20년째 보안 업계에 있었지만 정보보안산업은 계속 왕이 되지 못하고 '황태자'에 머물러 있다.
업계 관계자의 뼈아픈 지적이다.
11일 서울 여의도 중소기업중앙회에서 한국정보보호학회, 지식정보보안산업협회(KISIA) 주관으로 '정보보호와 보안산업 활성화, 어떻게 해야하나'를 주제로 열린 산학 정보보호 활성화 포럼에서도 보안 시장의 질적 개선을 위한 쓴소리들이 쏟아졌다.
오랫동안 업계, 학계에 종사해 왔던 고려대 정보보호대학원 임종인 원장은 국내 보안업계가 단품 프로젝트 위주로 진행하다보니 수요자들 입장에서 사고 싶은 제품이 등장하지 않고 있다며 민간에서 지갑을 열고 수요를 창출할 수 있는 혁신적인 제품들이 나와야 한다고 지적했다.
지난해 3.20 사이버테러 이후 올해 초 카드 3사, KT 홈페이지 개인정보 유출 등 굵직한 보안사고들이 터졌다. 지난달부터는 개정 개인정보보호법이 본격 시행되면서 주민번호 수집이 원칙적으로 금지된다. 금융전산보안강화종합대책, 전자결제 간편화대책, 개인정보보호 정상화 대책, 금융개인정보유출방지대책 등 각종 대책들이 쏟아진다.
얼마나 실효성이 있을지는 좀 더 두고 볼 일이지만 적어도 보안을 바라보는 인식이나 여건이 수년 전보다 많이 개선된 것은 사실이다.
이번 포럼에선 임 원장과 함께 한국인터넷진흥원(KISA) 정보보호산업단 조규민 단장, 한국전자통신연구원(ETRI) 사이버보안연구본부 조현숙 본부장의 주제 발표에 이어 미래창조과학부 정보보호과 홍진배 과장, 업계 및 학계 전문가들이 참여하는 토론회도 진행됐다.
KISIA가 조사한 2013 국내 정보보호산업 실태조사에 따르면 2012년 1조5천775억원에 달하는 정보보안 시장은 지난해 1조6천167억원 수준으로 약 2.5% 증가한 것으로 집계됐다. 2010년 이후 정보보안 산업 연 평균 성장률이 9.3% 였다는 점을 고려하면 보안 인식이 좋아진 것과 별개로 시장이 성장하지는 못했다.
임 원장은 앞으로 30만원 이상 결제시 공인인증서 의무 사용 폐지에 따른 전자결제보안기술, 주민번호 수집 금지로 인한 관리, 간편결제 도입으로 주목받고 있는 이상거래탐지시스템(FDS), 전자금융거래법상 금융회사에 입증 책임을 두는 법에 따라 디지털 포렌식 분야 등에 주목했다.
대외적으로는 사물인터넷(IoT), 클라우드컴퓨팅, 빅데이터 등에서 보안에 대한 새로운 관점이 필요하다고 설명했다.
보안회사들의 노력에 더해 R&D 수준에서 개발된 기술들이 발빠르게 상용화되기 위한 산학연, 수요기업/기관 간 협력도 강화돼야 한다는 의견도 있었다. 보안기술 관련 가장 많은 특허를 내고 있는 ETRI 사이버보안연구본부를 맡고 있는 조 본부장은 기술을 개발해도 '상용화 절벽'을 벗어나지 못하고 있다며 보안회사, 정부, 수요기업/기관, 연구소 등이 상시로 모여 정보를 공유하고 협업할 수 있는 공간이 필요하다고 주장했다. 상용화 절벽은 대학이나 연구소 단계에서 개발된 기술이 시제품에 머물고 실제로 상용화 되지 못하고 그치는 단계를 말한다.
조 본부장은 상용환경을 고려한 개발, 시험까지 이뤄질 수 있도록 '데브옵스' 패러다임으로 전환할 필요가 있다고 덧붙였다. 이를 위해 사이버보안기술 테스트베드를 구축하고, 보안기술상용화연구센터를 구축해 누구나 의견을 교류하고, 기술을 상용화 시킬 수 있는 환경을 조성해야 한다는 설명이다.
고려대 정보보호학과 이경호 교수는 최고경영자(CEO), 최고재무책임자(CFO)와 같은 기업 내 의사결정권자들이 보안에 투자할 수 있도록 보안회사들이 경제적으로 타당한 논리를 세울 필요가 있다고 밝혔다.
이 교수는 적어도 기업들이 사고로 인해 피해를 입을 수 있는 규모 이상으로 투자를 하지는 않는다며 피해 금액 대비 1% 정도를 투자한다고 보면 국내 전체로 봤을 때 100조원 피해규모가 예상돼야 정보보안 산업에 현 수준인 1조원대 시장을 형성할 수 있다고 말했다. 피해규모를 정확히 산정해 여기에 기반한 투자를 끌어내야 한다는 것이다. 치열한 전략이 필요한 대목이다.
최근 KT 정보보안단 최고정보보호책임자(CISO)로 자리를 옮긴 신수정 전무는 보안시장은 사고가 나기 전에 예방적 차원에서 컴플라이언스가 수요기업들을 더 잘 움직일 수 있다는 의견을 냈다. 아직까지 IoT 등 융합 보안 보다도 기본적인 웹해킹 등에 대한 대비도 제대로 못하고 있는 곳들이 많다는 것이다.
이어 그는 HP, IBM, 시스코 등 글로벌 IT회사들이 보안회사를 대거 인수하고 있으나 아직까지 우리나라는 이러한 글로벌 IT회사들이 없다보니 대형화된 종합보안회사로 나가기는 힘들다고 말했다. 이에 더해 신 전무는 미국, 이스라엘 보안회사 CEO는 많은 부분 국방쪽에서 육사, 국방성, 국가안보국(NSA) 출신들이 많다며 국방 분야 역량이 공공/금융/민간 외 또 다른 큰 보안 축이 될 수 있을 것으로 본다고 밝혔다.
관련기사
- DRM 원년멤버 3사, 영토 확장 나선다2014.09.12
- 인텔시큐리티, IoT 보안 확키운다2014.09.12
- 페이팔-알리페이는 어떻게 보안성 챙겼나2014.09.12
- 간편결제 안착을 위한 몇몇 보안 선결조건2014.09.12
홍 과장은 액티브X 없이 사용하는 키보드 보안, 개인방화벽 등에 대해서는 기술 수요가 있는데도 불구하고 국내서 2개 업체 정도만 개발했거나 개발을 거의 완료한 상황이라며 기존 기술에 안주하는 보안기업들이 있는 것도 사실이라고 꼬집었다.
이니텍 변준석 대표는 이전에 벤처캐피털에서 근무했었는데 정부/공공기관 등 감사를 받는 곳에서는 보안제품 구매시 가격경쟁을 많이 시킨다며 보안 특수성을 고려해 일정한 예산을 배정해 놓고, 기술만으로 경쟁할 수 있는 환경을 조성할 필요가 있다고 말했다.
