세계 최대 네트워킹 장비 업체인 시스코는 1년 전인 지난해 9월 초 정경원 전 시만텍 코리아 대표를 한국지사 대표로 선임했다.
정 대표는 서울대에서 경제학을 전공했으나 IT업계에서 잔뼈가 굵은 인물이다. 특히 이전 3년 반 가량은 시만텍코리아 대표를 맡은 보안 전문가이기도 하다. 네트워크 전문업체인 시스코가 보안 전문가를 영입한 까닭은 무엇일까.
정경원 대표는 시스코가 왜 보안사업을 강화하게 됐는지부터 풀어나갔다.
“지금 세계 IT 업계가 융합되고(converged) 기술은 상품화하고(commoditized) 있다. 서버도 상품화하고 스토리지도 상품화하며 네트워크 장비도 상품화하고 데이터베이스 기술도 상품화한다. 과거 각 회사를 차별화하던 기술의 차이가 없어지는 것을 의미한다. 이처럼 역동적으로 변하고 있는 IT 부문에서 아직도 차별화된 핵심 기술 두 가지를 꼽으라면, 하나는 인터넷을 기반으로 한 IT통신과 네트워크이고, 두 번째는 보안이다. 모든 게 변해도 이 두 가지는 비즈니스의 핵심 요소다.”
한마디로 시스코는 IT 비즈니스의 핵심을 놓치지 않고 있다는 얘기다. 정 대표는 특히 만물인터넷(IoE) 시대엔 모든 것이 인터넷 중심으로 연결되는 만큼 보안을 강화해야 한다고 강조했다.
“IoE는 기업이나 일반인에게도 좋지만 해커들에게도 아주 좋은 시장이다. 그만큼 해킹을 막을 보안 기술이 매우 중요해질 것이다. 사실 시스코도 오래전부터 보안 사업을 해왔다. 아직은 보안 시장이 크지 않지만 5년, 10년을 보면 보안이 핵심 기술로 커질 것이다. 시스코가 보안에 전폭적으로 투자하는 이유다. 과거엔 네트워크 판매 조직 안에 보안 판매 부문이 있었으나 이제는 보안판매 조직을 따로 분리할 정도로 집중하고 있다. 그만큼 급진적 변화가 있는 분야다.”
정 대표는 시스코는 네트워크 장비업체로 알려져 있지만 사실은 오래전에 보안시장에 진출해 상당한 입지를 구축했다고 설명했다.
“시스코의 연간 매출액이 471억달러인데 이 가운데 27억달러가 보안 매출이다. 보안은 크게 IT보안과 물리보안으로 나뉘고 IT보안은 다시 네트워크 보안과 시스템 보안, 다시 말해 콘텐츠 보안이 있다. 네트워크 보안은 우리가 당연히 넘버원이다. 세계 시장 점유율이 32%나 된다. 이를 바탕으로 콘텐츠 보안, 시스템 보안에 집중 투자해 보안 전 분야를 섭렵하는 보안전문회사로 성장하려고 한다. 시스코는 7월 말로 끝나는 4분기 실적발표 때 보안 분야가 전년 대비 29% 성장했는데 이 가운데 네트워크 보안은 전년 대비 35%, 콘텐츠 보안은 12% 성장했다.”
한국 보안시장 시만텍 매출의 4분의 1도 안돼
시스코가 보안 부문을 강화하고 있지만 사실 한국 보안시장은 아주 작다고 했다.
“시스템 보안과 네트워크 보안을 합해 1조5000억원 수준 밖에 안된다. 시스코의 보안 매출만도 한국 전체 보안시장의 2배나 된다. 시만텍은 70조달러를 파니 한국 시장의 4배가 넘는다. 그만큼 한국 보안시장이 작다. 안랩이 1000억원 한다는데 안티바이러스 매출은 450억원밖에 안된다. 한국 전체 안티바이러스 시장이 800억원 선이다. 일본은 안티바이러스 시장만 1조원이 넘는다. 한일 IT시장 갭이 4배 정도라고 할 때 절반은 공짜로 쓰고 있다는 얘기다. 안티바이러스가 없는 것은 아니지만 거의 불법으로 쓰고 있다. 그러니 기업들도 투자를 하지 않는다.”
