Article at a Glance글로벌 클라우드 기업을 중심으로 보안에 대한 투자 열기가 뜨겁다. 그러나 한국의 경우 남북 대치라는 특수성, 딥테크에 대한 투자 기피 등의 이유로 보안 산업의 성장이 어려웠다. 일반 기업의 경우 사이버 공격 발생 시 정부의 대응 체계가 분산돼 있어 빠르고 종합적인 대응이 어렵다. 새 정부에서는 사이버 보안을 전략 사업으로 삼아 민간 기업의 대응 역량을 강화해 나갈 것으로 보인다. ‘사이버 보안 펀드’ 조성, 보안 인재 양성 등 보안 사업 생태계를 조성하고 일원화된 사이버 대응 체계를 구축할 예정이다.
2022년 3월8일, 구글이 사이버 보안 업체 ‘맨디언트(Mandiant)’를 인수한다고 밝혔다. 거래 규모는 54억 달러, 한화로 약 6조7000억 원에 달한다. 2012년 모토로라 모빌리티를 125억 달러(약 22조6626억 원)에 인수한 이후로 두 번째로 큰 규모다. 사실 구글에 앞서 마이크로소프트(MS)가 40억 달러에 맨디언트에 대한 인수 의사를 밝혔다. 이후 구글과 인수 경쟁에 돌입한 결과 구글이 승리했다. 2021년 MS는 이미 클라우드 접근 관리 플랫폼 업체 ‘클라우드녹스 시큐리티(Cloudnox Security)’, 리스크 정보 제공 업체 ‘리스크 IQ(Risk IQ)’를 인수한 바 있다. 아마존웹서비스(AWS, Amazon Web Service) 역시 같은 해 메시지 보안 플랫폼 업체 ‘위커(Wickr)’를 인수했다. 이처럼 빅테크 기업들이 보안 기업을 경쟁적으로 인수하려는 이유는 클라우드 사업 확대를 위한 것으로 풀이되고 있다. 클라우드의 경우 기능뿐 아니라 보안이 핵심 요소로 꼽히기 때문이다.
IT 강국인 한국에서도 보안 기업이 2016년 864개에서 2020년 1283개로 48%가량 증가했지만 뚜렷한 유니콘은 나타나지 않은 상태다. 대표적 보안 기업 중 하나인 안랩의 시가총액이 최근 1조 원대를 보이고 있으나 창업자의 행보에 따라 오르락내리락을 반복하는 상황이다.
1
미래 먹거리로 꼽히는 보안 산업이 국내에서 성장하려면 정부의 관심이 필요하다. 한편, 기업 역시 보안 정책을 수립하는 데 있어 법률과 제도에 큰 영향을 받는다. 기업이 대규모 사이버 공격을 받게 될 경우 국가의 도움이 필요할 수도 있다. 사이버 보안 이슈에 있어서 정부와 기업이 긴밀하게 협력해야 한다는 뜻이다.
새 정부 출범이 임박한 시점이다. 보안 산업과 기업의 보안 정책은 어떻게 달라져야 할까. 이영 국민의힘 의원은 “사이버 보안을 전략 사업으로 삼아 민간의 자생적 대응 역량을 강화해 나가야 한다”고 밝혔다. 이 의원은 카이스트 1호 암호학자 출신으로 2000년에 디지털 콘텐츠 보안 솔루션 벤처 기업 ‘테르텐’을 설립했다. 디지털로 된 무형 자산의 권리를 보호하는 DRM(Digital Rights Management) 분야에서는 국내 1위 기업이다. 이 의원은 2020년, 비례대표 국회의원으로 당선되기 직전까지 테르텐을 이끌었다.
그는 제21대 국회에서 최초로 전자 발의를 활용하는 등 정치의 디지털화와 벤처 생태계 조성에 힘쓰고 있다. 댓글 조작에 대응하는 프로그램 ‘크라켄’ 역시 그의 손에서 탄생했다. 지난 대선에는 윤석열 캠프에 합류, 사이버 보안을 포함한 디지털 공약을 세우는 데 중추적인 역할을 했다. 현재는 인수위원회 ‘디지털플랫폼정부TF’에서 상임자문위원으로 새 정부의 디지털 정책을 고민하고 있다. DBR가 이 의원으로부터 국내 보안 사업의 전망과 새 정부의 보안 정책의 방향성에 대해 들었다.
네티즌 문화가 태동하던 때 1세대 보안 회사를창업했다.전 세계적으로 인터넷 문화가 급속도로 보급되던 때다. 콘텐츠와 데이터들이 디지털화되기 시작했다. 그에 따라 원본 데이터의 가치를 지키기 위해 원본 사실을 증명하고 불법으로 데이터, 콘텐츠가 복제되거나 악용되는 일을 막는 기술이 필요할 것이라고 예측해 창업을 결심했다.
