국내 대표 정보보안 기업인 ㈜씨드젠 김휘영 대표는 보안을 기술의 문제라 생각하지 않는다. 물론, 기술을 다루는 영역이지만 사고가 발생하는 원인은 ‘사람’이 소홀해졌기 때문이다. 안철수 연구소를 비롯해 업계를 선도하는 국내 유수의 기업들에서 20년이 넘는 시간 동안 보안 전문가로 일하는 안정적인 삶을 접고, 씨드젠 창업을 결심하게 된 강력한 계기도 보안 교육의 필요성을 절감했기 때문이다. 보안 시장의 한복판에서 그가 보안 시장의 빈 곳이었다. 씨드젠이 등장하기 전까지는 ‘교육’이라 이름 붙일 수 없는 형태의 보안 교육들이 주를 이뤘다. 부실했고, 새로운 사례를 반영하지 못했으며, 틀린 내용도 많았다. 현상 유지, 보여주기식 교육은 효과는 차치하더라도 보안 이슈에 대한 사람들의 무관심을 심화시킬 것이 분명했다. 그는 디지털 사회의 정보보호 산업에 대한 니즈는 지속적으로 증가할 수밖에 없을 것이라고 판단했고, 씨드젠이 정보보안 컨설팅 업계에서 독보적으로 성장할 수 있었던 이유도 이러한 업계 현황을 한발 앞서 내다봤기 때문이었다. 정보보안 이슈 전반에 컨설팅을 기반으로 모의훈련과 교육서비스를 제공하는 유일무이한 서비스 기업으로서 지난 15년간 정보보안 인식에 대한 변화 관리를 주도해온 씨드젠은 이제 ChatGPT로 촉발된 인공지능 정보보안 및 공격·방어에 관한 새로운 이슈에 관해 기업차원에서 어떻게 연구하고 대응해야 하는지 강화함과 동시에 기업의 내실을 다지기 위한 인프라에 집중하고 있다.

 

보안이 필수적인 비즈니스 요소로 인식되어야

코로나19 이후 전 세계, 전 산업에 걸쳐 본격적인 디지털 전환이 시작됐다. 장소에 상관없이 작업하는 원격근무가 활성화되었고, 기업들이 온라인 비즈니스에 투자를 늘리며 디지털 환경이 보편화되었다. 문제는 인공지능, 머신러닝 등 혁신적인 기술을 활용한 교묘한 사이버위협 또한 함께 증가했다는 사실이다. 데이터 플랫폼 전문기업 스플렁크의 ‘2023 CISO 연구 보고서’에 따르면, 지난 1년 사이 기업의 90%가 최소 한 차례의 주요 사이버 공격을 겪었고, 피해 기업 중 83%가 랜섬웨어 공격자들에게 비용을 지불한 것으로 조사됐다.

몸값(Ransom)과 소프트웨어(Software)의 합성어인 랜섬웨어는, 서버에 침투해 데이터를 바이러스에 감염시켜 암호화하고 이를 해제하는 조건으로 금전을 요구하는 방식이었으나 최근에는 서버의 핵심 데이터를 빼돌리거나 백업 서버에 저장된 백업 데이터까지 암호화하는 ‘다중협박’ 방식으로 진화했다. 실제로 백업 파일까지 감염된 비율은 작년 상반기 23%에서 올해 상반기 43%로 두 배 가까이 늘었다. 지난 2021년, 콜로니얼 파이프라인의 랜섬웨어 감염으로, 미국 동부 해안지역 8900km에 연료 제공이 중단됐고, 이는 국가비상사태 선포로 이어졌다. 기름 사재기 현상이 발생하며 연료 가격이 2014년 이후 최고가를 경신하기도 했다. 알루미늄 제품 생산을 비롯해 원자재 채굴, 수력 발전소를 함께 운영하는, 세계 4위 제조사 노르스크 하이드로도 2019년 사이버 공격을 받았다. 결국, 노르웨이 본사를 비롯해 미국, 브라질, 카타르 등 공장에서의 생산이 중단됐고, 이는 전 세계 알루미늄 가격 1.2% 급등으로 이어졌다. 현재 사이버 공격자들의 수준은 호기심으로 해킹을 하던 이들과 같지 않다. 국가의 후원을 받거나 자원이 풍부한 범죄조직을 등에 업고 사이버범죄 서비스 기업을 운영하고 있다. 러시아-우크라이나 전쟁의 사례에서 알 수 있듯 국가 간 전쟁에 투입되거나 사회 기반시설·제조시설을 공격해 국가안보와 국민안전을 위협하고 있다.