이런 악순환이 이어지면서 한국은 스팸왕국 소리를 듣고 있다. 시스코는 지난 8월 발표한 중기보안보고서에서 한국을 스팸이 가장 급증한 나라로 꼽은 바 있다. 정 대표는 한국의 보안이 취약한 이유를 세 가지로 요약했다.
“한국 사람들은 보안에 대한 관심이 아주 낮다. 평소에는 전혀 관심이 없다. 세월호 사태에서 드러난 안전에 대한 인식과 비슷하다. 기본 인식 자체가 약해 평소에 전혀 준비를 하지 않는다. 보안 시장 규모를 보더라도 미국이나 일본에 비해 너무 작다. 그만큼 보안에 대한 배려가 적다. 둘째로 설령 보안 투자를 늘린다고 하더라도 보안팀만의 일로 치부하고 나머지 IT팀은 전혀 관심이 없다. 이렇게 무관심하기에 실제 보안 시스템을 구축해도 운영이 안 된다. 시스템은 만능이 아니다. 사람들이 협조하지 않으면 안 된다. 특히 외부 서비스에 대한 편견이 심해 외부 전문가에 맡기지 않는다. 예를 들어 스팸이 매우 중요한 이슈가 됐는데도 스팸 방지 서비스를 제공하는 전문업체 활용을 꺼리고 내부 시스템을 만들려고 한다. 전문업체들은 그 분야에 집중해 계속 새로운 스팸을 찾아내고 늘 새로운 시스템으로 업데이트를 하지만 개별 기업은 그렇게 할 수 없다. 게다가 스팸 소프트웨어도 매우 적다.”
정 대표는 미국이나 일본 기업들은 외부 스팸전문회사 서버에서 필터링을 거친 메일만 사내로 들어오도록 하고 있다며 한국도 보안 수준을 높이려면 필터링이 필요하다고 조언했다.
“자체적으로 해서는 전문 해커들을 따라가기 어렵다. 미국이나 일본의 경우 필터링 업체의 매출이 많은데 이것은 마인드 문제다. 보안을 중시한다면 그것부터 바꿔야 한다.”
정 대표는 특히 금융권이나 정부 기관에서 추진하는 망 분리에 대해서도 그것만으로 보안문제를 해결할 수 있다고 과신하면 오산이라고 강조했다.
“원자력 발전소는 모두 별도 시스템을 갖추고 있다. 그래서 안전하다고 믿지만 실제는 그렇지 않다. 3년 전 스턱스넷이란 말웨어가 발견됐다. 이란 핵발전소를 공격한 바이러스인데 원전망이 완전 분리됐는데도 해커의 소프트웨어가 감염시켰다. 보안업계에 잘 알려진 스턱스넷은 USB로 유입된다. 프린트 스풀러(print spooler)로 유입되기도 한다. 망을 분리한다고 위협에서 결코 안전할 수 없다는 것이다. 보안업계에선 스턱스넷 이전과 이후 해킹이 완전히 다르다고 한다. 그만큼 잘못될 위험이 커졌다. 한마디로 망 분리는 ROI 측면에서 비용은 매우 크지만 효과는 회의적이다.”
해커들의 블루오션 스마트폰
한국에선 스마트폰으로 금융거래까지 하고 있지만 그는 안드로이드가 특히 보안 위협에 취약해 스마트폰이 이제 해커들에게 탐나는 시장이 됐다고 강조했다.
“이미 해커들이 스마트폰을 목표로 잡았다. 아직은 스마트폰에서 개인계좌 정도를 해킹하는 정도지만 실제 더 큰 해킹이 늘어난다. 그런데도 (보안) 투자는 늘어나지 않는다. 이미 겪은 정도의 사고가 났으면 (기업들이) 정신을 차렸겠지 했는데 그대로다. 기업들의 인식은 5년 전과 별로 달라지지 않았다.”
