그동안 이익 챙겼던 기득권 세력들 다른 길 찾을 듯
대주주 안철수 정치로 경영 소홀, 안랩 ‘성장 부진’
“안랩 V3가 일반인들 사이에서는 악의 축 정도로 각인”
권치중 안랩 대표 “퀀텀점프 위한 과감한 투자 시작할 것”
공인인증서 제도가 사라지면서 앞으로 전산보안 트렌드가 어떻게 변할지에 대해서도 관심이 집중되고 있다. 전산학계 일각에선 공인인증서 제도가 존재하는 동안 금융위원회, 금융감독원, 금융결제원, 보안업체들이 혜택을 봤지만, 공인인증서 제도가 사라짐에 따라 새로운 판도가 전개될 것이란 예상이 나오고 있다.
그렇지만 기존의 인증서가 사라지는 것은 아니다. 기존에는 공인인증서라는 이름으로 우월한 위치를 인정받고 있었지만 앞으로는 다른 인증수단과 같은 수준이 되는 것이다. 정부는 연내에 법령을 개정해 공인인증서 제도를 폐지할 방침이다.
이에 따라 새로운 인증수단으로 블록체인이나 생체인증 등의 기술들이 대두되고 있다. 이런 신기술에 대중들이 익숙하지 않기 때문에 한동안은 본래 사용하던 인증서가 계속 널리 사용될 것이란 예상도 나온다.
공인인증서 덕택에 혜택을 누렸던 집단
공인인증서 제도는 그동안 많은 IT업계 인사들의 공격을 받아왔다. 수많은 공격을 받아오면서도 버텨오다 결국 무너졌다.
많은 IT업계 인사들이 공인인증서 제도가 잘못됐다고 지적해왔다. 이들이 공인인증서 제도를 비판하는 최대 이유는 ‘불편함’이다.
공인인증서 실행을 위해선 액티브X가 필요했고 컴퓨터나 USB에 공인인증서를 다운로드하는 과정을 거쳐야 했다. 또 공인인증서를 1년에 한 번씩 갱신해주는 것도 번거로운 일이었다.
카카오뱅크는 처음 등록 시 휴대폰 번호 인증, 주민등록증 인증을 한다. 이런 신원 확인 절차를 거친 다음부터는 인증 받은 휴대폰을 쓸 경우 ID와 비밀번호로 은행 업무를 할 수 있다. 카카오뱅크는 사용할 때 공인인증서가 필요 없었기 때문에 사용자들에게 상당한 호평을 받았다.
공인인증서 제도는 보안성 유지를 위한 필수 도구인 개인키 보관에 문제가 있다는 지적도 받고 있다. 공인인증서의 개인키는 일반 파일로 저장돼 있다. 따라서 타인이 몰래 훔쳐갈 수도 있다.
김인성 전 한양대 교수가 쓴 <도난당한 패스워드>에는 악성코드가 컴퓨터에 들어갈 경우 가장 먼저 하는 일이 공인인증서를 해커에게 보내는 일이라는 내용이 나온다.
물론 공인인증서에는 비밀번호가 있지만 안심할 수는 없다. 해커가 쇼핑몰, 포털사이트 등을 해킹해 개인정보를 많이 빼냈기 때문이다. 이들이 빼낸 개인정보 중에는 비밀번호들도 있다. 해커들이 홈페이지를 해킹해서 꺼낸 개인정보 및 인적사항과 자신들이 갖고 있는 공인인증서를 비교하면 공인인증서의 비밀번호를 얻을 수도 있다.
김 전 교수는 자신의 저서에서 “공인인증서를 USB나 이동식 저장장치에 보관하면 안전하다는 말도 잘못된 것”이라고 지적했다. USB나 이동식 저장장치의 경우 분실위험이 높기 때문이다. 몰래 가져가서 공인인증서를 복사하기도 쉽다.
<도난당한 패스워드>에는 운영체제들이 지원하는 키 보관 기능 등 국제 표준화된 기능을 사용하지 않고, 공인인증서 제도라는 독자 방식을 고수하고 있는 이유는 기득권자들이 있기 때문이라고 지적한다.
