프레스
[2015 보안기업 CEO 인터뷰] 김대환 소만사 대표
2015-02-24
URL 복사
“임직원들의 노력과 19년간 소만사를 믿어준 고객들 덕분에 2014년 유종의 미를 거둘 수 있었다고 생각한다.”
소만사(대표 김대환. 사진)는 ‘소프트웨어를 만드는 사람들’의 약자로
개인정보보호법 준수를 위해 모든 기업, 공공기관이 도입해야 하는
개인정보보호 소프트웨어, 내부기밀유출방지(DLP) 소프트웨어, 악성코드 배포 및 저작권 침해사이트 등을 필터링 해주는
인터넷필터링 소프트웨어 전문기업이다.
또한 이 기업은 19년 무차입 경영기업으로 기술력과 건강한 재무구조 뿐만 아니라
사회적 기업으로서의 역할을 충실히 실천해 가고 있는 기업이다.
지난해 말 ‘가족친화인증기업’에 선정된 바도 있다.
다음은 소만사 김대환 대표와 인터뷰 내용이다. 지난해를 마무리하고 올해를 준비하는 김대환 대표의 이야기를 들어봤다.
◇소만사 주력 솔루션에 대한 간단한 소개와 지난해 시장 현황을 정리해 본다면
소만사는 개인정보 흐름에 따라 개인정보처리시스템에 대한 조회, (무단)저장, 외부공유/유출에 대한 통합보안시스템을 갖췄다.
개인정보 통합관제 서비스도 시작했다.
서버아이는 서버내 방치된 개인정보를 검출, 파기해준다.
상용화된 모든 서버플랫폼을 지원하고 50여개 이상 서버파일포맷을 검출한다.
공유폴더/디렉토리 방식의 보안 취약점이 없는 것이 특징이다.
웹키퍼는 악성코드배포, 불법사이트 접속을 차단하는 세이프브라우징 솔루션이다.
2014년 200만건 이상의 악성코드 배포사이트 차단목록을 추가했다.
2014년은 주민등록번호 수집금지의 해였다. 8월7일, 개인정보보호법에 따라 ‘주민등록번호 수집금지제도’가 시행되었다.
공공/민간사업자는 2016년 8월7일까지 ‘기보유 주민등록번호’를 전부 ‘파기’해야 한다.
정보통신망법은 이보다 2년 먼저 실시되어 이미 ‘기보유 주민등록번호’를 파기완료유예 기간이 종료되었다.
주민등록번호 미파기 상태에서 유출사고발생시 기업은 손해배상, 과징금뿐만 아니라 형사처벌까지 받게 된다.
그 결과, PC, 서버, DBMS, 스마트폰내 개인정보검출/파기/암호화 솔루션시장(DLP Discover)이 상대적으로 성장하지 않았나 생각한다.
◇지난해 보안사고가 많이 발생했음에도 불구하고 보안시장이 성장하지 못했던 원인은 무엇이라고 생각하나
작년 카드사 개인정보유출사고처럼 온 국민의 주목을 받은 보안사고가 많았다.
그럼에도 불구하고 보안시장이 성장하지 못한 이유는 공공시장 성장지연이 한 원인으로 보인다.
민간쪽은 외산제품들의 공세가 거세다. 주민등록번호 유효 값 체크도 제대로 하지 못하는 국내 환경에 적합하지 않은 제품임에도 도입하는 경우도 있다.
미국 보안기업은 직원만 2천명 이상, 매출은 5천억 이상이다.
애국심에 호소하는 것은 구시대적이지만 헤비급과 라이트급이 사각의 링에서 싸우는 것이라 표현할 수 있다.
지난 20여 년 간 국내 보안담당자들과 함께 보안의 성장을 지켜 본 국내 보안업체에 더 많은 관심과 기회를 부탁한다.
◇소만사 솔루션을 사용해야 할 기관/기업 담당자에게 전할 말이 있다면
개인정보 자산식별이 제대로 되어있지 못한 곳이 많다.
개인정보 보유현황을 파악하는 것이 개인정보보호의 첫걸음이라고 생각한다.
◇올해 개인정보보호 시장 어떻게 전망하나
작년 초 카드사 개인정보유출사고 후 지금까지 개인정보보호 관련 대책들이 끊임없이 발표됐다.
관련 법안들은 이미 개정됐거나 올해 개정을 앞두고 있다.
대표적 개인정보관련법안인 개인정보보호법(이하 개보법), 정보통신망법(이하 망법)을 보면
두 법 모두 실무에 맞게 현실화, 구체화되면서 보안투자에 당위성이 부여됐다.
개정양상을 보면, 첫번째 조직 중요성이 확대되었다.
망법에서는 정보보호 조직에게 사고발생시 24시간 이내로 유출사고를 알릴 것을 규정했다.
동법고시 ‘조직구성 반영사항’에서는 ‘개인정보 분실, 도난, 누출, 변조, 훼손시 대응절차 및 방법’을 명시할 것을 규정했다.
개인정보보호 관련업무를 법규에 명시하여 정보보호조직 중요성을 높인 것으로 볼 수 있다.
