회원전용

[팩플] 구글이 7조에 산 '클라우드 보안'...한국선 "인재가 없다"

중앙일보

입력 2022.06.16 06:00

네이버 클라우드 서버실, 데이터센터 . 사진 네이버클라우드

네이버 클라우드 서버실, 데이터센터 . 사진 네이버클라우드

구름(클라우드) 속으로 데이터베이스를 옮기는 민간기업·공공기관이 크게 늘면서 보안 위협도 커지고 있다. 여기에 대응하기 위해 글로벌 빅테크 기업들은 사이버보안 기업 인수합병(M&A)에 열을 올리고 있다. 지난 3월 구글이 맨디언트를 54억 달러(약 6조7800억원)에 인수한 데 이어, 지난 6일(현지시간)에는 IBM이 사이버 보안 기업 란도리(Randori)를 인수한다고 발표했다. 국내에서도 사이버 보안 시장이 커져야 한다는 지적이 나온다.

무슨일이야

16일 보안 기업 사이버시큐리티벤처스에 따르면, 글로벌 사이버 범죄 피해 규모는 지난해 6조 9390억 달러에서 내년 9조 1770억원으로 커질 전망이다. 특히 클라우드가 공격 타깃이 되고 있다. 사이버 보안 업체인 팔로알토네트웍스의 지난해 조사에서 아시아태평양 지역 내 보안 사고의 79%가 클라우드에서 발생했다. 이 때문에 정부도 클라우드 시대 보안에 대비해야할 필요성을 강조하고 있다. 윤석열 정부는 국정 과제로 대통령 직속 국사이버안보위원회를 만들고, 보안 전문 인력 10만 명을 키우겠다고 밝힌 바 있다. 지난달 열린 한미정상회담 공동성명서에서도 ‘사이버 보안’이라는 단어는 열두 차례 언급됐다.

그래픽=김은교 kim.eungyo@joongang.co.kr

그래픽=김은교 kim.eungyo@joongang.co.kr

왜 중요해

● 클라우드 시대, 보안은 필수재 : 사이버 공격은 과거에도 있었지만, 클라우드 시대에 위협의 수준과 피해 규모가 더 커졌다. 크립토재킹(cryptojacking)이 대표적. 구글이 지난해 11월 발표한 ‘구글 사이버 보안 실행팀 위협 범위 보고서’에 따르면 보안이 침해된 클라우드 가상 서버의 86%가 암호화폐 채굴에 사용되고 있다. 또 소유자의 물리적 통제가 가능했던 온프레미스(자체 서버 인프라)에 비해 클라우드 시스템은 언제, 어디서 어떤 기기가 공격에 노출될 지 가늠하기 더 어렵다. 특히, 최근엔 클라우드 기반으로 데이터를 처리하는 가상현실(VR)과 증강현실(AR) 기기, 사물인터넷(IoT) 센서 사용이 늘면서 보안에 소홀했다간 자칫 이용자의 생체정보나 위치정보 데이터도 위협 받을 수 있다. 보안 기술이나 서비스를 '사치재' 정도로 여기던 기업들도 이제는 보안을 '필수재'로 갖춰야할 상황. 윤두식 한국정보보호산업협회 부회장은 지난달 25일 열린 제4차 세종사이버안보포럼에서“보안 수준이 산업 발전 속도 따라오지 못하면 사이버 비즈니스 환경에서 뒤쳐질 수 밖에 없다”고 말했다.

● 국가 안보와 직결 : 기업 뿐 아니라 국가 차원에서의 중요성도 커지고 있다. 국가정보원은 지난해 말 발표한 국가사이버안보 연례보고서에서 ‘클라우드 서비스 확대로 공격 대상 다변화 및 피해 증가’를 올해 주요 안보 위협 요인으로 꼽았다. 임종인 고려대 정보보안학과 교수는 세종사이버안보포럼에서 “국가가 주체가 되거나 국가의 지원을 받는 대형 해킹 조직이 늘고 있다”며 “국내에 있는 거의 모든 기업, 정부 기관들이 사이버 위협에 노출돼 있다고 봐야한다”고 말했다.

국내 시장 대비상황은

한국 기업과 정부는 국산 보안 서비스를 주로 이용한다. 기업 내부 정보가 국외로 이전될 위협에서 비교적 안전하다는 이유. 하지만 보안 기술이 발전하려면 더 규모있게 양적으로 성장해야 한다는 지적이 많다.

