KISA ‘정책연구성과 발표회’ 패널토의서 국내 보안 시장 성장 저해 요인 비판 나와
“최신 기술 트렌드 반영 못하는 비현실적 규제로 보안 기업 성장 가로막혀”
국내 대기업 보안 피해 연간 4300만원…개인 보안 피해 총 1조 이르러

[데이터넷] 우리나라 기업이 연간 침해사고로 인한 피해액은 2005년부터 2020년까지 15년간 1.5배 증가했으나, 정보보안 시장 규모는 5.8배, 정부 투자 6.4배 증가했다. 이는 기업·기관이 정보보호에 적극적으로 투자해 시장 성장 규모보다 사이버 사고 피해액을 증대시키지는 않았다는 긍정적 결론을 도출할 수 있다.

그러나 실제로 체감하는 국내 정보보호 산업은 여전히 열악한 상황이다. 2020년 국내 정보보안 시장 매출 총액은 4조원에 조금 못 미치는 규모였는데, 글로벌 보안 기업 포티넷의 경우 한 분기에만 매출액이 1조원 가까이 이른다.

이동범 한국정보보호산업협회장은 “우리나라는 세계 3위 안에 드는 사이버 강국이라고 자부한다. 정부주도 R&D 수준이 높으며, 뛰어난 기술을 가진 보안 기업도 많다. 자국 보안 기업이 이렇게 많은 국가는 미국, 이스라엘 외에는 찾아보기 어렵다”며 “사이버 보안 역량은 매우 높은 편이지만, 보안 산업은 그 만큼 성장하지 못했다. 보안기업의 노력이 부족했던 것이 가장 큰 원인이겠지만, 산업 발전을 따라가지 못하는 보안 규제나 스타트업 육성 의지 부족 등으로 인해 성장의 길이 막혀 있다”고 지적했다.

이동범 회장은 1일 열린 한국인터넷진흥원(KISA) ‘2021년 정책연구성과 발표회’의 패널토론에서 국내 정보보호 산업이 직면한 문제를 지적하고 대안 마련을 촉구했다.


▲KISA ‘2021년 정책연구성과 발표회’ 패널 토론
15년간 기업 보안 투자 5.8배 증가

이날 행사에서 유진호 상명대 교수는 ‘사이버 침해사고의 경제·사회적 비용 추정 연구’를 발표하며, 2005년부터 2020년까지 우리나라 GDP 2배, ICT 매출 규모 1.8배, 기업 보안 투자 규모는 5.8배, 정부 예산 투자는 6.5배 성장했으나, 연간 침해사고 피해액은 1.6배 증가했다고 설명했다.

연간 사이버 사고로 인한 피해액은 대기업 4억3000만원, 중견기업 6000만원, 소기업 5200만원에 이르며, 개인의 사이버 보안 피해는 연간 총 1조원에 이르며 피싱·파밍·스미싱으로 인한 피해가 약 2800억원, 랜섬웨어가 2500억원에 이르는 것으로 분석됐다.

중견·중소기업 한 곳 당 피해 규모는 대기업보다 적지만, 대부분의 보안사고가 중견·중소기업에서 발생하는 것을 감안하면 전체 피해 규모는 매우 클 것으로 보인다. 특히 보안 침해 대응 능력이 부족한 소규모 기업은 보안사고 시 비즈니스를 복구하는데 많은 어려움을 겪기 때문에 중소기업을 위한 보호대책이 강화돼야 한다고 유 교수는 강조했다.

유 교수는 “경제성장이나 ICT 산업 성장과 단순 비교했을 때, 피해손실이 상대적으로 적게 증가한 것은, 정부와 기업이 정보보호에 대한 적극적인 투자와 대응 활동이 있었기 때문이다. 향후에도 지속적인 투자와 보호 노력이 필요하다”고 말했다.

성장 가로막힌 보안 스타트업

기업과 정부의 정보보호 투자가 적극적으로 이뤄지고 있다는 통계가 있음에도 불구하고, 보안 기업이 체감하는 시장은 개선되지 않고 있다. 여전히 고객들은 국내 기업 제품은 글로벌 기업 제품보다 저렴해야 하고, 유지보수료나 보안 서비스료가 낮아야 한다고 생가한다. 인력이 투입되는 서비스의 비용은 제품 가격보다 훨씬 더 낮게 책정된다.

보안기업의 수익성이 낮기 때문에 투자유치도 적극적으로 이뤄지지 않는다. 예를 들어 이스라엘 보안 스타트업인 아쿠아시큐리티의 경우 1억3500만달러(약 1600억원)의 투자를 받았고, 기업가치 10억달러(약 1조2000억원) 이상으로 평가받는다. 그런데 국내 보안 스타트업은 1억원 투자 받기도 힘들며, 모태펀드에도 사이버 시큐리티는 없다.

