| 사용자들이 말하는 2005 정보보호 시장전망 | 2005.09.30 | |||||||||||||
사용자들이 말하는 2005 정보보호 시장전망
[전망]해마다 이맘때면 각종 단체나 협회, 매체들이 너나 할 것 없이 1년치의 시장전망을 쏟아내기 마련이다. 그래서 이번에는 본지에서도 그간 좀처럼 실시하지 않던 시장전망 조사를 해봤다. 시장에는 여러 종류가 있다. 공급자가 좌지우지하는 시장도 있고, 반대로 수요자가 그 역할을 하는 경우도 있다. 하지만 정보보호 시장은 전자에 속할 정도로 ‘행복한’시장은 아니다. 그럼에도 불구하고 대다수의 시장전망은 이들 ‘공급자’의 의견 또는 확실치 않은 수치로 점철되어 있다.
타이틀에서 보듯, 이번 설문조사의 제목은 ‘시장전망’으로 붙였다. 그럼에도 불구하고 ‘시장전망’이라면 방화벽 시장규모 얼마, IDS 시장규모 얼마 하는 식의 수치가 등장해야만 한다고 지적한다면, 이번 조사결과 보고서의 제목은 ‘일부 정보보호 업체들의 존폐에 관한 전망’ 쯤으로 해둘까. 취재 심 상 현 취재팀장 / 사진 장성협 기자 공공·금융·교육·e비즈니스·일반기업 정보보호 관리자 300명에게 물었습니다 처음부터 300명을 채우기로 독하게(?) 마음먹었다. 설문대상을 공공, 금융, 교육, e-비즈니스, 일반기업으로 나누고 각 부문별로 300명씩, 총 1,500명을 대상으로 설문지를 배포했으며, 몇 차례고 메일을 재전송하며 답변을 조르고 또 졸랐다. 설문을 배포하기 전 초안을 먼저 작성해, 10여명의 기업 정보보호 관리자들과 함께 각 설문항목을 구체적으로 수정, 보완하는 작업을 거쳐 이메일과 웹으로 설문을 병행했으며, 매우 다행스럽게도 기사를 마감해야 하는 오늘 아침에 300명이 채워졌다. 2005년에도 기업 네트워크의 뒤편에 서서 온갖 뒤치다꺼리를 해야 할 설문응답자 여러분들. 새해 복 많이 받으시기를. 2005년, 어떤 제품을 사시겠습니까?
또한, 적은 인력으로 최대한의 역할을 수행해야 하는 보안관리자들의 짐을 덜어줄 수 있는 PC 보안제품(58명)과 인증관리 솔루션(53명)이 각각 3, 4위를 차지했다. 반면, 최근 들어 조금은 급작스럽게 사람들의 입에 오르내리고 있는 웹 보안 솔루션(13명)에 대한 사용자들의 관심은 소문과는 전혀 달랐다. 웹 보안시장은 ‘뜨는’ 시장이 아니라 ‘띄우려고 노력하는’ 시장이지 않을까라는 생각이 들 정도로. 뜬다고 말하는 사람은 많고, 사겠다는 사람은 없는 시장. 웹 보안시장의 일그러진 현주소다. 최소한 이번 조사결과를 근거로 한다면 말이다.
그런가 하면, 걱정하는 사람들은 날로 늘어 가는데 기업차원에서의 대책은 아직까지 전무하다시피 한 무선보안 분야(5명)에서는 아직까지도 사용자들의 관심은 썰렁(?)하기만 했다.
한편, 바이러스 백신과 IPS, 바이러스 월, 침입차단 시스템, 조기경보 시스템 중 정보보호 관리자들의 가장 큰 골칫거리 중 하나인 ‘웜’을 제일 효과적으로 막을 수 있는 솔루션에 대한 의견(질문 2)도 함께 물었다. 정보보호 관리자들이 막아야 할 요소는 웜 이외에도 참으로 다양하지만, 그럼에도 불구하고 이들이 웜에 가장 큰 관심을 갖는 이유는, 이것 때문에 그들이 ‘혼나기’ 때문이다.
사실 한 기업의 임원급 정도만 되면 해킹이니 하는 것들은 모른다. 누가 해킹을 해서 뭘 가져갔는지도 당연히 모른다. 관리자는 알아도 임원은 모를 수 있다. 하지만 웜의 경우에는 상황이 많이 틀려진다. 수많은 정보보호 피해요소 중 ‘웜’이 그토록 중요한 이유 중 하나는, 사실상 유일하게 한 기업의 전 직원이 그 감염여부를 피부로 체감할 수 있는 피해요소라는 데 있다. 물론 이것만이 이유는 아니겠지만, 어쨌든 간에 정보보호 관리자들의 관심사는 단연 웜이다.
