정부, 2027년까지 1조 투자…사이버 보안 유니콘 키운다

김진원 기자

입력2023.09.05 18:02 수정2023.09.06 00:42 지면A13

글로벌 경쟁력 확보 전략 발표
1300억 펀드 조성해 벤처 육성
송파 등에 '시큐리티 벨트' 조성

정부가 2027년까지 정보보호산업에 1조1000억원을 투자한다. 지난 4년(5569억원)과 비교하면 관련 예산이 두 배가량 늘어난다. 국내 정보보호 시장을 30조원 규모로 키우고 사이버 보안 유니콘 기업(기업 가치 1조원 이상 비상장사)을 한 곳 이상 육성하는 것이 목표다. 1300억원 규모 사이버 보안 펀드도 새로 조성하기로 했다.

▶본지 9월 4일자 A2면 참조

과학기술정보통신부는 5일 이 같은 내용을 골자로 한 ‘정보보호산업 글로벌 경쟁력 확보 전략’을 발표했다. 서울 송파-경기 성남 판교-부산·울산·경남으로 이어지는 ‘K-시큐리티 벨트’를 조성하는 프로젝트가 눈에 띈다. 송파엔 글로벌 보안기업 연구소를 유치하고 테스트베드를 마련한다. 판교에는 공격·방어를 하는 사이버훈련장을 확대하기로 했다. 부산 해운대 센텀시티는 동남권 지역 거점으로 활용한다.

사이버 보안 펀드는 인공지능(AI)과 양자암호통신 등 유망 신기술을 결합한 보안 스타트업에 집중 투자한다. 방화벽 등을 중심으로 한 기존 경계 보안의 한계를 해소하기 위한 ‘제로트러스트(ZT)’ 전환 로드맵도 수립하기로 했다.

ZT는 네트워크가 언제든 침범될 수 있다고 가정하고 접속한 모든 단말기의 신분을 끊임없이 확인하는 사이버 보안 방식이다. 클라우드 시스템과 재택·원격근무가 확대되고, 업무용 단말기도 PC(개인용 컴퓨터)·태블릿·스마트폰 등 다양해지고 있어 도입 필요성이 커졌다.

과기정통부는 국가보안기술연구소 내년도 연구개발(R&D) 예산(808억원)이 올해 대비 16.1% 삭감된 것과 관련해 중복 지원을 정리하는 차원이라고 설명했다. 사이버보안챌린지선도R&D 예산(10억원)이 69.1% 삭감된 것에는 “새로 편성된 ‘K-시큐리티 얼라이언스’ 예산으로 재편성됐다”고 해명했다.

사이버 보안 기업들이 오래전부터 요구해 온 △보안 소프트웨어(SW) 가치 인정 △유지보수 대가 현실화 등 정보보호산업 시장을 확대할 수 있는 방안은 이번 전략 발표에서 빠졌다.

김진원 기자 jin1@hankyung.com

관련 뉴스

1

'BTS 메달' 매크로가 싹쓸이하나…박대출 "보안프로그램 없어"

한국조폐공사가 글로벌 그룹 방탄소년단(BTS)의 데뷔 10주년 기념 메달을 한정 판매하는 가운데, 공사의 온라인 보안시스템에 허점이 드러났다는 지적이 나왔다.4일 국회 기획재정위원회 소속 박대출 국민의힘 의원이 공사로부터 제출받은 자료에 따르면 공사는 현재 온라인 상품 판매 창구에서 매크로(자동입력반복) 사용 계정을 방지하기 위한 보안 프로그램을 운영하지 않고 있다.매크로는 그간 공연 티켓 등 많은 소비자들이 몰리는 온라인 창구에서 공정성을 훼손한다는 지적을 받아왔다. 구매에 필요한 여러 단계 정보를 자동으로 입력하는 매크로를 통해 순식간에 매진되는 인기 상품을 '싹쓸이'해 되파는 경우도 더러 있었다."인기 상품에 대해 1인당 구매 한도를 제한하고 있어 매크로 사용 계정 방지를 위한 보안 프로그램을 운영하지 않고 관련 모니터링도 시행하지 않는다"는 게 공사의 입장이지만, 이는 안일한 태도라는 게 박 의원의 지적이다.박 의원은 "공사가 선제적으로 매크로 방어 시스템을 적용해 공정한 기회를 제공해야 하는데, 별도 모니터링단도 운영하지 않으면서 자체적으로 이용자를 걸러내겠다는 것은 안일한 준비 태세"라고 했다.앞서 공사는 방탄소년단 데뷔 10주년 공식 기념 메달 2차'를 국내외 동시 출시했다고 지난 1일 밝혔다. 기념 메달에는 방탄소년단 멤버의 초상이 담겨 있다. 금메달은 2000장, 은메달은 4만9000장으로 한정 제작됐다.홍민성 한경닷컴 기자 mshong@hankyung.com
2

