| 고객 개인정보유출, 이렇게 막아보자!...② | 2007.02.22 | |||||||
보안서버, 개인정보유출 차단 위한 제1관문 개인정보 취급 모든 사이트→보안서버 적용 의무화
정보통신부는 인터넷 이용자의 개인정보 보호를 위해 필요한 조치를 구체적으로 정하고 있는 ┖개인정보의 기술적ㆍ관리적 보호조치 기준┖ 고시를 개정하고, 웹사이트 운영자를 대상으로 보안서버 구축 여부를 점검하는 등 개인정보보호 대책을 마련해 추진한다고 지난 2월 6일 발표했다. 개정된 고시 내용을 살펴보면, 개인정보보호 조치의 실효성을 높이기 위해, 웹사이트 운영자들이 정보통신망을 통해 개인정보를 송ㆍ수신할 때 보안서버 구축 등을 통해 암호화하도록 규정한 것이다. 정통부 관계자는 “유가증권시장 상장사와 일일방문자수 기준 상위 웹사이트를 대상으로 개인정보 취급 및 보안서버 구축 여부를 점검하여 법령을 위반한 사업자에 대해서는 과태료 부과 등 행정조치를 시행하고, 연말까지 점검 대상자를 주요 포털사이트에 등록된 웹사이트 전체로 확대해 나갈 계획”이라고 밝힌바 있다.
포털이나 인터넷 쇼핑 사이트에서 이용자가 자신의 ID와 패스워드를 입력하면 그 내용이 암호화 되지 않으면 중간에 해킹을 당할 확률이 높다. 보안서버는 이를 암호화해 해킹을 당하더라도 안전하게 정보가 노출되지 않도록 해주는 역할을 담당한다.
보안서버 업계 관계자들은 “아직 일반 기업에서 보안서버에 대한 인식이 낮다. 그래서 자신의 기업에서 보안서버를 도입해야 하는지 말아야 하는지도 모르고 있는 상황”이라며 “정통부에서 보안서버에 대해 좀더 다양한 홍보활동을 펼쳐야 한다”고 강조했다. 보안서버 관련 업계 입장에서는 새로운 시장이 열렸다고 볼 수 있다. 펜타시큐리티시스템 관계자는 “개정 법안에 따르면 대부분의 국내 사이트들은 보안서버를 도입해야 한다. 따라서 SSL 방식에서는 새로운 시장이 열렸다고 볼 수 있고, 기존 응용프로그램 방식에서는 영업 영역이 확장됐다고 볼 수 있다”고 말해 올해 보안서버 시장은 경쟁이 치열한 가운데 상당한 시장 확대가 기대된다. 한편 정통부는 보안서버의 자율적 구축을 지원하기 위해 한국정보보호진흥원, 보안서버 전문협의회와 공동으로 ┖보안서버 구축 가이드라인┖을 개발하여 정보보호지식포털(www.securenet.or.kr), 한국정보보호진흥원(www.kisa.or.kr), 보안서버전문협의회(www.kisia.or.kr/secureserver) 홈페이지를 통해 배포하고 있는 중이다. 보안서버 구축방법은 크게 두 가지가 있다. 하나는 SSL(Secure Socket Layer) 방식으로, 웹사이트 운영자가 공급업체로부터 SSL 인증서를 구매해 웹서버에 인증서를 설치하는 방식이다. 규모가 작은 기업에서 주로 사용하고 있다. 한편 보안서버 구축비용은 상대적으로 저렴하지만, 주기적으로 인증서 갱신을 위한 비용이 추가된다. 대략 기능별로 10만원에서 100만원 이하의 가격대가 형성돼 있다. 또 하나는 암호화 응용프로그램 방식의 보안서버가 있다. 이 방식은 사용자가 웹서버에 접속하면 사용자 PC에 자동으로 보안 프로그램이 설치되고, 이를 통해 개인정보를 암호화해 전송하도록 하는 방식이다. 웹사이트 운영자가 공급업체로부터 SSL 기능이 아닌 별도의 암호화를 위한 응용프로그램을 구매해 웹 서버에 설치하는 방식이다. 이 방식은 규모가 큰 대형 사이트를 운영하는 기업에서 주로 사용하고 있다. 비용 또한 성능별로 1000만원~3000만원 이상의 초기 비용이 필요하다.