금융위원회, 금융감독원, 금융결제원, 보안업체들이 김 전 교수가 말하는 기득권자들이다.
한 전산업계 인사는 “금융결제원은 수익을 얻고 금융위와 금감원은 공인인증서 정책을 유지하면서 이에 따른 권한을 누리고 있다”며 “공인인증서 제도 덕택에 은행은 면피하고, 보안 업체는 보안 프로그램을 팔고 있다”고 말했다.
이어 “공인인증서 시스템이 요구하는 보안 정책을 수립하면 사고가 나도 책임 지지 않기 때문에 우리나라 모든 인터넷 기업이 덕을 보고 있다”고 덧붙였다.
공인인증서 제도와 안랩
전산학계 일각에선 공인인증서 제도가 유지되는 동안 안랩도 혜택을 받았다는 주장이 나왔다.
한 전산학계 인사는 안랩을 “한국식 공인인증체계와 액티브엑스 환경에서 사용자 편의성을 해치면서 이익을 얻는 대표적인 기업”이라고 평가하고 “공인인증체계의 개선 노력 없이 이 시스템 안에서 최대 수혜를 받는 업체이므로 비판받아 마땅하다”고 말했다.
그는 “공인인증체계는 비표준 방식이라서 불필요한 앱을 다운로드받게 만들어야 되고 그것 때문에 보안체계가 위험하므로 이를 막기 위해서 또 다른 보안프로그램을 다운로드하게 하는 악순환의 연속방식”이라며 “때문에 한국에서 가장 인기 있다는 안철수 백신이 판매되고 있는 것”이라고 주장했다.
이어 “한국 벤처기업인 페이게이트 같은 경우 공인인증 체계를 벗어난 결제방식을 사용해서 쓸데없는 프로그램 다운로드 없이 결제가 가능하도록 노력하고 있지만 안랩은 그런 노력을 한 바 없다”고 덧붙였다.
이에 대해 안랩 관계자는“안랩은 공인인증과 관련된 사업을 하고 있지 않다”며 “따라서 공인인증체계 자체에 대한 의견을 내놓기 어렵다”고 말했다.
이어 “안랩과 같은 보안기업은 기본적으로 고객사의 요구에 맞춰, 모든 시스템에 적용 가능한 보안기술을 준비하고 있어야 한다”며 “안랩은 그동안 인터넷 및 고객의 시스템 환경에 최대한 적합한 형태의 보안 솔루션을 제공해 왔다”고 덧붙였다.
또 다른 보안프로그램을 다운로드하게 하는 악순환 방식이란 지적에 대해선 “이것은 공인 인증서의 구조와 관련된 것”이라며 “이는 공인 인증 프로그램의 구현 방식에 따라 다르다”고 말했다.
공인인증서 제도 덕택에 안랩이 혜택을 받았다는 주장이 나오는 배경에는 안랩이 국내에서만 강한 힘을 갖고 있다는 점이 있다. 안랩은 국내 보안업계에서 ‘큰형’이지만 해외진출에서는 큰 성과를 올리지 못했다.
또 안랩은 국내에서도 따가운 비판을 받고 있다.
블로거 Asurada는 지난해 12월 4일 자신의 블로그에서 “안랩의 V3이 우리나라 일반인들 사이에서는 거의 악의 축 정도로 각인되어 있다”며 “그도 그럴 것이, 인터넷 뱅킹이나 온라인 쇼핑몰 등에서 뭐 좀 하려고 하면 무조건 설치를 강요받는 안티바이러스 백신 중 하나이기 때문”이라고 말했다.
또 “요즘 금융권 등 웹사이트에서 설치를 강요하는 안랩의 exe 소프트웨어는 V3 Lite가 아니고 안랩 세이프 트랜잭션(AhnLab Safe Transaction)이라는 것”이라며 “이 프로그램은 실시간 모니터링과 키보드 보안 등 웹사이트에서 요구하는 여러 보안 기능들을 한데 합쳐놓은 것”이라고 설명했다.
