- V3경쟁력 제고, 통합 서비스/솔루션 기업 기반 강화 - 글로벌 사업의 선택과 집중 등 사업 역량 강화
안철수연구소(www.ahnlab.com)는 6일 저녁 여의도 CCMM빌딩에서 신임 김홍선 대표이사와 주요 경영진이 참석한 가운데 기자간담회를 열고 향후 경영 방침과 전략을 발표했다.
김홍선 대표는 이 날 “외형이 아닌 내실로 글로벌하게 존경과 인정을 받는 기업을 만들겠다.”라고 경영 방침을 밝혔다. 이어서 4대 경영 전략으로 ▲핵심 제품인 V3의 경쟁력 제고 ▲서비스 사업 강화로 통합 서비스/솔루션 기업으로의 기반 강화 ▲다양한 기술적 경영적 자산의 사업화 ▲글로벌 사업의 선택과 집중을 제시했다. 이를 위해 조직의 전략적 마인드와 신속한 실행력을 강화할 계획이라고 밝혔다.
첫째, V3 제품군의 경쟁력을 높이기 위해 신기술을 개발하는 한편, ‘V3 365 클리닉’에 적용한 ‘V3 뉴 프레임워크’를 전체 V3 제품군에 단계적으로 적용해 제품의 경량화를 지속 추진할 예정이다. 연내 매시간(Hourly) 엔진 업데이트를 가동함으로써 세계 수준의 보안 대응 기술력을 선보일 계획이다.
둘째, 통합보안 서비스/솔루션 기업으로 자리매김하기 위해 보안컨설팅과 보안관제를 아우르는 서비스와, 우수한 기술의 솔루션, 보안 SI(시스템 통합), ASEC(시큐리티대응센터) 및 CERT(침해사고대응센터)의 화학적 결합으로 시너지 효과를 내는 한편 새로운 비즈니스 모델을 개발한다는 전략이다.
셋째,다양한 기술적, 경영적 자산을 사업화 모델을 창출함으로써 부가가치를 높여갈 계획이다. 기술 경영 차원에서 연구개발(R&D) 과정에서 축적한 원천 기술과 노하우를 비즈니스 모델로 발전시켜 차별적 경쟁력을 확보해나갈 계획이다. 위험 사이트 차단 서비스인 ‘사이트가드(AhnLab SiteGuard)’와 ‘V3 웹하드’처럼 개발 과정에서 확보한 특화 기술의 사업화를 모색할 계획이다.
넷째, 글로벌 사업의 경우 ‘선택과 집중’ 기조 하에 국가별, 거점별 차별화 전략을 수행하고, 이미 국내에서 축적한 기술 및 비즈니스 역량을 해외 현지에 맞게 사업화할 계획이다. 즉, 현지 법인이 있는 일본과 중국, 동남아, 북미, 중남미, 유럽 등 각 지역/국가 별 고객 요구에 맞춰 보안관제 서비스를 비롯해 온라인 보안 서비스와 온라인 게임 보안 솔루션, 모바일 보안 솔루션 등을 특화해 제공한다는 전략이다.
안철수연구소는 4대 전략 실행을 위해 조직의 역량을 높일 계획이다. 이의 일환으로 보안사업본부, 서비스사업본부, 인터넷사업본부 등 본부 체제로 조직을 개편해 책임 경영을 강화해나갈 계획이다.
김홍선 대표는 지난 2006년 말 안철수연구소에 합류해 CTO(최고기술경영자)로서 네트워크 보안 장비 ‘트러스가드 UTM’, PC주치의 개념의 온라인 보안 서비스 ‘V3 365 클리닉’, 온라인 통합보안 서비스 ‘안랩 온라인 시큐리티’, 위험 사이트 차단 서비스 ‘사이트가드’ 등의 개발 및 출시를 주도했으며 지난달 대표이사 CEO에 공식 선임됐다.
