국내 보안산업, 통신사 한 곳 매출에도 못 미쳐
망 분리·규제도 발목…글로벌 경쟁력 약화 일조

생성형 AI가 생성한 이미지. 쳇GPT 제공

"글로벌 누구와 경쟁해도 이길 수 있는 '월드클래스' 기업으로 만들어 매출 3000억, 5000억을 넘어 1조기업으로 도약하자."

강석균 안랩 대표가 지난 14일 경기 판교 경기창조경제혁신센터에서 열린 회사 창립 30주년 기념식에서 한 얘기다. 국내 보안산업의 대명사로 통하는 안랩은 1995년 3월 18일 설립돼 올해 30주년을 맞았다. 이날 행사에서 안철수 창업자도 "30주년을 맞은 오늘, 다시 시작이라는 마음으로 '함께 사는 사회에 기여하는 초일류 기업'이 되어달라"고 임직원에게 당부했다.

그러나 국내 대표 보안기업인 안랩의 연매출은 지난해 기준으로 2606억원으로, 전체 IT산업 규모에 비해 턱없이 적다. IT 강국을 자처하는 한국이 실제론 통신 인프라와 하드웨어에 주로 투자하다 보니 소프트웨어(SW)는 글로벌 경쟁력에서 밀리고, 특히 보안은 후진국을 벗어나지 못하고 있기 때문이다. 전문가들은 보안에 제대로 돈을 안 쓰면 국가 안보와 주력산업 경쟁력까지 흔들릴 수 있는 만큼 지금부터라도 제대로 투자해야 한다고 입을 모은다.

◇사고 나면 늘어나는 보안규제…투자는 제자리=국내 기업들은 보안을 비용으로만 여기며 투자를 미루기 바쁘고 정부의 정보보호 예산 역시 최소 기준조차 미치지 못하는 실정이다. 'IT 강국'을 자처하는 한국에서 보안은 전체 국가 혁신 경쟁력을 떨어뜨리는 '취약점'이 되고 있다.

과학기술정보통신부의 '2024년 정보보호 공시 현황 분석 보고서'에 따르면 국내 주요 기업들의 IT 예산 대비 정보보호 투자 비율은 평균 6.1%로 정부 권장 기준(5%)을 겨우 넘긴 수준이다. 하지만 업종별 편차가 심하다. 금융 및 보험업(8.8%), 보건업 및 사회복지 서비스업(8.0%) 등 규제 영향이 큰 업종은 상대적으로 비율이 높지만, 제조업(6.0%)과 정보통신업(5.6%) 등은 여전히 저조하다. 정보보호 공시가 의무화된 이후에도 변화는 크지 않다. 보고서에 따르면 3년 연속 공시한 기업들의 정보보호 투자 비중(9.5%)은 상대적으로 높지만 전체 공시 기업들의 평균은 여전히 6%대에 머물고 있다. 정부가 규제의 틀을 만들고 있지만 경제 상황이 악화될 때마다 보안 투자가 가장 먼저 줄어드는 현실은 바뀌지 않고 있다.

국내 보안산업 규모 역시 IT 강국 위상과 거리가 멀다. 2023년 국내 정보보호산업 전체 매출은 16조8310억원으로, 지난해 LG유플러스의 연 매출(14조6252억원)보다 약간 큰 수준이다. 국내 1708개 보안기업을 모두 합쳐도 통신사 한 곳의 매출과 비슷한 수준인 것이다. 사이버보안(정보보안) 산업 매출만 들여다보면 문제가 더 심각하다. 2023년 사이버보안 산업 매출은 6조1455억원에 불과하다. 1995년부터 사이버보안 1위 자리를 지키고 있는 안랩의 작년 매출액은 2606억원으로 LG유플러스의 1.78% 수준에 그친다.

기업들이 보안 투자에 소극적인 이유는 단순하다. 비용이 드는데 수익으로 직결되지 않기 때문이다. 기업들이 보안 예산을 늘리는 시점은 결국 사고 이후다. 그러다 시간이 지나면 다시 투자 우선순위에서 밀려나고 새로운 사고가 발생하면 다시 규제가 강화되는 악순환이 반복된다.

신영웅 우송대 정보보안학과 교수는 "보안을 비용으로 보다 보니 기업들의 투자 우선순위에서 늘 뒤로 밀리고 있다"며 "정부가 최소한의 기준을 설정하고 있지만 경제 상황이 어려울 때마다 보안 예산이 가장 먼저 삭감되는 구조"라고 지적했다.

◇"필수 투자항목으로 안 보는 인식이 문제"=해외는 분위기가 다르다. 미국과 유럽은 보안이 기업 경쟁력과 직결된다고 판단해 연간 수조원을 쏟아붓는다. 이스라엘은 정부 차원에서 사이버보안 스타트업을 육성하고 미국은 국방과 주요 인프라 보호를 위해 사이버보안 예산을 대폭 늘리고 있다.

김승주 고려대 정보보호학과 교수는 "국내 보안산업이 못 크는 이유는 기업들이 보안을 필수 투자 항목이 아니라 불필요한 비용으로 인식하기 때문"이라며 "정보보호 투자에 대한 기업들의 인식 변화 없이는 글로벌 경쟁력을 확보하기 어렵다"고 말했다.

망 분리 정책도 국내 보안산업 성장을 막는 걸림돌로 꼽힌다. 망 분리는 외부의 불법적 침입이나 내부의 무단 정보 유출을 방지하기 위해 외부 인터넷망과 내부 업무망을 물리적으로 분리하는 방식이다. 하지만 이 정책이 인공지능(AI)·클라우드 시대에 걸림돌이 되고 있다. 클라우드 기반 보안 기술이나 AI 보안 솔루션을 도입하기 어려워 글로벌 표준과 동떨어진 환경이 조성됐기 때문이다. 결국 국내 기업들은 기존의 폐쇄적인 보안 시스템에 의존할 수밖에 없고 새로운 보안 기술 개발도 늦어지는 악순환이 반복돼 왔다.

정부는 지난해 9월 망 분리 정책 개편을 발표하고 올해 1월부터 개선안을 시행했지만 실행은 더디다. 김승주 교수는 "정부가 망 분리 정책 개선안을 발표했지만 기업들이 변화에 적응할 수 있게 보안 수준을 함께 끌어올리는 것이 중요하다"며 "클라우드와 AI 시대에 맞춰 글로벌에서 경쟁할 수 있는 수준의 보안 제품을 만들어야 한다"고 강조했다.

◇취약한 보안, 공급망 마비로 이어질 수 있어=보안은 이제 단순한 IT 문제가 아니라 국가 안보와 주력산업의 경쟁력을 좌우하는 요소다. 특히 AI가 확산되면서 SW공급망 보안이 약한 국가는 산업 전체가 흔들릴 수 있다는 경고가 나온다. 최근 글로벌 해킹 조직들은 단순한 기업 해킹을 넘어 공급망을 공격하는 수법을 쓰고 있다. 보안이 허술한 협력업체를 통해 기업 내부망에 침투할 경우 데이터 유출 수준이 아니라 공급망 전체가 마비될 수 있다는 경고가 나온다.

이성엽 고려대 정보보호대학원 교수는 "보안 사고가 터지고 나서야 투자가 이루어지는 후행적 구조에서 벗어나지 못하고 있다"며 "기업들은 보안을 비용으로만 인식하지만 한 번 사고가 터지면 기업 전체가 흔들릴 수 있는 핵심 요소"라고 강조했다. 유진아기자 gnyu4@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.