Asurada는 “안랩 세이프 트랜잭션은 설치를 한번 하고 나면 따로 설정하지 않는 한 부팅 직후부터 항상 프로세스가 돌아간다”며 “그래서 쓸데없이 컴퓨터를 느리게 만드는 주범 중 하나로 늘 지목받고 있고 심지어는 실행되는 동안 사용자 정보를 수집해서 안랩 서버로 계속 전송한다”고 주장했다.
이런 지적에 대해 안랩 관계자는 “안랩 세이프 트랜잭션(AhnLab Safe Transaction, ASTx)은 온라인 거래 시 발생할 수 있는 개인정보, 금융정보 탈취 등 다양한 보안위협에 통합적으로 대응하기 위한 보안 솔루션이며 공인인증과 관련된 프로그램이 아니다”라며 “ASTx는 보안과 사용성과 균형을 맞추기 위해 아래 사용자가 선택할 수 있도록 세 가지 사용옵션(자동시작, 자동 시작 안 함(컴퓨터 종료 시까지 실행 유지), 자동 시작 안 함(보호사이트 종료 시 자동 종료))을 제공하고 있다”고 설명했다.
이어 “자동시작의 경우 보안성을 중요시하는 사용자를 위한 옵션이며 ‘끝내기’ 선택 시 URL모니터링 기능만 남는다”며 “이때 사용자의 PC성능에 미치는 영향은 매우 미미하다”고 말했다.
자동 시작 안 함을 선택하면 PC를 종료 시 다음 부팅 시부터는 ASTx가 동작하지 않는다. 자동 시작 안 함을 고르면 보호 사이트에서 벗어날 경우 ASTx의 모든 기능이 종료되고 메모리에도 남지 않는다.
안랩 소프트웨어 설치를 강요당하고 있다는 주장에 대해선 “안랩은 고객의 요구에 맞춰 솔루션을 공급하고 있는 ‘솔루션 제공사’로, 설치 의무화 여부에 관여할 위치에 있지 않다”고 해명했다.
또 안랩 프로그램 설치 시 PC가 느려진다는 주장과 관련해 “PC 성능 저하는 사용자 각각의 PC 환경(저 사양 PC 이용 혹은 자기도 모르게 중복되는 기능의 보안 SW를 설치한 경우 등)에 따라 다양한 원인이 있을 수 있다”며 “ASTx는 제품 동작 방식을 사용자의 보안 관점에 따라 다양하게 사용할 수 있도록 지원하고 있고 만약 사용자가 동작 방식을 ‘자동 시작 안 함(보호사이트 종료 시 자동 종료)’으로 설정할 경우, 보호사이트만 벗어나면 ASTx도 완전 종료되어 메모리에 남지 않으므로 사용자 PC 성능에 전혀 영향을 미치지 않는다”고 주장했다.
이런 주장에 대해 한 IT업계 인사는 “안랩 온라인 시큐리티는 사용자 편의성을 해치기 때문에 구라제거기 프로그램이 무조건 삭제하는 앱 중의 하나로 전락했다”고 비판했다.
부진한 안랩의 해외사업
안랩은 지난해 상반기 연결기준으로 매출 687억 원, 영업이익 55억 원(별도기준 매출 675억 원, 영업이익 54억 원)을 기록했다고 잠정 실적을 공시했다.
전년 상반기에 비해 연결기준 매출은 77억 원, 영업이익은 17억 원 늘었다.
지난해 3분기 연결 매출은 392억 원, 영업이익 49억 원이었다. 전년 같은 기간 대비 연결기준 매출은 15억 원(4%), 영업이익은 6억 원(13%) 늘어난 것이다.
안랩은 2016년 5월, 안랩은 무리한 해외사업보다는 내실을 다지겠다면서 미국 시장 철수를 공식 선언했다. 같은 해 3월에는 싱가포르 사무소를 접었다. 안랩은 현재 국내와 아시아에 집중하고 있다.