정 대표는 특히 만물 인터넷(IoE) 시대가 되면서 해킹의 위험은 갈수록 더 커지고 있다고 지적했다.
“만물인터넷의 보안은 매우 중요하다. 모든 가전제품과 자동차가 연결된다는 얘기는 20년 전부터 나왔지만 최근 IoT나 IoE가 새삼 주목을 받는 이유는 통신 방법이 통일되기 때문이다. 예전에는 가정의 통신 방법과 산업을 컨트롤하는 통신 방법이 달랐다. 그러나 IoEer IoT는 모두 ‘인터넷 통신(IP)’으로 통합된다. 가전, 공공, 재난 등의 통신 방법이 모두 통일되기 때문에 새로운 환경으로서 IoT가 재조명을 받는 것이다. 해커 입장에서 보면 IP만 뚫고 들어오면 컨트롤 가능한 것들의 범위가 훨씬 커지므로 해킹이 더욱 매력적일 수 있다.”
그러면서 앞으로 나타날 해킹의 위험은 상상을 뛰어넘을 수 있다고 했다.
“구글의 무인자동차가 해킹된다면 어떻게 될까. 제3자가 내 자동차를 조종해 사고를 유발시킬 수도 있다. 심장박동기의 신호를 무선으로 병원으로 보내는데 이것이 해킹되면 심장 박동이 정지될 수 있다. 죽음을 의미한다. 지하철이 서고 원전 작동이 정지될 수도 있다.”
해킹 사건이 잇달아 발생하면서 정치권이 기업의 책임을 강화하려는 데 대해서도 그는 외국에선 법적인 제재보다 여론에 더 신경을 써서 보안에 투자를 한다고 소개했다.
그러면서 시스코가 얼마나 철저히 보안관제를 하는지 소개했다.
“시스코는 130개 국가에 나가 있고 빌딩만 50여 개에 달한다. 그렇게 많은 사무실이 있지만 어떤 문이든 1분 이상 열어두면 경보가 울리고 미국 산호세에 있는 본사까지 바로 보고된다. 전 세계 사무실 출입 상황을 모니터링하고 있는 것이다. 보안을 제대로 하려면 물리적 보안에 대한 투자를 그만큼 해야 한다. 이런 투자를 해야 하고 기술이 그만큼 필요하다. IT보안은 이보다 훨씬 많은 투자를 해야 한다.”
한국 IoE 관련 기업에 투자
시스코는 얼마 전 한국 IoE, IoT 부문 투자 구상을 밝힌 바 있다. 어떤 기업들이 혜택을 보고 투자자들에게 이것이 어떤 의미를 주는 것일까.
“시스코는 그동안 170여 건의 M&A를 해 왔다. 미국 회사뿐 아니라, 전 세계적으로 M&A를 추진했다. 시스코는 이를 코퍼레이트 비즈니스 디벨롭먼트라고 해서 M&A하고 투자하고 협력관계를 구축한다. 그 일환으로 한국 IoE기업에 투자할 것이다. 시스코는 지난 2009년 송도에 투자한 뒤 한동안 쉬었는데 지난 1월 다보스에서 박 대통령과 존 챔버스 회장이 만난 자리에서 투자를 약속했고 그것을 진행하고 있다.”
그러면서 이미 성과가 있었다고 소개했다.
“첫 성과로 한국 보안관제 회사인 N3N에 전격 투자했다. CCTV를 통해 파악되는 영상데이터 가운데 의심되는 행동을 인식해서 알려주는 기술을 갖고 있는 유망 보안 관련 업체다. 어떤 기업이 전 세계 사업장에 10만 개 이상의 카메라를 설치했다고 해도 그걸 누가 다 볼 수 있나. 이 회사는 비디오 데이터를 관리하면서 이상행동을 체크하는 효율적인 관리업체다.”
장 대표는 아직은 국내 기업들이 IoE 준비를 해 나가는 초기단계라 사례가 많지 않지만 빠른 시일 내에 좋은 사례들이 나올 것이라고 했다.
