Home > 전체기사 > 기획특집
[정보보호 20년史] 월드컵 4강 신화 만든 2002년, 정보보호도 해외진출 시동
  |  입력 : 2019-04-29 11:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국정보보호산업협회 20년사를 통해 본 한국 정보보호 20년 역사
2001년, ISMS 인증과 CC 인증제도 첫 출발...정보통신기반시설도 89곳 지정
KISIA, 정보보호 업계의 해외진출 적극 지원...국내외 전시회 등 참가 뒷받침


한국 정보보호 업계를 대표하는 한국정보보호산업협회(KISIA, 회장 이민수)가 꽃다운 나이 만 스무 살을 지나고 있다. 아직 완전하진 않지만 무한한 가능성과 희망으로 가득 찬 20살이라고 할 수 있다. 이를 기념하고자 지난 20년 동안의 정보보호산업과 함께 한 협회의 역사와 활동, 그리고 산업의 흐름을 모아 ‘한국정보보호산업협회 20년사’가 발간됐다. KISIA 20년사는 ‘이슈로 살펴본 정보보호 20년’이라는 주제로 KISIA의 역사와 함께 한 정보보호의 역사 20년을 되짚어보고 국내 정보보호산업의 발전방향을 전망하는 ‘읽을거리’가 풍성한 역사서로 제작됐다. 이번 KISIA 20년사의 기획·제작에 참여했던 <보안뉴스>는 KISIA의 동의를 얻어 20년사에 담긴 정보보호 역사의 생생한 현장을 주 1회 연도별로 소개하는 특별기획을 마련했다. [편집자주]

▲한일 월드컵 4강 신화를 달성했던 2002년[이미지=iclickart]


[보안뉴스 권 준 기자] 2002년은 우리나라와 일본이 공동 주최한 2002년 한·일 월드컵에서 4강 신화를 이룬 역사적인 해였다. 국내 정보보호 산업도 ‘내수용’이라는 오명을 벗기 위해 해외 진출에 본격적인 시동을 건 한 해였다. CC 인증 평가의 본격적인 도입을 추진했고, 일본, 영국 등 해외시장에서의 성과도 하나둘씩 나타나기 시작했기 때문이다. 그 당시만 해도 걸음마 단계였지만, 우리나라 정보보호 기술이 해외에서 인정받을 수 있다는 것을 보여주면서 업계에 주는 파급력이 적지 않았다는 평가를 받았다.

정보통신망법 개정, 이메일·휴대폰 등에 ‘광고’ ‘수신거부’ 표시 의무화
2002년 정보통신부에서는 당시 이메일에만 권고사항으로 되어 있는 ‘광고’, ‘수신거부’ 등의 표시의무제도를 휴대폰과 팩스에까지 확대 적용하고, 스팸메일 등을 보내면서 발신자 연락처를 밝히지 않거나 허위로 적으면 형사처벌할 수 있도록 「정보통신망법」을 개정했다.

이는 이메일, 휴대폰 등 다양한 정보통신 서비스가 값싸고 편리한 마케팅 수단으로 활용되면서 스팸메일처럼 수신자가 원치 않는 광고성 정보가 마구 보내져 개인 사생활이 침해되는 등 인터넷 비즈니스의 발전에 걸림돌이 되고 있다는 지적이 제기된 데 따른 것이었다. 특히, 한국정보보호진흥원에 설치된 개인정보침해신고센터와 업계, 시민단체, 검·경, 정보통신윤리위원회 등 관계기관이 유기적으로 협력할 수 있는 체제를 구축해 불법 스팸메일 등을 신속하게 단속하고, 법률 위반자는 철저히 처벌할 수 있도록 함으로써 이용자들의 권리를 한층 강화했다.