█ 김홍선 대표이사 약력 - 1960년생(만 48세) - 서울대학교 전자공학과 학사/석사 / 미국 퍼듀대학교 컴퓨터공학 박사 - 삼성전자(1990~1994) - ISS 설립, 대표이사(1995~1998) - 시큐어소프트 설립, 대표이사(1998~2004) - 한국정보보호산업협회(KISIA) 2대/3대 회장(1999~2000) - 유니포인트 경영고문(2005~2006) - 안철수연구소 CTO(2007~현재) - 안철수연구소 대표이사 사장(2008.10.~현재)
창립 이래 지난 14년 간 지속적인 성장을 일궈온 안철수연구소는 지난 3개월 간 제 2의 도약을 주도해 갈 수 있는 CEO를 선발하기 위한 엄격한 검증 과정을 거쳐 사내외 공모를 진행한 결과 김홍선 대표이사 대행을 신임 안철수연구소 대표이사로 선임했습니다.
김홍선 신임 대표이사 사장은 우리나라 정보보안 산업의 태동과 발전에 기여해 온 1세대 정보보안 전문가입니다. 서울대 전자공학과에서 학사와 석사, 미국 퍼듀대에서 컴퓨터공학 박사 학위를 취득한 바 있으며 삼성전자, 미국 TSI사 등에서 근무한 후 정보보호 전문업체인 시큐어소프트의 창업자이며 한국정보보호산업협회(KISIA) 회장 등을 역임하는 등 대기업, 미국 기업, 벤처기업 등을 두루 거치며 IT 기술과 제품을 사업화하는 데 주력해 왔습니다.
또한, 김홍선 대표는 지난 2006년 말 안철수연구소에 합류해 CTO(최고기술경영자) 역할을 맡아 세계적 수준의 통합 네트워크 보안 장비 ‘트러스가드 UTM’, PC주치의 통합보안 서비스 ‘V3 365 클리닉’, 온라인 보안 서비스 ‘안랩 온라인 시큐리티(AhnLb Online Security)’, 위험 사이트 사전 차단 보안 서비스 ‘사이트가드(AhnLab SiteGuard)’ 등의 개발 및 출시를 주도한 바 있으며 지난 3개월 간 대표이사 직무대행을 수행해 왔습니다.
안철수연구소 호의 선장이 된 김홍선 대표는 “지금은 안철수연구소 역사상 가장 중요한 시점이다. 그 동안 안철수연구소가 고객에게 다가서는 모습이 부족했던 점을 겸허히 반성한다.”라고 현재의 상황을 진단하고, “고객 중심과 현장 경영을 최우선의 경영철학으로 삼겠다. 안철수연구소는 기술적으로나 경험적으로 고객에게 도움을 드릴 수 있는 잠재적 가치가 무궁무진한 기업인 만큼 고객을 기반으로 회사 전체의 마인드와 시스템이 변신하는 모습을 펼쳐 보이겠다. 이를 통해 정보보안에 대해 시작에서 끝까지 종합적인 해결책을 제시하는 국내 최고의 보안 기업으로서의 위상을 확고히 해 나가겠다.”고 포부를 밝혔습니다.
또한 “안철수연구소는 정보보안과 소프트웨어 산업 분야에서 대한민국을 대표하는 기업이면서도 창립 이래 정도를 걸으면서 사회 공익을 위해서도 애써온 투명한 벤처기업의 상징이다. 안철수연구소의 존재감에 대해 관심과 성원을 보내주신 고객들과 국민들의 기대에 부응할 수 있도록, 소명감을 갖고 진정한 리더십을 발휘해 글로벌 보안 기업으로 발전시키는 데 최선을 다함으로써 궁극적으로 한국이 IT 강국을 유지하는 데 일조하겠다”며 안철수연구소의 위상과 미래 모습을 제시했습니다.