① 93%가 영세기업
한국정보보호산업협회에 따르면 국내 정보보안기업의 2020년 매출은 3조 9213억원이다. 글로벌 시장(약 171조원) 대비 2.3% 정도 규모다. 게다가 올해 기준으로 전체의 75.7%가 자본금 10억 미만 기업이다. 10억 이상 50억 미만 기업(17.5%)을 합하면 전체의 93.2%가 영세 기업인 셈이다. 주로 공공기관이나 일반 기업에서 매출이 발생하는데, 그 규모가 크지 않은 영향이다. 현재 국내에서 시가총액 1조원을 넘는 보안 기업은 안랩 뿐이다. 영세 기업들이 대부분이다 보니 IT 대기업들이 개발자를 빨아들이는 시장에서 보안 전문인력을 유치하기도 쉽지 않다. 보안 산업계 관계자는 “매출이 어느 정도 나와야 기술에 재투자 하고 계속 보안 기술을 발전시켜 나가는데, 현재 작은 시장을 여러 영세 기업들이 나눠먹는 상황에서는 획기적인 기술 개발이 힘들다"며 "이렇게 되면 국내 보안 시장의 기술력이 발전할 기회가 점점 사라지는 것”이라고 말했다.

그래픽=김은교 kim.eungyo@joongang.co.kr

그래픽=김은교 kim.eungyo@joongang.co.kr

② “해외에서 성장하기도 힘들다”
내수 시장이 작으면 해외에서 기회를 찾아야 하지 않을까. 그러나 이마저도 쉽지 않다. 일단 수출을 하려면 보안 기술력을 입증할 수 있는 근거가 필요하다. 이 때 가장 잘 통하는 게 국가 기관 납품 이력. 국가·공공기관에 보안 제품을 제공하려면 국가보안기술연구소 산하 IT보안인증사무국에서 공통평가기준(CC)을 취득해야 한다. 문제는 일부 고정된 유형에만 CC인증이 발급돼, 최신 기술은 인증 받을 길이 요원하다는 것. 사이버 보안은 신종 위협에 대응할 수 있는 아이디어를 얼마나 빨리 사업화 하느냐가 경쟁력을 좌우하는데, CC인증은 받는 데만 1년 이상 걸린다. 새 해킹 수법에 맞춰 취약점을 보완하려 해도 추가 인증이 필요해 그 시간동안 사업이 중단되기도 한다. 올해부터는 '보안기능 확인서'로 대체할 수 있게 됐지만 위와 같은 문제는 여전하다는 게 업계의 반응. 윤두식 부회장은 “규제 때문에 해외의 새로운 기술을 국내에 도입하고, 국내의 기술을 해외에 소개할 수 있는 기회가 사라지는 측면이 있다”고 말했다.

③ 투자도 없다
전반적으로 시장이 침체돼 있다 보니, 스타트업도 자생하기 쉽지 않다. 초기 스타트업을 지원해 유니콘으로 키우기 위해 정부가 나서서 모태펀드를 만들고 있지만, 보안 분야는 뒷전으로 밀렸다. 국내와 달리 글로벌에서는 42개의 보안 유니콘 스타트업 존재한다. 미국이 31개로 가장 많고 이스라엘이 6개로 그 다음이다. 이동범 한국정보보호산업협회 회장은 지난 3월 열린 한국정보기술연구원(KITRI) 등이 공동주최하는 '정보보안 리더의 밤' 행사에서 "보안 산업이 성장하기 위해서는 투자가 활성화돼야 하는데, 밴처캐피탈(VC)에서 투자를 받기는 힘들다"며 "모태펀드에 사이버 보안을 넣어 줘야 한다"고 말했다.

앞으로는

업계에선 국내 보안 산업이 발전하려면 인력 수급 구조부터 개선해야 한다고 말한다. '산업의 규모가 작아서 인재가 모이지 않고, 인재가 부족해서 산업의 발전이 더딘 악순환을 끊어야' 한다는 것. '사이버 보안 인재 10만명 육성'을 국정과제로 맡은 과학기술정보통신부는 교육부·국방부·고용노동부 등과 협의해 하반기 중 구체적인 계획을 마련할 계획이다.

김정삼 과기정통부 정보보호네트워크정책관은 "보안 인력은 개발자 뿐 아니라 침해 사고가 났을 때 대응하는 인력 등 다양하게 구성된다"며 "인력이 필요한 곳과 양성하는 곳 모두의 의견을 종합해 포트폴리오를 구성하고 있다"고 말했다. 고려대 임종인 교수는 “보안 강국 중 하나인 이스라엘은 정부 주도로 인재를 양성해 이들이 창업을 통해 자국 시장 규모를 키우고 미국 진출까지 했다"며 “한정된 수요로 막혀있던 보안 인재를 키우는 게 시급하다”고 말했다.

배너 클릭 시 구독페이지로 이동합니다. https://www.joongang.co.kr/factpl

배너 클릭 시 구독페이지로 이동합니다. https://www.joongang.co.kr/factpl

Innovation Lab