이와 함께 정보통신부는 개인정보를 수집하는 정보통신 서비스 제공 사업자 등의 경우 개인정보보호방침을 이용자가 인터넷 홈페이지 첫 화면에서 손쉽게 확인할 수 있도록 해야 하고, 개인정보보호방침 중 중요사항을 바꿀 때는 인터넷 홈페이지 등으로 이를 알려야 하는 등 정보보호에 관한 절차·방법·요건 등을 구체적으로 담은 ‘개인정보보호지침’을 고시했다. 특히, 당시 발표한 고시에서는 개인정보가 위법하게 침해되거나 공개되지 않을 권리, 개인정보를 자율적으로 통제할 수 있는 권리보장 등 개인정보 수집·이용·제공 또는 관리기준이 되는 ‘개인정보보호 일반원칙’을 신설했다. 또한, 정보통신부는 인터넷 쇼핑몰을 이용하는 개인의 정보보호를 위해 ‘인터넷 쇼핑몰 개인정보보호 가이드라인’을 마련하는 등 개인정보보호 강화에 역점을 뒀다.

[이미지=iclickart]


국제 경쟁력 제고 위한 국내 정보보호산업 지원계획 발표
당시 정보통신부는 국내 정보보호산업의 국제 경쟁력을 제고하기 위해 2002년에 약 50억원의 예산을 투입해 정보보호산업체의 기술개발과 해외시장 진출을 지원한다는 내용의 ‘정보보호산업 지원계획’을 발표했다. 지원계획에는 한국정보보호진흥원 내에 설치되어 있는 Test-Lab의 활용 지원과 생체인식 연구용 DB 구축, 그리고 정보보호산업의 해외진출을 위한 각종 지원방안 등이 포함됐다.

이 가운데서도 당시 정보통신부가 의욕적으로 추진했던 사업은 정보보호산업의 해외수출 지원사업이었다. 해당 지원사업에는 ‘해외 전시회 참가지원’과 ‘해외시장 및 기술동향 조사’, 그리고 ‘정보보호 포털 사이트 구축’ 등이 핵심이었다. 우선 해외 전시회 참가지원사업의 경우, 국내 정보보호업체와 생체인식업체, 전자지불결제업체 등이 해외 전시회에 참가할 경우 참가비의 일부를 국가가 지원하는 방법이었다. 또한, 해외 정보보호 시장 및 기술동향 조사를 위해 한국정보보호진흥원이 해외 지사망을 갖춘 전문 리서치 기관과 조사용역 계약을 체결, 조사를 실시함으로써 해외조사의 효율성을 강화할 수 있도록 했다.

마지막으로 ‘정보보호산업 포털사이트 구축’ 사업은 국내 정보보호 업체들이 대부분 브랜드 인지도가 낮아 해외 바이어들이 국내 산업체들에 대해 필요한 정보를 적시에 제공받기 어렵다는 점에 착안해 실시됐던 것으로, 한국정보보호진흥원의 정보보호산업지원센터 내에 영문 및 한글 ‘정보보호산업 포털 사이트’를 구축해 정보보호업체에 대한 정보를 체계적으로 지원함으로써 국내기업의 해외시장 확보를 지원한다는 취지로 진행됐다.

ISMS 인증과 CC 인증의 첫 출발, 정보보호 수준·제품 평가하다
2002년에는 정보보호 분야에 있어 또 하나의 중요한 제도, 현재까지도 ‘뜨거운 감자’가 되고 있는 정보보호관리체계(ISMS) 인증제도가 첫 출발을 한 해였다. 정보통신부에서 민간분야의 정보보호 수준을 제고하기 위해 정보통신서비스제공자 등을 대상으로 정보보호관리체계를 심사·인증해 주는 ‘정보보호관리체계 인증제도’를 시행하기 시작한 것이다.

‘정보보호관리체계 인증제도’란, 한국정보보호진흥원(KISA) 책임 하에 개별기관이 자신이 처한 정보보호 환경에 대응해 효율적인 정보자산 보호를 위해 수립·운영하고 있는가를 정보통신부의 인증심사기준에 맞춰 심사·인증해 주는 제도다. 첫 시행 당시 인증 대상기관은 정보통신서비스제공자로서 전기통신사업법상의 전기통신사업자 및 영리를 목적으로 전기통신 역무를 이용해 정보를 제공하거나 매개하는 자와 정보통신서비스제공자로부터 업무의 일부를 아웃소싱 받아 시설을 운영하는 자 및 IDC 등 정보통신서비스제공자에게 물리적 시설을 제공하는 자 등이 포함됐다.