█ 김홍선 대표이사 프로필
- 1960년생(만 48세) - 서울대학교 전자공학과 학사/석사 / 미국 퍼듀대학교 컴퓨터공학 박사 - 삼성전자(1990~1994) - ISS 설립, 대표이사(1995~1998) - 시큐어소프트 설립, 대표이사(1998~2004) - 한국정보보호산업협회(KISIA) 2대/3대 회장(1999~2000) - 유니포인트 경영고문(2005~2006) - 안철수연구소 CTO(2007~현재) - 안철수연구소 대표이사 사장(2008. 10. ~ )
안철수연구소 김홍선 대표는 지난 2일 서울 삼성동 코엑스에서 열린 "ISEC 2008 : 제2회 통합 정보보호 구축전략 컨퍼런스에서 기조발제를 통해 "보안은 최종 목표가 아니라 여정이다"라며 보안에 대한 올바른 관점 확립이 필요함을 역설한 뒤 보안 전문성 강화와 신뢰적 기반 구축을 강조했습니다.
김홍선 대표는 ‘입체화되는 위협과 보안 대책의 현황’이라는 기조연설에서 우리나라 IT 보안의 현주소와 관련, “관련 인식과 문화, 기술, 그리고 법 규정의 실효성 측면에서 많이 취약하기 때문에 금전적 조직 범죄에 노출되고 있으며, 이로 인해서 여러 해킹사고가 발생하고 있다”고 지적한 뒤 갈수록 입체화되고 있는 인터넷상의 위협과 관련, “보안의 전문성을 강화하는 동시에, 신뢰적 기반 구축을 위해 노력해야 한다”고 역설했습니다.
또한 김홍선 대표는 ▲종합적이고 장기적인 접근, ▲기업의 보안 인프라 투자 확대와 책임의식 확립, ▲프라이버시 체계 구축, ▲보안 정책과 보안 실제의 격차 해소, ▲기술 중심의 전문성 함양 등을 해결책으로 제시했습니다.
오늘날 정보는 거미줄처럼 연결된 하나의 거대한 컴퓨터 속에 들어있다. 이러한 정보는 인터넷과
다양한 멀티미디어를 통해 디지털화된 정보 형태로 소통되고 공유된다. 정보는 사회의 여론을 주도하기도 하며 새로운 가치를
창조하기도 한다. 그만큼 폭발적인 전파력과 영향력을 지니고 있다.
이러한 이유 때문에 많은 이들이 정보를 생성하고 활용하는데 혈안이 되어 있다. 반면, 디지털 정보가 축적되고 소멸되지
않는 특성에 대해서는 아무도 관심을 기울이지 않는다. 용도 폐기된 정보가 데이터베이스에 보관된 상태로, 각 개인 PC에 저장된
형태로 무관심과 부주의 속에 방치되고 있다. 주목해야 할 점은 이 정보들 중에는 소중한 개인정보가 포함되어 있어 악용될 가능성이
있다는 것이다.
정보 시스템을 구성하는 제품과 서비스를 미국 기업들이 주도하다 보니 이러한 정보를 관리하는 체계도 미국의 사례를 따르는
경향이 있다. 물론 정보 시스템을 구성하는 하드웨어, 소프트웨어, 통신 인프라 등은 선진 글로벌 기업들의 주도로 표준화될 수
있다. 그러나, 정보를 생성하고 소멸하는 과정, 그리고 소통하는 삶의 방식은 그 구성원들의 인식과 문화적 환경에 따라 다르다.
이런 차이점을 이해하지 않고 무작정 모방하려고 하면 실효성도 떨어질 뿐만 아니라 때로는 역효과도 발생할 수 있다는 점을
간과해서는 안 된다.
최근 사회 문제가 되고 있는 개인정보 유출의 해결책 또한, 정보가 소통되는 그 공동체의 문화와 역사적 특성과 함께 사회
생활의 행동 방식에 따라 적절하게 적용되어야 한다. 정책의 대상인 그 구성원들이 따를 수 있어야 좋은 정책인 것이다. 하지만
이러한 정책을 따르고 적용하기 힘들다면 예외의 경우가 발생하고, 예외가 발생하는 경우가 많으면 많을수록 이미 그 정책은 설
자리를 잃는다.