업계에선 안랩의 ‘선택과 집중’ 전략이 바람직하다고 보고 있다. 안랩이 투입할 수 있는 인력과 재원이 한정돼 있는 만큼 아시아 공략에 집중하는 것이 현실적이란 진단이다.
안랩의 2016년 해외 매출은 36억9000만원이었으며 이것은 전체 매출의 2.5%였다.
전산학계와 업계에선 안랩의 해외공략에서 큰 성과가 나오지 않은 이유로 우선 자금력의 부족을 들고 있다. 자금력의 부족은 유능한 기술인력 부족으로 이어지고, 이런 이유로 보안선진국 대기업들과의 경쟁이 어렵다는 지적이다.
안랩은 2016년 매출액이 1429억 원이고 직원 수는 1022명(지난해 9월 기준)이다.
2016년 국내 보안 시장 크기는 2조2000억 원이다. 같은 해 세계 전체 보안 시장 규모인 950억 달러(한화 약 110조원)의 2%다. 국내 보안시장은 규모도 작을 뿐더러 이미 포화돼 있다.
한 대학교수는 국내 전산보안업체들이 크게 발전하지 못한 이유에 대해 “시장이 작고 기업들이 보안은 비용이라고 생각하고 투자를 안 한다”며 “대부분 사고가 난 다음에 그때서야 하는 시늉만 한다”고 말했다.
국내 보안업체들이 해외에서 어려움을 겪는 이유에 대해선 “해외에는 시만텍이나 카스퍼스키, 맥아피 같은 세계적 업체들이 있어 쉽지 않을 것”이라고 분석했다.
안랩의 미래는?
안랩의 미래에 대해 여러 가지 전망이 나오고 있다. 여러 전망 중에서 공통적인 것은 발전이 쉽지 않을 것이란 점이다.
우선 대주주인 안철수 의원이 안랩 경영 대신 정치를 하고 있다는 것도 문제다. 안랩은 대주주가 직접 나서서 책임경영을 하는 것이 어렵다.
전문경영인 제도의 강점도 있지만 오너 경영의 강점도 있다. 최근 경영실적이 비슷한 수준에 있는 안랩에게는 오너의 강한 리더십과 결단력이 필요하다는 목소리도 나온다.
안랩의 2016년 연결기준 매출은 1429억 원이었고 영업이익은 152억 원이었다. 안랩은 2013년에는 1373억 원의 매출을 냈다. 지난해 매출과 비교하면 큰 차이가 없는 것이다.
전산 전문가들은 안랩이 좀 더 대중과 소통을 해야 한다고 지적한다. 대중들의 니즈를 충족시킬 수 있는 제품을 내놓아야 하기 때문이다.
지난 2일 권치중 안랩 대표가 시무식 자리에서 “중장기적 관점의 퀀텀점프를 위한 과감한 투자를 시작할 것”이라고 말한 것도 시의적절하다고 보고 있다.
한편 전산 전문가 중에는 안랩이 블록체인 연구를 강화할 수 있을 것이라고 전망하는 이들도 있다.
김종원 상명대 전자공학과 교수는 안랩의 향후 진로에 대해 “공인인증서가 사라지더라도 보안이나 바이러스에 대한 위협은 여전하기 때문에 큰 영향은 없을 것이라고 생각된다”며 “인터넷과 컴퓨터를 사용하는 이상, 보안은 필수적일 것이고 생체인증보다는 블록체인 같은 것에 더 관심을 갖지 않을까 생각된다”고 전망했다.
안랩 관계자는 “보안기업은 다양한 환경에서 고객사/사용자를 보호하기 위한 보안기술을 제공해야 한다”며 “안랩은 다양한 환경에서 사용자의 보안성을 강화할 수 있는 보안 기술을 이미 보유하고 있거나 연구 중이며, 이를 기반으로 변화하는 환경(인증방식의 변화 등)에 맞는 보안 솔루션을 제공할 계획”이라고 밝혔다.
곽호성 기자
주간한국