• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

내부정보유출방지 솔루션, “껍데기는 가라!” 2008.01.13

[인터뷰] 소만사 김대환 대표

내부정보유출방지에만 10년 투자...올해 90억 목표

암호화로는 한계...권한자에 의해 유출되는 것을 차단해야!


10년간 변함없이 내부정보유출방지 솔루션만을 개발하고 시장을 개척해온 소만사. 이 기업 김대환 대표는 올해도 지난해처럼 내부정보유출 방지에 있어서 글로벌 일류기업이 될 수 있도록 노력하겠다고 다짐한다.


이미 국내에서는 대부분의 대기업들이 소만사(대표 김대환 www.somansa.com)의 내부정보유출 방지 솔루션을 도입해 사용하고 있으며 올해 CC인증을 토대로 공공시장 진입도 눈앞에 다가왔다. 이제 남은 것은 해외시장 석권. 올해로 11년째를 맞고 있는 소만사, 변함없이 소만사를 세계 일류기업으로 성장시키기 위해 동분서주 하고 있는 김대환 대표를 찾아가 이야기를 들어봤다.


2007년, 소만사에서 있었던 일들

지난해 소만사에서 가장 중요한 사건들을 꼽으라면 어떤 일들일까. 이 질문에 김대환 대표는 “지난해 소만사가 10주년을 맞았다. 그래서 3월에 전직원과 가족들이 동반해 중국 해남도를 3박 4일간 다녀온 일이 있다”며 “그동안 고생을 해준 직원들에 대한 작은 보답이었다. 그 이후로 회사 전체 응집력이 더욱 단단해진 것을 느끼고 있다”고 말했다. 여행 비용에 5000만 원이라는 거금이 지출됐지만 전혀 아깝지 않았다는 김 대표.   


또 어떤 일을 들 수 있을까. 바로 정통부가 야심차게 도입한 공공기관 소프트웨어 분리발주 기업으로 선정된 일이다. 정부통합전산 제2센터에 소만사 개인정보보호 전문제품인 ‘DB-i’가 선정된 것이다.


김 대표는 “만약 분리발주라는 조건이 없었다면 입찰에 응하지도 않았을 것”이라며 “SI업체를 등에 업지 않아도 되고 BMT도 공정하게 이루어진다면 자신이 있었다"고 강조했다.


지난해 해외시장은 어떤 소득이 있었을까. 현재 소만사는 멕시코 연방정부 1곳과 멕시코 주정부 2곳, 미국 나스닥 상장 은행과 연방정부조달업체에 수출실적을 냈다. 지사설립 1년 만에 판매가 까다로운 미국시장에 진출해 얻은 결과물이라 소만사 직원들은 고무적인 일로 받아들이고 있고 향후 글로벌 시장 진출에 대한 희망을 키우고 있다.   


또 하나는 CC인증 계약 체결건이다. 소만사는 지난해 12월 한국산업기술시험원(KTL)과 ‘DB-i’에 대해 국내 CC인증 계약을 체결한 바 있다. 따라서 CC인증 획득후 올해 하반기부터 공공시장 영업에 박차를 가할 전망이다.


CC인증과 관련 김 대표는 “현재 DB보안과 관련 두 업체가 먼저 CC인증을 획득해 공공시장에 진입한 상태”라며 “공공분야에서는 후발이라 불리한 점도 있지만 기술력과 서비스 질로 승부를 걸어볼 참”이라고 말했다.


소만사는 2006년 대비 2007년에 매출면에서 30% 성장을 이루었다. 지난해 총 매출은 70억 원으로 순수하게 패키지 SW 제품만으로 50억 이상 판매하는 기업이 국내에 몇 없는 상황에서 이루어낸 성과라 할 수 있다.


김 대표는 “SW 업체는 패키지 판매에 집중해야 한다. 그러한 환경 조성이 잘 이루어졌으면 좋겠다. SI에 눈치보지 않고 고객과 직접적인 계약을 통해 제대로된 평가와 대가를 받을 수 있는 환경이 속히 오길 기대한다. 그런 의미에서 이번 정부통합전산센터 분리발주는 고무적인 일이라 여겨진다”고 말했다.   


