[데이터넷] 정부가 글로벌 정보보호 산업 강국으로 도약하기 위해 2027년까지 1.1조원의 예산을 투입해 ▲세계 5위권 진입 ▲시장 규모 30조원 달성 ▲보안 유니콘 육성이라는 목표를 달성하겠다고 발표했다.

국내 정보보호 시장이 최근 3년간 연 평균 13.2% 성장, 2018년 10조원 규모에서 2022년 16.2조원 규모로 성장했는데, 앞으로 연평균 40% 이상 성장시켜 4년 후 1.8배 규모를 만들겠다는 계획이다.

최근 몇 년간 국내 정보보호 산업 성장률이 크게 높아졌다. 국내용 기술에만 머무르지 않고, 글로벌 트렌드에 맞춰 기술을 개발하면서 해외 진출 기반도 다져왔다. 정보보호 공시제도 의무화로 민간기업의 정보보호 투자 활성화를 촉진시켰으며, 신속확인제 도입으로 정보보호 신기술 도입의 장벽을 제거해왔다.

이러한 성과에도 불구하고, 정보보호 시장은 그 어느 때 보다 높은 위기감을 느끼고 있다. 글로벌 보안 기업 기술은 국내 기업이 도저히 따라갈 수 없는 수준이다. 클라우드 보안 기술의 예를 들어보면, 글로벌 기업들은 CNAPP에 필요한 기술을 인수하거나 개발하면서 클라우드 네이티브 환경 전반을 보호할 수 있게 진화하고 있다. 국내 클라우드 보안 솔루션은 CWPP조차 완성도 있게 제공한다고 보기 어렵다.

사이버 보안 펀드, 민간 투자 이끌어낼 수 있을까

과학기술정보통신부가 5일 발표한 ‘정보보호산업의 글로벌 경쟁력 확보 전략’에는 정보보호 강국 도약을 위한 다양한 계획이 있지만, 실제로 효과가 있을지 의문이 드는 점이 있다.

대표적인 예로, 보안업계의 숙원 사업 중 하나인 ‘사이버 보안 펀드’ 조성이 명시돼 있는데, 이 펀드를 통해 실제 민간의 보안 투자를 이끌어낼 수 있을지 확신하기 어렵다. 과기부 전략에는 2027년까지 1300억원 규모의 민관합동 펀드를 조성해 제로 트러스트, AI 등 유망분야 스타트업 지원과 기업간 M&A를 통한 스케일업 지원 투자를 유도한다고 설명했다.

민관합동펀드는 말 그대로 정부와 ‘민간’이 함께 투자해야 한다. 이번 전략에 명시하지 않았지만, 매년 정부에서 100억, 민간에서 200억원을 조달한다는 계획을 세운 것으로 알려진다. 한국인터넷진흥원 연구에서 연간 300억원 투자 시 2030년 일본 사이버 보안 시장 규모를 추월할 것으로 예상한 것을 근거로 든다.

그런데 민간에서 매년 200억원의 투자금을 조달할 수 있을지 확실하지 않다. 민간 투자를 이끌어내기 위해서는 매력적인 사이버 보안 기술 기업이 있어야 한다. 기술을 개발하기 위해서는 좋은 인재를 육성해야 한다. 그런데 최근 국내 보안기업에서는 퇴사 열풍이 불고 있다. 보안기업 20개사 평균 연봉 5600만원선으로, IT 업계의 절반 수준이다. 기업 내에서도 보안조직은 권한 없이 무한 책임을 져야하는 기피조직이다.

사람이 자산…사이버 보안 인력은 모두 어디로

과기부 전략에서는 정보보호 전문인력 양성 계획도 밝히고 있다. 산업 수요형 인재 양성 프로그램 확대·강화, 대학·군·공공 보안인력 전문성 강화, 사이버 훈련장 확대 등을 통한 실무형 인재를 양성하겠다고 밝힌다. 이렇게 육성된 인재들이 보안 업계에서 실력을 발휘하면서 기술을 발전시키고 있는지 살펴보면, 몇 명의 교육생을 배출했는지는 별로 중요하지 않다고 생각할 수 있다.

우리나라 화이트해커의 실력은 세계 최고 수준이다. 거의 대부분의 해킹대회를 싹쓸이할 정도로 세계적인 해커들이 대거 양산되고 있다. 최고의 화이트해커들은 수상 후 어떤 일을 하고 있는지, 유명 해커들이 운영하는 보안 기업은 세계 최고의 보안 서비스와 보안 솔루션을 공급하고 있는지 살펴보면, 그리 긍정적이지 않다.

보안 산업에 인재가 모이지 않는 이유는 미래를 찾기 어렵기 때문이다. 클라우드 보안의 예를 들어보면, 아무리 좋은 기술을 개발했다 해도 이를 적용해 실제 기술력을 입증할 수 있는 수요처를 찾기 어렵다. 클라우드를 사용하는 고객이 많지 않으며, 대부분 한두가지 클라우드만 사용하기 때문에 클라우드 서비스 사업자(CSP)가 제공하는 네이티브 보안 기술만으로도 운영할 수 있다고 판단한다.

클라우드 보안 시장의 마중물이 되어야 할 공공시장은 클라우드 도입에 소극적이다. 공공 클라우드 전환 시기를 2025년에서 2030년으로 미룬 것을 보면 알 수 있다. 금융권도 클라우드 도입을 주저하는 것은 마찬가지이며, 최근에는 금융망 SaaS 도입을 어렵게 하는 지침으로 인해 금융 클라우드 발전도 기대하기 힘든 상황이다.

