국내 토종 기업, 키관리 기술 차별화로 DB 암호화 시장 공략 (데이터넷 2013. 07 18)
국내 토종 기업, 키관리 기술 차별화로 DB 암호화 시장 공략
국내외 인증 준비 … 외산과 경쟁 ‘자신’
키관리가 DB 암호화의 중요한 화두로 떠오르자 토종 기업들도일제히 키관리 기술의 차별성을 강조하고 나섰다. 특히 외산 솔루션은 국내 규제를 만족시키지 못한다는점을 적극 강조하며, 국제 인증 획득을 위한 준비도 진행하고 있다고 전한다.
키관리 솔루션은 미국국립표준기술연구소(NIST)에서 시행하는 CMVP의 FIPS 인증을 획득한 제품이 가장 최고의 기술을 가진것으로 인정된다. 국내에서는 KCMVP라는 인증제도를 별도로두어 국내 암호화 키관리 솔루션의 기술력을 평가받을 수 있도록 하고 있다. 세이프넷, 보메트릭 등 외산 제품군은 FIPS 인증을 획득했으며, 국내 기업들은 KCMVP를 획득했거나 준비하는 중이다.
펜타시큐리티는 KCMVP는 물론 미국 FIPS 인증 획득을 위한 준비를 진행하고 있으며 외산과 경쟁할 수 있는 기술력을 가졌다고 강조한다.
남경문 펜타시큐리티 제품기획팀장은 “FIPS 인증은 키관리솔루션이 국제 표준에 맞게 소프트웨어와 하드웨어가 안전하게 설계됐는지 검증하고, 키 생성부터 변경, 폐기, 복구까지 라이프사이클 전체에 대한 인증을 실시한다”며 “펜타시큐리티의 키관리 기술은 기능적인 면에서 외산 키관리 솔루션과같은 수준에 올랐다고 자신한다. 외산 솔루션과의 경쟁에서 전혀 밀리지 않을 것”이라고 말했다.
키관리 서버는 폐쇄된 별도의 망에서 관리하며, 내부자 외에는접근할 수 없다. DB는 웹 환경에서 운영되는 경우가 많기 때문에 폐쇄망에서 운영할 수 없다. 펜타시큐리티는 웹방화벽의 웹보안 기술과 네트워크 보안 기술을 적용해 DB 서버, 암호화 서버, 키관리 서버 구간을 암호화한다. 이를 통해 망분리를 하지 않고도 안전하게 암호화 데이터와 키를 관리할 수 있도록 한다.
DB암호화 제품 ‘디아모(D’Amo)’는국내 암호화 시장 점유율 1위 제품으로, 지난해 국내 대표적인증권사 DB 암호화 사업을 수주하면서 금융권 암호화 시장 확장을 가속하고 있다. 국방부, 금융감독원, 서울대학교등 다양한 산업군에서 고객을 확보하고 있으며, NTT도코모, 니콘시스템등 일본 고객도 다수 확보했다.
“SW 키관리 보안 취약”vs “HSM도 보안 홀 있어”
국내 DB 암호화 제품은 대부분 키관리 솔루션을 소프트웨어로제공해왔지만, 소프트웨어 방식의 보안 취약성이 문제가 되면서 화이트박스에 키관리 솔루션을 최적화한 어플라이언스로제공하고 있다. HSM 기업들은 서버에 소프트웨어를 얹은 방식은 어플라이언스로 볼 수 없고, 보안 취약성이 있다고 비판한다. 이에 대해 조돈섭 이글로벌시스템마케팅 담당이사는 “HSM도 보안 취약성이 있다”고 반박한다.
HSM은 ID와 비밀번호로 사용자 인증을 하는데, 비밀번호가 유출될 경우 보안은 아무 소용 없다. 특히 국내 기업들은사용자 편의성을 높이기 위해 키관리 시스템의 비밀번호를 자동으로 입력되도록 하기 때문에 보안홀이 된다. 즉키관리 서버에 비밀번호가 저장돼 있어 키관리 서버의 안정성을 보장할 수 없다. 이글로벌은 DB 서버에서 메모리를 로딩한 후 키를 파기해 서버에 키가 남아있지 않도록 하며, 키는 RSA로 암호화된 상태로 관리된다.
