[디지털데일리 이종현기자] 국내 정보보안산업의 시장 규모가 가파르게 성장 중이다. 2021년 정보보안산업 전체 매출은 4조5497억원으로, 전년대비 16% 상승했다. 하지만 마냥 안심하기는 어렵다. 매출 대부분이 국내에서 발생하는 ‘내수 산업’이기 때문이다. 한 업계 관계자는 “한국 정보보안업계는 오래 전부터 갈라파고스가 됐다”고 비판한다.

지난 13일 과학기술정보통신부(이하 과기정통부)와 한국정보보호산업협회(KISIA)는 2022년 국내 정보보호산업 실태조사를 발표했다. 정보보안 4조5497억원, 물리보안 9조3114억원, 합계 13조8611억원을 기록했다. 전년대비 13.4% 성장한 수치다.

◆정보보안은 첨단, 물리보안은 레거시? 기술 경쟁력은 물리보안이 위

시장에서는 정보보안을 ‘미래 신산업’으로, 물리보안을 ‘레거시 산업’으로 인식하는 경향이 크다. 물리보안 기업들도 인공지능(AI)을 이용한 폐쇄회로(CC)TV, 생체인식 기술을 이용한 출입통제 등 첨단 기술을 적극적으로 활용하는 융합보안으로 노선을 틀었는데, 물리보안과 정보보안을 함께 제공하는 융합보안이 주요 트렌드로 자리매김했다.

단순 성장률이나 인식만 보면 정보보안에 대한 기대치가 훨씬 높다. 정부에서도 정보보안을 차세대 먹거리로 지목한 만큼 지속적인 성장은 따논 당상이라는 낙관론이 나오는 이유다.

그러나 내부를 자세히 들여다보면 낙관론을 펴기 어렵다. 2021년 국내 정보보안산업의 해외 수출액은 1526억원으로, 전체의 3.3%에 불과하다. 전체 매출의 20.6%가 해외 수출에서 발생하는 물리보안산업과 격차가 크다.

수출액이 적은 것은 제품의 글로벌 경쟁력이 떨어진다고 해석할 수 있다. 외국계 보안기업에 재직 중인 관계자는 “한국은 자신만의 규제정책으로 해외 기업들의 진입을 막고, 기업들은 거기에 안주했다. 그 결과 수출이 용이한 소프트웨어(SW) 기반 시장임에도 내수 시장에만 의존하게 된 것”이라고 꼬집었다.

◆문제의 시작은 내수용 보안인증제도··· 기업들도 안주

한국만의 규제정책이란 공통평가기준(CC)인증으로 대표되는 보안인증제도를 뜻한다. CC인증은 국제표준이나 한국은 ‘국내용 CC인증’을 따로 두고 있다. CC인증에서 요구하는 것을 모두 충족하기 어려운 국내 기업들을 위해 일부 요건을 완화하고, 대신 정부에서 요구하는 ‘국가 보안요구사항’을 더한 방식이다.

문제는 CC인증을 비롯해 보안기능 확인서 등의 인증이 단순히 제품의 품질을 인증해주는 것이 아닌, 국가기관에 제품을 공급하기 위해 필수적으로 받아야 하는 인증이라는 점이다. 해외 수출을 고려한다면 국내용 CC인증은 의미가 없다.

국내 보안 스타트업 관계자는 “국내용 CC인증, 보안기능 확인서 등 국제표준에 맞지 않고 한국만의 규제를 포괄적으로 적용하는 현재 제도는 적폐”라고 강하게 주장했다. 실제 보안인증을 받기 위해서는 수천만원 이상의 비용과 짧게는 수개월, 길게는 1년 이상 소요된다. 인증을 받기 전에는 매출도 발생할 수 없기에 스타트업의 성장을 막는 장벽이 된다는 설명이다.

또 그는 단순히 제도만의 문제는 아니라고 부연했다. 이미 인증을 받아 국가기관에 제품을 공급 중인 보안기업 중 일부는 신생 기업이 등장하면 손해를 보고 영업하는 출혈경쟁을 강제하는 사례도 있다고 말한다. 기술력은 있지만 자금력이 없는 스타트업 입장에서는 감당하기 어렵다. 철저한 갈라파고스화가 이뤄진 배경이다.

다른 관계자는 “국내에서 경쟁력을 확보한 뒤 해외에 진출하겠다는 것은 잘못된 발상”이라고 피력했다.

그는 “미국이나 유럽 등 선진국은 대부분 국제표준을 채택했다. 국내용 CC인증을 위해 맞춤화된 보안제품은 그들 입장에서는 ‘안 맞는 규격의 제품’이다. 그러다 보니 아직 정보기술(IT) 인프라가 확충되지 않은 동남아 등을 노리게 되는데, 나쁜 시도는 아니지만 근본적인 해결책은 아니라고 본다”고 밝혔다.

◆외국에서는 ‘한국 보안시장 유망’이라는데, 국내에서는 ‘너무 좁다’

글로벌 보안기업들은 한국을 유망한 시장이라고 판단하고 있다. 최근 몇 년새 한국에 진출한 글로벌 보안기업들은 수십곳이다. 대부분 시장 진출 후 소기의 성과를 달성하고 있다. ‘한국 정보보안 시장은 너무 작다’고 푸념하는 국내 기업들의 말과는 온도차가 있다.

업계 관계자는 “민간 시장에서 국내 보안기업들은 경쟁력을 잃어가는 추세다. 당장 공공과 함께 최대 수요처인 금융만 보더라도, 해외 제품 도입률이 점점 더 높아지는 중이다. 그럼에도 국내 정보보안산업이 성장하는 것은 그 이상으로 시장이 커지고 있고, 공공이 해외 기업의 진입을 막고 있기 때문”이라고 전했다.

국가기관에 대한 제품 공급을 국내 기업이 독점하다시피 하고 있어서 가능한 성장이라는 주장인데, 만약 이 주장이 사실이라면 미래 전망은 어둡다.

과학기술정보통신부(이하 과기정통부), 국가정보원(이하 국정원) 등이 보안인증제도를 손보겠다고 나섰기 때문이다. 까다로운 요건을 대거 줄이고, 인증 사각지대에 놓여 있던 신기술의 도입을 늘리는 ‘정보보호제품 신속확인제’를 공개했다. 해외 기업들의 공공 진출도 확대할 것으로 예상된다.

한편 역설적이지만 이와 같은 위기는 정보보안업계가 바랐던 바다. 지난 몇 년간 산업계 내부에서도 폐쇄적인 보안인증제도를 개선해야 한다는 목소리가 터져나왔다. 정부의 규제개선 역시 지속해온 산업계의 요구를 반영한 결과다.

파수나 지니언스와 같은, 비용을 감수하고서라도 미국 시장에 진출하기 위해 노력 중인 기업들도 있다. 미국 법인을 설립해 지속해서 투자를 이어가는 중이다. 한국정보보호산업협회(KISIA)는 정부와 협력해 국내 기업들의 해외 진출을 독려하기 위한 여러 사업을 펼치는 중이다.