올해 4월부터 각급 공공기관의 보안USB 사용이 의무화되면서 정부 부처들이 최근 시범 사업이나 소규모 정보보호 사업의 일환으로 보안USB 솔루션 구축에 나서고 있다. 보안USB 적용 유예 기간이 끝나는 올 3월이 지나면서 각 정부 부처들은 올해 1분기 안에 보안USB솔루션을 도입할 것으로 예상되어 정보보호 시장에 보안USB 훈풍이 불어올 전망이다.

특히 한 기관에 특정 제품이 공급되면 다른 제품으로 바꾸는 것이 쉽지 않기에 업계에서는 최대 500억원으로 추산되는 보안USB 시장을 놓고 다수의 업체가 경쟁적으로 제품 개발과 출시를 마치고 보안 적합성 인증을 기다리고 있다. 이렇게 현재 15개 이상의 업체가 보안USB 시장에 뛰어들면서 업체들 사이에 초기 시장 선점을 위한 치열한 물밑 경쟁이 벌어져 연 초부터 보안시장은 후끈 달아오르고 있다.

 

시장 동향과 전망

보안적합성 인증, 초기 시장을 선점하라

국가정보원은 지난 해 초, 국가와 공공기관의 기밀 유출 방지를 위해 ‘USB메모리 등 보조기억매체 보안관리 지침’을 발표했다. 이는 보안USB는 사용자 식별·인증, 지정데이터 암·복호화, 저장된 자료의 임의복제 방지, 분실 시 데이터 보호를 위한 삭제 등의 4가지 기능을 필수적 요건으로 갖춰야 한다고 규정했다.

국정원은 이에 따라 1년간의 유예기간을 두었고 올해 3월이면 이 유예기간이 끝나게 됨으로써 각급 공공기관들은 올해 4월부터는 보안USB를 의무적으로 사용해야만 한다. 이로써 관련 업체는 이 새로운 시장에서의 수익 창출을 기대하며 각 부처의 예산에 맞춰 적극적인 영업에 나서고 있다.

또한 공공기관 납품에 필수인 국정원 보안적합성 인증을 누가 빨리 얻느냐에 따라서 시장 선점에서 유리할 것으로 보인다. 공공기관의 보안USB 구매 예산은 지난 연말에 대부분 정해졌으며 올 4월 이후엔 구매 규모가 축소될 것으로 보기 때문에 업체들은 각 공공기관을 상대로 지난해부터 적극적인 영업을 통해서 예산이 배정되도록 제안을 하고 있으며 보안적합성 인증 필이 떨어지기를 기다리고 있다. 

이에 따라 업체들은 최단 기간 내 보안적합성 승인을 조건으로 공공기관 시장 공략에 적극 나서고 있다. 한 업계 관계자는 “최근 공공기관을 대상으로 PC보안 솔루션을 공급한 업체들이 보안USB 시장에서도 유리할 것이란 전망이 나오고 있다”며 “중요한 것은 보안USB 사용으로 인해 업무가 불편해진다면 보안USB 도입과 사용이 위축될 수 있기 때문에 사용상의 불편을 최소화할 수 있는 문제들을 해결할 수 있는 솔루션 제공이 최우선 과제”라고 말했다. 　

최대 500억 시장, 놓칠 수 없다

최근 업체 간 경쟁구도를 보면 15개가 넘는 업체가 최대 500억원 규모의 보안USB 시장에 진출할 것으로 예상된다. 업체는 크게 통합PC보안 제품업체인 세이퍼존, 닉스테크, 잉카인터넷과 기타 보안업체인 소프트포럼, 지란지교소프트, 코스콤, 위노블, 앤트랙커, 비앤비솔루션, 코디아, 비젯, 브레인즈스퀘어 등으로 나뉘어 보안USB 시장에서 경쟁을 벌이고 있다. 이중 어떤 업체도 올해 최대 보안이슈인 보안USB 시장을 놓치지 않겠다는 각오다.

세이퍼존 김대봉 부장은 “올해 보안USB 시장에서 경쟁하려면 우선 국정원의 보안적합성 검증은 필수이며 도입기관의 솔루션 구축뿐만 아니라, 사후 관리와 커스터마이징도 매우 주요한 요소로 작용할 것으로 보이기 때문에 기존의 엔드포인트 보안 업체의 노하우와 경험이 중요하다”고 강조했다.

잉카인터넷의 임대청 과장은 “빠른 국정원 인증 획득으로 초기 시장 점유가 매우 중요할 것”이라며 “대부분의 제품들이 국정원의 보안지침을 만족시키고 있어 기능상으로는 모두 비슷하기 때문에 결국은 사용자와 관리자의 편의성과 인터페이스 제공이 관건”이라고 강조했다.

