SSL VPN「필요성은 있지만, 도입은 글쎄…」

IPS와 마찬가지로 SSL VPN 시장도 결국 공통평가기준(CC) 인증과 국가정보원의 보안성 심사에 발목을 잡히고 말았다. 공공·금융 기관들이 CC 인증과 국정원 심사를 이유로 SSL VPN 도입을 주저하고 있어서다. 공공기관의 도입 움직임은 달팽이 걸음 수준이고, 금융기관은 아예 꿈쩍도 않고 있다. 그나마 하반기 들어 일반 기업 시장이 조금씩 활기를 띠고 있는 편이다. 올해 SSL VPN 시장의 산업별 흐름을 따라가 봤다.올해 초 국정원이 발표한 '국가용 정보보호시스템 보안성 검토 지침' 개정안. 올해 국내 네트워크 보안 업계를 휩쓴 이 쓰나미는 SSL VPN 시장에서도 막강한 위력을 발휘했다.성장세 가로막는 주범 'CC 인증 및 국정원 심사' 대다수 업계 관계자들은 SSL VPN 시장 확산의 가장 큰 걸림돌로 CC 인증과 국정원 심사를 꼽는 데 조금의 망설임도 없다. 특히 인증과 심사의 대상이 되는 공공·금융 부문이 전체 시장의 절반을 차지하고 있음을 감안할 때 업체들로서는 속터지는 상황이 아닐 수 없다. 현재 SSL VPN에 대한 CC 인증은 아직 완료되지 않은 상태다. 문제는 언제쯤 SSL VPN에 대한 가이드라인(보호 프로파일)이 나올지 현재로선 불투명하다. 하지만 이보다 더 실질적으로 시장 성장을 가로막는 장본인은 바로 국정원의 보안성 심사라는 '매서운 칼날'이다. 공공·금융 '도입 꺼리는 분위기' 팽배 도입 담당자가 국정원의 심사를 거스르면서까지 외산 제품을 구매했다가는 자칫 그 칼날에 베일 수도 있기 때문이다. 실제로 공공기관 담당자들이 국정원 심사를 두려워한 나머지 SSL VPN 도입 자체를 꺼리고 있다는 게 업계 담당자들의 한결같은 답변이다. CC 인증과 국정원 심사의 파장은 예상보다 훨씬 심각한 수준인 것으로 드러났다. 국내외 상위 5개 SSL VPN 업체들(노텔 네트웍스, 아벤테일, F5네트웍스, 주니퍼 네트웍스, 퓨쳐시스템)이 밝힌 고객사를 집계한 결과, 50여 고객사 가운데 공공기관은 고작 5곳에 불과했고, 금융권 고객을 합쳐도10곳을 넘지 못했다. 업체 관계자들의 답변을 토대로 추정해볼 때, 다섯 업체들의 총 100여 고객사 가운데 공공·금융 기관이 20곳을 넘지 않을 것으로 보인다. 전체 SSL VPN 시장의 공공·금융 부문이 차지하는 비중은 20% 미만에 불과하다는 결론이다.공공기관 도입의 관건은 '담당자 의지?'업체들의 고객 규모를 보면 산업별 대표 사이트가 상당히 부족해 SSL VPN 시장의 현주소를 단적으로 가늠하게 해준다. 먼저 공공기관 중 행자부가 소형 SSL VPN 장비(동시사용자 200명, 이하 괄호 안의 숫자는 동시사용자 수)를 도입한 것을 제외하고는 중앙부처에서 도입한 사례는 없는 것으로 나타났다. 대다수 고객은 농업기반공사나 서울지하철공사, 지역의 항만공사, 한국원자력연구소 등 공사와 정부출연기관들로 한정돼 있었다. 그것도 전체 차원이 아닌 중소형 장비를 제한적 형태로 도입하는 선에서 그쳤다. 퓨쳐시스템 채널사의 공공 영업 담당자는 "공사나 정부출연기관 등을 제외한 중앙부처나 시군구 같은 관공서 대상의 SSL VPN 영업은 시기상조"라고 잘라 말했다. 