업을 확장한 전문업체들과 중·대형 IT기업의 경쟁이 벌어질 지 주목된다.

또 올해에는 보안업계에서 매출 1000억원을 돌파하는 첫 업체가 등장할 지도 관심사다.

전년 대비 30% 이상 성장을 올해 목표로 삼고 있는 안철수연구소가 매출 1000억원 고지를 넘길 지 주목되고 있다. 인포섹, 시큐아이닷컴은 올해 매출 800억원을 목표로 하고 있다.

<이유지 기자> yjlee@ddaily.co.kr


이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널