국내에서도 랜섬웨어 피해가 급격히 늘고 있다. 한국인터넷진흥원의 ‘랜섬웨어 피해 신고 건수’ 자료에 따르면 민간분야를 대상으로 한 랜섬웨어 신고가 2018년 22건에서 지난해 325건으로 약 14배 가까이 증가했다. 그중 82%가 자체 대응 역량을 갖추기 어려운 중소기업에 집중되어 피해 대상 대부분이 중소기업이라는 것도 안타까운 지점이다. 공격자들은 보안 수준이 낮은 영세 기업들을 타깃으로 삼아 위협과 공격을 가하고 있다. 원인도, 유형도 다양하다. 백업 서버의 랜섬웨어 공격, 보안소프트웨어 취약점 이용, 지인 사칭 등 피싱 공격 그리고 관리 부주의 등이다.

곳곳에서 발생하는 실제 사례들을 통해 사이버 공격을 미리 감지하고 방지할 수 있는 역량과 더불어, 동시다발적으로 일어나는 공격에 대한 실전 대응력이 얼마나 중요한지 인지하는 국가와 기업도 늘고 있다. 그러나 사이버위협에 대한 보안은 기업 자체적으로 관리하기엔 현실적 제약이 많고 때문에 전문 인력의 도움이 필요한데, 다수의 기업이 예산 부족으로 보안 이슈에는 소홀한 태도를 보인다. 소홀하고 방심하고 결국 잊어버리게 되는 것이 지금, 대한민국 보안의 현재다. 기업들은 신규 서비스를 위한 연구개발은 기업 성장을 위한 비즈니스 이슈라고 인식해 적극적으로 투자하면서도, 보안은 기업을 지원하는 부가적인 요소로 인식해 기약 없이 뒤로 미뤄둔다. KISA가 발표한 ‘2023 상반기 사이버위협 동향 보고서’에 따르면, 랜섬웨어 침해사고를 당한 기업 중 데이터 백업을 진행한 기업은 올해 상반기 기준 47%로 절반에도 못 미치는 것으로 나타났다.

“보안은 첫 번째 예산이 아니라 두 번째 예산을 쓰는 일이에요. 문제가 발생하고 나서 부랴부랴 보안을 챙기는 기업들이 많아요. 랜섬웨어, 인공지능을 통한 사이버 공격, IoT 기기에 대한 공격 등 기업과 개인에게 심각한 피해를 주는 지능적인 사이버위협이 계속되고 있어요. 그 공격 형태와 규모 또한 진화하고 있고요. 이로 인한 데이터, 금전 손실을 비롯해 연구개발 속도 저하, 기업 이미지 훼손 등을 생각한다면 보안은 기업의 비즈니스에 막대한 영향을 끼치는 요인입니다. 사이버위협을 IT리스크가 아닌 비즈니스 리스크로 인식하는 변화가 먼저, 그리고 정부의 지원 및 규제 완화가 뒷받침되어야 합니다.”

 

임직원의 인식변화가 보안 수준의 차이를 만들어…B2B 비즈니스로 보안 교육 시장을 선도해온 ㈜씨드젠

㈜씨드젠은 조직에 발생하는 다양한 정보보안 이슈에 컨설팅 서비스를 제공하는 국내 대표 정보보안 기업이다. 회사의 업무는 크게 국내·외 인증을 획득, 기술적 취약점 진단, 수준 진단, 보안 검사, 체계 수립, 마스터플랜 수립 등의 업무와 정보보안과 관련된 국내외 컴플라이언스 이슈에 효율적으로 대응하는 리스크 컨설팅, 임직원의 보안 인식 변화를 위한 체인지 매니지먼트로 구분할 수 있다.

리스크 컨설팅은 다시 개인정보보호 종합 컨설팅, 관리체계 인증 컨설팅, 기반시설 컨설팅 등의 방식으로 나뉜다. 개인정보보호 종합 컨설팅은 기업 또는 기관이 개인정보를 처리(수집·이용 및 제공, 보호조치, 파기, 이용자의 권리)하는 과정에서의 문제점을 도출하고 이를 개선해 안전하게 개인정보를 처리할 수 있는 전략을 제시하는 서비스다. 이를 위해 씨드젠은 각 기업과 기관의 개인정보보호 수준을 정밀하게 진단하고 분석해 개인정보보호 강화 전략을 수립한다. 이는 기업과 기관에 개인정보보호 역량 및 역할 강화를 위한 마스터 플랜을 수립해주는 것으로, 체계적 개인정보보호 업무를 추진하는 기반이 된다.