두번째 기술적 보호조치 범위가 넓어졌다. 2014년 개보법 개정에 따라 DB와 연계/연동된 애플리케이션(WAS, SAP)도
‘개인정보처리시스템’에 명시적으로 포함됐다.
즉,WAS, SAP도 개보법 고시의 보안조치를 의무화해야 한다.
‘개인정보처리시스템 접속기록’도 통신사업자는 월1회, 공공/민간사업자는 반기별 1회 이상 점검해야 한다.
세번째 CEO책임이 가중됐다. 지난 7월 발표된 범정부연합 ‘개인정보보호 정상화 종합대책’에 따라
유출사고발생시CEO, 법인 모두 형사처벌 받을 가능성이 늘어났다.
이는 형사처벌을 피해야 할 CEO의 ‘정보보호’ 관심증가로 이어질 것으로 예상한다.
◇기관/기업 정보보호 책임자들에게 전할 당부의 말이 있다면
보안은 어떤 산업보다 유지관리(MAintenance)가 중요한 산업이다.
네트워크환경은 실시간으로 변화하고 새로운 공격기술이 쏟아져 나온다.
따라서 지속적으로 제품과 서비스를 업그레이드해야 한다.
보안소프트웨어는 기업이 지속적으로 공격패턴을 분석하고 전문인력을 투자한 창조물이다.
그렇기에 제값 주고 구매하고 라이선스 종료 후에는 유지보수계약을 통해 업그레이드하는 문화가 형성되어야 산업이 발전할 수 있다.
◇올해 소만사 사업 방향성이 있다면
사내직원이 G메일이나 구글드라이브, 에버노트같은 클라우드 서비스를 이용해 고객주민번호를 유출했다고 가정해보자.
회사는 이런 형태의 유출을 막아낼 수 있을까? 안타깝게도 답은 ‘막아낼 수 없다’였다.
G메일, 클라우드 서비스는 암호통신인 HTTPS기반 웹이기 때문이다.
HTTPS기반 웹은 원래 로그인이나 인증페이지처럼 비밀번호 입력페이지에 적용되었던 암호화 통신이다.
암호화 통신이므로 전송중 해킹이 발생해도 해커가 어떤 정보인지 파악할 수가 없다.
하지만 해커의 정보탈취에 대해서는 시큐어웹이지만, 정보유출에 대해서는 무방비 웹이다.
양날의 검처럼 사내네트워크 DLP솔루션(컨텐츠 보안장비)도 무력화시키기 때문이다.
내부에서 외부로 어떤 정보가 나가는지 알 수 없기 때문에 직원이 주민번호 천만건을 유출해도 회사는 사전차단은 커녕
유출이 있었는지 파악조차 못하는 상황이 발생한다.
이는 회사의 개보법, 망법 위반이라는 컴플라이언스 위기로 이어진다.
특히 금융기관은 2014년 6월30일부터 ‘금융기관 검사 및 제재에 대한 시행세칙’에 따라 주민번호 50건 이상 유출시 영업정지까지 처해질 수 있다.
이에 소만사는 HTTPS기반 웹을 통한 정보유출방지솔루션, 웹DLP(Web DLP)를 출시했다.
웹DLP솔루션을 적용하면 G메일, 클라우드 등 HTTPS 기반 웹으로 개인정보유출시 사전통제 및 외부전송로그기록이 가능해진다.
또한 HTTPS기반 웹에서 악성코드 배포페이지를 접속할 때도 기존 미러링 기반 장비에서 불가능했던 가시성을 제공할 수 있다.
향후 시큐어웹(HTTPS)기반 웹서비스는 지속적으로 확대될 것이며, 웹DLP가 DLP 시장에서 주요 추세가 될 것이다.
소만사 웹DLP솔루션은 DLP전문 패킷분석엔진을 탑재한 어플라이언스로 출시되므로 세계 최고의 처리속도를 가지고 있고,
특히 개인정보 패턴분석, 암호화 파일분석 등 컨텐츠 분석에 있어 외산제품이 따라올 수 없는 독보적 기술력을 자랑하고 있다.
이번 웹DLP솔루션은 소만사의 17년 컨텐츠 분석기술과 대용량 트래픽 처리기술이 응집된 결과다.
현재 웹DLP는 삼성, LG, 은행,포스코 등 20여 개 이상 대기업에 적용되어 있으며
향후 공공기관, 금융기관, 대기업 등 다양한 산업분야로 도입이 확대될 전망이다.
더불어 올해 초, 웹DLP 솔루션에 대해 보다 적극적으로 마케팅을 강화할 계획이다.
◇직원들에게 전하고 싶은 말이 있다면
아프리카 속담 중에 ‘아이 하나를 키우려면 마을 전체, 즉 공동체가 필요하다’라는 말이 있다.
회사는 큰 공동체다. 공동체가 건강해야 우리 아들딸이 잘 자라고 아들딸이 잘 자라야 가정이 행복하고
가정이 행복해야 공동체가 발전하게 된다.
지난 한 해, 소만사를 믿고 따라와주셔서 감사하다.
밖에서는 개인정보보호를, 안에서는 가정의 행복을 위해 노력하는 공동체 소만사가 되겠다.
<★정보보안 대표 미디어 데일리시큐!★>
http://www.dailysecu.com/?mod=news&act=articleView&idxno=8838