또 노텔 채널의 영업팀장도 "국정원 심사를 겁내고 있음에도 몇몇 공사에서 도입한 사례처럼 도입의 관건은 담당자의 의지에 달려 있다"면서 "하지만 영업의 결과물이 언제 나올지 몰라 현재 공공 영업을 적극적으로 진행하지는 않고 다만 제품 소개만 하고 다닌다. SSL VPN이 전체적인 내부 접속 솔루션으로는 자리잡기엔 아직 무리가 따른다"고 털어놨다. 결국 공사나 정부출연기관의 전산 담당자들 가운데 SSL VPN에 대한 도입 의지가 강하다거나 명백한 도입 사유가 있는 경우에만 CC 인증이나 국정원 심사에 구애받지 않고 SSL VPN 구입을 추진하고 있다는 게 업계 관계자들의 중론이다. 은행·증권·카드 '아예 무관심'금융권 현황은 더욱 심각하다. 은행은 물론이거니와 생명보험, 증권, 카드 고객이 단 한 군데도 없는 것으로 조사됐다. 그마나 LG화재(2000명)와 교보자동차보험(500명), 교보보험심사(500명) 등 일부 손해보험사들이 소규모로 도입했을 뿐이다.업계 한 관계자는 "은행권은 SSL VPN에 대한 요구는 거의 없고 여전히 IPSec VPN을 위주로 구축하려는 것 같다. 은행권 대표 사이트가 없는데,앞서 SSL VPN을 도입했다가 문제가 생길 경우 총대를 메기 싫다는 게 그 이유"라고 설명했다. 이처럼 은행들이 책임 소재를 이유로 SSL VPN을 꺼리는 데는 나름의 이유가 있다. 아직은 IPSec VPN에 비해 SSL VPN의 보안성을 신뢰할 수 없다는 인식이 금융기관에 팽배해 있어서다. 게다가 몇 개월 전 키보드 보안 문제로 인터넷뱅킹에 구멍이 뚫린 사고도 SSL VPN 도입에 악영향으로 작용한 것으로 보인다. 그러나 모든 것을 고객사의 책임으로 돌릴 수는 없다. 한 외산 업체 담당자는 "업체들이 SSL VPN보다 IPSec VPN을 은근히 더 권하는 경향이 있다. 도입 규모가 작은 SSL VPN보다는 투자가 훨씬 크게 이뤄지는 IPSec VPN 사업을 따내는 게 매출을 올리는 데 유리하다는 판단 때문"이라고 고백했다. 한편, 최근 한 국내 대형 증권사에서 내부 직원용으로 사용하기 위한 SSL VPN의 도입 타당성 검토를 끝냈다. 도입 시기는 올해 말이나 내년 초로, 네트워크를 대규모로 교체하면서 SSL VPN도 함께 도입할 계획인 것으로 전해지고 있다. 또 삼성카드도 도입 검토를 끝내놓고 BMT 대기중이다.대형 보험사 '필요성 OK, 도입 검토 NO!' 일찍부터 SSL VPN의 가장 큰 수요처로 떠오른 보험 시장도 은행권만큼이나 얼어붙어 있긴 마찬가지다. 특히 대형 생명보험사들이 미동도 하지 않아 업계 관계자들의 속을 태우고 있다.교보생명은 기존에 도입한 IPSec VPN을 통해 외부에서 사내에 접속하고 있다. 현재 가장 큰 문제는 외부 접속자 수의 증가다. 외부 클라이언트 수가 늘어나면서 인증 서버가 이를 처리할 수 있는 한계에 부딪쳤을 뿐 아니라, 전체 클라이언트를 제대로 관리하지 못하고 있다. 교보생명의 이금홍 과장은 "다른 대형 생보사도 SSL VPN의 필요성은 어느 정도 인식하고 있다. 그만큼 사내 접속의 필요성이 많이 대두되고 있다는 얘기다. 