분명 사업 아이템은 신선했다. 그러나 누구도 가보지 않은 길인 만큼 쉬운 단계란 하나도 없었다. 우선, 연구실과 기업의 인프라가 매우 달랐다. 카이스트에서 암호학을 공부하던 1990년대 초반 이미 카이스트에는 LAN 전용망이 있었다. 심지어 슈퍼컴퓨터까지 갖춰져 있었다. 연구실에서 고민한 솔루션이 실무 현장보다 앞서기도 했다.
또한 그 당시 소프트웨어에 돈을 쓴다는 인식이 자리 잡기 이전이었다. 특히 개인들이 사용하는 소프트웨어는 공짜인 경우가 많았다. 제조업으로 일어선 나라인 만큼 소비자들에게도 눈에 보이지 않는 소프트웨어에 지갑을 열기란 어려운 일이었다. 특히 지금만큼 해킹의 위험성이 알려지지 않았던 때라 보안 소프트웨어가 필요한 이유를 사람들이 이해하지 못했다. 무엇보다도 IT 업계에서 근무하는 여성이 드물었다. 보안 분야에서는 다섯 손가락 안에 꼽을 정도다. 영업에 있어 인적 네트워크를 구축하는 일이 어려웠다. 첩첩산중이었다.
기술밖에 모르는 이공계 출신으로서 날밤을 새며 연구에 몰두했다. 영업도 직접 발로 뛰었다. 보안 소프트웨어가 왜 필요한지를 설명하고, 반대로 어떤 소프트웨어를 필요로 하는지 들었다. 심지어는 입시 학원들을 직접 찾아가 온라인 강의를 시작하면 동네 단위의 사업을 전국 단위로 넓힐 수 있다고 설득하기도 했다. 온라인 강의 콘텐츠가 불법으로 복제되거나 악용되는 일이 없도록 콘텐츠 보호를 책임지겠다고 말했다. 실제 이들 학원 사이에서 입소문이 나면서 하나둘 거래처가 생기기 시작했다. 업계 소수인 여성 CEO로서 영업망과 네트워크를 넓히기 위해 협회와 같은 소통 채널에 적극 참여하기도 했다. 이후 인터넷 교육 업체뿐만 아니라 연예기획사 등 콘텐츠가 핵심 가치인 기업들이 늘어나자 사업이 안정화됐다.
현재 국내 보안 시장의 상황은 어떤가?2022년 국내 보안 시장의 규모는 6조4453억 원으로 전망된다. 2020년 대비 약 5.8% 성장한 금액이다. 비대면 환경, 재택 및 원격 근무가 정착되고 기업들 역시 디지털 혁신을 앞세우고 있는 동시에 전방위적으로 사이버 위협이 증가하고 있어 실제 보안에 대한 사용자들의 니즈가 늘어나고 있다. 따라서 보안 산업은 앞으로도 지속적으로 성장할 것으로 보인다.
보안 산업 전체가 양적인 성장을 이룬 건 분명하지만 보안 분야별 전문화, 스케일업 등 기업 자체의 질적 성장이 필요한 시점이다. 국내 보안 기업 수는 2016년 864개에서 2020년 1283개로 48%가량 증가했지만 전 세계 사이버 보안 유니콘 기업 42개 중 한국 기업은 전무하다. 가장 많은 보안 유니콘을 보유한 국가는 미국(31개)이고 그다음은 이스라엘(7개)이다.
IT 강국인 한국에서 사이버 보안 유니콘이탄생하지 않은 이유는 무엇일까?국내 보안 기업이 어려움을 겪는 가장 큰 이유는 남북 대치라는 한국의 특수성 때문이다. 국가 안보를 기준으로 국정원이 보안 정책을 주도하다 보니 보안 업계들도 경직될 수밖에 없고 자율적인 시장 생태계를 조성하는 일이 어렵다. 또한 국내 투자자들 역시 한 우물만 깊게 파는 ‘딥테크(Deeptech)’에는 투자를 주저하는 풍조가 있다. 기술 검증과 수익성 예측이 어렵기 때문이다. 더불어 전보다는 많이 개선됐지만 사람들 사이에는 여전히 소프트웨어를 제값을 주고 사용해야 하냐는 인식이 남아 있다. 획기적인 수준의 기술을 보유한 보안 기업이라면 내수 시장에 갇히기보다는 사업 초기부터 해외 시장이나 해외 투자자를 노리는 편이 나을 수도 있다.
물론 가장 바람직한 방향은 국내 보안 산업 생태계가 탄탄하게 형성되는 것이다. 그러나 보안 기업들만의 힘으로 관련 산업 생태계를 조성해 나가기란 쉽지 않은 상황이다. 지속적인 성장을 위한 제도적인 지원이 필요하다. 한국과 마찬가지로 국가 안보가 불안정한 이스라엘은 오히려 이 같은 취약점을 강점으로 승화했다. 국가 안보 차원에서 사이버 보안 사업을 적극 육성한 것이다. 그 결과 이스라엘의 세계 보안 시장 점유율은 10%가 넘는다.
