韓 보안시장은 유니콘 무덤…"세계 4위 기술에도 규제가 혁신발목"

이동범 한국정보보호산업협회장 인터뷰 /사진=김휘선 기자 hwijpg@

"좋은 기술을 가졌는데, 한국 보안시장은 왜 이렇게 작은겁니까?"

이동범 한국정보보호산업협회(KISIA) 회장이 한국을 찾은 해외 투자자들을 만나면 종종 듣는 이야기다. 코로나 팬데믹 이후 전 세계 주요 기업·기관들은 눈에 불을 켜고 최첨단 보안기술과 관련 기업을 찾고 있다. 디지털 대전환과 초연결 시대에 접어들면서 해커들이 뚫고 들어올 '보안 구멍'도 급격히 늘어나서다.

이 회장은 "구글이 사이버 보안 전문업체 맨디언트를 6조8000억원에 인수할 정도로 전 세계가 보안강화에 혈안이 되어있다"면서도 "해외투자자들은 한국기업들이 높은 기술력에도 불구하고 성장하지 못하는 상황을 납득하지 못한다"고 토로했다.

이와관련 그는 낡은 제도가 한국 보안산업의 발목을 잡고 있다고 진단했다. 대표적으로 국가·공공기관에 납품하기 위한 'CC인증'이 꼽히는데, 받는 데에만 1년 가까이 걸린다. 국가기관 납품이력은 민간에 제품을 판매하거나 외부 투자유치시 중요한 레퍼런스로 작용해 쉽게 포기할 수도 없다. 그런데 제도가 기술진화를 따라가지 못해 새로운 해킹수법에 맞춰 취약점을 보완하려해도 같은 절차를 되풀이해야한다는 것. 이같은 문제점에도 제도개선은 더디다는 지적이다.

KISIA는 인터넷 시대가 개화하던 1997년 창립한 이후 국내 정보보호 산업 활성화와 함께 정부와 유관기관, 산업계를 잇는 가교 역할을 하고 있다. 이 회장은 2020년 15대 회장으로 선임된 이후 지난 2월 연임에 성공했다. 현재 국내 대표적 보안기업 지니언스 (12,330원 ▲340 +2.84%)를 창업해 운영하고 있다. 다음은 이 회장과의 일문일답.

이동범 한국정보보호산업협회장 인터뷰 /사진=김휘선 기자 hwijpg@

- 올해 초 연임에 성공했다. 소회와 이번 임기 중 이루고 싶은 목표가 있다면.

▶15대 임기 당시 주요 성과 중 하나는 민·관 합동 랜섬웨어 대응 협의체를 구성한 것이다. 정부와 함께 보안 투자 여력이 없는 중소기업도 랜섬웨어 피해를 예방하도록 수요기업에 보안 솔루션 3종을 무상 지원하는 사업을 추진했다. 올해부터는 중소기업 대상으로 데이터 금고(백업) 사업도 실시할 예정이다. 랜섬웨어 공격을 당해도 금고에 백업해둔 데이터로 바로 복구할 수 있도록 돕기 위해서다.

다만 국내 보안 스타트업의 해외 진출 성과가 많이 나지 못한 게 아쉽다. 코로나로 인해 해외 진출길이 모두 막혀버려서다. 이제 엔데믹에 접어들었고 회장직을 연임하게 된 만큼 올해는 특히 보안 스타트업의 성장 토대를 마련하고 해외 진출을 지원하는 데 중점을 둘 것이다. 유망한 한국 보안 기업들이 해외에서도 충분히 성공할 수 있다는 걸 보여주고 싶다.

- 우리나라 보안기술 수준은 어떤가.

▶기술 역량은 세계 4위 정도다. 북한은 세계에서 손 꼽히는 해킹 실력을 보유하고 있는데, 우리나라는 북한 공격에 항상 노출돼왔기 때문에 그에 걸맞게 방어력을 키워왔다. 실제 국제전기통신연합(ITU)이 지난해 발표한 국제정보보호지수(Global Cybersecurity Index)에 따르면 한국은 조사대상 194개국(설문참여국 150개국) 중 4위를 기록했다. 2019년 15위에서 갑자기 오른 것처럼 보이지만 실은 이유가 있다. 그간 ITU에 평가자료를 제출하는 데 별로 신경을 안 썼던 것이다. 지난해엔 정부가 적극 대응하면서 제대로 평가받게 됐다. 우리 역량으론 충분히 세계 3위 이상도 가능하다고 본다.

- 기술 역량에 비해 국내 보안시장은 규모도 작고 해외 진출 성과도 부진하다. 이유는.

▶진출 시도는 지금도 많다. 하지만 해외 시장에 진출할 때 내세울 마땅한 레퍼런스가 없어 어려움을 겪는다. CC인증 등 낡은 제도 환경 때문이다. 기업들이 국내에만 머무르니 성장 속도도 더디다. 올해 기준 정보보호 분야의 기업 중 자본금이 10억원도 안되는 기업이 전체 1283개 중 971개(75.7%)다. 기술 개발에 집중하느라 적자를 떠안고 있는 기업도 상당수다. 2020년 기준 국내 정보보안 시장 매출액은 3조9214억원으로, 전 세계(171조1601억원) 매출의 2.3%에 불과하다.