<SSL 방식의 보안서버. 브라우저 하단 상태 표시줄에 자물쇠 모양의 마크를 확인할 수 있다. 자료제공: 보안서버전문협의회> SSL 방식 솔루션 공급업체는 이모션, 한국정보인증, 한국전자인증, 한국무역정보통신, 닷네임코리아, 나인포유, 아이네임즈, 한비로 등의 기업에서 지원하고 있다.
<응용 프로그램 방식의 보안서버. 오른쪽 하단 작업표시줄 알림영역에 암호화 프로그램 실행여부를 확인할 수 있다.자료제공: 보안서버전문협의회> 응용 프로그램 방식 솔루션 공급 업체로는 한국정보인증, 이니텍, 케이사인, 드림시큐리티, 시큐리티 테크놀로지(STI), 펜타시큐리티시스템, 소프트포럼, 코스콤, 유넷시스템, 엠큐릭스, 한국전자인증 등이 있다. 다음은 보안서버 업체 담당자들과의 미니 인터뷰 내용이다. 인터뷰 순서는 가나다 순으로 정했다. SSL 방식 공급업체를 먼저 소개하고, 뒤에 응용 프로그램 방식 공급업체를 소개하도록 하겠다. SSL 방식 보안서버
나인포유(주) 솔루션 소개 나인포유는 써트 코리아라는 이름으로 2001년부터 국내에 전자인증서를 공급해 오고 있다. 써트 코리아에서는 전 세계적으로 80% 이상의 점유율을 차지하고 있는 글로벌 인증 회사인 베리사인(Verisign)과 그 자회사 써트(Thawte)의 인증서를 저렴한 가격에 공급하고 있다. 인증서 가격을 결정하는 요인들이 여러 가지가 있기 때문에 인증서가 왜 필요한지를 먼저 이해하고, 그러한 필요성을 충족시켜 줄 수 있는 인증서를 선택할 수 있도록 지원하겠다. 보안서버 비용 SSL 방식 보안서버 비용은 암호화강도, 회사실존성 인증 여부, 국제공인인증업체의 브렌드 인지도, 브라우저 호환성 등에 따라 가격이 차이가 난다. 인증서가 사용될 사이트의 종류에 따라 적당한 인증서를 발급받아 사용하면 된다. 증권, 쇼핑몰, 금융사이트 등은 60~80만원 대의 SGC 인증서를, 또 인트라넷, 게시판 등에는 10만원 대의 인증서를 추천한다. 그 외 사이트는 20~40만원 대 인증서를 사용해도 무방하다. 자세한 상담 및 문의는 www.certkorea.co.kr를 방문하기 바란다. 주요 고객사 금융권은 제일은행, 신한은행, 하나은행, 국민카드현대카드, 삼성카드, SK증권, NH투자증권, 엘지투자증권(주) 외 100여 개사가 있다. 공공부문은 건설교통부, 환경부, 대한적십자사, 한국과학기술정보연구원, 한국에너지기술연구원, 인천구청 외 100여 개사. 통신업체는 한국통신, 온세통신 외 20여 개사. 쇼핑몰은 다음커뮤니케이션, 프리챌, SK 글로벌, 삼성물산 외 300여 개사. 교육기관은 서울디지털대학, 한국정보통신대학원대학교, 배재대학교외 10여 개사. 소프트웨어 개발업체는 넥슨, 삼성SDS, 이니텍 외 200여 개사. 정보통신은 삼성전자, 삼성SDI 등에서 사용하고 있다.