관리체계 인증 컨설팅은 ISMS-P, ISO27001 등 해당 조직이 외부기관으로부터 객관적인 평가를 통해 인증을 취득·유지·갱신할 수 있도록 지원하는 서비스다. ISMS-P란, 각종 보안 위협으로부터 주요 정보자산을 보호하기 위해 관리 절차, 물리적·기술적·관리적 보호 대책을 체계적으로 수립해 지속적으로 운영·관리하기 위한 종합적 관리체계다. 씨드젠은 정보보호 및 개인정보보호 관리과정에 대한 절차를 수립하고, 지속적인 관리와 운영을 위한 문서화, 주요 정보자산에 대한 기밀성, 무결성, 가용성을 확보할 수 있는 일련의 과정을 통해 방향을 제시함으로써 ISMS-P 인증기준이 요구하는 보호조치와 조직에 최적화된 관리체계의 인증, 유지 및 갱신을 지원하는 컨설팅 서비스를 제공한다. 비즈니스를 위한 또 다른 관리체계인 ISO27001에 대해서도 ISMS-P와 유사한 방식을 통해 ISO/IEC 27001 인증기준이 요구하는 보호조치와 조직에 최적화된 관리체계의 인증, 유지, 갱신을 지원한다. 이밖에도 주요 정보통신 기반시설 및 전자금융기반시설로 지정된 기업과 기관을 대상으로 한 전자적 침해행위 등의 위협 요인을 파악하고, 침해사고 발생 시 파급효과를 분석·평가하여 위협을 제거하고 사고 감소 대책을 제시하는 기반시설 컨설팅 등의 업무도 수행하고 있다.

“씨드젠을 설립할 당시, B2B 비즈니스로 보안 교육을 제공하는 회사가 없었어요. 모든 기업에 보안은 중요한 이슈이고, 점점 더 중요한 이슈일 것이 분명하고, 보안 관련 사고도 계속 발생하는데 직원을 교육하는 기관이 한 곳도 없다는 게 의아했어요. 3년 정도 고민을 하다가 결국 회사를 그만두고 창업을 결심하게 됐죠. 물론, 회사를 차리고 나서야 왜 보안 교육 시장이 형성될 수 없었는지 직접 경험하게 됐지만요.”

선례가 없는 시장에서 씨드젠의 고군분투가 시작됐다. 보안 솔루션 제품을 개발하는 정보보안 기업은 많지만, 서비스만 제공하는 기업은 극소수인 만큼 완전히 새로운 길을 개척해야 하는 상황. 더욱이 충분한 규모가 형성되지 않은 시장인 탓에 매출을 기대할 수도 없는 상황에서 씨드젠은 ‘세타(SETA)’라는 이름의 프로그램을 선보인다. ‘세상에서 가장 좋은 타이밍을 마주하다’는 뜻의 세타는 늘어나는 사이버위협 속에서 정보보안 솔루션으로는 대응하지 못하는 ‘사람’의 보안 인식을 변화시키는 시작을 만들었다. 몇 년 후, 씨드젠은 결국 보안 교육 시장 점유율 1위라는 성과를 얻어 낸다. 현재도 시장에 있는 보안 콘텐츠의 절반 이상을 씨드젠이 점유하고 있다. 보안 교육의 문제를 깊이, 오래 고민해 본 사람만이 만들 수 있는 교육 프로그램 세타는 점차 입소문을 얻었고, 김 대표가 원하던 바처럼 온·오프라인 교육을 주기적으로 듣는 기업도 늘어났다.