문명의 뿌리가 같다고 할 수 있는 미국과 유럽만 해도 엄연한 차이가 존재한다. 예를 들어 직원들이 사용하는 PC,
통신내역, 이메일과 같은 컴퓨터 자원의 경우, 미국에서는 이것이 회사의 자산이기 때문에 회사가 모니터링하고 관리할 수 있는
권한을 당연시한다. 그러나, 유럽 국가에서는 회사가 비용을 지불한다고 해도 개인의 프라이버시가 우선한다.
하물며 동양권의 문화는 역사적으로 서구와 다른 길을 통해 오늘에 이르렀다. 글로벌화에 따라 문화간의 융합이 이루어지고는
있지만, 개인주의에 기반을 둔 서구식 방식을 그대로 적용하는 데는 무리가 따른다. 동양권에서도 국가별로 특성이 다르다. 이를
테면 학연, 혈연, 직장 동료 등 다양한 그룹에서 각 개인을 중심으로 형성되는 네트워크 안에서의 한국인의 정보 공유 행위는
유난히 강하다. 이런 차이점과 오랜 기간 형성되어 온 관행과 습관을 고려하지 않고서는 효과적인 정책이 성립되기 힘들다.
최근 쟁점이 되고 있는 주민등록번호 제도는 우리 사회가 발전하는 과정에서 스스로 만들어낸 제도이다. 국가에서 각 개인에게
유일한 번호를 부여하는 방식은 우리나라에만 존재한다. 냉전 시대에 분단된 국가의 현실에서 일사불란한 주민 관리 체계는
행정적으로나 동원 체제를 위해 효과적이었다. 국가 주도의 산업 발전과 교육 체계를 위해서도 활용도가 컸다. 특히 정보의 통합화를
실현하는데 지대한 역할을 했다는 평가를 받고 있다.
더 나아가 우리가 IT 강국이 되는 과정에서 정보의 전산화는 효율성과 생산성을 목표로 급속도로 이루어졌다. 부동산,
가족상황, 주소등록, 병역관계, 신용등급, 금융거래, 의료정보, 포털의 회원 정보 등 거의 모든 개인 정보가 전산화되었고 각
개인의 분류 기준은 주민등록번호로 일반화되었다. 일반기업의 서비스를 이용하는 과정에서도 주민등록번호는 아무 거리낌없이 사용되고
있다. 이런 상황을 고려했을 때 주민등록번호의 유출 방지에 포커스를 맞추어 문제의 해결책을 찾는 것은 근원적인 대책이 되지
못한다. 게다가 이를 대체하거나 분리하고자 할 경우, 시스템 재구성에만도 상당히 많은 고통과 비용을 수반하게 된다.
우리가 집중할 문제는 정보 그 자체다. 누가 이 정보를 볼 수 있고 누가 이 정보를 생성부터 소멸까지 관리할지에
대한 책임 소재가 분명해야 한다. 과거에 개인 정보 통합과 검색 시스템을 구축하는 데만 주력해 온 결과 정보의 라이프사이클을
책임질 오너쉽이 실종된 경우가 허다하다. 이것이 오늘날 개인정보보호를 위해 해결할 문제의 핵심이다.
그나마 물리적으로 관리 주체가 명확한 시스템, 데이터베이스, 네트워크 같은 인프라는 범위라도 정해져 있다. 거의 모든 개인이 사용하는 PC에 저장된 정보는 오너쉽이 누구에게 있는가?
게다가 PC는 플랫폼으로써 업무적, 개인적 정보와 각종 소프트웨어가 혼합되어 있다. PC가 독립적으로 사용될 때에는 영향력이
적었으나, 이미 PC는 전체 시스템에 직접적인 영향을 주는 구성 요소로 진화했다. 이와 같은 플랫폼의 정의와 주체를 규정하는
것이 논의의 출발점이다.