소만사가 바라는 것...내부정보유출방지 분야의 ‘지존’

그렇다면 올해 소만사의 목표는 무엇인가. 김 대표는 “다른 분야에로 사업 다각화를 생각해본 적이 없느냐”는 기자의 질문에 고개를 흔들며 “전혀 그럴 생각이 없다. 한 분야에 세계 최고가 되는 기업이 결국 살아남는다고 생각한다”고 강조했다. 결국 한우물만 파겠다는 것.


요 몇 년 사이 내부정보유출에 의해 국가 정보나 기업의 핵심기술정보 그리고 고객의 정보들이 유출되는 일들이 다반사로 발생하고 있다. 이러한 분위는 보안 사업 분야에서도 ‘내부정보유출방지’ 솔루션 바람을 몰고 왔다.


김 대표는 “소만사는 내부정보유출방지 분야에만 10년이다. 현재 400여 개 기업이 소만사 제품을 사용하고 있다. 하지만 최근 문서암호화(DRM) 업체들이나 PC보안 업체들이 너도나도 내부정보유출방지 전문 기업이라고 홍보를 하고 있다”며 “이슈에 부응하는 것이 사업의 생리이긴 하지만 전혀 내부정보유출의 핵심에서 벗어나는 솔루션들을 가지고 내부정보유출 맞춤 솔루션이라고 주장하는 것을 볼 때 마음이 그리 편치만은 않다”고 심경을 밝혔다.     


내부정보유출방지의 핵심은 권한자에 대한 모니터링

여기서 짚고 넘어갈 부분은 바로 내부정보유출의 핵심이 무엇인가다. 문서암호화가 지켜줄 수 있는 부분은 바로 정보가 유실됐을 경우 다른 사람이 정보를 가져가도 암호화로 인해 그 정보를 볼 수 없도록 하는 것은 가능하다. 또 크래커가 외부에서 공격을 가해 정보를 빼내갔을 때 암호화는 유용하다.


하지만 아무리 철저하게 암호화를 했다손 치더라도 권한자는 정보를 다 볼 수 있다는 점이다. 그리고 더욱 중요한 것은 정보유출의 대부분이 내부 권한자에 의해 이루어지고 있다는 점이다. 즉 암호화만으로는 내부정보유출에 대해서는 무방비로 당할 수밖에 없는 것.


김 대표는 “내부정보유출은 권한을 가진 자들이 빼내가는 것이다. 암호화로는 한계가 있다. 모든 PC와 출력물·웹메일·인터넷 메신저·저장장치 등을 통해 외부로 빠져나가는 통로를 1차적으로 막고 그 증거물을 확보하는 것이 중요하다”며 “이를 소만사에서는 ‘통합유출경로 보안과 모니터링’으로 정의하고 있다. 모든 유출경로에 대한 1차 차단막을 설치하고 이를 모니터링해 사후·사전에 유출감지를 할 수 있도록 하는 것이 내부정보유출방지의 핵심”이라고 강조했다.


연예인 엑스파일 사건이 터져나올 때 이야기 됐던 부분이 바로 파일 암호화였다. 하지만 이 부분도 암호화만으로는 한계가 있다는 지적이 있다. 바로 암호화를 했더라도 복호화해서 볼 수 있는 권한자가 외부로 파일을 빼내가면 그만인 것이다.


암호화는 권한이 없는 자가 접근하는 것을 막는 것이지만 소만사에서 말하는 내부정보유출방지는 권한자가 내부정보를 외부로 유출하는 것을 차단하고 그 과정을 모니터링해 사전·사후 감사를 한다는 것이다.


그래서 소만사의 내부정보유출방지 솔루션들은 한번 기술유출사고가 났던 곳에서는 두말하지 않고 도입하는 편이다. 그만큼 강력한 통제력을 가지고 있기 때문에 군이나 기술집약적인 첨단 제조공장 등에서 도입율이 높다.


한번 정보유출 사고난 업체는 적극 도입

다만 처음 도입을 고려하는 기업에서는 간혹 보안의 강도면에서 직원들과의 마찰을 우려해 도입을 꺼려하는 경우도 있다. 하지만 기업의 존립은 기술과 인재가 만나 영속성을 만들어가는 것이다. 특히 향후 기술집약적 산업이 발전하면서 자사 기술정보에 대한 보안니즈는 더욱 증가할 것으로 전문가들은 전망하고 있다. 그런 점에서 소만사 내부정보유출방지 솔루션군(Mail-i, Msg-i, DB-i, Print-i, Usb-i, TruAccess)들은 기업 보안담당자에게 상당한 매력으로 다가오고 있다. 