미국에선 보안 산업이 투자자금이 가장 많이 모이는 분야 5위 안에 항상 든다. 반면 우리 보안 시장에 어느 정도 자금이 모이고 있는지 통계조차 없다. 초기 스타트업을 전폭 지원해 유니콘 기업으로 키운다는 게 정부 기조지만 보안 분야엔 모태펀드도 전무하다. 국내 IT산업에 그 흔한 유니콘 기업(기업가치 1조원 이상)이 보안 분야에선 한 곳도 없다.

- 보안 규제에 문제가 있다곤 하지만 함부로 풀기도 어려울 것 같다. 정부가 해킹 공격을 받으면 피해가 전 국민에게 미치지 않나.

▶현 제도가 그간 우리나라를 잘 지켜온 것도 맞다. 하지만 1990년 대 만들어진 현 제도는 혁신을 시도하기엔 너무 경직돼있다. 최신 기술을 적용한 보안제품은 기준이 없다는 이유로 평가조차 못 받는다. 이 경우 일단 임시로 인증해준 뒤 나중에 성과를 평가하는 유연함도 필요하다. 정부도 제도 개선을 검토 중이다. 예전 방화벽 수준으로는 최근의 지능화된 공격을 막아내기 어렵다는 걸 정부도 잘 알고 있기 때문이다.

이동범 한국정보보호산업협회장 인터뷰 /사진=김휘선 기자 hwijpg@

- 러시아의 우크라이나 침공 이후 사이버 전쟁이 확전 양상이다. 보안 정책 패러다임도 바뀌어야 한단 지적이 나온다.

▶최근 조 바이든 미국 대통령과 윤석열 대통령이 발표한 '한미 정상 공동성명'에는 '사이버 보안'이라는 단어가 총 12번 나온다. 성명에는 사이버 보안기술 공동개발과 사이버 연합훈련, 정보와 인력 교류 등 굉장히 구체적인 협력 계획이 담겼다. 양국 간 협력이 그동안 북핵 대응 등 군사안보 분야에 방점이 찍혔다면, 이제는 사이버 보안이 중요해진 것이다. 러시아의 우크라이나 침공 이후 국가간 분쟁이 사이버 공간으로 확산했기 때문이다. 미국도 안심할 상황이 못 된다. 2014년 소니를 북한 해킹그룹이 공격했고, 지난해 5월엔 미국 최대 송유관 운영기업인 콜로니얼 파이프라인이 랜섬웨어 공격을 받아 미국 동남부 일대 휘발유 공급이 멈추는 일도 겪었다. 우리는 북한 정보를 가장 많이 갖고 있고, 미국과는 군사 인프라와 공급망을 공유한다. 우리 공급망이 해킹 당하면 미국도 같이 당한다. 이번 공동성명은 양국이 사이버 공간에서 '공동 운명체'가 되자는 선언적 의미다.

우리 정책 패러다임도 '사이버 보안'으로 넓혀야 한다. 정보와 데이터 도둑질을 막는 수준인 정보보안에 그칠 것이 아니라 모든 시스템과 네트워크를 지킬 전방위적인 노력을 기울여야 한단 뜻이다. 이를 위해 보안 원칙인 '제로 트러스트' 도입이 필요하다. 처음부터 '어떤 누구도 믿지 않는다'는 관점으로 모든 네트워크와 시스템을 운영하는 것이다. 코로나 팬데믹 이후 원격근무와 비대면 서비스가 급증하는 가운데 사회 곳곳에 보안 취약점이 드러나고 있어, 보안의 기본원칙부터 전면 재검토해야 한다.

-윤석열 정부도 110대 국정과제에서 '국가사이버안보위원회' 설립 등 여러 보안정책을 약속했다. 어떻게 평가하시나.

▶보안업계에선 특히 범부처 차원의 보안 컨트롤타워인 국가사이버안보위원회 추진에 기대를 걸고 있다. 지금은 과학기술정보통신부와 국가정보원, 국방부, 금융보안원 등이 민간과 공공, 군사 분야에서 따로 대응하고 있다. 외부 공격에 체계적으로 대응하려면 각 부처가 한 곳에서 정보를 공유하고 공동 전략을 수립해야 한다.

윤 정부의 국정 핵심과제인 디지털 플랫폼 정부 구현에도 보안이 중요하다. AI(인공지능)와 빅데이터 등을 활용해 디지털 기반의 대국민 서비스를 구현하게 될텐데, 그만큼 보안 취약점도 늘어날 것이다. 디지털 격차를 메우는 것도 과제다. 어르신들을 노리는 공격이 많다. 정부 서비스를 이용하려면 이 링크를 눌러야 한다며 피싱(Phishing) 문자를 보내 개인정보를 빼내려는 공격이 더 기승을 부릴 수 있다. 디지털 플랫폼 정부를 구현할 때 디지털 취약계층이 소외되지 않도록 관심을 기울여야 한다.