정보 그 자체에 집중하지 않는 상태에서 보안 솔루션이나 기술을 채택하는 경우 수박 겉핥기식이 되어 실효성은 떨어질 수 있다.
더욱이 PC 플랫폼이나 어플리케이션, 문서의 활용 형태가 워낙 다양해서 고객과 솔루션 벤더를 둘 다 만족시키는 접점을 찾는 것도
쉽지가 않다. 정보유출방지 솔루션을 도입한 많은 케이스를 보면, 사용하기는 불편하고 보안 상태는 나아지지 않고 있는 상태에서
정책을 수립하는 사람이나, 사용자 솔루션 제공자 모두가 힘들어 하는 사례가 비일비재하다.
결국 정보의 활용을 극대화하면서 생성과 소멸을 책임질 수 있는 오너쉽을 가지는 것이 관건이다. 그 주체와
범위는 각 기업이나 기관, 개인의 업무 환경과 문화에 따라 다를 수가 있다. 정보 자체의 라이프사이클이라는 초점을 잃지 말고
중심을 잡는 정책이 절실하다. 단 우리의 문화와 업무 형태를 고려한 방향이어야 실효성이 있다.@
최근 발생하는 각종 해킹 사고, 정보 유출 사건 등 보안 시장 동향이 예사롭지 않다. 어떻게 보면 단편적 사건들이 간헐적으로 일어나는 것처럼
보이지만, 그 배경에는 급변하는 환경에 대응하지 못하는 구조적인 문제점이 존재한다.
필자가 정보보호산업에 뛰어든 10년 전의
상황과 지금은 IT 활용 관점에서 근본적으로 현저한 차이가 있다. 정보에 대한 호기심에서 시작된 인터넷이 우리 생활의 필수불가결한 도구가
되었고, 금융 거래, 정부 민원, 통신 수단, 상거래 등 전 분야에서 인증, 결제, 개인 정보 제공과 같은 철저한 보안이 요구되는 서비스가
이루어지고 있다.
이렇게 서비스가 복잡다단해 지면서 보안 취약성으로 인한 문제들이 급증하고, 실제로 정보를 탈취하고 도용하는 위협
행위가 많이 발생하고 있다. 그러나, 보안에 대한 기본 인식이 크게 나아졌다고 보기 어렵다. 아직도 조직의 최고 책임자는 보안을 보안 담당자가
알아서 하는 업무 정도로 인식하지는 않는가? 해킹 사건 사고에 대한 뉴스가 나오면 한 번 관심을 가지는 정도가 아닌가? 보안 제품 몇 개 사면
100% 보안이 된다는 무지함을 가지고 있지는 않은가?
불행히도 현실은 우울하다. 포털을 비롯해 쇼핑몰이나 게임 업체, 심지어
금융권에서도 인터넷 회원을 끌어들이고 유지하기 위해서 마케팅에 투자는 아끼지 않으면서, 정작 그 회원들의 프라이버시를 보호하기 위한 인프라
투자에는 인색하다. 보안을 마케팅 효과로 활용하면서, 사용자의 보안에 대해 진정으로 고민하고 근본적인 대책을 세우는 모습은 보지 못했다.
그러다 보니 인터넷 경제가 이만큼 성장한 가운데 보안 업종은 힘들고 희망이 없는 분야가 되었다. 보안 업체의 과당 경쟁에 원인이
있다고 얘기하지만, 과연 이것만이 문제인가? 보안에 대한 투자 부족과 후진적인 유통 질서에 대한 근본적인 인식은 찾기 어렵다.
어떻게 보면 한국인의 인식에서 보안이 주요 안건이 되기는 힘이 들 것 같은 생각이 든다. 지금 생각해도 분노에 치를 떨게 하는
남대문의 불타 없어진 모습이 우리의 보안 의식의 부재를 잘 보여준다. 우리가 그렇게 자부심을 가졌던 남대문을 지키기 위해서 지도자들이 보여 준
모습은 너무나도 실망스러웠다. 책임 의식도 없고 체계화도 안 되어 있고 말도 안 되는 예산을 그나마 줄이려고 노력하는 상황에서, 국보 1호를
지켜내기는 힘겨웠다.
