2020-10-22 20:50 (목)
[2015 보안기업 CEO 인터뷰] 조규곤 파수닷컴 대표
상태바
[2015 보안기업 CEO 인터뷰] 조규곤 파수닷컴 대표
  • 길민권
  • 승인 2015.02.24 00:53
이 기사를 공유합니다

“SW는 도입 이후 관리가 더 중요…유지관리 적정 요율로 선순환 구조 만들어야”
파수닷컴(대표 조규곤. 사진)은 지난해 영업이익이 16억 5461만원으로 전년 대비 16.1%늘었다. 매출액은 231억 3289만원으로 8.3% 증가했고 당기순이익은 22억 7540만원으로 26%가 확대됐다.
 
조규곤 대표는 “국내 정보보안 관련 투자는 미국, 영국 등 선진국에 비해 크게 저조하다. 실제로 한국인터넷진흥원이 조사한 자료에 따르면 IT 예산의 5% 이상을 보안에 투자하는 국내 기업은 전체의 2%에 불과한 반면, 미국과 영국 기업들 중 IT 예산의 5% 이상을 보안에 투자하는 비율은 각각 40%, 50% 수준인 것으로 조사됐다”며 “정보보호 투자는 그에 대한 성과를 당장 눈으로 확인할 수는 없다. 하지만 더 큰 손해를 막기 위해서는 지금부터라도 정보보안에 대한 보다 적극적인 투자가 이루어져야 한다”고 강조했다.
 
데일리시큐는 파수닷컴 조규곤 대표와 지난해를 정리하고 올해를 어떻게 준비하고 있는지 들어보는 시간을 가졌다. 다음은 조 대표와 인터뷰 내용이다.
 
◇지난해 파수닷컴을 뒤돌아 본다면
2014년 한해도 각 분야에서 대규모의 보안 사고들이 끊임없이 발생하면서 개인정보를 포함한 중요정보 유출에 대한 우려가 더욱 확산되고, 이에 대한 해결 방안을 모색하는데 집중했던 해로 보인다.
 
대부분 해커 등 외부 침입에 의해 보안 사고가 발생했던 이전과 달리, 2014년은 내부직원이나 협력업체 등 권한이 있는 내부자에 의한 굵직한 보안 사고가 이어지면서 내부자에 의한 보안 위협이 시장의 화두로 자리잡고 있다. 내부자에 의한 보안 사고는 통제가 어렵고, 중요 정보가 유출되더라도 사고를 인지하기까지 많은 시간이 걸릴 수 있어 어떤 보안 위협보다 큰 위협이 될 수 있다. 내부자에 의한 정보 유출을 방지할 수 있는 방안으로 데이터 자체에 대한 암호화에 시장의 관심이 쏠리고, 이에 대응하는 최적으로 기술로 DRM 기술이 부각되면서 파수가 보유한 DRM 기반의 내부데이터 보안 솔루션, Fasoo Enterprise DRM에 대한 도입이 더욱 활발하게 진행되었다.
 
또한 시큐어코딩의 법적 의무화가 2014년에는 20억 이상의 공공정보화 사업으로 의무화대상이 확대되면서 공공기관의 도입 니즈가 2013년 대비 크게 증가했다. 파수닷컴은 업계 최초로 시큐어코딩 진단도구 CC(Common Criteria, CC)인증을 획득한 SPARROW(스패로우)를 통해 2014년 공공판매 1위를 달성하며 시큐어코딩 시장을 선점해오고 있다. 현재 스패로우는 공공 기관 외에도 금융, 의료 등 다양한 레퍼런스를 확보하고 있으며, 시큐어코딩 시장 진출에 더욱 박차를 가하고 있다.
 
국내뿐만 아니라 전 세계적으로 정보 유출 사고 증가 및 데이터 보안에 대한 수요가 높아지면서, 미국, 일본, 중국, 인도, 아프리카 등에서도 실질적인 매출을 이끌어냈다. 특히 2014년에는 IBM ECM(Enterprise Content Management)에 파수의 EDRM(Enterprise DRM)을 연동하여 제공하는 솔루션을 통해 금융권에 약 10억원 규모의 수주 계약을 체결 한 바 있으며, 이를 시작으로 해외 매출이 본격적인 성장 궤도에 오를 것으로 보고 있다.
 