다시 질문으로 돌아와서, 웜에 대한 최적의 솔루션을 묻는 질문에서 역시 절반에 해당하는 150명의 사용자들이 IPS를 꼽았다. 뒤를 이어 바이러스 월(60명)과 바이러스 백신(54명)이 비슷한 응답비율을 보였고, 최근 부각되고 있는 조기경보 시스템의 경우는 아직 실제로 접해 본 사용자들이 극히 적어서인지 전체 응답자 중 3%에 해당하는 9명의 사용자들만이 웜에 대한 대책으로 꼽았다. 솔루션 활용도 저조, 누구 때문일까?
각 기업에 도입된 솔루션들이 보유하고 있는 기능 중 몇 %나 사용하고 있다고 생각하느냐는 질문(질문 3)에 무려(?) 45%에 해당하는 135명이 75% 이상을 사용한다고 응답했는데, 재미있는 사실은 같은 질문을 공급자들에게 던져보면 그 수치가 턱없이 낮아진다는 것이다.
다시 말해 공급자들은 사용자들이 해당 솔루션의 기능을 제대로 사용하지 못하고 있다고 생각하고, 사용자들은 거의 다 사용하고 있다고 생각한다는 것이다. 이 차이를 낳는 것이 바로 ‘불필요한 기능’의 활용여부다. 바로 그 ‘불필요한’이라는 기준이 공급자와 수요자들 간에 서로 다르기 때문이 아닐까. 실제로 도입된 솔루션 중 활용도가 낮은 솔루션이 있다면 그 원인은 뭐라고 생각하느냐는 질문(질문 4)에 ‘불필요한 부가기능’을 꼽은 사용자가 가장 많았고(102명), ‘인력 및 시간부족(90명)’을 꼽는 사용자들도 못지않게 많았다.
또한, ‘업계의 과장된 마케팅’, 즉 다 할 수 있다기에 들여놨더니 별로 할 수 있는게 없더라는 사용자들도 상당수였다(54명). 한편, 도입시 자체 검증절차가 부족했다고 용기있게 ‘자수’한 응답자들도 12%에 해당하는 36명에 달했다. 유지보수 - 수요자들의 만족에 공급자들의 허리가 휜다
솔루션 공급업체들의 유지보수 서비스에 대한 만족도(질문 5)를 조사해봤다. 조사결과는 한편으로는 예상했으면서도 또 한편으로는 의외였다고나 할까. 전체 응답자 중 66%에 해당하는 사용자들이 80점 이상의 점수를 줬으며, 그 중에서 90점 이상의 A 학점을 준 응답자도 30%에 달했다.
반면, 60점 이하의 최하점수를 준 응답자들은 고작 4%에 불과했다. 이 결과가 무엇을 의미할까. 국내에서 활동하고 있는 정보보호 업체들의 유지보수 서비스는 ‘그야말로 환상적’이라고 해석해야 할까.
물론 모든 수요자 기업들이 그런 것은 아니지만, 정보보호 솔루션에 대한 유지보수 서비스를 ‘심부름’ 정도로 여기는 사용자들이 더러 있다. 시도 때도 없이 불러댈 뿐 아니라, 막상 가 봐도 해당 솔루션에는 별 다른 이상이 없고 정작 문제는 엉뚱한 곳에 있었던 경우도 많은 것이 사실이다. 서비스 제공을 위해 긴급투입된 인력들이 한 순간에 ‘심부름꾼’ 정도로 전락하는 순간이다. 이런 어이없음을 마다않고, 군소리 없이 서비스를 제공해주니 수요자들은 당연히 만족할 수밖에.
몇몇 수요자들은 이에 대한 대가를 별도로 지불하고 있다고 항변한다. 실제로 질문 6을 살펴보면 유지보수 서비스에 대한 대가를 ‘별도’로 지불하고 있는 기업은 전체 응답자 중 80%에 해당하는 240개 기업이다. 즉, 대부분의 수요자 기업들이 이러한 유지보수 서비스를 제공받는데 대한 대가를 지불하고 있다는 얘긴데, 문제는 바로 그 대가가 형편없이 낮은 수준이라는 데 있다.
비록 일부 공급자기업은 유지보수 서비스 단가에 대한 적정계약을 체결, 유지보수만으로도 쏠쏠한 현금이 들어온다며 자부하기도 하지만, 권장가격이 아닌 실 판매가격의 평균 7~8%, 다시 말해 ‘몇 푼 안되는’ 돈을 받고 유지보수 계약을 체결하는 많은 공급자들은 유지보수 서비스를 ‘울며 겨자 먹기’식으로 제공하는 경우가 많고, 또 “이런 식으로 서비스를 무한대로 제공하다 보니 솔루션을 팔면 팔수록 손해”라고 푸념을 늘어놓기도 한다.