제로 트러스트 ‘올인’은 좋지만…

정부와 보안업계에서 ‘올인’하고 있는 제로 트러스트는 더 상황이 복잡하다. 제로 트러스트는 ‘지속적인 검증’이라는 원칙을 명시한 것인데, 모든 것을 제로 트러스트와 엮으면서 시장을 혼란하게 만든다.

과기부의 전략에서 ‘제로 트러스트 전환 로드맵’을 수립하고 통신·금융·의료 분야 시범사업을 추진한다는 계획을 밝히고 있다. 내년까지 실증사업을 통해 효과성과 보안성을 분석하고, 보안 가이드를 발간하며, 2026년까지 최적화 보안 모델 시범 사업 추진과 제로 트러스트 단계별 평가방법론을 개발, 2027년까지 분야별 최적의 제로 트러스트 모델을 확산한다는 계획을 밝힌다.

과기부의 내년 제로 트러스트 실증사업 예산은 62억원인데, 애초 100억원 규모로로 예상했던 것에 비해 크게 낮아진 수준이다.

제로 트러스트가 국내 보안 산업의 성장동력으로 주목되면서 거의 대부분의 보안 기업들이 이 사업에 주목하고 있다. 특히 실증사업을 통해 검증된 기술이 보안 가이드에 반영되기 때문에 실증사업 수행에 목숨을 건 상황이기 때문에 더 우려되는 점이 있다. 너무 많은 기업이 뛰어들어 가뜩이나 적은 예산을 여러 기업이 나누다보면 인건비도 건지지 못한다. 너무 소수의 기업이 이 사업을 독식하면 다양한 현실에 맞는 여러 제로 트러스트 모델을 만들지 못한다.

사이버 위협 대응, 광범위한 협업 필수

사이버 보안은 ‘협업’이 무엇보다 중요한 기술이다. 단 하나의 기술만으로 복잡한 위협에 대응하지 못하면, 단 하나의 기업이나 국가만으로 광범위하게 전개되는 위협 행위자들을 추적해 선제대응 할 수 없다. 그래서 보안 기업들은 다양한 얼라이언스를 맺고, 파트너 생태계를 확대하고 있다. 세계 각국의 정부와 정보기관들도 정보를 공유하면서 공격자를 추적·검거하고, 공격 인프라와 범죄 수익을 압수하고 있다.

우리나라 보안기업들도 국내외 다양한 파트너들과 협력해 보안 영역을 넓히고 있다. 과기부 전략에서는 ‘K-시큐리티 얼라이언스’를 추진해 통합보안 모델을 만든다고 밝혔다. 이 모델을 통해 표준화와 상호 운용성을 확보할 수 있게 하며, 판로 개척과 투자, 해외 진출시 우선 지원한다는 계획도 밝혔다.

계획대로만 된다면 좋은 일이지만, ‘K-시큐리티 얼라이언스’가 폐쇄적으로 운영될 가능성을 제거해야 성공할 수 있다. 통합보안모델이 얼라이언스 회원사만의 통합보안모델이 된다면 ‘통합’이라는 의미가 퇴색된다. 국내 기술만의 통합으로 해외 진출은 불가능하다. 글로벌 다양한 기술과 유기적으로 결합할 수 있어야 통합보안모델로서 기능할 수 있다.

사이버 위협 정보 공유에 있어서도 우려하지 않을 수 없는 지점이 있다. 위협 행위자는 국경을 가리지 않는다. 우리나라의 최대 위협인 북한 공격자들 역시 전 세계를 무대로 활동하고 있다. 북한 공격에 대응하기 위해서는 전 세계 정보기관과 협력해야 한다. 지금처럼 한미일 동맹을 강조하고, 일부 국가를 강력하게 배척하는 상황에서, 위협 행위자에 대한 정보를 광범위하게 수집하고 위협 정보를 공유하는 것이 쉽지 않을 수 있다.

글로벌 기업 참여하는 개방형 생태계 만들어야

2019년 정보보호의날 기념식에서 문재인 대통령은 “정보보호가 4차 산업혁명의 버팀목”이라며 “2022년까지 정보보호 관련 예산 8485억원을 투입해 정보보호 기술과 산업 육성에 나서 정보보호 시장 14조원 규모로 확대하겠다”고 밝혔다.

2022년 정보보호 시장 16조2000억원 규모를 형성했으니, 문재인 정부의 ‘목표 숫자’는 달성했다고 볼 수 있다.

윤석열 대통령은 2022년 정보보호의 날 기념식에 직접 참석해 사이버 안보 10만 인재 양성을 약속했으며, 이번에 발표한 전략에서도 전문인력 양성을 위한 다양한 계획을 포함시켰다.

정부가 정보보호 산업 육성 의지를 밝히고, 계획대로 추진한다고 해서, 국내 보안 산업에 장밋빛 전망을 내놓기 조심스럽다. 여전히 국내 보안기업들은 영세하고, 인재 확보에 어려움을 겪고 있다. 좋은 기술을 개발한다 해도 수요처를 찾기 어렵다. 스타트업이 성장하기 어려운 생태계와 강력한 ‘그들만의 리그’가 존재한다. 해외 진출을 위해 오랜 기간 많은 돈을 투자해도 해외에서는 성과를 거두기가 쉽지 않다.

‘세계 5위 정보보호 강국’, 말의 성찬에 그치지 않으려면, 기업·기관이 새로운 보안 기술을 도입하고, 다양한 성공 모델을 만들며, 글로벌 기업까지 참여하는 광범위한 개방형 생태계 형성이 필요하다. 국내형 모델, 국내 보안 기업만의 생태계로는 해외 진출은커녕 국내에서 글로벌 기업과의 경쟁도 쉽지 않다는 사실을 인정하고, 다각도의 협력과 협업으로 성공모델을 만들어야 한다.