IT에서 정보보호는 묵묵하게 보이지 않는 곳에서 작동한다. 압축 성장을 해 오는 과정에서 가시적인 성과를
우선시하는 우리나라 IT 현장에서 보안 산업은 매력이 없는 분야이다. 당장 보여줄 것도 없고 투자에 대한 결과가 눈에 보이는 것이 아니기 때문에
최고 경영자의 관심을 끌기 힘든 것이 사실이다.
정보보호는 자신의 사업을 지탱하는 고객을 진정으로 생각하는 마음이 전제되어야
한다. 고객이 맡겨놓은 정보를 보호할 자세와 실제 구축이 안 되어 있다면 사업을 전개할 자격이 없다는 게 선진국 프라이버시 정책의 사상이다.
또 하나 문제는 어떤 사고가 터진 경우 실무자의 책임 추궁에 몰두한다. 그리고 보상 규모를 줄이기 위해 법무적 대응에는 만전을
기한다. 일부 기업에서 보안 사고를 보안 담당자에게 법적 구상권을 청구하려 한다는 얘기도 들었다. 사실이 아니기를 바란다. 그렇게 될 경우 누가
일선에서 보안 책임을 맡으려고 하겠는가? 조선 시대에 왕이 죽으면 어의가 책임지는 것과 같은 이치 아닌가? 비합리적이고 무책임한 방책이다.
4월 초에 거행된 글로벌 컨퍼런스 Privacy Global Edge에서 딜로이트(Deloitte)의 컨설턴트는 한국에서 정보
유출 사고를 통해 배상된 금액을 보고 깜짝 놀랐다고 한다. 소비자들이 그 정도 배상에서 물러서느냐고 이해하기 힘들다는 표정이었다. 미국에서 만일
그런 사고가 났다면 회사 전체가 휘청거릴 정도로 배상 규모가 크다. 독립적인 개인정보보호법이 없는 현실을 차치하더라도, 글로벌 기준에 비추어
우리가 얼마나 뒤떨어진 체계와 시스템을 가지고 있는 가를 잘 보여주는 일례이다.
이런 사고의 재발을 방지하려면 정부 차원의 대책이
필요하다. 그런데 새로운 정부에서는 규제를 없앤다고 한다. ‘기업 프렌들리”는 선진화로 가는 좋은 개념이다. 그러나, 이것이 기업의 보안 대책에
악영향을 줄까 걱정이 앞선다. 정보보호는 정보보호정책의 설정과 규정준수(Regulation Compliance)가 핵심이다. 게다가 우리 나라는
글로벌 스탠다드에 맞는 규제나 가이드라인이 절대적으로 부족하다.
최근 위협은 조직적이고 목표가 뚜렷한 실제적 상황이 대부분이다.
국내는 말할 것도 없고 중국, 러시아 등에서는 정보 탈취나 방해를 위한 위협 도구가 활발히 거래되고 있다고 한다. 최근 안철수연구소
시큐리티-대응센터에서 수집되는 악성코드는 가히 기하급수적으로 성장하고 있고, 그 중 80% 이상이 정보를 몰래 빼내는 트로이 목마다. 정보
탈취를 겨냥한 위협이 과거와는 차원이 다른 규모로 급증하고 있다는 점을 증명한다.
정보보호에 14년간 종사한 필자에게 최근 일련의
사태는 몹시 혼란스러운 경험이다. 안타깝게도 여기에 대응하는 체제가 비전문적이고 일관성이 없는 경우를 목격하게 된다. 다시 한번 사회의 안전망과
IT의 신뢰 플랫폼을 유지하는데 시선을 집중해야 한다. 그렇지 않을 경우 IT강국은 유해 정보와 불법 거래만 득실거리는 세상이 된다. 전문가적
시각으로 차분하면서도 체계적인 접근이 절실하다.@
