잇따른 해킹 사고, 진짜 문제는?

지난해 국내 보안업계가 견조한 매출 성장세를 이어간 반면, 연구개발 투자는 그에 미치지 못했던 것으로 나타났다. 전문가들은 올해를 기점으로 국내 보안업계가 서비스를 전면 재점검하며 내실을 기해야 할 때라고 조언한다. 특히 정부가 나서 이런 변화에 힘을 실어줘야 한다고 강조한다.

매출 두자릿수 성장에도 투자는 '제자리'

19일 과학기술정보통신부가 발간한 '2025년 국내 정보보호 실태조사' 보고서에 따르면, 2024년 국내 정보보호산업 매출은 전년(16조8000억원) 대비 10.5% 증가한 18조6000억원으로 집계됐다. 신규 고객사가 늘어난 영향이 컸다.

최근 조명받고 있는 정보보안산업만 따로 떼어 놓고 보면, 2024년 전년 동기 대비 15.9% 오른 7조1244억원의 매출을 기록했다. 정보보호산업은 ▲네트워크보안 솔루션 ▲클라우드보안 솔루션 ▲보안관제 서비스 등을 영위하는 정보보안산업과 ▲보안용 카메라 ▲감시 장비 등을 파는 물리보안산업과 크게 구분된다.

업계에서는 한동안 성장세가 이어질 것으로 내다봤다. 매출 성장 배경으로는 신규 고객사 확대(40.8%)가 가장 먼저 꼽혔다. 그 뒤는 ▲기존 고객사 납품 증가(28.6%) ▲신규 제품 개발(16.3%) ▲사업 영역 확장(10.2%) ▲기술력 확보(2%) 등이 이었다.

다만 업계의 투자 규모는 예년 수준을 유지한 것으로 집계됐다. 2024년 투자가 있었던 기업은 모두 218개였으며, 평균 87억5200만원을 투자한 것으로 나타났다. 전체의 96.9%가 연구개발(84억8000만원)에 투입됐다. 2023년에는 248개 기업이 평균 84억5700만원의 투자를 단행했다.

정보보안기업 전체 876곳 중 564곳이 자체적으로 기업부설 연구소를 운영하고 있었다. 연구개발 전담부서만 운영하는 기업은 52곳으로 집계됐다. 동시에 운영하고 있는 곳은 30곳이었으며, 둘 다 운영하지 않는 기업도 227개나 됐다.

"해킹 사태, 결국 시스템이 문제···다 바뀌어야"

업계에서는 개발 인력과 자금을 확보하는 게 어려워 기술 개발에 미흡할 수밖에 없었다고 주장한다. 이들은 기술력 확보·시장 확대를 위해서라도 자금 지원과 세제 혜택이 이뤄져야 하고, 전문인력 양성에 보다 공을 들여야 한다고 강조했다.

그렇지 않으면, 지금의 성장세를 유지하기 어려울 것이라는 목소리도 있었다. 실제 소수 사업자는 산업 호실적에도 장기적으로는 매출 악화를 점쳤다. 이들은 경기 위축에 따른 영향이 크고 신규 시장이 부족하다는 점을 지목했다.

이번 해킹 사태도 이와 무관하지 않다. 경기 위축으로 고객사들 자금 사정이 좋지 않았고, 국내 전반적으로 경영 효율화 기조가 짙게 깔린 터라 이들에게서 현금을 벌어오는 보안업체들의 주머니 사정도 빠듯했다. 매출 증대에도 기술 확보를 위한 공격적인 투자가 어려웠던 이유다.

필수불가결한 사업으로 떠오른 지금, 업계에서는 대대적인 시스템 수술이 수반돼야 한다는 목소리가 쏟아진다.

김승주 고려대학교 정보보호대학원 교수는 지난 9월 과학기술정보방송통신위원회 통신·금융 해킹사태 관련 청문회에 참고인으로 출석해 보안업계뿐만 아니라 국가적 차원의 시스템 개선이 필요하다고 역설하기도 했다. 김 교수는 국방 분야 시스템을 벤치마킹해 ▲사이버 인텔리전스(탐지) ▲방어&복구 ▲무력화로 대표되는 '3축 체계'를 마련해야 한다고 주장했다.

그는 "국방 분야에서 위험을 탐지하고, 다가오는 것들을 방어하며 나아가 원천 무력화하는 것을 '3축 체계'라고 한다"며 "사이버 분야의 '3축 체계' 구축을 고민해야 한다"고 말했다.

박기웅 세종대학교 정보보호학과 교수는 "기업체에서 기획과 경영을 하다보면, 보안을 중요하게 생각하지 못하는 경우가 굉장히 많다"며 "이 과정에서 보안에 구멍이 생기고 더 큰 리스크로 발견되는 경우가 더러 있다"고 짚었다. 이어 "정부에서 운영 중인 보안 전문 인력 파견 제도를 강화하는 것도 방법 중 하나가 될 수 있을 것"이라고 조언했다.

업계 구조적인 문제와 관련한 지적도 있었다. 김명주 서울여대 교수는 "국내 보안전문가들은 주로 큰 기업이나 공공기관 등에 몸을 담고 있는데, 이들 회사가 자금력이 있다보니 보통 직접 개발하는 것보다 솔루션을 외부에서 사와서 설치하는 식으로 운영한다"며 "공공기관에서 중소기업(보안 전문 기업)에 인력을 파견해도 대부분 오래 머무르지 않다보니 연구개발의 연속성도 떨어지는 상황"이라고 말했다.

그러면서 "실력 좋은 보안 전문 업체는 아웃소싱을 하고, 솔루션을 파는 기업체 전문가들은 이직이 잦으니, 자금이 투입돼도 실질적인 결과를 못 보는 것"이라고 덧붙였다.

최근 국회에서도 이 분야에 관심을 갖고 지속적으로 살피고 있다. 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 지난 6월 민간의 정보보호 투자를 유도하고 기업의 보안 역량을 체계적으로 점검 및 개선하기 위한 입법으로 '정보통신망법 일부개정안'(이하 정보보호수준 평가법)과 '조세특례제한법 일부개정안'(이하 정보보호 세액공제법)을 대표발의한 바 있다.