한국정보인증(주) 보안서버 소개 한국정보인증(KICA)은 대한민국 전자서명법에 의해 설립된 국내 제1호 공인인증기관으로 관련법 및 동법 시행령, 시행규칙에서 정하는 기술능력, 재정능력, 시설 및 장비, 기타 필요한 사항을 모두 갖춘 국가에서 인정받은 보안인증 전문기업이다. 한국정보인증은 보안서버인증서 신청부터 설치까지 철저한 기술지원을 하고 있으며, CSR생성 가이드 제공 및 이메일(webmaster@kica.net)문의와 친절한 전화상담, 합리적인 가격으로 최고의 보안서버인증서 발급서비스를 제공하고 있다. 또한, 테스트용 발급과 최고 30일간 완전 환불을 보장하고 있고, 온라인ㆍ오프라인 접수가 가능해 사용자 접근성이 우수하다. 이외에도 고객을 위해 10억 보상한도내 책임보험에 가입되어 있으며, 신청즉시 당일발급을 하고 있다. 보안서버 비용 제품은 기본형과 프리미어형이 있으며, 현재 각 12만원(1년), 63만원(1년)의 파격가격으로, 정통부정부시책에 맞춰 외제보안서버의 높은 문턱을 낮추고 있다. 또한, 파격가에 약정형과 플러스형 등 많은 할인혜택을 함께 제공하고 있다. 자세한 사항은 홈페이지(kica.net)를 통하여 다양한 가격정보를 알 수 있다. 국제표준기술로 베리사인 제품과 전혀 차이가 없는 보안서버인증서를 공급하고 있으며, 세계독점을 앞세워 비싼 가격을 받는 것으로 인해 국내 업체들이 손해를 입지 않도록 실용적이고 합리적인 가격으로 비용 부담을 최소화하려고 노력하고 있다.
주요 고객사 정보통신부를 포함한 공기업과 삼성, LG, 한전, 데이콤 등 주요 국가기관과 공공기관, 국내 대기업들이 주요 고객사로 등록되어 있다.
(주)한비로 보안서버 소개 인터넷상의 암호화되지 않은 정보는 스니핑(Sniffing)등의 해킹을 통해 해커에게 유출될 수 있다. 이를 미연에 방지하기 위한 기술이 보안서버다. 보안서버는 개인정보 전송시 암호화하는 기능을 제공하는 서버로서 개인정보를 취급하는 사업자가 개인정보 보호를 위해 기본적으로 갖추어야 할 방어수단이다. 사업자는 사이트를 이용하는 사용자들이 사업자 사이트에 더욱 믿음을 가질 수 있도록 사용자들의 신뢰확보를 위한 노력을 해야 한다. Comodo SSL은 11개의 루트키를 보유하고 있는 베리사인 다음가는 2번째 루트키 보유기업으로 영국에 본사를 두고 세계 15개국의 파트너를 둔 글로벌 기업이다. Comodo SSL를 통해 좀더 고객들의 신뢰와 믿음을 쌓는 기회를 가져보기 바란다. 보안서버 비용 Comodo SSL은 신청된 인증서를 빠르게 발급을 할 수 있는 효율적이고 효과적인 발급시스템으로 발급업무를 진행하고 있어 기존에 판매되는 제품들 보다 단가를 많이 줄여 발급이 가능하다. 기존 업체에서 제공되는 가격의 절반도 되지 않는 저렴하면서 안전한 인증서를 발급하고 있다. 가격은 4만원대의 저렴한 제품부터 고가의 제품까지 다양한 상품을 보유하고 있다. 요즘 가장 이슈가 되고 있는 멀티도메인 상품도 3~4만원대의 금액으로 발급이 가능하다. 자세한 가격은 사이트를 (www.comodossl.co.kr/SSL/Product.aspx) 참고하면 된다. 주요 고객사 미래아이콘, 네오워크, 인터넷 마케팅 센터, 굿메이트, 베스트바이어, 한아아이앤티, 현대정보기술 등 다수의 고객이 Comodo SSL를 사용하고 있다. 올해 보안서버 매출 전망 보안서버 시장이 작년 말부터 강화되어 시행된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따른 관련규정으로 해당사의 많은 관계자들이 관심을 가지고 접촉 및 계약 진행 중이다. 시장 자체가 아직 크게 형성되지는 못하였고 많은 업체들이 시장에 들어와 있는 상태라 올해 매출을 예상하기에는 다소 무리가 있지만, 올해를 기점으로 매출이 증대될 것으로 보고 있다.