유지보수 서비스에 대한 수요자들의 만족도가 높아질수록 공급자들의 허리는 그만큼 더 휘어만 간다. 그럼에도 불구하고 특히 국산업체들이 이를 마다할 수 없는 이유는 다음의 질문 12에 대한 분석에서 다시 한번 살펴보겠다.
문서 상의 사양은 다 거짓말이다?
이번에는 각 기업에서 사용 중인 솔루션들이 안고 있는 가장 큰 문제점이 무엇인지를 물어봤는데, 집계결과 거의 절반에 가까운 응답자들(141명)이 ‘도입시 보장된 사양에 못 미치는 성능’을 가장 큰 불만으로 꼽았다. 즉, 분명이 제품을 구매할 때는 이런 저런 성능이 보장된다고 했는데, 실제로 써보면 그렇지 않은 경우가 많다는 뜻이다.
앞서 질문 4 항목에서 기존 솔루션의 활용도가 낮은 이유에 대해 ‘업체의 과장된 마케팅’을 꼽은 응답자가 적지 않았던 것과 같은 맥락이다. 하지만 같은 질문항목에서 ‘도입 전 기업 내 검증절차를 강화해야 한다’는 자성의 목소리를 내고 있는 응답자가 적지 않았다는 사실에 비추어보면, 결국 공급자로서는 ‘당연한’ 과장된 마케팅의 껍질을 벗겨내는 일은 수요자의 역할인 셈이다(질문 13 참조). 가장 받고 싶은 서비스는 ‘컨설팅’
이번에는 솔루션에 대한 질문에서 방향을 바꿔 서비스에 대한 수요자들의 생각을 물었다. 컨설팅과 관제 서비스, 취약점 분석, 조기경보, 정보보호 교육 등 다양한 정보보호 서비스 중에서 가장 받고 싶은 서비스를 묻는 질문에 34%에 해당하는 102명의 응답자가 ‘종합 컨설팅’을 꼽았으며, 모의 해킹을 포함한 ‘취약점 분석’을 꼽은 사용자가 66명, ‘보안관제 서비스’를 받고 싶다고 한 응답자가 57명이었다.
한편, 전문지식 부재로 골머리를 앓고 있는 일반적인 기업들의 상황을 반영하듯 ‘정보보호 교육’ 서비스를 받고 싶다고 응답한 사용자들도 15%에 해당하는 45명이었다. CCRA 가입 등 일련의 외산물결을 예상해 볼 수 있는 분위기 속에 상대적으로 그 영향을 덜 받을 것으로 예상되고 있는 서비스 시장이 앞으로 어떻게 성장해 나갈지 지켜볼 일이다. 외산 VS. 국산 -1 :‘외산 신뢰’압도적
때문에 CCRA 가입을 비롯한 일련의 상황과 앞으로의 전망을 예의주시할 수밖에 없는 것이 국산·외산을 막론한 모두의 현 상황이다. 이런 상황파악에 따라 누구는 외산이 점유율을 높여갈 것이라고 자신 있게 말하기도 하고, 또 누구는 국산이 국내시장을 그대로 지켜나갈 것이라고 장담하기도 한다. 하지만 이들이 무엇을 근거로 그렇게 자신할 수 있는지는 잘 모르겠다. 정답은 국산이든 외산이든 이들 제품을 비용을 지불하고 사용하게 될 사용자들에게 물어야 하지 않을까.
먼저, 실제 솔루션 구매 및 사용자로서 외산제품의 점유율이 급격히 높아질 것이라는 전망에 대해 어떻게 생각하느냐는 질문(질문 9)에 65%에 해당하는 195명의 수요자가 ‘그럴 것’이라고 응답했다. 국산업체들에게는 다소 실망스러운 수치일지 모르겠으나, 어쨌든 사용자들의 생각은 이랬다.
또한, 최근 등장하고 있는 외산 네트워크 장비업체들의 정보보호 장비를 국내 장비보다 신뢰하느냐는 질문(질문 10)에도 64%에 해당하는 192명의 응답자가 ‘신뢰한다’는 견해를 밝혔다. 문제는 응답자들이 외산 솔루션을 ‘절대적’으로 신뢰하는 것이 아니라 국내 보안업체의 솔루션에 비해 ‘상대적’으로 신뢰한다는 것.