◇파수닷컴 주력 솔루션에 대해 간단한 소개와 해당 분야의 지난해 시장 현황은 어땠나
2014년 한 해 동안 금융, 통신, 의료, 제조, 국방, 교육 등 전방위적으로 대규모의 개인정보 유출 사건이 연이어 발생하면서 보안 문제에 대한 현실이 적나라하게 드러났다. 해킹으로 인한 유출뿐만 아니라 내부자에 의한 고의적인 정보 유출 사고가 증가하면서 애플리케이션 단계에서의 보안은 물론 데이터 보안에 대한 관심도 꾸준히 높아지고 있는 상황이다. 파수닷컴은 지난 한해 내부자에 의한 데이터 보안 방안으로 Fasoo Enterprise DRM(파수 엔터프라이즈디알엠), 해킹에 대비하기 위한 보안 방안으로 어플리케이션 단계에서 보안을 제공하는 시큐어코딩 진단도구, SPARROW(스패로우)로 데이터 보안과 어플리케이션 보안 시장을 선도해 오고 있다.
 
-Fasoo Enterprise DRM(파수 엔터프라이즈 DRM)
파수의 가장 대표적인 솔루션인 Fasoo Enterprise DRM은 중요 정보를 담고 있는 데이터 자체를 암호화하고 사용자 별 세분화된 권한제어를 통해 내부 또는 외부의 보안 위협으로부터 유출을 방지하는 내부 데이터 보안 솔루션이다. 문서가 생성된 후 클라우드, 모바일 등의 다양한 플랫폼 및 PC, 프린터, 이메일 등의 각종 엔드포인트를 아울러 데이터가 이동하는 모든 경로에서 지속적이고 근본적인 보안 환경을 제공한다.
 
암호화된 파일은 사용자가 보유한 권한 범위 내에서만 이용하도록 통제하므로 외부 사용자는 허가된 권한에 따라서만 문서 사용이 가능하며 권한이 없는 사용자는 열람 자체가 불가능하다. 따라서 사용자의 실수 또는 고의에 의해 데이터가 유출되더라도 DRM 암호화가 유지된 상태로 유통되기 때문에 정보 유출을 막을 수 있다.
 
-SPARROW(스패로우)
스패로우는 개발 보안(시큐어코딩)과 품질을 모두 만족시키는 실행 의미 기반의 정적 분석 도구로, 뛰어난 검출력과 낮은 오탐율을 바탕으로 소스코드 내의 취약점뿐만 아니라 치명적인 오류까지 검출이 가능하다. 실제 적용 가능한 코드 제안(Active Suggestion) 기능을 통해 검출된 보안 약점을 수정하는데 필요한 비용과 시간을 획기적으로 절약 할 수 있다. 
 
스패로우는 세계적으로 공신력 있는 정보보안 어워드 ‘인포시큐리티 글로벌 엑설런스어워드’에서 취약성 평가 부문 금상을 수상하며 국내 시장은 물론 글로벌 시장에서도 경쟁력을 확보하였다. 또한 작년 2월 GS인증을 통해 품질에 대한 우수성을 검증 받았으며, CWE(Common Weakness Enumeration) 인증을 획득하여 파수닷컴의 기술력과 신뢰성을 인정받은 바 있다.
 
◇보안사고가 많이 발생했음에도 불구하고 보안시장이 성장하지 못하는 원인은 어디에 있다고 생각하나
크고 작은 보안 사고들이 발생할 때마다 사고를 막을 수 있는 방안을 수립하는 데 집중되고 있으며, 최선의 방안이 마련되기 전까지는 어떠한 액션도 취하지 않거나 못하는 경우가 대부분이다. 보안대책이 나올 때까지 아무것도 하지 않는 것이 아니라 보안을 위한 예산부터 올려놓고, 이에 맞는 최선책을 찾아야 발 빠른 대응이 가능하다. 예를 들어 작년에 10억을 보안을 위한 예산으로 책정했다면 올해는 예산을 보다 확대해 꾸준히 증가하는 보안 위협에 맞는 신속한 솔루션 도입 및 관리 방안을 마련해야 한다. 보안에 대한 적극적인 투자가 이루어져야 보안 시장도 함께 성장할 수 있을 것으로 보인다.
 
◇파수닷컴 솔루션을 사용해야 할 기관/기업 담당자에게 당부하고 싶은 점은
현재 기업 및 기관들이 다양한 해킹 방지 솔루션을 적용하고 있지만 APT 공격 등으로 고도화 되는 해킹을 100% 막기는 힘든 것으로 보고 있다. 따라서 이러한 해킹을 통해 발생할 수 있는 정보유출에 대한 대책은 반드시 마련되어야 한다. 해킹을 통한 유출사고들의 가장 큰 문제는 실제로 어떤 정보가 얼마나 유출 되었는지조차 파악하기 어렵다는데 있다. 공개된 정보 유출 외에도 더 큰 위협이 있을 수 있을 수 있기 때문이다.
 