응용 프로그램 방식 보안서버 이니텍(주) 보안서버 소개 이니텍의 보안서버 솔루션인 INISAFE Web은 암호화 응용 프로그램을 이용한 솔루션으로, 사용자 PC로부터 Web Server까지 전송되는 데이터들을 암호화하며, Plugin SDK 형태로 구현된 암호화 제품의 취약점인 스크립트 위변조까지 방지함으로써 해킹 사고 등 각종 사고로부터 데이터를 안전하게 보호하는 정보 보안 솔루션이다. 또한 SSL(HTTPS)과 동일한 Layer에서 서비스되기 때문에 업무 시스템의 소스를 별도로 수정하지 않고도 암호화 기능을 적용할 수 있다는 장점이 있다. INISAFE Web은 이미지, Flash, 동영상 등을 제외하고, 암호화가 필요한 중요 데이터만 부분적으로 암호화할 수 있도록 지원함으로써 처리 속도를 월등히 향상시켰으며, 자동설치 및 자동 Upgrade 기능을 제공해 사용자들이 별도의 작업을 하지 않아도 시스템을 안전하게 사용할 수 있도록 사용의 편리성을 향상시켰다. INISAFE Web은 공공기관 IT 보안 시스템 구축시에 요구되는 국가정보원 보안성 검토를 통과한 제품이다. 99년 시중은행들의 인터넷 뱅킹 시스템을 시작으로 250여 개가 넘는 공공기관 및 민간 기업들의 웹 기반 IT 시스템 보안에 적용되어 왔으며, 지난 6월에는 GS(Good Software) 인증을 획득함으로써 다시 한 번 기술력과 신뢰성을 인정받았다. INISAFE Web 주요 기능 웹 환경의 통신구간 암/복호화 기능, 자바/VB 스크립트 위변조 방지 기능, 콘텐츠별 선택적 암/복호화 기능(텍스트, 이미지 등), 클라이언트 자동 다운로드 및 설치 기능, Web 2.0(AJAX) 자동 연동 기능, 보안 세션 모니터링 기능, IE에 지정된 Proxy를 통한 메시지 유출 감지 기능, 멀티 도메인 서버 지원 기능, Pluggable Products를 통한 기능 확장 가능(예: 쿠키 암호화 제품, 전자서명 제품, 공인인증 제품 등) 등이 있다. 보안서버 비용 INISAFE Web은 서버당 6000만원이며(L/P 기준), 시스템 구축 및 기술 지원 비용이 포함되어 있다. 주요 고객사 1금융권에는 신한은행, 농협, 하나은행, 제일은행, 시티은행, 대구은행, 경남은행 등이 있으며, 기타금융권에는 비씨카드, 신한카드, 대한생명, 신한생명 등이 있다. 일반 기업으로는 SKT, 현대백화점, 중외제약, CJ홈쇼핑, 엔씨소프트 등이 있고, 공공기관으로는 한국전력, 예금보험공사, 농업기반공사, ETRI, 철도공사 등 총 250여 개 사이트에서 사용하고 있다. 올해 보안서버 관련 매출 전망 약 25억 정도의 매출을 기대하고 있다. (주)케이사인 보안서버소개 KSign의 SWAT(Secure Web Application Transaction)은 공중망을 이용하는 인터넷 환경에서 암호기술에 기반한 안전한 웹 트랜잭션 서비스를 제공하여 안전한 정보전달이 가능하도록 도와주는 솔루션이다. 이 솔루션은 국내외 표준을 준수한 각종 암, 복호화 및 전자서명, 검증 알고리즘을 지원하고 SC 및 웹 기반의 보안 솔루션 기능, X.509 인증서 관련 처리 기능 지원, 웹 브라우저, 웹 서버에 독립적인 시스템 구성, 사용자 프로그램 자동화 설치 기능이 있다. 장점으로는 PKI기반의 전자서명 인증을 통해 보안채널을 형성, 제3자에게 정보를 노출시키지 않고 안전하게 정보교환이 가능하다는 점이다. 