정보보안의 중요성이 갈수록 높아지고 있다. 최근에는 피싱(Phishing)이라는 신종 온라인 사기수법이 기승을 부리면서 선량한 인터넷 이용자들에게 피해를 입히고 있다. 해킹과 웜 및 컴퓨터 바이러스로 인해 기업의 정보보안 위협도 가중되고 있다. 세계적인 정보보안 업체인 시만텍의 존 톰슨 회장 겸 CEO로부터 올해 정보보안 시장에 대한 전망과 경영방침을 들어봤다.
-시만텍은 노턴 안티바이러스 SW로 명성을 얻어온 세계적인 정보보안 회사입니다. 이런 자리에 오를 수 있었던 배경이나 요인은 무엇이라고 보십니까.
▲시만텍의 성공 요인은 4가지로 요약됩니다. △개인 사용자·기업·정부 기관에 이르는 폭넓은 고객 기반 △조기 경보 솔루션·광범위한 통합 보안 솔루션·위험 대응 능력·백업 및 복구 제품·매니지먼트 솔루션 등 다양한 제품군 보유 △온라인·VAR·소매점 등 수 많은 영업 채널 구축 △지리적 접근의 용이성 등입니다.
-최근 들어 컴퓨터 바이러스·해킹·피싱 등이 정보의 안전성을 위협하고 있습니다. 앞으로 정보보안 문제는 더욱 심각해질 것으로 예상되는데 정보보안 전문업체로서 어떤 전략을 마련하고 계십니까.
▲앞으로는 이미 발생한 보안 문제에 수동적으로 대응할 것이 아니라 기업 및 개인 사용자가 각자의 정보보안 문제에 능동적으로 대처하도록 교육해야 합니다. 정보는 어느 조직에게나 생명과 같기 때문입니다. 이제 조직들은 정보를 안전하게 보호하는 동시에 언제나 이용 가능하도록 유지하는 데 초점을 맞출 필요가 있습니다. 이는 조직이 보유한 정보의 보안과 가용성 사이에 균형을 유지하는 것, 즉 정보 통합성(Information Integrity)을 보장하는 것을 말합니다. 그 첫 걸음은 최신 정보관리 도구와 침입 탐지·방화벽·콘텐츠 필터링·취약점 평가 등을 결합시킴으로써 기업들에 탄력적인 인프라를 제공하는 것이라고 봅니다. 개인 사용자도 웜·스팸·애드웨어·해킹 등 광범위한 보안 위협을 차단하기 위해서는 안티바이러스 제품 뿐 아니라 통합된 인터넷 보안환경을 갖출 필요가 있습니다.
-변화하는 시장 환경에서 시만텍이 집중하고자 하는 솔루션이나 기술 분야는 무엇입니까.
▲시만텍은 점점 심각해지는 사이버 위협 환경에서 고객들이 보안과 가용성에 적절한 균형을 이룰 수 있도록 솔루션과 서비스를 구축하고 있습니다. 특히 최근에는 ‘피싱(Phishing)’의 위협으로부터 고객들이 정보를 잘 관리할 수 있도록 하는 데 힘을 쏟고 있습니다. 피싱은 e메일이나 웹사이트를 이용해 수신자들이 신용카드 번호와 은행계좌 및 비밀번호 등을 알려주도록 유도하는 온라인 사기수법입니다. 피싱 공격자는 유명 은행과 신용카드 회사 등으로 위장하고 e메일을 보내 전체 수신자의 5%에게 피해를 입히고 있습니다. 철저한 대비가 필요합니다.
-정보보안 시장에 대해 전망하신다면?
▲IDC 자료에 따르면 아·태지역의 보안 솔루션 시장은 2007년까지 약 40억달러 규모에 달할 전망입니다. 보안 위협이 복잡하고 심각해질 전망이어서 개인 사용자와 기업들은 능동적인 보안 정책을 마련해야 할 것입니다. 각종 침입·피싱·스팸·컴퓨터 바이러스·해킹 등의 증가로 인해 개인 사용자용 보안 시장 규모도 늘어날 것입니다. 기업들은 더욱 악화되는 보안위험에 대비해 정보 보안·가용성·규제 순응·탄력적 인프라 구축 및 관리 등이 필요할 것입니다.
-기업들에 꼭 필요한 정보 보안 전략에 대해 제안 해주신다면 무엇이 있습니까.