인증심사의 내용은 신청기관이 당면하고 있는 정보보호 환경을 고려하여 수립·운영하고 있는 물리적·기술적·관리적 보호조치들을 심사해 심사기준에 적합한지 여부를 판단했다. 심사결과에 대한 인증 여부는 한국정보보호진흥원 내에 학계, 연구기관 등의 전문가로 구성된 인증위원회의 심의를 거쳐 결정됐다.

일반 기업의 정보보호 수준을 평가하는 ISMS 인증에 이어 2002년 정보보호 업계를 들썩였던 또 하나의 화두는 바로 CC(공통평가기준) 기반의 보안제품 평가 도입이었다. 2001년부터 꾸준히 업계 관계자를 비롯한 세인들의 입에 오르내렸던 CC 기반의 보안제품 평가가 마침내 시행됐던 것이다. 제품별로 고시되는 국내 평가기준이 급변하는 정보보호 기술의 발전추세와 다양한 평가수요를 제대로 반영하지 못하고, 대부분의 IT 선진국이 가입한 CCRA 협정이 향후 정보보호 제품의 국제거래에서 사실상의 교역장벽으로 작용할 것이라는 전망에 따라 그동안 도입이 검토됐던 CC 기반의 평가기준은 정보보호 제품의 보안성 평가 작업에 대한 정보통신부와 국가정보원 간의 의견조율이 이루어지면서 도입이 결정됐다.

이와 함께 2002년에는 정보통신기반시설이 89곳 지정됐다. 정보통신기반보호위원회에서는 상반기 지정된 23개 시설에다 후반기에 재정경제부 19개, 금융감독위원회 39개, 산업자원부 3개, 건설교통부 4개, 국회 1개 등 모두 54개 기관 등 66개를 추가 지정함으로써 정보통신기반시설이 총 89곳으로 늘어났다.

국내 약 4,300여 서버 시스템 피해 입은 대규모 해킹 사건 발생
2002년에는 국내를 대상으로 한 해외 해커들의 대규모 사이버 공격 사건이 드러나 큰 파장이 일기도 했다. 당시 경찰청 사이버테러대응센터에서는 국내에서 일어난 해킹 사건을 추적하던 중 해외 해커들의 공격 루트를 발견해 수사한 결과 국내 약 4,300여 서버 시스템이 이곳을 경유지로 사용한 20여명의 해커들에 의해 피해를 당한 것으로 파악된다고 밝혔다.

2003년 1.25 대란이 발생하기 전까지 최대 규모로 집계된 해당 사건의 피해 시스템에는 공공기관과 정부출연 연구기관은 물론, 정보보호 업체도 7곳이 포함되어 있는 것으로 드러나 충격을 더했다. 피해를 입은 약 4,300여개의 국내 서버 시스템 가운데 공공기관 168곳을 비롯해 국내 최대 규모의 인터넷 업체에서 관리하는 메일서버와 접속상황 DB서버, 정보 인프라 구축관련 정부출연 연구기관의 개발 서버, 정보보호업체 7곳, K4 침입차단 시스템이 설치된 지자체 구청의 보안관리 시스템도 포함되어 있었다. 확인된 20여명의 해커들을 추적한 결과 이들은 2001년 8월부터 2002년 3월까지 전 세계에 걸쳐 11,222곳의 서버 시스템을 해킹했고, 그 중 우리나라로 명확히 피해지가 확인된 시스템은 피해지 확인이 가능한 시스템 전체(6,387건)의 39%(2,497건)를 차지하고 있어 우리나라가 단연 최대 피해 국가였던 것으로 집계됐다.

사이버테러대응센터에서 발표한 ‘피해 시스템 4,300여개’라는 수치는 실제 이 비율로 계산했을 때 추산되는 서버의 개수를 의미했다. 더욱이 사이버테러 대응센터에서 표본조사한 70여 개소의 피해 시스템 중 4곳을 제외하고는 피해사실조차 알지 못하고 있었으며, 정보통신망 보안을 책임지는 정보보호업체를 비롯해 공공기관, 연구기관 등 30여 곳의 경우에는 침입차단 및 탐지 시스템 등 첨단의 보안 시스템이 설치되어 있었음에도 불구하고 피해를 입은 것으로 나타났다.

