토종 시큐어OS 3사 기술기반은 다르다

인터넷 보안의 마지막은 ‘시큐어OS(Secure OS)’로 통한다.

개방된 운영체제에 보안기능을 줘서 해커들의 접근을 막고, 중요 파일에 대한 권한별 내부자 인증 문제도 해결할 수 있는 기술이 ‘시큐어OS’. 서버보안제품에서 문서보안솔루션, 네트워크 및 호스트기반 침입방지시스템(IPS) 및 침입탐지시스템(IDS)까지 다양한 보안시스템과 관련이 있다.

특히 한국정보보호진흥원이 최근 ‘Secure OS 요소기술 표준 해설서 개발’ 프로젝트(규모 2천500만원)를 발주, 시큐어OS 제품군에 대한 성능시험을 하기 위한 첫 걸음을 내딛어 업계의 관심이 높아지고 있다.

미 국방성 보안등급인 ‘TCSEC’보단 늦은 감이 있지만, 국내 보안제품 평가체제에 시큐어OS 제품군이 들어갈 날도 멀지 않았다는 게 전문가들의 예상.

현재 국내 시장 1위 제품은 컴퓨터어쏘시에이츠(CA)의 ‘이트러스트액세스컨트롤(eTrust Access Control)’.

하지만 지난 해 말부터 시큐브(대표 홍기융 www.secuve.com), 티에스온넷(대표 임연호 www.tsonnet.co.kr), 시큐브레인(대표 이병철 www.secubrain.com) 등 기술력으로 무장한 토종 업체가 출현, 본격적인 영업을 시작할 태세다.

시큐브, 티에스온넷, 시큐브레인의 제품군은 각각 어떠한 기술적 기반을 갖고 있을까. 그리고 이들 제품이 CA ‘이트러스트액세스컨트롤’의 아성을 뛰어넘을 수 있을까.

◆3사 모두 기술기반 기업

시큐브와 티에스온넷, 시큐브레인은 모두 기술력으로 승부수를 던지는 기업들이다.

시큐브와 티에스온넷에는 ETRI나 한국전산원, 한국정보보호진흥원 등에서 원천기술 개발에 집중했던 사람들이 대거 포진해 있다. 홍기융 시큐브 사장과 은유진 시큐브 부사장, 임연호 티에스온넷 사장과 박태규 티에스온넷 연구소장이 대표적인 인물.

시큐브레인의 경우 현대전자에서 위성통신분야(글로벌스타) 개발을 담당했던 이병철 사장과 채춘식 연구소장이 핵심인물이다. 이 사장과 최소장은 과기대 동문사이. 시큐브레인은 침입탐지시스템을 개발하다가, 지난 해 5월부터 시큐어OS쪽으로 눈을 돌렸다.

◆기술의 뿌리는 다르다

소스코드 자체를 보안성이 높도록 뜯어고치는게 아니라 애드온 방식(Add-On)으로 시큐어OS를 만드는 데 대한 비판도 일고 있다. 애드온 방식의 시큐어OS 제품은 안전한 OS 제품이라고 할 수 없다는 지적.

애드온 방식이란 기존 운영체제와 애플리케이션 사이에 보안커널을 올려 애플리케이션과 기존 운영체제 사이를 차단하고 탐지하는 것을 말한다. 이 방식을 쓰는 것은 보안회사가 전체 서버 벤더와 제휴해서 운영체제 소스코드를 제시간에 받고, 패치 시기까지 알아내기는 쉽지 않기 때문이다.

따라서 출시돼 있는 대부분의 제품(외산포함)은 애드온 방식을 따르고 있다.

시큐브, 티에스온넷, 시큐브레인 모두 애드온 방식을 따른다. 하지만 기술의 뿌리는 다르다.

시큐브의 ‘시큐브 TOS’는 시스템 콜을 통해 후킹데몬을 만들어서, 프로세서나 파일에 대한 접근제어 리스트(Access Control List)를 만든다. 이를통해 OS의 보안성을 높인다.

티에스온넷의 ‘레드아울(RedOwl SecuOS)’은 접근제어 리스트 없이도 커널 내에서 역할 기반 접근제어가 가능한 ‘LKM(Loadable Kernel Module)’ 방식으로 개발됐다. 다중등급보안시스템(Muti Level Security), 강제적접근제어(Mandatory Acess Control)라고도 한다.