조돈섭 이사는 “이글로벌은 대규모 데이터에 대한 암호화와안전한 키관리 기술을 통해 SK텔레콤, NEIS 등 민감한개인정보를 다루는 고객에 공급됐으며, SK·신세계·한화·STX 등 많은 그룹사의 표준 암호화 솔루션으로 채택됐다”며 “올해 제1금융권 사업에서는 진정한 기술적인 차별성을 보여줄 것”이라고 말했다.
한편 이글로벌은 DBMS 기업 액티언과 총판계약을 맺고빅데이터 시장 진출을 선언했다. 액티언의 ‘벡터와이즈’는 엔터프라이즈 데이터 웨어하우스(EDW)에서 데이터를 끌고 와 빠른속도로 분석·처리하는 기술로, 오라클 엑사데이터의 1/3 비용으로 5배 높은 성능을 제공할 수 있다.
액티언은 데이터 분석 업체 파엑셀을 인수하고 빅데이터 전략을 강화하고 있으며, 국내 총판으로 선정된 이글로벌은 빅데이터 지원 기술과 함께 빅데이터를 보호할 수 있는 기술을 추가로 공급해빅데이터 시장에서의 장점을 극대화 하겠다고 밝힌다.
그 일환으로 DB 암호화 시스템에서 데이터 유출을 통제하는 ‘비컨(Beacon)’을 DB 암호화제품 ‘큐브원’에 옵션으로 제공한다. 이 제품은 DB 암·복호화요청이 평소보다 현격하게 많아지는 등의 이상상황이 나타나면 관리자에게 알려주고, 복호화를 차단한다. DB 암호화 시스템 자체에서 접근제어 기능을 제공하는 것으로, 데이터유출방지 기능을 더욱 높인다.
케이사인, 소송으로 상장심사 탈락
케이사인은 지난해 대규모 DB 암호화 사업을 대거 수주하면서시장의 다크호스로 떠올랐지만, SAP 암호화 솔루션 ‘카드시큐어’를 국내에 판매하는 필리아아이티와 특허소송과 형사소송이 진행되고 있어 올해 사업에 영향을 받을 것으로 보인다. 케이사인은 올해 첫번째로 상장 예비심사를 청구했으나, 형사소송이진행되고 있으며 이를 투명하게 알리지 않았다는 이유로 탈락됐다.
필리아아이티는 미국 SAP·오라클 암호화 솔루션 기업 PPS의 한국 대리점으로, 협력업체를 통해 케이사인 DB 암호화 솔루션 ‘시큐어DB’와 ‘카드시큐어’ 제품 협력을 맺어왔다.케이사인은 개인정보보호법 대응을 위해 2011년 자체적으로 SAP 암호화 기술을 개발했으며, 이를 위한 전문 인력도 대거 채용했다. 케이사인은 SAP 암호화 기술 경쟁력을 앞세워 SAP 고객을 대상으로 공격적인 영업을 펼쳤으며, 상당한 성과를 거뒀다.
필리아아이티는 케이사인이 카드시큐어 특허기술을 침해했다고 소송을 제기했으며, 부정경쟁방지 및 영업비밀에관한법률 위반 혐의로 형사소송을 제기하고, 5억원규모의 손해배상청구 소송도 제기했다. 케이사인은 필리아아이티에 대해 수입금지 가처분 소송을 제기했으나패소했다.
케이사인 측은 “SAP 암호화는 케이사인이 자체개발한 기술이다. 필리아아이티는 자체 개발한 기술이 아니어서 특허소송에서 소스코드를 공개하지 못해 특허침해에 대한 결정적인 증거를제시하지 못한다”고 주장했다.
복잡한 소송과 코스닥 상장 예비심사 탈락으로 케이사인은 이미지에 큰 피해를 입었지만, 영업상 피해는 없을 것이라고 강조한다. 케이사인은 가격경쟁력과 SAP 암호화 기술경쟁력을 앞세워 공공기관과 중견기업을 지속적으로 공략한다. 특히개인정보보호법 발효 이후 이를 준수하기 위한 사업에서 다수의 레퍼런스를 확보했으므로 개인정보보호법 준수를 고민하는 기업에게 해법을 제시할 수 있다고주장한다.