기업의 보안 관련 투자를 촉진하기 위해서는 보안 인력, 투자, 인증 등 정보 보호 현황을 공개하는 ‘정보 보호 공시제도’의 의무 대상 기업을 더욱 확대하고 효과적으로 시행할 필요가 있다. 정보 공개를 통해 일반 기업들의 보안에 대한 투자를 강화하고 정보를 공개한 기업 역시 시장의 신뢰를 얻는 선순환을 구축하는 것이다. 보안에 투자할 여력이 부족한 중소기업을 대상으로는 보안 제품 도입, 데이터 백업 등을 지원할 필요도 있다.
기업이 자체적으로 보안 역량을 강화하기 위해서어떤 노력을 해야 할까?큰 틀에서 보안의 전략적 방향성을 재정립해야 한다. 기존의 비용, 속도 중심의 보안 관점에서 벗어나 데이터의 보안, 가용성, 회복탄력성에 집중한 새로운 시각이 필요하다. 기업의 중장기 사업 계획에 보안을 우선순위로 삼아 현재 사업과 보안을 어떻게 연계해야 할지 전략을 수립해야 한다. 조직의 임직원이 사이버 보안을 기업의 핵심 요소로 인지할 수 있도록 보안에 대한 인식을 재정립하는 일도 중요하다. 또한 보안 인재 문제를 해결해야 한다. 보안에 절대적인 비용을 늘리는 것도 중요하지만 심층적인 인재 풀을 개발하고 교육에 집중하며 보안 인재의 확보, 배치에 시간과 투자를 쏟아야 기업의 보안 역량을 근본적으로 강화할 수 있다. 아울러 기업 내 CISO(Chief Information Security Officer, 최고정보보호책임자)를 지정하고 이들에게 보안에 대한 권한을 위임해 보안을 자연스러운 기업 문화로 정착시켜야 한다.
기업은 새 정부에서 어떤 도움을 받을 수 있을까?현재 우리나라 사이버 보안 대응 체계에서 컨트롤타워는 청와대 국가안보실이다. 기업을 포함한 민간은 과학기술정보통신부, 관은 국정원, 군은 국방부가 영역별로 대응하고 있다. 현재 국가안보실의 사이버안보팀 인력은 6명에 불과하다. 민•군•관 영역을 초월해 다양하고 복잡하게 발생하는 사이버 공격을 종합적으로 분석하고 총괄적으로 대응하기에는 한계가 있다. 또한 관리 주체가 다르다 보니 사이버 위협에 대한 정보 공유가 힘들고 대규모 침해 사고 발생 시 공동 대응에 어려움을 겪고 있다.
해외의 경우 정보 기능과 완전히 분리된 보안 전담 기관이나 부처가 사이버 보안 대응을 총괄한다. 미국은 국토안보부(DHS, Homeland Security), 일본은 내각의 사이버시큐리센터가 사이버 안보 업무를 맡고 있다. 일원화된 대응 체계를 구축해 영역 간 정보 공유, 정보 분석, 사고 대응 지휘 등을 종합적으로 수행한다.
윤석열 당선인은 사이버 안전망 구축 공략으로 △일원화된 사이버 대응 체계 구축 △사이버 보안 10만 인재 양성 △가상 공간에서 사이버 공격 및 방어 훈련 가능한 ‘사이버 보안 훈련장’ 운영 추진 등을 발표했다. 현재 인수위원회에서 국정 과제로 검토 중이다. 사이버 대응 체계가 일원화되거나 부처 간 협업 시스템이 구축되면 실제 기업이 사이버 공격을 받았을 때 더욱 긴밀한 지원이 가능해질 것으로 예상된다.
현재 논의되고 있는 기업 관련 기조는 사이버 보안을 전략 사업으로 삼아 민간 기업의 자생적 대응 역량을 강화하는 것이다. 보안 기업의 인수합병을 촉진하기 위해 정부와 민간이 공동 출자하는 ‘사이버 보안 펀드’의 도입도 관련 부처가 검토 중인 것으로 알고 있다. 일반 기업의 보안 강화를 위해서는 컨설팅 법률 지원, 중개 플랫폼 구축 등의 구체적인 지원 사업도 검토 중이다. 산업 발전을 따라가지 못하는 보안 규제를 개선하는 방향도 논의 중이다. 보안 인재 양성에도 주력해 기업에 우수한 보안 인재가 유입될 수 있도록 지원할 예정이다. 정보 보호 고등학교, 대학 등 정규 과정뿐만 아니라 융합 보안 교육 등 특화 과정에서도 보안 교육을 강화할 것이다.
이규열 기자 kylee@donga.com