한국 보안산업이 ‘우물 안 개구리’로 전락하고 있다는 우려가 커지고 있다. 정부가 모든 것을 통제하는 ‘관치 보안’으로 창의적인 보안기술의 출현을 막고 있기 때문이다. 국내 보안업계가 정부 보호 아래에 있는 국내 시장에만 안주하려는 것도 문제의 원인이다.

'우물 안 개구리' 한국 정보보안산업

○같은 제품으로 가격 경쟁만

지식정보보안산업협회의 ‘2013년 국내 정보보호산업 실태조사’에 따르면 국내 정보보안시장 규모는 2013년 1조6167억원으로 전년보다 2.5% 늘어나는 데 그쳤다. 이는 CCTV와 같은 물리보안을 제외한 수치다. 해외 수출액은 698억원으로 더 초라하다. 세계 보안시장 규모는 작년 204조원에 달했지만 한국 업체들의 매출은 미미하다는 얘기다.

정부의 지나친 간섭이 가장 큰 원인으로 지목된다. 김승주 고려대 정보보호대학원 교수는 “한국에서는 법과 지침을 통해 어떤 종류의 보안 프로그램을 설치해야 하는지 세세하게 규제하고 있다”며 “그러다 보니 업체들이 창의적인 보안 기술을 연구하기보다 지침에 나와있는 것만 개발한다”고 지적했다. 은행이나 증권사 홈페이지에 접속하면 의무적으로 설치하도록 나오는 방화벽, 키보드 보안, 백신, 공인인증서 등 각종 보안 모듈이 그런 프로그램이다.

정부가 정한 범위 내에서만 보안 프로그램을 개발하다 보니 업체 간 경쟁도 자연스레 기술 경쟁보다는 가격 인하 경쟁으로 이어질 수밖에 없다.

○국내용 평가에만 쏠려

각국 정부가 정보기술(IT) 제품의 안정성과 신뢰성을 평가해 인증하는 국제표준인 ‘공통평가기준(CC)’을 한국 정부만 수출용과 국내용으로 나눠놓은 것도 국내 업체들의 경쟁력을 낮추는 요인으로 작용하고 있다. CC는 보안 제품을 수출할 때마다 해당 국가에서 다시 평가받아야 하는 번거로움을 해소하기 위해 만들어진 제도다. 한번만 CC 인증을 받으면 미국과 캐나다, 유럽에 바로 수출할 수 있다.

하지만 한국에선 “기준이 엄격하고 평가에 걸리는 시간이 너무 오래 걸린다”는 업계의 반발에 따라 2007년 3월부터 CC 평가·인증을 국내용과 국제용(해외수출용)으로 이원화해 진행하고 있다. 김 교수는 “수출용은 평가에 1년6개월 걸리는 데 비해 국내용은 3~4개월 정도로 짧다”며 “이 때문에 아예 해외로 나갈 생각이 없는 국내 업체들은 국내용 평가로만 쏠리고 있다”고 말했다. 평가 주체인 국정원은 국내용 평가를 한시적으로만 운영한다고 했지만 계속 연장이 되면서 지금까지 이어져 오고 있다.

반면 외국계 보안회사들에는 한국의 보안 정책이 한국 시장 진출을 막는 걸림돌이 되고 있다. 공공기관과 금융회사에 제품을 납품할 때는 국정원에 제품의 소스 코드를 공개하도록 하는 지침 때문이다. 그는 “한국 보안업계에서는 어느 나라나 정보기관이 보안산업에 관여한다고 말하지만 이는 반만 맞는 말”이라며 “외국에서는 정부 기밀과 관련된 부분에만 관여하지 민간 기업의 보안에는 전혀 관여하지 않는다”고 설명했다.

임근호 기자 eigen@hankyung.com