2015년 정보보안 시장은 그야말로 ‘다사다난’했다. 한국수력원자력 해킹 사고가 2014년 말부터 2015년 초까지 보안시장을 뜨겁게 달구더니 랜섬웨어 공격이 무차별적으로 진행되면서 큰 피해를 양산해냈다. 핀테크·IoT 시대의 본격적인 개화로 새로운 공격에 대한 경고가 이어지는가 하면, 실제로 금융기관이 해킹을 당하고, 스마트카 해킹이 가능하다는 사실이 입증돼 대량의 리콜 사태가 벌어지기도 했다. 2015년을 뜨겁게 달군 정보보안 업계의 이슈를 종합해본다.<편집자>
올해 보안업계에 가장 반가운 소식을 꼽으라고 한다면 정보보호산업의 진흥에 관한 법률(이하 정보보호 산업 진흥법)이 제정되는 등 정부의 정보보호 산업 육성을 위한 구체적인 지원사업이 시작됐다는 것이다. 정보보호 산업 진흥법에서는 정보보호업계의 숙원사업인 ‘정보보호 서비스 적정대가 지급’을 위한 기준이 마련됐다. 이 법에서는 표준계약서 사용을 권고하고, 불합리한 발주관행 개선을 위한 민관합동 모니터링을 실시한다.
보안투자, 인력관리체계 등 기업 등의 정보보호 준비노력을 평가해 등급을 부여하는 ‘준비도 평가’를 수행할 수 있도록 평가기관의 등록요건도 마련했다. 준비도 평가기관으로 등록하기 위해서는 평가전담기구 설치, 3명 이상 평가수행인력 확보, 준비도 평가기술 보유 등의 요건을 갖춰야 하며, 평가기관의 등록 유효기간은 3년이다.
또한 체계적인 정보보호 산업 진흥을 위한 기반을 조성하기 위해 ‘정보보호산업 진흥계획’을 5년마다 수립, 정보보호 기술 개발, 전문인력 양성, 융합 신시장 창출, 해외 진출 지원 등을 추진한다.
정보보호 핵심 원천기술 개발을 촉진하기 위해 신규성, 독창성, 사업화 가능성이 있는 기술을 우수 정보보호기술로 지정해 시제품 제작비, 수출을 위한 비용 등을 지원한다. 기업 성장률, 기술개발 실적, 정보보호 인력, 고용창출 기여도 등을 평가해 우수 정보보호 기업으로 지정해, 국제협력·성능평가 등도 지원할 수 있도록 했다.
정부 차원의 정보보호 산업 지원을 위해 K-ICT 사업에 시큐리티 이노베이션 확산 방안도 마련됐다. 여기에는 보안 기술을 개발하는 스타트업을 지원하고, 보안인재 양성체계를 고도화하며, 글로벌 사이버 보안 기술 경쟁력을 강화한다는 내용이 담겨있다. 보안취약점 분석, 침입탐지·대응, 모바일 보안, 통합보안클라우드, IoT·제어시스템 보안 등 주목할만한 기술을 적극 지원하며, 국제공동연구를 확대하고 수출을 촉진할 수 있는 교두보를 마련해 준다는 방침을 밝히기도 했다.
공공 클라우드 시장의 본격적인 시행에 앞서 클라우드 보안 가이드라인도 마련되는 등 정보보호 산업 육성 지원에 대한 정부의 의지는 그 어느 때 보다 강력해보인다.
기술 경쟁력 약화로 보안 시장 불황 깊어져
정보보호 산업은 20여년간 정부의 적극적인 지원을 받아왔음에도 불구하고 좀처럼 성장하지 못했던 이유는 누구나 지적하듯, 백화점식 경영과 저가수주 관행 때문이다. 토종 솔루션이 낮은 가격과 유연한 커스터마이징을 경쟁력으로 내세우면서 시장을 확산해왔지만, 지나친 출혈경쟁으로 수익을 보장받지 못했으며, 다른 수익원 창출을 위해 백화점식으로 유행하는 솔루션을 개발하거나 유통시키면서 수익을 더욱 악화시키는 결과를 낳았다.
이 악순환의 고리를 끊기 위한 방법은 건전한 성장이 가능하도록 수익률을 보장해주는 것이다. 정보보호 산업 진흥법을 비롯한 지원 정책을 통해 보안 제품에 대한 적정한 수준의 가격을 보장하도록 하고 있다.
정보보호 산업 진흥법이 제정 취지에 맞는 효과를 얻기 위해서는 정보보호 제품과 서비스에 대한 적정한 가격을 지불하는 문화가 정착돼야 하는 것은 물론이고, 정보보호 기업들도 시장이 요구하는 수준의 보안제품을 공급해야 한다는 과제를 안고 있다.
정보보호 시장이 호황을 이뤘을 때에도 보안 기업들은 규모의 경제를 주장하면서 무리하게 사업을 확장해 시장의 건전성을 확보하지 못했으며, 시장을 전체적으로 축소시키는 부작용을 낳았다.
정보보호 업계에서도 이에 대한 자성의 목소리가 나오고 있으며, 저가수주를 자제하고 자체 기술 개발을 통해 시장의 수요에 맞추면서 글로벌 시장 진출을 통해 세계 시장 경쟁력을 입증해보이겠다고 밝힌다.
정보보호 기업의 모임인 지식정보보안산업협회(KISIA)가 한국정보보호산업협회로 협회명을 변경하고, 제2의 도약을 선포한 것을 그 의지의 일환으로 볼 수 있다. KISIA는 정보보호 산업 진흥법에 따라 협회명을 변경했다. KISIA는 정보보안, 물리보안, 융합보안 등 초연결사회 정보보호산업을 아우르는 산업계 대표단체로 자리매김하며, 정보보호산업계 발전을 위한 핵심적인 역할을 수행할 것이라고 다짐한다.
KISIA는 정보보호산업 육성을 위한 다양한 활동으로서 협회 회원사들의 사업증진 및 글로벌 진출 지원활동에 최선을 다하고, 산업진흥에 필요한 정보보호산업실태 조사, 정보보호산업 모니터링, 국내외 각종 전시사업의 확대, 정보보호 전문인력의 육성, 정보보호 수요기업에 대한 필요자료 제공 등 기능과 역할이 확대 될 예정이다.
