"SW=공짜" 안일한 인식이 禍 키워<BR>포털서도 기업용 구매 외면해 악성코드 감염<BR>보안업계 갈수록 수익성 악화로 성장 정체<BR>대형업체 과도한 시장지배도 문제…상생 필요
SK커뮤니케이션즈 해킹사태로 국내 IT업계의 취약한 보안체계와 불감증이 다시 도마에 오르고 있다. 극에 달하고 있는 인터넷·통신 사용자들의 개인정보 유출 불안을 해소할 전방위적 대책이 필요한 시점이다. 이에 따라 앞으로 3회에 걸쳐 국내 보안체계 문제점을 집중 분석하고 개선책을 모색하고자 한다.
이제 국내에서 해킹의 성역은 없다. 돈이 오가는 금융기관과 상품을 거래하는 오픈 마켓에 이어 국내 인터넷 이용자 대부분이 가입한 포털 사이트도 공략대상이다. 최근에는 보안업체의 서버마저 해커들의 공격에 노출돼 있다.
◇IT업계의 불감증 화 키운다 = 많은 전문가들은 고도화되는 해킹기술, 투자에 인색한 국내업체, 해킹과 관련한 정부의 솜방망이 처벌을 이유로 꼽는다.
하지만 SK컴즈의 해킹 사태를 살펴보면 국내 보안 업체가 처한 열악한 현실을 단번에 파악할 수 있다. 경찰에 따르면 SK컴즈 해킹 사태는 이스트소프트가 제공하는 무료 소프트웨어(SW)인 '알툴즈'와 관련이 깊다. 즉 SK컴즈에서 서버를 관리하는 직원이 알집, 알약, 알송 등을 제공하는 알툴즈라는 소프트웨어를 내려받은 뒤 업데이트 과정에서 악성코드에 노출, 이후 좀비 PC가 됐다는 것이 경찰의 추정이다. 기업PC 이용자가 기업에서 이용할 수 없는 공개용 소프트웨어를 이용하다 3,500만 명이라는 개인정보가 유출된 셈이다. 알툴즈와 같은 공개용 소프트웨어를 기업이나 영리기관에서 이용하려면 기업용 제품을 따로 구매해야 하며 그렇지 않을 경우 저작권법 위반에 해당한다.
결국 SK컴즈 직원은 저작권법을 위반한 채 무심코 공개 소프트웨어를 사용했으며 이를 통해 악성코드에 감염된 것으로 보인다. 이스트소프트는 알툴즈를 기업용과 개인용을 구별해 판매하고 있으며 이중 기업용은 개당 9만9,000원이다. 이스트소프트가 개인에게 무료로 공급하는 알툴집의 경우 광고를 통해 수익을 내고 있지만 이는 매출에서 차지하는 비중이 매우 낮다. 결국 기업용 제품을 통해 수익을 낼 수밖에 없는 구조다.
이스트소프트에 따르면 국내 주요 포털 중 네이버나 SK컴즈는 기업용 제품을 구매하지 않았다. 네이버는 최근 자사 직원들에게 PC에 설치된 알툴즈를 삭제하라고 지시한 바 있다. ◇'SW=공짜'인식, 국내 보안 사업 멍든다= 소프트웨어가 무료라는 인식이 화를 부르고 있다. 지난 3.4 서비스분산거부(DDoS) 사태 때도 마찬가지다. 당시 해커들은 국내의 파일공유사이트(P2P) 사이트를 통해 악성코드를 전파한 바 있다. 대부분 P2P 사이트에서 오가는 파일은 불법 파일로 정당한 콘텐츠 이용료를 내지 않은 것이 대부분이다. 결국 무료 콘텐츠를 이용하려다 자신의 PC를 좀비PC로 만들고 국내 SW산업에도 타격을 준 셈이다.
소프트웨어가 공짜라는 인식은 국내 보안업체의 성장을 막아 보안 인력들이 업계를 떠나게 하는 요인으로 작용한다.
국내 대표 보안업체 안철수연구소는 지난 3년간 연간 매출이 600억원 대에 불과하다. 성장이 정체된 국내 보안업체들은 해외진출에 마지막 희망을 걸고 있는 형편이다. 김홍선 안철수연구소 대표는 "국내와 달리 미국 등지에서는 백신과 같은 소프트웨어를 돈을 내고 사는 문화가 정착돼 있다"며 "향후 국내 보안사업 성장을 위해선 소프트웨어를 돈주고 구입해야 한다는 인식이 확산되고 보안 인력에 대한 처우가 개선될 필요가 있다"고 밝혔다.
◇대형 SI 업체에도 치이는 현실= 삼성SDS, LG CNS, SK C&C 등 대형 시스템통합(SI) 업체들의 과도한 시장 지배력도 문제로 꼽힌다. 이들 SI 업체가 인프라 구축 사업을 할 경우 보안관제나 개인용 백신과 같은 사업은 보안업체에게 외주를 주는 것이 일반적이다. 이러한 외주업체 공개 모집 시 경쟁이 과열돼 중소 보안업체는 출혈경쟁까지 불사한다. 이 때문에 30% 대가 넘는 영업이익률을 보이고 있는 게임이나 포털들과 달리 보안 업체들은 고작 10%내외에 불과하다. 몇몇 업체는 생존마저 위협받는 실정이다. 이러한 상황 속에서 중소 보안업체에서 대형 SI 업체로 자리를 옮기는 연구원도 쉽게 찾아볼 수 있다. 한 보안업계 관계자는 "대형 SI 업체도 장기적으로 보안업체와 관계를 유지해 상생을 추구할 필요가 있다"며 "국내에서는 왜 시만텍이나 맥아피 같은 대형 보안 업체가 나타나지 않는 지에 대한 고민이 필요하다"고 밝혔다.