또 기존 구축된 인프라에 영향 없이 구축이 용이하며 인증서 기반의 인증 및 암ㆍ복호화 기능을 제공하며, 브라우저와 웹 서버 양단간(end to end)에 보안 채널을 형성해 준다. 한편 트랜잭션에 대한 실시간 모니터링을 통해 보안 사고가 발생할 경우 추적이 가능하며, 분석을 통해 같은 유형의 사고발생을 방지 할 수 있도록 하고 있다. 또한 웹 환경이 아닌 C/S 환경의 응용프로그램에도 보안기능을 제공하고, PDA나 모바일폰을 이용한 무선환경에서도 동일기능이 제공된다. 보안서버 비용 KSignSWAT의 평균 소비자 가격은 3000만원/COPY이며 사이트에 따라 약간의 협상의 여지는 가지고 있다. 주요 고객사 SWAT은 웹 트랜잭션 암호화를 필요로 하는 다양한 사이트 및 분야에 납품해 왔으며 주로 공공기관 및 국가 기관 그리고 금융권에 많이 구축되어 활용되고 있다. 공공기관으로는 감사원, 보건복지부, 통계청 등이고, 국방기관은 국방전산관리소, 일반기업은 COSCOM을 비롯한 각 은행, 증권사, 보험사 등에서 사용하고 있다. 올해 보안서버 관련 매출 전망 SWAT의 올해 매출 예상액은 약 10억원 정도 예상하고 있다. 펜타시큐리티시스템㈜ 보안서버 소개 펜타시큐리티시스템은 어플리케이션 레벨에서 개인정보보호 기능을 제공하는 ISSAC-Web 제품군과 IDC 및 호스팅 서비스를 대상으로 손쉽고 안정성 있게 보안 통신을 제공할 수 있는 SSL G/W 제품군을 제공하고 있다. ISSAC-Web 제품군의 경우, 대규모 웹 사이트에서 서버의 퍼포먼스와 다양한 정보에 대한 암호화 보안이 필요할 경우에 적합한 솔루션으로, 웹 어플리케이션 서버에 설치되는 보안 암호화 모듈과 클라이언트단의 보안 ActiveX가 상호 인증 및 데이터 암호화 전송 기능을 제공한다. 일반적인 SSL의 적용보다 기존 서버의 퍼포먼스를 최대한 유지할 수 있고, 보안이 필요한 데이터에 대한 선별적인 암호화도 가능하다. 또한 클라이언트단의 브라우져상에서 소스보기를 할 경우에도 암호화된 상태로 보이기 때문에 위변조 방지 및 클라이언트단의 보안 위협에 더 강력한 방지책을 제공한다. 보안서버 시장을 위해 출시 예정인 SSL G/W 제품군의 경우, 기존 웹사이트의 수정없이 웹서버 앞에 어플라이언스 보안장비를 설치하고, 암호화 보안을 적용해야하는 URI/URL만 설정해줌으로써 손쉽게 보안서버를 구축하도록 하는 솔루션이다. 이 제품군은 자체 장비의 장애시에도 Transparent하게 웹서비스를 지속적으로 제공할 수 있어 높은 서비스 가용성을 제공한다. 또한 기존의 웹 서버에 암호 알고리즘의 적용이 필요할 경우에 발생하는 서버 퍼포먼스 감소도 SSL G/W에서 담당하게 되어 기존 서버의 증설이 불필요한 장점을 가지고 있다. 주요 고객사 국민은행, 대우증권, 데이콤, 행자부, 서울시청 등의 주요 금융기관, 정부기관, 지방자치단체 등 100여 곳 이상의 대형 사이트에 납품되어 있다.
펜타시큐리티시스템 정성균 팀장은 “가격 비교 보다는 기업 보안담당자들이 자신의 기업에 최적화된 보안서버를 선택하는 것이 중요하다. SSL 방식이든 응용 프로그램 방식이든 나름대로의 장단점이 있기 때문에 담당자의 안목이 중요하다. 당장 들어가는 비용만 생각하다보면 장기적인 측면에서 더 큰 비용이 들어갈 수 있기 때문에 신중한 선택이 필요하다”고 강조했다. [길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||||||||
 |