씨드젠이 체인지 매니지먼트라 일컫는 변화관리 서비스인 ‘SETA’는 씨드젠의 핵심이다. 씨드젠은 SETA(SEEDGEN Education Training and Awareness) 서비스를 통해 임직원의 행동 양식을 변화시킴으로써 조직의 보안 역량을 강화한다. 사업을 구상하던 때부터 김휘영 대표가 보안 이슈에서 가장 중요하게 생각한 지점이 보안 교육 분야이다. 씨드젠은 온·오프라인 교육, 인식 제고 캠페인, 보안 모의훈련 등 다양한 방식으로 보안 인식변화를 위해 애쓰고 있다. 보안 솔루션은 행위를 통제하지만, 변화관리는 행동을 변화시키기 때문이다. e-DM, 동영상 등의 스낵컬쳐와 e-Learning 콘텐츠 등의 교육자료 및 캠페인과 이벤트 등 다양한 도구를 활용해 반복된 보안 콘텐츠에 노출되도록 하는 것이 임직원들의 보안 감수성을 향상시키는 씨드젠의 첫 번째 전략이다. 정보보안 전문가들이 최신의 정보보안 이슈를 분석하고, 각 조직에 필요한 맞춤형 인식 제고 프로그램을 제공하고, 인식 제고 캠페인, 보안 모의훈련 등을 병행한다. 씨드젠의 변화 프로젝트에 참여한 조직의 보안 수준은 이전과 비교할 수 없이 향상한 모습을 보인다. 프로젝트에 참여하지 않은 기업과 비교하면 그 차이는 더욱 두드러진다. 김 대표는 말한다. 보안 수준의 차이를 만드는 건 임직원들의 인식변화라고. 씨드젠은 자체 개발한 보안 프로그램을 ‘교육’이 아닌 ‘변화 프로젝트’라 부른다. 사람에 대한 변화관리가 모든 조직의 보안 성패를 가르기 때문이다. 씨드젠의 이러한 노력 덕분에 다양한 데이터를 통해 교육의 가치를 극대화함으로써 무수히 많은 침해사고 대응에 대한 효과를 인정받아 세타 프로그램은 일찍이 특허도 획득했다.

씨드젠은 자체 개발한 변화 프로젝트를 통해 전문적, 체계적, 지속적인 교육을 제공하고 있다. 다양한 정보보안·개인정보 컨설팅 경험을 갖춘 전문가와 수년간 축적한 전문가 풀이 투입해 전문성을, 단순한 강의 수강이 아닌 교육 전·후 실제상황과 유사한 환경을 구축하고 이에 대응하는 훈련을 진행하는 등의 방식으로 체계성을 충족했고, 트렌드를 반영한 콘텐츠를 꾸준히 업데이트함으로써 지속성의 요건도 충족했다. 포스터, e-DM, 화면보호기 등 보안 교육이라는 키워드와 쉬이 연결 짓기 어려운, 다양하고 친근한 방식의 콘텐츠를 주기적으로 제공하며 교육 효과가 유지될 수 있도록 돕는다. 잘 만들어진 프로그램 안에서 사용자는 출근이나 퇴근, 회의나 미팅 같은 업무 사이 쉬는 시간에 다름아닌 ‘틀린 그림 찾기’로, 카드뉴스나 영상 등의 교육 콘텐츠로, 시간과 장소에 구애받지 않고 보안 교육을 받을 수 있다.

정보보안 시장에서 새로운 길을 개척하는데 앞장서왔던 씨드젠은 사람이 먼저 변해야 한다는 믿음과 끝없는 연구를 통해 만들어낸 프로그램을 민간 기업, 공공기업 등에 제공하며 다양한 대상으로 보안 교육을 확대해나갈 예정이다.

 

국내 정보보호산업의 경쟁력을 키울 적기

작년 3월, 구글 클라우드는 세계적인 보안기업 맨디언트(Mandiant)를 54억 달러에 인수했고, 얼마 전에는 세계 최대 네트워크 장비업체인 시스코(Cisco)가 데이터 및 보안 플랫폼 기업인 스플렁크(Splunk)를 280억 달러에 인수했다. 고성장 시장으로 자리 잡은 글로벌 보안 시장을 빠르게 선점하기 위한 선도 기업들의 총성 없는 전쟁이 시작된 것이다. 이러한 흐름은 국내에서도 체감할 수 있다. 최근 글로벌 사모펀드나 중동 국부펀드 등에서 국내 정보보호 기업에 관심을 보이는 것은 물론, 실제 투자로도 이어지고 있기 때문이다. 그러나 아직 국내 보안 이슈는 이러한 속도를 따라가지 못하고 있으며, 정보보호 기업 중에서는 글로벌시장을 선도할 만한 대표기업, 소위 유니콘 기업도 없는 상황이다.