  

또한 내부정보유출방지 법안도 마련됐다. 지난 2006년 12월 미국에서는 ‘이 디스커버리’법안이 발표됐다. 기술유출 관련 소송이 발생하면 기업은 120일 이내에 최소 3~4년간의 모든 이메일 자료와 관련 데이터를 법원에 제출해야 한다는 것이 골자다.


현재 미국과 거래하는 한국의 글로벌 전자회사들은 이 법안이 현실로 다가오고 있으며 국제 특허분쟁이나 기술유출관련 분쟁이 발생했을 때 이들 법안에 충족하는 데이터를 제시해야만 한다. 그렇지 않으면 분쟁에서 이길 수 없다. 즉 기업들도 3~4년 정도의 내부 직원들의 메일과 모든 작업 데이터를 보유하고 있어야 한다는 것이다.


국내에서도 금융감독원 권고안으로 금융분야에서 펀드 메니저들의 불법적인 정보교환을 방지하기 위해 이들의 메일과 메신저 등에 대한 정보를 보유할 것을 권고하고 있다. 이를 위해서 금융기관은 아주 정교한 로그저장 기반 시스템을 운영해야 한다. 소만사 ‘DB-i’의 강점은 바로 이러한 정보유출 관련 법안에 필요한 모든 데이터를 모니터링하고 저장하는 기능을 가지고 있어 혹시라도 발생할 법정 분쟁에서 기업이 유리한 증거를 확보할 수 있도록 지원하고 있다.


또한 강력한 전자금융거래법만 봐도 사고로 인해 고객의 돈이 유실됐을 때 은행이 자기들은 아무런 과실이 없다는 것을 증명해보여야 한다. 만약 그렇지 못하면 은행은 고객에게 배상을 해줘야 할 판이다. 즉 디지털 증거확보를 해 놓지 않으면 금융기관들이 곤혹스러운 일들을 당할 수밖에 없는 상황이다.


현재 소만사는 김국현 변호사와 박진식 변호사, 노현철 변호사 등을 위촉해 내부정보유출방지·개인정보보호·이 디스커버리 등의 분야에 대한 법적 자문을 받고 있다.


현재 DB보안 문제점, 우회경로에 대해선 나몰라라

이 대표는 “현재 DB보안에는 허점이 너무 많다. 오직 내부개발자·DB에이·협력업체 인력 등의 DB 접근을 막고 로그를 남기는데 그치고 있다”고 밝히고 “공격자들은 항상 우회경로를 찾는다. 만약 웹서버를 경유해 DB를 접근한다면 기존 제품들로는 로그기록이 남지 않는다. 즉 무용지물인 것이다. 수많은 우회경로를 파악하고 이들에 대한 철저한 대비가 없으면 DB보안은 형식적이고 돈만 낭비하는 것일 뿐”이라고 강조했다. 


또 그는 “소만사는 10년간 그 우회경로에 대해 연구하고 그것을 제품에 지속적으로 도입하고 있다”며 “뿐만 아니라 자체 감사 기능도 추가해 보안담당자나 보안제품 자체에 대한 로그도 남겨 최후의 공격자가 될 수 있는 보안담당자 마져도 감사를 실시하는 감사기능을 수행하도록 프로그래밍돼 있다”고 덧붙였다.


소만사, 올해 공공시장과 해외시장 개척에 올인

올해 소만사가 가장 신경을 쓰는 부분은 바로 해외 시장 개척부분이다. CC인증으로 공공분야 진출도 올해 큰 사업분야에 속하지만 해외로 나가서 결과물을 들고 올 수 있는 기업으로 성장시켜 나가고 싶다는 김대환 대표.


그는 “내년에는 국내 공공시장 본격 진출과 해외시장 확대에 따라 대략 90억 원 정도를 연 매출액 목표로 잡고 있다”며 “이 분야 국내 1위업체로 올라서고 해외에서도 꾸준히 성과를 낼 수 있는 내실있는 기업으로 성장해갈 것”이라고 말했다.


한편 소만사는 오는 1월 말, 정보통신부에서 수여하는 ┖신소프트웨어 상품대상┖에서 정통부 장관상인 ┖장영실상┖ 수상 기업으로 선정된바 있다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>