또 닉스테크 함재춘 차장은 전국 정부기관, 지방자치단체, 공공기관, 교육기관, 정부산하기관 등 대략 650여개로 추산되며 이들 모두가 도입 할 경우 600억원 규모의 시장을 형성할 것으로 예상했다. 그러나 최근 일부 도입 및 제한적 도입 추세여서 실제적인 시장 규모는 이보다는 작은 300~400억원 규모로 예상된다고 말했다.

관련 업계에서는 올 4월까지 의무도입으로 확정이 돼있어 반짝 시장으로 보는 면도 있지만 일부에서 기관에서 도입 후, 추가적인 확대 구매로 이어질 수도 있어 정확한 시장규모 파악은 어렵다고 말한다. 하지만 정보보호 분야에서 새로운 돌파구임에는 틀림없다.

통합PC보안 업체들의 경우 기존에 공공기관 레퍼런스를 다수 확보하고 있어 보안USB 납품 또한 수월할 것으로 기대하고 있다. 하지만 기타 보안업체에서도 기능상의 차별성을 갖고 공략한다면 가능성은 충분하다는 견해도 있다. 그러나 아무래도 보안USB와 통합PC보안 제품과의 연동과 기능측면에서 본다면 통합PC보안 업체의 제품이 다소 유리하게 작용할 것으로 보인다.

이와 같이 많은 업체들이 국정원 인증 지침에 따라 각각 차별된 제품과 솔루션을 출시했지만 아직까지 공공기관에서의 사용 검증이 이뤄지지 않아 보안USB 납품 후에 커스터마이징 요구가  많이 있을 것으로 업계 관계자들은 보고 있다. 이에 따라서 공공기관에서 요구하는 보안USB는 사용자의 요구에 가장 잘 맞고 관리가 쉬운 솔루션을 공급하는 업체가 훨씬 유리할 것으로 전망된다.

아울러 지난해 초에 5개 정도에 불과하던 업체가 지난해 말에는 15개사 이상으로 급증해 가격경쟁도 치열해 질 것으로 예상된다. 보안USB는 이를 통제하고 관리하는 소프트웨어인 관리 솔루션과 하드웨어인 메모리 스틱으로 구성된다. 물론 하드웨어로만 구성된 하드웨어 기반의 제품도 있다.

하드웨어인 메모리스틱의 제품 가격만 보면 대부분 1G 기준으로 8~9만원대로 형성되어 있다. 그러나 시장에서 본격적인 납품 경쟁이 벌어지면 5~6만원대로 낮아질 것으로 예상되고 있어 출혈 경쟁은 불가피할 것으로 보인다. 그러나 보안USB는 이 메모리 스틱과 서버를 이용한 관리 솔루션이 함께 구축되어야 하기 때문에 우선 솔루션 구축이 이루어진 다음에 여기에 맞는 메모리스틱 구매가 이루어져야 한다.

이와 관련해 브레인즈스퀘어의 박정환 상무는 “보안 USB를 시작으로 해서 매체 보안시장이 새롭게 열릴 것으로 생각하지만 일선 공공기관과 업계에서 느끼는 온도 차이는 확실히 다르다”고 말했다. 그는 보안USB 도입을 위해 행자부나 관련 중앙부처가 예산을 각 산하기관이나 지자체를 위해서 배정하지 않았기 때문에 자체 예산 배정을 해야 한다고 말했다.

이렇게 되면 보안USB 도입의 우선 순위가 매우 낮아지게 되고 업계에서 과도한 도입비용을 요구하고 있는 것은 공공기관에서 보안 USB를 도입하는데 많은 어려움에 처하게 된다는 것이다. 그는 “이렇게 되면 보안USB 사업에 뛰어 든 다른 업체들에게도 큰 손실”이라고 지적했다.

비앤비솔루션 홍준선 부장은 “이러한 신규 보안시장에 참여하는 업체는 이에 따른 H/W 연구 개발이 필수적으로 이루어져야 한다. 하지만 많은 업체에서 까다로운 H/W 개발보다는 가격이 낮은 S/W 기반의 보안USB를 출시함으로써 업체 스스로 보안 수준을 하락시키고 보안 시장을 왜곡하는 경향이 있다”고 지적했다. 그는 PC보안 업체 대부분이 보안USB 시장에 참여하고 있으나 대부분 기존의 PC 매체 제어에서 크게 벗어나지 못하고 있다고 밝혔다.