안랩 한달새 30명 퇴사…"연봉 네카오의 절반도 안 돼"

지난 6월 국내 대표 사이버 보안기업 안랩에서 30명의 직원이 무더기 퇴사했다. 같은 달 14명을 신규 채용했지만 떠난 직원의 절반도 채우지 못했다.정규직 외 인턴 입·퇴사자 결과가 포함된 것이라면서도 상대적으로 처우가 좋은 시스템통합(SI), 포털, 게임, 쇼핑·배달 플랫폼 등으로 이직하는 직원이 부쩍 늘었다는 게 회사 측 설명이다.한국의 사이버 보안 인력 생태계가 붕괴하고 있다. 신입 직원을 뽑아 키워도 금방 그만두고 보안업계를 떠난다. 정부의 사이버 보안 10만 인재 양성 계획이 ‘밑 빠진 독에 물 붓기’가 되고 있다는 지적이 나온다. “월급은 적은데 일만 고되다”3일 한국경제신문이 국내 사이버 보안기업 매출 상위 20곳의 사업보고서 등을 분석한 결과 안랩의 평균 근속연수는 6.33년에 불과했다. 그나마 안랩은 나은 편이다. 사이버 보안기업 상위 20곳의 재직자 평균 근속연수는 4.91년에 그쳤다. 업무에 익숙해질 만하면 회사를 옮긴다는 게 기업들의 토로다. 보안업계의 평균 근속연수는 SI 기업인 삼성SDS(15.6년)나 LG CNS(11.1년)의 3분의 1 수준이다.잦은 이직의 배경으로 △열악한 처우 △높은 노동 강도 △정체된 성장 등이 꼽힌다. 특히 연봉에 대한 직원들의 불만이 상당하다. 사이버 보안기업 20곳의 평균 연봉은 5672만원이다. 네이버(1억3449만원)와 카카오(1억3900만원), 삼성SDS(1억3100만원) 등의 절반에도 미치지 못했다. 중견 보안기업은 이보다도 못하다. 드림시큐리티(3928만원), SGA솔루션즈(4100만원), 한컴위드(4300만원), 케이사인(4439만원) 등의 연봉은 4000만원 안팎에 머물고 있다.그렇다고 ‘워라밸’(일과 삶의 균형)이 보장되는 것도 아니다. 사이버 보안기업 직원들은 해킹 사고에 대비해 24시간 대기 상태로 근무해야 하는 경우가 다반사다. 대형 시스템 해킹 사고나 분산서비스거부(DDoS) 공격이 발생하면 주말이나 새벽에도 업무에 투입된다. 한 보안기업 관계자는 “악성코드는 끊임없이 진화하기 때문에 이에 대응하기 위한 업데이트 작업도 상시로 이뤄져야 한다”고 설명했다. 열악한 처우 배경엔 ‘영세한 시장’국내에서 사이버 보안이 기피 직장으로 분류되는 것은 비즈니스 모델의 한계 때문이다. 최저가 입찰 방식의 공공 보안 소프트웨어(SW) 시장에서 살아남으려면 입찰 비용을 최대한 낮춰야 한다. 다른 정보기술(IT) 직군처럼 직원들의 연봉을 높여주기 어려운 구조다.보안 투자를 비용으로 인식하는 한국 시장의 특성도 기업들을 영세하게 만든 배경으로 꼽힌다. 정부뿐 아니라 민간 시장에서도 호흡이 긴 보안 관련 연구개발(R&D) 프로젝트를 찾아보기 힘들다는 게 업계의 설명이다. 보안업계 관계자는 “주요 해킹대회 우승 경력이 있는 S급 보안 인재들은 국내 기업 취업을 아예 고려하지 않는다”며 “바로 해외 기업에 취업하거나 글로벌 기업을 대상으로 보안 컨설팅 사업에 나서는 사례가 많다”고 말했다.한국과 달리 해외엔 매머드급 보안기업이 적지 않다. 보안을 고도의 전문 분야로 인정하고, 관련 기업에 비용을 지불하는 데 후한 편이다. 보안기업으로 최초로 시가총액 100조원의 벽을 넘은 미국 팰로앨토네트웍스(1일 기준 시총 740억달러)가 대표적 사례다. 포티넷(478억달러), 크라우드스트라이크(385억달러) 등도 시총이 50조원을 넘는다.한국의 보안기업은 규모 면에서 차이가 크다. 업계 1위인 안랩의 시총은 6569억원에 불과하다. 시총 1000억원을 넘는 기업도 한손에 꼽힌다. 보안 기업의 90% 이상이 비상장 중소기업이다.김진원 기자 jin1@hankyung.com
3