해킹을 통한 정보 유출을 방지하기 위해서는 중요 정보를 담고 있는 문서 자체에 대한 통제가 반드시 필요하며, DRM 솔루션이 가장 강력하게 데이터를 통제할 수 있는 솔루션으로 현재 기업 및 기관들에 적용되고 있다. DRM 암호화가 적용된 파일은 해킹을 통해 문서가 유출되더라도 권한이 있는 사용자만 암호화된 데이터에 접근할 수 있어 정보 유출을 방지할 수 있다. 정보유출 방지를 위한 방안으로 망 분리나, 문서중앙, 단순암호화 등의 솔루션이 시장에 제안되고 있지만 사용성이나 보안부분에서 여전히 빈틈이 존재 할 수 있어, 이러한 솔루션 도입이 되더라도 DRM은 필수로 적용되어야 하는 데이터 보안의 기본이다.  
 
이러한 강력한 데이터 통제를 통한 보안 방안과 함께 고려되어야 하는 부분은 바로 철저한 관리 부분이다. 도입한 보안 솔루션을 제대로 작동하고 있는지, 권한이 있는 사용자가 이상 행동을 보이고 있지는 않은지, 암호화가 해제된 채로 유통되고 있지는 않은지 등에 대한 실시간 현황파악과 관리, 즉 데이터 거버넌스가 함께 이루어진다면 해킹 또는 2014년에 보안 화두였던 내부자에 의한 위협에도 정보를 안전하게 보호할 수 있다.
 
◇올해 보안시장에 거는 기대와 저성장을 탈피할 수 있는 방안이 있다면
지난해 10월에 발생한 소니픽쳐스의 최신 개봉작 및 미개봉 영화, 약 5만여 건의 개인정보 유출을 비롯하여 지난해 말에는 한국수력원자력의 원전 도면을 포함한 내부 자료가 유출되었다. 지난 주말 미국의 의료보험업체인 앤섬에서 약 8천만명의 정보가 유출되는 등 대규모의 정보 유출 사고가 이어지면서 전 세계적으로 보안 위협이 고조화되고 있다. 이에 따라 정보보호 솔루션에 대한 중요성은 더욱 커져가고 있지만, 소프트웨어 가치 인식 부족, 소프트웨어 제값주기 미흡 등으로 시장 활성화가 제대로 이루어지지 않고 있다.
 
그 동안 국산 소프트웨어는 8%대의 낮은 유지관리 요율을 적용 받았으며 제품 도입 후 첫 해는 무상 기간으로 여기는 경우도 있었던 반면, 외산 소프트웨어는 평균 22%의 유지관리 요율을 적용 받았다. 소프트웨어 제품은 도입 이후의 관리가 더 중요한 만큼 유지 관리에 대한 적정한 대가를 받을 수 있는 시장 환경이 조성되고, 소프트웨어 공급자는 이를 제품에 재 투자하여 제품 경쟁력을 높임으로서 시장이 선순환 될 수 있는 구조로 재 개편이 되야 할 것으로 보인다.
 
◇정보보호 책임자들에게 전할 당부의 말이 있다면
아직까지도 많은 기업이나 기관에서는 정책이나 규제를 따르기만 하면 보안 사고가 발생하여도 책임을 피할 수 있다는 생각에 정보보호를 투자가 아닌 비용으로 인식하고 있다. 연이은 보안사고로 인해 정보보호의 중요성에 대한 경각심은 고조되었지만, 보안이 수익에 직결되지 않아 우선순위에 밀리고 있으며 정보보호 예산을 편성하는데 인색하다. 실제로 국내 정보보안 관련 투자는 미국, 영국 등 선진국에 비해 크게 저조하다. 실제로 진흥원이 조사한 자료에 따르면 IT 예산의 5% 이상을 보안에 투자하는 국내 기업은 전체의 2%에 불과한 반면, 미국과 영국 기업들 중 IT 예산의 5% 이상을 보안에 투자하는 비율은 각각 40%, 50% 수준인 것으로 조사됐다.
 
정보보호 투자는 그에 대한 성과를 당장 눈으로 확인할 수는 없다. 하지만, 더 큰 손해를 막기 위해서는 지금부터라도 정보보안에 대한 보다 적극적인 투자가 이루어져야 한다.
 
◇올해 파수닷컴 목표와 새로운 변화 포인트는 무엇인가
파수닷컴이 가장 잘 하고 있는 분야인 데이터 보안과 애플리케이션 보안 분야에서 IT환경과 시장의 요구사항을 반영한 업그레이드 제품을 통해 괄목할만한 매출 성과를 기대하고 있다. 또한 보안이 아닌 기업의 업무 생산성을 높여주는 제품과 B2C 대상의 클라우드 서비스를 본격적으로 선보이는 등 사업다각화를 통해 ‘2020년 글로벌 100대 소프트웨어 기업’으로의 비전을 달성해 나가고자 한다.
 
◇직원들에게 전하는 한마디
파수닷컴의 제품과 조직 내의 링크 극대화를 통해, 파수와 임직원 모두의 비전과 목표를 달성 할 수 있는 한 해가 되었으면 한다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com