가장 해킹을 많이 하는 나라라는 불명예를 안고 있던 우리나라는 해당 사건으로 인해 ‘세계 최대의 사이버 블랙홀’이라는 오명도 함께 듣게 됐다. 이 같은 사실을 반영하듯, 당시에 외국 일부 시스템에서 아예 우리나라에서 인터넷을 통해 접속조차 하지 못하도록 막아버리는 사례까지 발생했다.

정보보호 관련 협회·단체의 잇따른 출범
다양한 종류의 정보보호 솔루션 가운데 2002년에는 운영체제 자체에 보안기능을 추가한다는 개념에 착안한 SecureOS가 국내외 차세대 정보보호 핵심 인프라로 부상했다. 이러한 상황에서 SecureOS 전문업체인 시큐브 홍기융 대표를 초대의장으로 추대한 ‘SecureOS 포럼’이 공식 출범했다. 특히, SecureOS 포럼의 경우 해당 분야에서는 세계적으로도 처음 결성됐다는 점에서 당시에도 큰 관심을 받았다. SecureOS 포럼은 국가 IT 기반구조의 안전과 신뢰성 확보 및 운영방안 연구, 기술개발 및 표준화 연구를 위한 분과위원회 활동, 컨퍼런스의 정례화 및 국제화 등 포럼의 국제화를 위한 다각적 활동, 그리고 사용자 및 커뮤니티 활성화를 위한 각종 지원활동 등을 전개했다.

또한, 2002년에는 금융권 정보보호의 가치가 중요 사안으로 부각되면서 은행과 증권 및 보험사의 IT 인사들로 구성된 ‘금융정보보호협의회’가 창립총회를 갖고 본격 출범했다. 협의회는 금융부문에 필요한 정보보호 기준 및 정책개발 건의와 정부 또는 관련기관에서 발표하는 정 보보호정책, 적용방법 등을 시스템화하는데 역할을 담당했으며, 미국의 BITS(Banking Industry Technology Secretariat)와 같은 국제적 금융 시스템과의 연계와 제도적 지원을 통해 금융권 정보보호에 일익을 담당했다.

▲당시 국내 정보보호 업계가 가장 많이 진출했던 일본[이미지=iclickart]


정보보호 업계, 일본 등 해외진출 본격화
앞서도 언급했듯 2002년은 정보보호 업계에서 해외 진출에 대한 강력한 의지를 표명하면서 적극적인 행보를 펼쳤던 시기였다. 그럼에도 아쉬웠던 건 해외시장 대부분이 일본시장을 타깃으로 했다는 점이었다. 당시 정보보호 업체들의 해외시장 진출관련 보도자료 가운데 3분의 2가 넘는 수치가 일본시장 관련 내용이었을 정도다. 일본 외에도 가드텍이 영국에 60만 달러 규모의 수출을 성사시켰고, 퓨처시스템은 대만에 100만 달러, 시큐브는 싱가포르에 45만 달러 규모의 보안 솔루션 수출계약을 발표했다.

특히, 당시 국내 1위 기업이었던 안철수연구소(현 안랩)의 대대적인 일본시장 공략 소식은 큰 관심을 불러일으켰다. 안철수연구소가 2001년 120만 달러의 매출실적을 거둔 일본시장에서 유력업체와 제품공급 계약을 잇달아 체결했다. 이로 인해 당시 일본 바이러스 백신 시장의 터줏대감이었던 트렌드마이크로와의 날선 신경전도 벌어졌다.

이와 함께 당시 업계에서 가장 큰 관심거리 가운데 하나는 바로 ‘정보보호 전문업체’ 지정에 따른 정보보호 컨설팅 시장 확대 가능성이었다. 2001년 9개의 정보보호 전문업체가 지정된 데 이어 2002년 4개가 추가 지정됐고, 이들이 취약점 분석·평가업무를 맡게 되는 정보통신기반시설도 총 89곳이 지정됨에 따라 정보보호 컨설팅 시장이 활성화 조짐을 보였기 때문이다. 그러나 당시 정보보호 컨설팅 시장은 ‘부익부 빈익빈’이라는 표현이 꼭 들어맞을 정도로 업체 간 매출실적에 있어 편차가 매우 컸다. 더욱이 시장의 불경기가 지속되면서 이러한 편차가 더욱 두드려졌다. 특히, 전문업체를 유지하기 위해 보유해야 하는 컨설팅 전문인력은 적게 잡아도 15명인데, 몸값 비싼 이 인력들을 유지하는데 드는 비용이 결코 만만치 않은데다가 그에 따른 수익은 훨 씬 못 미치니 차라리 전문업체 간판을 반납하고 싶다는 업체들도 상당수 있었던 것으로 알려졌다.