시큐브레인의 ‘하이자드2.0’은 직무기반 접근제어(Role Based Access Control)로 개발됐다. 보안커널내에서 보안성을 준 것은 ‘레드아울’과 같지만, 강제적접근제어가 아니라 사용자 등급과 자원의 비밀등급에 따라 유연하게 접근을 제어할 수 있다는 게 차별점이다.

◆멀티벤더 지원은 시큐브가 1위

시큐브는 토종 기업중 가장 많은 멀티 플랫폼을 지원하고 있다. 이는 리눅스나 썬 솔라리스, 윈도우 정도를 지원하는 데 국한된 다른 업체보다 훌륭한 경쟁력으로 평가되고 있다.

HP나 컴팩, IBM-AIX 등도 지원하기 때문에 소비자들의 다양한 선택사양을 맞출수 있다는 것이다.

또 관계사인 PKI(공개키기반구조) 솔루션 업체 케이사인과 공조를 통해 PKI기반 인증시스템과 연계하거나, 이글루시큐리티의 토종 ESM(통합보안관제시스템) 인 ‘스파이더-1’과 연동하는 등 사용자 편의성에서도 앞서고 있다.

◆티에스온넷, 시큐브레인..보안성은 우리가 낫다

후발기업인 티에스온넷과 시큐브레인은 시큐브 제품군이 ‘엄격한 의미의 시큐어OS와는 차이가 난다’고 보고 있다.

양사 관계자들은 ‘멀티벤더 지원이나 마케팅 능력은 시큐브가 우수하지만, 현재의 제품은 보안성이 강화된 애플리케이션에 불과하다’는 입장이다. 백근일 티에스온넷 실장은 “접근제어 리스트 방식의 경우 모든 파일과 유저 패킷을 검사하기 때문에 속도 등에 문제가 생길 수 있다”고 말했다.

이병철 시큐브레인 사장도 “사용자와 객체사이에 후킹데몬을 긁어오는 방법은 인증 부분을 운영체제가 인식하는 방법과 다르다”며 “텔넷이나 FTP프로그램만 사용자 인증이 필요한 게 아니라 금융권 사이트의 경우 다양한 애플리케이션이 존재하기 때문에 (접근제어 리스트 방식은) 그냥 통과시키는 등 문제가 생길 소지가 있다”고 말했다.

하지만 시큐브측은 '모두 같은 애드온 방식일 뿐, 기술적인 차이는 사실상 없다’는 입장이다.

◆올해는 토종 시큐어OS의 해

한국정보보호진흥원이 시큐어OS 요소기술 및 표준 분석에 나서면서, 이 같은 논쟁은 더욱 가열될 조짐이다.

또한 기술논쟁과 더불어, 토종 업계의 ‘시큐어OS제품군’은 올해를 시작으로 본격적인 세몰이에 나설 태세다.

채널을 정비하고, 보안관제서비스 및 침입탐지시스템 개발업체와 제휴하는 것은 물론 차세대 제품개발도 열심이다.

시큐브는 기능이 강화된 2.0버전을 8월 께 공개할 예정이다. 티에스온넷은 , 6월말까지 HP버전을, IBM-AIX와 윈도는 연말까지 개발을 완료할 예정이다. 시큐브레인은 IBM-AIX와 HP, 컴팩 합병으로 단종이 예상되는 컴팩서버(트루64버전) 개발에 나서고 있다.

이병철 시큐브레인 사장은 “하이자드에는 시스템정보나 상태를 관리해주는 원격관리툴이 있지만, API(응용프로그램인터페이스) 제공을 통해 타사 ESM(통합보안관제시스템)과 연동하는 일도 준비중에 있다"며 "보안관제서비스 업체에 하이자드를 제공해서 (관제회사들이) 방화벽이나 침입탐지시스템 없이도 고객대상의 보안관제서비스를 할 수 있는 것도 추진하고 있다”고 말했다.

네트워크 제어나 포트 제어가 가능한 '시큐어OS' 제품은 침입탐지시스템(IDS)같은 기존 보안 제품을 대체할 수도 있다는 설명이다.

시큐브와 티에스온넷, 시큐브레인 등 토종 3인방은 이 분야에서 20억원~100억원의 매출을 기대하고 있다.

이런 매출 목표는 단지 '서버보안'제품으로 국한되는 게 아니다.

윈도우기반 제품의 경우 문서보안이나 PC보안 제품으로 별도로 패키지화할 수 있는 가능성이 크기 때문이다. 시큐어OS의 영역을 워드 파일에 제한할 경우 바로 파일보호 시스템이 되기 때문이다.