국내 보안 산업 육성을 위해 제정한 규제로 인해 스타트업의 성장이 가로막혀 있다는 문제도 있다. 공공시장 진입을 위해 필요한 인증제도가 변화된 현재 기술 상황을 반영하지 못하기 때문에 새로운 혁신 기술은 인증 항목이 없어서 인증을 받지 못한다. 공공기관 공급사례가 없는 상황에서 일반기업 시장에서 인정받는 것은 하늘의 별따기 수준이다.

규제 샌드박스, 패스트 트랙 등을 통해 비현실적인 규제로 성장이 막힌 기업들을 지원하는 제도가 있지만, 이 제도에 보안 기업이 선정된 사례는 극히 드물다.

뛰어난 기술이 있으면 해외에서 먼저 인정받을 수 있다. 국내 몇 몇 기업이 해당 모델로 성공을 이어가고 있다. 그러나 이러한 성공의 이면에는 많은 노력이 있었지만, 운도 따랐다는 사실을 인정해야 한다.

그 기업들도 공공시장을 먼저 공략해 초기 성과를 거뒀으며, 국내 일반기업 시장에서도 공급사례를 쌓았고, 그 역량을 기반으로 해외에서 적용 가능한 기술과 비즈니스 모델을 개발했다. 그 과정에서 국내외 여러 기관으로부터 투자를 받았는데, 특히 대규모 해외 투자 유치에 성공해 글로벌 시장에 맞는 기술 개발을 할 수 있는 여유를 가질 수 있었다.

이동범 회장은 “최근 클라우드, 제로 트러스트, AI 등 다양한 혁신 기술이 등장하고 있으며, 이를 활용한 보안 기술도 국내 여러 기업이 개발하고 시장에 소개하고 있다. 그런데 이 기술을 공공시장에 공급하려면 필요한 인증을 받아야 하는데, 인증 항목이 이러한 혁신 기술을 포함하지 않고 있어 인증을 받을 수 없는 악순환이 계속된다”며 “최근 정보보호 클러스터 입주 기업을 모집했는데, 새로운 스타트업을 찾을 수 없었다. 국내에서 보안 스타트업을 도전하는 사람이 없다는 뜻이며, 기존 시장을 파괴할 만한 혁신이 일어나기 어렵다는 뜻”이라고 비판했다.

KISA “시장 활성화·인재 육성 위해 노력”

국내 보안 시장 성장의 발목을 잡는 비현실적 규제를 개선하려는 노력은 이미 이어지고 있으며 일부 성과도 보이고 있다. 대표적인 예로, 공공기관에 의무 적용된 CC인증은 보안적합성검증으로 대체돼 공공시장 진입을 수월하게 했다. 그러나 인증 적체가 심해 인증까지 수개월이 걸려 수시로 변하는 보안 위협에 대응해야 하는 보안 솔루션이 최신 기술을 적용하지 못하고 몇 달 전 기술로 인증을 받아야 하는 상황이다.

제로 트러스트와 같은 새로운 기술을 도입하려해도 망분리 의무화 때문에 도입에 제약이 있다. 망분리 환경에서도 클라우드를 사용할 수 있게 했지만, 실제는 제약이 많아 클라우드의 유연성과 민첩성의 효과를 누리지 못한다.

이러한 주장 외에도 패널토론에서 개인정보 보호, 새로운 혁신 기술 도입 등에 대한 다양한 주장이 제기됐다.

이에 이원태 KISA 원장은 “KISA에 주어진 과제가 산적해 있지만, 산업계, 정부부처의 의견을 다양하게 듣고 합리적인 정책 방향을 모색해 제안하며, 필요한 기술 연구 등에 중점을 두어 사회 전반의 보안을 강화할 수 있도록 할 것”이라고 밝혔다.

이 원장은 “보안 생태계 활성화는 국가 전략으로 추진해야 하는데, 아직 정책이나 지원이 미미한 것은 사실이다. 정책과 지원을 적극적으로 늘려야 하며, 특히 매우 열악한 지방의 정보보호 산업 육성을 위한 다양한 노력이 필요하다. 중소기업을 위한 보안 솔루션·서비스 지원과 침해사고 대응 등을 통해 중소기업을 살리고 보안 시장을 활성화 할 수 있도록 노력하겠다. KISA에서 먼저 지역의 훌륭한 인재를 영입하고, 내부 인력을 전문가로 양성시키면서 전문기관으로서의 위상을 높여갈 것”이라고 말했다.

출처 : 데이터넷(http://www.datanet.co.kr)