'해킹보안관' KISA…1인당 담당 사고 건수 4년새 3배로 증가

시스템 해킹과 분산서비스거부(DDoS) 공격, 악성코드 유포 등에 대비하는 과학기술정보통신부 산하기관 한국인터넷진흥원(KISA)의 상황도 열악하긴 마찬가지다. 최근 4년 사이 침해사고가 두 배 넘게 증가했지만, 인력은 제자리걸음이다. 보안 인력 한 명이 담당해야 하는 침해사고 건수가 이 기간 3.6건에서 9.28건으로 증가했다.3일 국회입법조사처와 과기정통부 등에 따르면 민간 분야 침해사고 신고 건수는 2019년 418건에서 작년 1142건으로 늘었다. 정보통신망법은 침해사고가 발생한 전기통신사업자에게 KISA에 의무적으로 신고하게 한다. 신고를 접수하면 KISA 사이버 침해 대응 인력이 현장에 출동한다. 해킹 경로를 조사하고 피해 규모를 확인한다. 유사 사고의 재발을 막기 위해 필요한 조치도 수행한다. 짧게는 수주일에서 길게는 수개월 이상 걸리는 일이다.이런 업무를 수행하는 KISA 사이버 침해 대응 인력은 2019년 116명에서 작년 123명으로 7명 증가하는 데 그쳤다. 강은수 국회입법조사처 과학방송통신팀 입법조사관은 “침해사고 신고에 효과적으로 대응하기 위해서는 침해사고 대응을 위한 적정 인력 수준 분석 및 확보가 필요하다”고 지적했다.윤석열 정부 110대 국정과제 중 하나인 ‘사이버 10만 인재 양성 방안’도 일부 사업이 시행 첫해부터 예산 삭감으로 차질을 빚었다. 과기정통부는 기업이 인재 선발과 취업 전 과정을 주도하고 정부가 사업비를 지원하는 ‘시큐리티 아카데미’를 올해부터 2026년까지 추진하고 있다. 연간 24억4000만원 이상을 투입해 매년 200~300명의 보안 인력을 육성하는 사업이다. 그러나 작년 예산 요구액 24억4000만원 중 50%만 실제 예산으로 반영됐다. 과기정통부는 사이버 교육과정을 운영하는 대학이 69개(2019년)에서 53개(2020년)로 줄어들어 인재 공급이 부족할 것으로 보고 있다. 반면 사이버 인력 수요는 2021년 12만4000명에서 2026년 16만3000명으로 늘어날 전망이다.김진원 기자 jin1@hankyung.com