외산 VS. 국산 -2 : 외산 장점은 ‘성능’, 단점은 ‘유지보수’와 ‘도입비용’
외산 솔루션을 신뢰하는 이유(질문 11)에 대해 가장 많은 사용자들이 꼽았던 것은 역시 ‘성능’(42%, 126명)이었다. 또한, 이들 외산 솔루션들이 전 세계에 걸쳐 확보한 ‘다양한 레퍼런스’를 꼽는 사용자들(81명) 또한 많았다. 그런가 하면 ‘브랜드 밸류’를 신뢰의 이유로 꼽은 사용자들(75명) 또한 만만찮은 수치를 기록했다. 반면, ‘관리의 편의성’을 꼽은 사용자들은 18명에 불과해 외산이 안고 있는 공통적인 문제가 무엇인지를 보여줬다.
반면, 외산 네트워크 장비업체의 정보보호 솔루션이 가진 문제점(질문 12)을 물었는데, 역시 ‘유지보수’와 ‘도입비용’ 문제가 전체의 95%에 해당하는 응답자들의 외산 도입을 망설이게 했다. 하지만 ‘보안성’이나 ‘성능’을 지적한 사용자들은 총 300명 중 각각 12명, 3명에 불과해, 외산의 보안성·성능을 문제 삼는 사용자들은 사실상 거의 없는 형편이었다.
상기의 두가지 질문(질문 11, 12)은 국내 업체들에게도 시사하는 바가 크다. 먼저, 성능이나 보안성이 떨어진다고 생각해 외산을 도입하지 않는 기업은 사실상 거의 없다는 점. 또 한가지는, 이들이 외산 솔루션을 상당히 신뢰하는 사람들이라는 점이다. 즉, 이들이 외산을 도입하지 않는 이유는 성능이나 보안성이 떨어져서가 아니라, 부를 때 바로 바로 오지 않는다는 점(유지보수), 그리고 가격도 잘 깎아주지 않는다는 점(도입비용) 때문이라는 얘기다.
물론, 같은 질문에서 외산업체를 국산업체로 바꿔 질문해볼 경우 그 응답비율이 정반대로 나오리라고 예상하기에는 무리가 있지만, 수요자들이 외산을 끝내 외면하고 국산 솔루션을 선택하게 되는 이유는 어렴풋이 짐작이 가능하다. 이처럼 외산에 비해 확실히 앞서나갈 수 있는 ‘양질의 서비스’를 위해 역량 있는 엔지니어들을 총동원해야 하는, 그리고 ‘도입비용’을 최소화하는데 주저하지 않는 국내업체들의 미래가 조금은, 아니 꽤나 걱정되지 않을 수 없다. 최고의 성능검증 방법은 ‘자체 BMT’
정보보호 솔루션의 평가가 이루어지고 있지 않은 것은 물론 아니다. 그동안 정보보호 제품평가 하면 대명사처럼 떠오르곤 했던 ‘K-시리즈 인증’이 있고, 세계공통평가기준에 맞춰 평가를 수행하는 CC 인증도 있다.
또 공공기관에 납품할 수 있을 정도의 자격을 갖춘 제품에 대해 부여하는 ‘행정정보보호용 제품인증’도 있으며, 이들 외에도 제품에 대한 인증은 다양하게 존재한다. 문제는, 이들 인증 모두가 ‘보안성’에 대한 인증이기 때문에, 실 사용자들의 답답함은 이루 말할 데가 없다. 보안성에 대한 인증은 운전면허증과 같다.
즉, ‘당신이 다른 운전자들보다 운전을 더 잘한다’고 해서 주는 것이 운전면허증이 아니듯, 보안성 인증 또한 ‘다른 제품보다 당신 회사의 제품이 더 좋다’고 주는 것은 아니다. 따라서 수요자들이 염두에 두고 있는 제품의 ‘성능’에 관한 근거자료를 구해보려 해도, 그런 자료는 좀처럼 찾아보기 힘들다.
이런 상황을 반영이라도 하듯, 솔루션의 성능을 검증할 가장 좋은 방법은 무엇이라고 생각하느냐는 질문에 ‘자체 BMT’라고 응답한 사용자가 가장 많았다(40%). 하지만 이 자체 BMT라는 것이 여간한 노하우와 인적·물적 비용을 가지고 할 수 있는 것이 아니기 때문에 사실상 대부분의 기업들에게는 ‘그림의 떡’인 상황에서 이들의 ‘자체 BMT’라는 응답은 ‘아무도 안해주니 우리가 직접 해야 한다’는 뜻과 그 거리가 크게 멀지 않다. 또한, ‘성능평가만을 위한 인증제도를 신설해야 한다’는 응답도 37%에 이르러, 이들이 원하는 인증제도가 무엇인지를 여실히 보여주고 있다.
<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.> |
||||||||||||||
 |