분명한 것은 원격 접속용으로 IPSec VPN 외에 SSL VPN이든 뭐든 괜찮은 대안 솔루션이 필요하다는 공감대는 형성돼 있다"고 귀띔했다.최근 들어 몇몇 중견 보험사들은 성능비교시험(BMT)을 진행하고 있다. 푸르덴셜생명이 BMT 작업을 끝내고 퓨쳐시스템과 아벤테일 가운데 사업자 선정을 남겨놓고 있는 상태다. 삼성화재는 추가 개발 사항이 많아 1년 전부터 도입 추진이 지지부진한 상태로, F5네트웍스와 주니퍼가 접전중인 사이트다. 대기업 계열사 '테스트뿐, 도입은 함흥차사'IPSec VPN에 대규모로 투자해 이제야 시스템을 안정화해 쓰고 있는 대기업 계열사에서도 아직 SSL VPN을 도입하려는 적극적인 움직임은 없다. 기존 투자 보호 측면에서도 서둘러 SSL VPN을 도입할 이유는 없다. 또 그룹의 SI 업체를 통해 VPN 서비스를 제공받고 있어서 당분간 적극적인 도입 검토는 없을 듯하다.다만 도입 검토와는 무관하게 단순한 테스트만 진행되고 있다. 삼성네트웍스와 SK C&C는 당장 SSL VPN을 도입할 계획은 없지만 간단한 제품 테스트를 실시한 바 있다.반면, 대기업 중에서는 LG 계열사들이 SSL VPN 도입에 활발할 편이다. 국내 최대 SSL VPN 사이트인 LG화학(동시사용자 8000명)을 비롯해 LG전자(2000명), LG화재(2000명), GS홈쇼핑(100명), GS네오텍에서도 SSL VPN을 설치했다. 아울러 현대 계열사에서도 조금씩 도입하는 추세다. 현대자동차(2000명)를 비롯해 현대모비스(1000명)가 SSL VPN을 이미 구축했으며, 현대캐피탈도 도입을 위한 BMT를 진행하고 있다. 일반 기업 '소규모 테스트 도입' 수준 그나마 SSL VPN 도입이 활기를 띠고 있는 곳은 일반 기업 시장이다. 여기서도 대기업보다는 중견기업이나 중소기업(SMB)이 좀더 활발한 편이다. 그러나 공공·금융 부문에 비해 많이 검토되고 있는 수준에 불과하며, 도입도 전사적으로 진행되기보다는 대개 50~100명 정도의 소규모 테스트 형태로 이뤄지고 있다.산업별로 눈에 띄게 수요가 몰리는 현상도 없다. 다만, 어느 산업군을 막론하고 해외나 국내 지사가 많이 있는 회사나 외부 업무가 잦은 부서에서 SSL VPN을 많이 검토하거나 도입하는 추세다. 퓨쳐시스템 김기호 차장은 "아직까지 대부분 고객은 일반 기업체들로 제조, 서비스, 대학 등 산업별로 고른 분포를 보이고 있다"고 말했다. 주니퍼 총판인 KCC정보통신의 장인섭 팀장은 "물류나 제조업에서 요구가 많은 편이다. 예전에는 고객을 발굴하는 데 영업의 초점을 두었는데, 요즘 들어서는 외려 고객이 먼저 연락하는 경우가 있을 만큼 민간 시장의 경기가 점차 살아나고 있다"고 분위기를 전했다. 반면, ISP에서는 아직 특별한 움직임은 없는 것으로 보인다. 이와 관련해 아벤테일 코리아의 주용석 과장은 "콘텐츠 서비스의 보안을 위해 SSL VPN 제품을 도입할 수도 있겠지만, 큰 시장을 형성하기는 힘들다. ISP로서는 SSL VPN을 통한 비즈니스 모델을 찾기가 쉽지 않다. IPSec VPN 제품도 안 쓰는 고객인데, SSL VPN을 도입할 리는 만무하다"고 잘라 말했다. @