2002년 정보보호 업계의 매출실적을 살펴봤을 때 금융시장 불안으로 어려움을 겪었던 상반기에 비해 하반기는 잇따른 해킹사고에 따른 투자 확대와 주요정보통신기반시설 추가 지정 등의 이슈로 인해 어느 정도 회복되는 양상을 보였다. 그럼에도 국가계약제도(최저입찰제)로 인한 업계의 과당 및 출혈경쟁 등 소위 ‘제살 깎아먹기’식 경쟁으로 하반기 실적이 기대만큼 높아지지 않았다는 점에서 아쉬움이 컸던 한해였다. 각 부문별로는 침입차단 시스템(방화벽), PKI 및 데이터 암호화, 침입탐지 시스템 (IDS), VPN, 안티바이러스 등의 순서로 매출이 높은 것으로 조사됐으며, 전체 정보보호 시장규모는 3,500억 원대로 조사됐다.

▲2002년 제5차 KISIA 정기총회 모습[사진=KISIA]


KISIA, 정보보호 업계의 해외진출을 적극 지원하다
2002년은 협회에서 2001년 처음 시작했던 정보보호산업 실태조사를 본격화하고, 정보보호 업체들의 해외 진출 지원에 많은 힘을 쏟았던 한해였다. 협회는 2001년 10월부터 조사한 국내 정보보호산업 시장조사 결과 및 2002년도 전망을 발표했다. 당시 조사 보고서에 의하면, 2001년 정보보호 분야 시장규모는 2,956억 원이며, 정보보호 업체들은 2002년의 경우 34.8% 성장한 3,986억 원 규모를 예측했다. 이와 함께 2002년 5월에는 정부·공공부문 정보보호산업 수요예보를 발표했다.

시장조사 결과와 관련해 당시 협회 정용섭 회장은 “정보보호시장이 지나치게 큰 규모인 것처럼 오해를 불러일으켰던 2001년 사례를 되풀이하지 않기 위해 올해 조사는 순수한 정보보호 매출 부문만 고려해 조사·분석을 거친 다음, 회원사들의 연말 최종 매출 집계를 다시 한 번 확인하는 신중함을 거쳤다”고 밝혔다. 또한, 정 회장은 “협회의 통계 발표가 업계뿐만 아니라 정부의 정책입안 자료로 직접 활용될 수 있도록 함은 물론, 더 나아가 코스닥 등 주식시장에까지 영향을 미치는 중요도를 감안해 최대한의 성의와 정성을 기울였다”고 덧붙였다.

2002년 협회의 주요 사업은 정보보호 산업의 적극적인 해외진출 지원과 각 분과위원회를 통한 실질적인 회원사 권익 증대로 요약될 수 있다. 이를 위해 국내외 전시회 및 관련 세미나를 정부의 정보보호산업 해외진출지원 정책과 연계해 지원규모를 늘리고, 협회의 위상 강화를 위한 다양한 프로그램을 추진했다. 이의 일환으로 ‘정보보호 해외시장 진출 전략 세미나’를 8월과 12월 2회에 걸쳐 개최하고 해외전시회에 참가하는 정보보호업체를 모집하는 역할을 담당했으며, 10월에는 ‘인터폴 국제컴퓨터 범죄회의’ 기간에 보안전시회를 열었다.

한편, 협회는 제5차 정기총회를 2002년 3월 아미가 호텔에서 열었다. 2001년 사업실적 및 2002년 사업계획, 임원의 추가 선임 등이 주요 안건으로 논의됐던 당시 총회에 는 특히 정보통신부 양승택 장관이 직접 참석해 정보보호산업계 지원을 위한 정부의 의지와 관심을 피력했다.
*해당 기사의 저작권은 한국정보보호산업협회(KISIA)에 있습니다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)