“산림을 감시한다고 할 때 그 넓은 산 어느 지역에서 불이 나는지를 사람이 일일이 볼 수는 없다. 그걸 센서나 카메라를 연결해 모니터링함으로써 해소할 수 있으며, 이를 현실화할 수 있는 방안이 바로 IoT다. 앞으로 사물인터넷이나 스마트시티 관련 업체가 수혜를 볼 수 있을 것이다.”
이 부문은 한국 기업들이 많이 앞선 만큼 한국을 주목해야 할 것이라고 했다.
“한국은 인터넷이나 통신에선 가장 앞서 있다. 이미 북구 3국을 넘어섰다. LTE나 LTE-A도 가장 앞섰고 5G(5세대 이동통신)까지 가장 앞서가고 있다. 남은 것은 IoE나 IoT다. 산업, 자동차, 기차, 원전 등까지 묶는 IoE, IoT는 센서 기술을 기반으로 한다. 그만큼 디바이스가 중요하다. 온도센서나 광센서 등을 사용해 디바이스를 만들어야 한다. 센서 디바이스 개발 제조가 중요한데 이 부분도 한국이 잘하고 있다. 네트워크를 잘했고 여기에 디바이스까지 잘하면 한국은 훨씬 유리하다.”
경제학을 전공한 정 대표는 당시 동료들이 대부분 금융기관으로 갈 때 전혀 생소한 분야인 IT쪽으로 진출한 특이한 경력을 갖고 있다. 첫 직장을 SI업체인 쌍용컴퓨터(현 쌍용정보통신)로 잡은 그는 이곳에서 10여 년 근무하다 우연한 기회에 HP로 옮겨 15년가량 일했고 이후 보안업체인 시만텍을 거쳐 시스코코리아 대표가 됐다.
그는 “전자니 자동차니 그런 경계가 무너진 지 오래다. 그만큼 청년들에게 기회는 많다” 며 학생들의 분발을 촉구했다.
정경원 대표가 제시하는 보안관리 3원칙
일단 뚫리면 엄청난 비용이 드는 보안 침해 사고는 매우 사소한 것에서 시작된다. 다음 세 가지 원칙만 잘 지켜도 보안 침해의 99.9% 이상을 예방할 수 있다.
1. 스팸메일 필터링을 하라
스팸메일은 해커가 들어오는 지름길이다. 요즘 해커들은 타깃을 정하면 그 타깃에 맞는 구체적 스팸을 보낸다. 가령 학교에 다니는 세 아이를 뒀다고 하자. 해커는 3자녀 이상을 둔 가장용 보험이란 안내 메일을 보낸다. 그 스팸메일을 클릭하는 순간 감염된다. 내가 골프광이라면 새로운 드라이버가 나왔다는 메일을 보낸다. 역시 클릭하는 순간 감염된다. 그만큼 해커의 머리가 좋기 때문에 스팸 필터링은 아주 중요하다.
2. 이상한 웹 접근을 금지하라
회사에서 이상한 것만 다운로드하지 않아도 감염이 안 된다. 특정 사이트를 사전에 정해 접근을 차단하라. 대부분 회사들이 포토아이 같은 로우 레벨 기술을 쓰는 사이트를 열어주는데 그래놓고 보안회사에 막아달라고 하면 어떤 보안회사도 못 막는다. 이상한 사이트에 들어가면 뚫린다. 회사에서 규정을 만들어 차단해야 한다.
3. 패스워드 교체를 철저히 하라.
많은 회사들이 규정은 두고 있으나 사실 패스워드 바꾸기가 어렵다. 최소 3개월에 한 번씩 바꾸라고 하지만, 대부분 잘 바꾸지 않는다. 핵심정보가 담긴 사장 PC의 패스워드를 비서가 책상 위에 메모해 놓을 정도로 무관심한 곳도 있다. 이것은 실행의 문제지 정책의 문제가 아니다. 3개월마다 바꾸면 해커가 뚫더라도 다음엔 들어오지 못한다. 해커가 어려워해야 관리가 된다. 패스워드를 바꾸지 않을 때 상급자에게 메시지를 보내는 것도 한 방법이다. 인사고과에 반영할 만큼 엄격해야 패스워드 관리가 된다.