다행인 것은, 이러한 어긋남을 조정하려는 노력이 시작되고 있다는 것이다. 과학기술정보통신부는 올해 10월, ‘정보보호산업의 글로벌 경쟁력 확보 전략’을 발표했다. 국내 정보보호산업이 크게 활성화되지 못했던 이유로 부족한 정부의 정책적 지원과 낡은 제도를 향한 불만의 목소리가 높았던 바. 정부 역시 이 같은 문제점을 인식하고 지난해 신속확인제도와 정보보호 의무공시 제도 등을 새로 도입하는 등 제도의 변화를 꾀하면서 정보보호 산업계의 기대감을 키우고 있다. 정부는 글로벌 정보보호산업 강국 도약 비전 실현을 위해 2027년까지 정보보호산업 시장 규모 30조 원 달성, 보안 유니콘 육성 등을 목표로 4대 전략과 13개 과제를 추진하겠다고 밝혔다. 이는 세계 5위권에 해당하는 예산 규모다.

예산에는 정보보안 산업의 시설 확충, 펀드 조성, 인재 양성 등의 항목이 포함되어 있다. 정부는 보안 스타트업 육성(판교), 지역 보안산업 강화(부산, 울산, 경남), 글로벌 시큐리티 클러스터(송파)로 구성된 ‘K-시큐리티 클러스터 벨트’를 만들고, 해외 거점과 연계해 양질의 현지 인력을 확보해 제품개발 및 현지화까지 연결하는 ‘K-시큐리티 랩’을 구축할 계획이다. 또, 민관 합동으로 2027년까지 총 1천 300억 원 규모의 ‘사이버보안 펀드’도 조성해 보안 유니콘 기업을 육성한다. 이밖에도 미국, 독일, 핀란드 등 사이버보안 분야 강점을 가진 선도국과의 공동 연구를 통해 글로벌 수준의 기술 확보를 추진할 방침이다. 특히, 미국, 유럽 등 선도국가와의 공동 연구 및 중동, 동남아 등 신흥시장의 수요 기반 협력 연구를 활성화하는 국가 R&D 전략은 우리 정보보호산업의 해외시장 개척을 가속화 할 수 있을 것으로 기대된다.

보안에 대한 패러다임 전환, 로봇, 자율주행차, 항공, 우주 등 미래 신산업과 관련한 보안 시장을 선점하는 전략을 세우는 등의 방식과 함께 우수한 인재들을 양성하고 유치하기 위한 노력도 이어가야 한다. 최근 화이트해커 출신 기업가들이 다수 배출되고 있고, 이런 기업들이 글로벌 기업과 활발한 파트너십을 통해 해외사업을 확대하고 있는바, 이는 우리 기업의 전문성과 기술력이 인정받고 있다는 방증이기도 하다. 이렇듯 탄탄한 기술력을 가진 국내 정보보호 기업들이 글로벌 시장에서 제대로 된 평가를 받고 성장하게 되면, 우수한 인재들의 스타트업 참여가 활발하게 이어질 수 있을 것이다.

이제 국가의 보안 수준이 안보 등 한 국가의 역량으로 간주된다. 세계 각국은 대한민국의 침해 대응 정책과 기술에 많은 관심을 보이고 있다. 실제로 국가사이버안전센터와 인터넷침해대응센터에는 세계 각국 보안 전문가들의 발길이 끊어지지 않는다. 세계적인 흐름과 관심을 정보보호산업 경쟁력 강화의 기회로 만드는 것은 우리의 몫이다. 바로 지금이 우리 정보보호 산업에 큰 한 발을 디딜 시기다. ㈜씨드젠을 비롯한 정보보안 업계와 국가차원의 전략이 용두사미가 되지 않도록 다방면의 노력이 필요하다.

소 잃고 외양간 고치기 식의 보안은 틀린 답이다. 김휘영 대표가 숱한 고비를 지나면서도 보안 업계를 지키는 이유는 보안의 중요성을 절실하게 느끼기 때문이다. 그는 씨드젠을 운영하면서 기업의 리스크가 생기고 나서야 씨드젠을 찾는 이들을 보는 것이 가장 안타까운 마음이 드는 순간이라고 덧붙였다. 그러나 정보보안 컨설팅 서비스를 제공하기 위해 탄생했던 씨드젠이 그랬고, 기업의 보안인식을 제고하고 관리하기 위해 만들어진 세파가 그랬듯 그는 아쉬워만 하지 않고 행동하며 길을 개척해왔다. 끊임없이 고민하고, 끊임없이 말하며 곳곳에서 변화를 만들어 온 씨드젠. 지난 15년, 씨드젠이 만들어 온 작은 변화들이 거대한 변화의 물결로 돌아올 순간을 믿는다.