▲오늘날과 같은 e비즈니스 환경에서는 정보 보안 프로그램의 개발이 필수적입니다. 많은 기업들이 다양한 보안 제품을 구입해 설치하고 있으며 서로 다른 수준의 네트워크를 특정 위협으로부터 보호하기 위해 그에 적합한 제품을 이용하고 있습니다. 그러나 특정 제품이나 기술적 접근만으로는 충분하지 않습니다. 인터넷 위협의 빈도·복잡성·수치 등이 증가하고 복잡해지고 있어 다단계의 심층 보안 기술을 수립하고 이에 적합한 인력과 프로세스를 연결해야 합니다.
-시만텍은 지난해 말 베리타스와의 합병을 전격 발표했습니다. 그 기대효과는 무엇입니까.
▲고객들은 IT인프라 관리의 복잡성과 비용을 줄이고 공급업체수를 줄여 효율을 높이는 방안을 모색하고 있습니다. 시만텍은 이번 합병을 통해 고객들이 자사 정보를 보호하면서 가용성을 유지해야 하는 두 가지 필요성을 적절히 조화 및 보장할 것입니다. 또 시스템 장애·인터넷 위협·자연 재해 등이 발생했을 때 기업들이 사업을 지속적으로 운영·유지하는 데 가장 비용효과적이고 신속한 대응방식을 제공할 것입니다.
-한국 시장을 어떻게 보십니까?
▲한국은 시만텍에 매우 중요한 시장입니다. 6년 전 한국시장에 진출해 상당한 고객과 협력사를 확보해왔습니다. 시만텍은 정보 보안 분야의 세계적인 리더로서 전세계의 최신 위협 요소들을 지속적으로 모니터링 할 수 있는 가장 광범위한 대응 네트워크를 보유하고 있습니다. 시만텍의 목표는 한국의 개인 사용자와 기업들이 정보를 관리하고 지키는 가장 좋은 방법을 제공하는 것입니다. 최근에는 변진석 지사장을 새로 영입했습니다. 변 사장의 폭 넓고 다양한 경험을 토대로 국내 협력사와 고객들에게 시만텍의 정보 보안 솔루션 및 기술을 폭넓게 제공, 시장에서의 입지를 더욱 공고히 하려고 합니다.
-한국의 안티바이러스 SW 업체들에 대한 평가는?
▲한국에서는 많은 기업들이 안티바이러스 솔루션을 제공하고 있는 것으로 알고 있습니다. 이러한 시장에서의 경쟁은 기업을 건실하게 만들어주기 때문에 유익하다고 봅니다.
-끝으로 경영철학에 대해 말씀해 주십시오.
▲시만텍의 성공은 직원들로부터 비롯된 것입니다. 시만텍은 성장하고 있는 기업이기에 직원들에게도 새로운 기회가 많이 생깁니다. 저는 시만텍의 가장 큰 자산은 직원들이라고 생각하고 그들에게 더 많은 발전의 기회를 제공하기 위해 노력하고 있습니다.
정소영기자@전자신문, syjung@etnews.co.kr
*톰슨 회장의 정보보안 제안
1. 보안은 최고 경영진이 검토할 사항
가장 앞서가는 조직들은 보안을 IT부서의 역할로 맡겨두기보다는 최고위층이 챙긴다. 최고위층부터 정보 보안의 중요성을 인식하고 임원진들이 정보보안 상황을 체크해 CEO에게 직접 보고토록 해야 한다.
2. 보안책임자와 보안 정책을 마련해야
조직에 보안 책임자를 두고 조직원 전체가 보안 정책을 따르도록 교육해야 한다. 부서별로도 보안책임자를 정해 고려되어야 할 정보 보안 요구 사항을 확인하면 보안 정책을 보다 쉽게 실행할 수 있다.
3. 평가
업계의 성공 사례를 참고하여 해당 조직의 진행 정도를 평가할 수 있다.
4. 보안 정책에 대한 지속적인 업데이트와 직원에 대한 재교육
조직이 성장하면서 새로운 위협이 생겨나므로 보안 정책을 수시로 업데이트하고 교육 프로그램을 지속적으로 시행해야 한다.
5. 보안에 대한 다단계 접근
최근에는 다양한 방법과 기술을 이용하는 복합적인 위협이 확산되고 서로 다른 악성 코드의 특징이 SW의 취약점을 악용하는 기능과 결합되고 있다. 이제 기업들은 안티바이러스·방화벽·침입 탐지 및 보호 등을 종합한 다단계의 심층 보안 기술을 수립해야 한다.
정소영기자@전자신문, syjung@