또한 앤트랙커 임종규 대표는 “지난해 시장에 제품을 출시한 몇몇 업체가 때 이른 언론 발표와 홍보성 기사로 조기 과열 양상을 보였지만 올해 초 많은 업체가 제품을 출시하고 시범 도입해 사용하는 기관이 늘어나면 자연스럽게 나오는 제품에 대한 평가로 인해 시장의 판도가 변할 것”이라고 전망했다. 코디아의 고병수 대표는 “보안USB는 사용자의 편의성과 안정성, 그리고 확장성이 제품의 성능과 우수성을 평가하는 기준이 될 것”이라고 말했다. 

 

공공기관 선점이 향후 시장서 유리

현재 공공기관 보안USB 시장을 선점하기 위한 관련 업체간의 경쟁이 치열해지는 이유는 주요 공공기관을 누가 선점하느냐에 따라 향후 기업과 은행권으로 확대되는 보안USB 시장 선점에 상당히 유리한 고지에 오를 수 있기 때문이다. 각 시·군·구 지자체나 산하기관에서는 상급 기관이 어느 업체 보안USB를 선택하느냐에 관심을 갖고 있고 상급 기관을 따라가는 경향이 있기 때문에 정부 중앙기관 수주 여부는 그 파급효과가 상당할 것으로 전망되고 있다.

그러나 국가정보원의 ‘USB메모리 등 보조기억매체 보안관리지침’에도 불구하고 중앙행정기관에서는 이를 충분히 인지하고 있는 반면, 많은 각급 산하기관과 지자체 등에서는 보안USB를 도입하는데 있어 지침 내용을 충분히 숙지하지 않고 있을 뿐만 아니라 도입해야한다는 사실도 모르고 있는 실정으로 나타났다. 

업계 관계자는 “중앙행정기관 담당자들은 국정원 지침에 대해 잘 알고 있고 적극 도입을 검토하고 있지만, 시·군·구나 산하기관 담당자들은 아직도 제대로 파악을 못하고 있는 것 같다”며 “국정원 지침서를 들고 다니면서 하나하나 자세히 설명을 해나가고 있는 상황”이라고 말했다. 그는 또 “중앙부처는 올 3월말까지 의무도입을 하기 위해 노력하고 있고 지자체는 아직 관망하고 있다”고 덧붙였다.

이제 본격적으로 보안USB 시장이 열렸다. 문제는 지자체나 산하기관들이 이번 국정원 지침을 제대로 숙지하지 못해 USB메모리 스틱만 구매하면 다 끝나는 것으로 알고 있다는 점이다. 업계 관계자는 “국정원의 지침을 살펴보면 알겠지만 보안USB 구축은 메모리 스틱만 구입하면 되는 것이 아니다”며 “먼저 중앙관리시스템을 구축해야 하고 그에 맞는 USB메모리가 결합돼야 한다”고 설명했다.

경험과 노하우 바탕, 영업 강화

보안USB를 출시하고 국정원 보안 적합성 인증을 기다리고 있는 업체는 지난해 12월 중순 기준으로 파악된 업체가 약 13개사다. 이들 업체들은 기존의 레퍼런스 사이트와 협력업체를 통해 공공기관 시범사업 구축에 참여하는 등, 적극적인 영업활동을 하며 공공시장의 문을 두드리고 있다.

세이퍼존은 엔드포인트 보안 업체로서의 경험과 노하우를 바탕으로 기존 공공기관 협력업체들과의 전략적 제휴와 컨퍼런스, 세미나 등을 통해 적극적으로 자사의 보안USB 홍보에 나선다는 계획이다. 현재 세이퍼존은 중앙정부 기관 중 5개의 기관과 보안USB 구축 계약을 마무리 하는 단계에 있는 등, 지난해 말 공공기관을 상대로 다수의 계약을 이끌어 내는 두드러진 성과를 냈다. 이 업체는 이를 계기로 올해 보안USB 시장 선점에 박차를 가하고 있다. 

닉스테크도 올해 보안USB 제품 시장에서 선점할 수 있는 필수 조건으로 국정원 보안검증에 대한 인증을 우선으로 하고 있으며 국정원에서 규정한 4가지 기능만으로는 시장 경쟁에서 뒤쳐지기 때문에 부가적인 기능과 시장에서 요구하는 기능을 개발하여 패키지에 반영할 계획이다. 현재 SafePC Enterprise가 이미 납품된 공공기관을 대상으로 영업을 하고 있고 국정원인증이 떨어지는 시점부터 본격적으로 영업망을 확대할 계획이다.

또한 SafePC Enterprise의 매체제어 기능을 패키지한 강점을 부각시켜 제품 홍보와 프로모션을 진행할 방침이다. 함재춘 차장은 “지난해에도 IPS시장이 큰 폭으로 성장했다면 올해 보안시장의 이슈는 공공기관의 보안USB 도입이라고 생각한다”며 “아직 시장 규모는 크지 않지만 고속 성장이 예상된다”고 밝혔다.

