[디지털데일리 이종현기자] 정부가 공공 사이버보안 체계 개편을 예고했다. 네트워크 방화벽과 같은 하드웨어(HW) 장비 기반의 보안체계에서 소프트웨어(SW) 중심으로의 체질 전환이 골자다. 내수 시장에만 의존하던 사이버보안 산업이 해외 시장으로 뻗쳐갈 계기가 될지, 혹은 또 한번의 공수표에 그칠지 산업계의 이목이 집중되고 있다.

29일 정부는 2024년 예산안을 공개했다. 사이버보안 분야에는 3656억원으로, 전년대비 17.3% 많은 금액을 편성키로 결정했다.

금액보다는 정책 기조의 변화가 두드러진다. 기존 방화벽 기반 HW 중심의 보안 체계가 기관 간 칸막이와 맞물려 정보 및 데이터 공유의 한계를 불러왔다고 판단한 정부는 내년부터 SW 중심의 보안 체계로 변환함으로써 기관 간 정보‧데이터 공유를 활성화하겠다는 계획이다.

이를 위해 사이버보안 기업에 대한 육성과 지원을 확대한다. 정부는 국내 사이버보안 시장의 규모가 2018년 10조원에서 2022년 16조2000억원으로 크게 성장했지만 글로벌 시장에서 차지하는 비중은 4%남짓에 불과하다고 꼬집었다.

실제 국내 사이버보안 기업 대부분은 해외에서 별다른 수익을 거두지 못하고 있다. 네트워크 방화벽 장비 판매를 중점적으로 하는 시큐아이의 경우 2022년 전체 매출 중 2.9%만이 해외에서 발생하고 있다. 침입방지시스템(IPS)를 판매하는 윈스는 8.4%로 높은 편이나 판매처는 일본에 국한돼 있다.

보안 체계를 HW에서 SW로 전환한다는 발표는 정부의 서비스형 소프트웨어(SaaS) 확산을 골자로 하는 클라우드 정책 변화와도 맞닿아 있다. 정부는 올해부터 인프라에 집중되던 사업의 무게추를 SW로 옮기는 중이다.

산업계에서 줄곧 요구해온 사이버보안 펀드 조성도 추진한다. 안정적인 자금 공급 및 스타트업 성장‧발굴을 지원하기 위해 200억원을 투입한다. 정부가 조성하는 펀드에 민간기업들이 참여하면서 그 규모는 보다 커질 것으로 예상된다.

미국을 중심으로 전 세계에서 확산되고 있는 제로 트러스트(Zero Trust) 보안체계 실증도 박차를 가한다. 그 무엇도 믿지 말라는 의미의 제로 트러스트는 지속해서 인증을 하고 상시 모니터링하며 권한을 최소화하는 등 비신뢰를 전제로 하는 보안 방법론이다. 조 바이든 미국 대통령은 2021년 제로 트러스트와 공급망 보안을 강화하는 행정명령을 발표했고, 국내에서도 제로 트러스트 및 공급망 보안을 위한 연구가 이어지고 있다.

정부가 전향적으로 제로 트러스트 방침을 수용하는 것은 고무적이나 도입 시기가 지나치게 늦은 것 아니냐는 비판적인 시각도 존재한다. 업계 관계자는 “지난 연말 제로 트러스트‧공급망 보안 포럼이 발족하고 올해 하반기 실증 사업이 진행되고 있는데 내년에도 제로 트러스트 정착이 아닌 실증 확산에 주안점을 두고 있는 것은 너무 나이브하다”고 지적했다.

정부 발표가 공수표에 그치는 것 아니냐는 불안감도 있다.

그동안 윤석열 대통령은 줄곧 사이버보안을 강조해왔다. 윤 대통령은 역대 대통령 중 사이버보안을 주요 국정과제로 삼은 첫번째 대통령이다. 임기 직후 열린 한-미정상회담서도 사이버보안을 수차례 언급하는 등 산업계에서는 정부에 거는 기대가 컸다.

하지만 2023년 윤석열 정부 들어 처음으로 진행한 공공부문 SW‧정보통신기술(ICT)‧정보보호 수요 조사에서 정보보호 관련 제품‧서비스 구매 예산은 6679억원으로 전년대비 9.8% 감소했다. 사이버보안을 강조해온 것과 대조적인 결과다. 과학기술정보통신부(이하 과기정통부)는 큰 규모의 시스템통합(SI) 및 폐쇄회로(CC)TV 사업이 마무리된 영향이라고 설명한 바 있다.