잉카인터넷은 내구성이 강하고 사용이 편리한 제품을 공공기관 담당자에게 홍보용 트라이얼 제품을 무상 증정하는 방안 등 제품홍보에 대해 검토 중이다. 브레인즈스퀘어도 마찬가지로 사용자의 편의성과 도입 비용 최소화에 중점을 두고 공공시장부터 시작해서 금융, 국방 분야로 확대해 각 지역의 총판과 대리점 유통 채널을 통한 영업과 판매를 진행할 예정이다.

비앤비솔루션은 PC의 외장 IO Port를 이용한 데이터 보관 장치의 다양성에 따른 보안성이 강화된 외장 장치의 개발 및 보급과 H/W 기반 기술을 통한 H/W와 S/W를 지속적으로 업그레이드할 방침이다. 이에 따라 이 회사는 정부 비밀문서용 USB를 시작으로 업무용 USB, 개인용 USB 등 점진적 보급 확대를 예상하고 H/W 중심의 보안성 측면에서 시장 접근해 각 지역 총판을 중심으로 다양한 제품으로 영업을 강화할 방침이다.

사용자, 편의성·안정성 고려 선택해야

공공기관에 납품할 수 있는 보안USB 제품은 모두 국정원의 지침에 따른 4가지 기능을 만족시켜야 한다. 그리고 보안적합성 인증 필을 받아야만 한다. 이에 따라 관련 업체들은 제품의 성능은 대부분 다 비슷하다고 보고 있다. 그리고 보안적합성 인증 필을 먼저 받은 업체는 조금 더 발 빠르게 움직일 수 있는 장점이 있다. 그렇다면 사용자 입장에서 볼 때 자사에 딱 맞는 제품을 고르는 기준은 무엇일까?

   

세이퍼존 김대봉 부장은 “보안USB 도입 시 우선 고려해야 할 사항으로 국정원 보안 적합성 인증제품인지, 또 국정이 규정한 4가지 필수 기능에 충족하는지를 꼽았다. 그리고 기존 구축 경험이 있는 안전한 제품인지, 관리자가 사용하기 편리한지, 그리고 기능 외에 PC 보안으로의 확장성이 가능한 제품인지를 먼저 확인해야 한다”고 설명했다.

닉스테크 함재춘 차장은 “사용자가 중점적으로 고려해야할 부분은 보안 USB의 기능은 각사가 대동소이하기 때문에 보안 USB이외의 부가적으로 어떤 기능을 제공하는지, 사용자가 요구하는 기능 개발을 얼마나 만족하여 주는지를 잘 판단하여야 할 것”이라고 말했다. 특히 그는 보안 SI의 능력이 있느냐, 없느냐도 매우 중요한 부분이라고 지적했다.

브레인즈스퀘어 박정환 상무와 가장 먼저 국정원 보안적합성 인증 필을 받은 비앤비솔루션의 홍준선 부장도 기본적으로 보안적합성 검증필을 받았다고 가정하고 사용자의 편의성, 도입 가격 및 유지비용을 꼽았다. 또 잉카인터넷의 임대청 과장은 “보안USB라는 제품의 특성상 가장 중요한 것은 데이터의 안전성이며 이에 못지않게 제품의 내구성이 중요하다”고 말했다. 그는 아무리 좋은 소프트웨어의 형태로 구현된 솔루션이라도 하드웨어의 손상으로 인한 인식불능 등의 장애가 발생해서 중요한 데이터를 잃어버리는 경우가 생겨서는 안된다고 강조했다.

앤트랙커의 임종규 대표도 우선적으로 사용자는 제품의 안정성을 보장 받아야 한다고 밝혔다. 그는 “시장에서 제품 검증을 통해 제품이 공공시장에서 선택될 것이며 선택된 제품은 별도의 설치 프로그램 없이 언제 어디서든 제 기능을 발휘하고 적정한 도입비용과 사후 관리의 편리성을 고려해야 한다”고 말했다.

한편 코디아 이종규 대표는 “USB 저장장치를 PC와 연결해서 서로 통신을 할 경우 입력한 비밀번호가 PC에서 확인되는 것은 물론이며 암호화되지 않고 평문으로 전송돼서 해커의 스니핑 공격에 무방비로 노출 될 수가 있기 때문에 비밀번호를 설정할 때 해쉬 함수를 이용해 저장되는 제품이 안전하다”고 말했다. 그는 또 PC에 설치된 보안 프로그램에서 구현되는 것보다 USB 플래시 드라이브의 컨트롤러에서 이루어지는 것이 보안기능을 더욱 강력하게 해준다“고 밝혔다.

[월간 정보보호21c 통권 제89호 김태형 기자(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>