[창간22주년-성장의 조건22]사회·문화 분야-정보보호

관련 통계자료 다운로드 세계 정보보호 SW 시장 전망

◆`부가가치+성장` 두 마리 토끼를 잡는다

 세계적으로 정보보호 산업은 부가가치가 매우 높다. 유통이나 제조업은 비교도 되지 않고 부가가치가 가장 높다는 게임이나 소프트웨어 업체와 견줘도 손색이 없다.

 정보보호 산업은 또한 차세대 유망산업이다. 인터넷이 발전할수록 이를 보호할 정보보호 제품의 수요가 늘어나는 것 또한 당연하다.

 정보보호 산업의 경쟁력은 그 나라의 기회비용 증가와 반비례한다. 악성코드나 해킹에 의한 피해를 금액으로 환산하면 천문학적인 수치가 나온다. 정보보호 투자는 생산성 향상이라는 결과로 돌아오게 마련이다.

 결국 부가가치와 성장 가능성을 고루 갖춘 정보보호 산업은 명실상부한 차세대 성장엔진으로 꼽기에 손색이 없다.

 ◇정보보호 사업은 황금알을 낳는 거위=세계 최대 보안 업체 가운데 하나인 시만텍은 작년에 18억7000만달러의 매출을 올렸다. 2002년에 비해 33%나 늘어난 수치다. 순이익은 무려 3억7100만달러로 2002년보다 49% 늘어났다. 순이익률은 20%에 이른다.

 세계 기업용 백신 시장의 강자인 트렌드마이크로는 지난 2분기 1억3600만달러의 매출에 순이익을 3500만달러나 기록했다. 작년 적자를 면치 못했던 맥아피는 네트워크 사업부문 매각 등 성공적인 구조조정으로 올해 1분기에만 5600만달러의 이익을 냈다. 트렌드마이크로와 맥아피 모두 순이익률이 25%를 넘는다.

 특히 트렌드마이크로의 선전은 우리에게 많은 시사점을 남긴다. 트렌드마이크로는 우리와 사정이 비슷한 대만의 정보보호업체다. 주력 사업도 국내에서 친숙한 백신이다. 일각에서는 백신 시장이 포화됐다는 이유를 들며 향후 전망을 어둡게 보고 있지만 트렌드마이크로는 이를 실적으로 일축하고 있다.

 스티브 창 트렌드마이크로 CEO는 성공의 비결에 대해 ‘철저한 현지화’라고 강조한다. 타깃 시장을 일본으로 잡은 후에는 거의 일본 기업처럼 사업을 펼쳤다, 일본에서 기반을 닦은 후에는 미국 진출이 수월했다고 한다.

 세계적인 정보보호업체는 고공비행을 거듭하고 있지만 국내 정보보호 업체는 각개전투 수준을 벗어나지 못하고 있다.

 상당수의 국내 정보보호 업체가 매출 측면에서 제자리 걸음을 했으며 오히려 마이너스 성장을 기록한 업체도 상당수다. 영업이익률 면에서는 안철수연구소를 제외하고 제조업 수준을 벗어나지 못하고 있다.

 이에 따라 이미 몇몇 업체는 내부적으로 올해 매출 목표의 하향조정을 검토하고 있다. 3분기에도 답보상태가 계속되는 추세이기 때문에 매출 목표를 유지하기 힘들다는 시장 전망이 지배적이다.

 ◇글로벌 IT 업체도 눈독=정보보호 산업에는 현재 IT 업계의 거인들이 눈독을 들이고 있다. 그만큼 정보보호 산업의 성장 가능성이 높기 때문이다. 특히 인수합병을 통한 정보보호 시장 진출이 주목을 끈다.

 그 중 가장 활발한 움직임을 보이는 분야는 네트워크 장비 업체다. 네트워크 장비 분야의 절대강자인 시스코는 연이은 정보보호 업체의 인수로 몸집을 불리고 있다. 주니퍼네트웍스는 하이엔드 방화벽 시장의 선두주자인 넷스크린을 끌어안았으며 F5네트웍스 역시 매그니파이어 등 유망 정보보호 업체를 합병했다.

 정보보호 업계를 선도하는 시만텍은 무려 20개에 가까운 관련 업체를 집어삼켰으며 맥아피 역시 차기 주력 제품인 침입방지시스템(IPS)을 인수합병을 통해 확보했다.

 여기에 IBM이나 마이크로소프트, 오라클 등의 거인도 정보보호 산업에 직간접적으로 영향을 미치고 있다.

 이에 대해 국내 보안업계의 한 관계자는 “이미 해외는 규모의 경제를 만들기 위한 업체 간 합종연횡이 무르익었지만 우리나라는 발전적인 인수합병이 가뭄에 콩나듯 한 상황”이라고 지적했다.

 최근 인수합병을 추진했다가 외부 인사의 경영 참여로 방향을 바꾼 권석철 하우리 사장은 “다방면에 걸쳐 인수합병 상대를 찾았지만 도무지 입장 차이를 좁힐 수 있는 엄두가 나지 않았다”며 “오히려 비 IT 업종이 발전적인 효과를 낼 수도 있다”고 밝히고 있다.

 장동준기자@전자신문, djjang@

◆`제로데이`공포가 다가온다`

 제로데이 공포가 다가온다. 제로데이는 보안 취약점이 발견된 후 곧바로 이를 악용하는 악성코드가 나타나는 현상을 말한다. 결국 미처 대처할 시간적 여유가 없는 상태에서 악성코드나 해킹의 공격에 무방비로 당하게 된다.

 최근에 나타나는 악성코드 가운데 상당수는 운용체계나 네트워크 제품의 보안 취약점을 노린다. 보안 취약점을 이용하면 확산 속도가 빠르고 감염 확률도 높기 때문이다.

 과거에는 보안 취약점 발견에서 이를 이용해 확산되는 바이러스가 나타나기까지 보통 1년 정도가 걸렸는데 이 주기가 점점 짧아져 최근에는 이틀 만에 나오는 경우도 나타났다.

 지난 2001년 9월 18일 등장해 세계 각국을 공포에 떨게 만든 님다 웜은 2000년 10월에 발견된 보안 취약점을 노린다. 보안 취약점이 발견된 후 336일 후에 바이러스가 나왔다.

 작년 1월 25일 우리나라 인터넷을 마비시킨 슬래머 웜은 2002년 6월 24일 SQL서버 취약점 발견 후 185일 만에 등장했는데 작년 8월 11일부터 기승을 부린 블래스터 웜은 그 주기가 더욱 짧아져 윈도의 보안 취약점이 발견 후 26일밖에 걸리지 않았다.

 지난 3월 20일 처음 나타난 위티 웜은 특정 보안제품에 있는 보안 취약점이 발견한 지 불과 이틀 만에 만들어져 백신업계를 경악하게 만들었다. 이러한 추세라면 보안 패치 파일을 설치할 시간적 여유가 거의 없게 된다. 보안 취약점이 발견되자마자 바이러스가 등장해 피해가 커지는 이른바 제로데이의 가능성이 현실로 나타난 셈이다.

 이에 대해 조경원 안철수연구소 연구원은 “과거에는 취약점이 발견되고 이를 없애는 보안 패치 파일이 나온 후에야 악성코드가 등장했는데 최근에는 그 순서가 뒤바뀌는 사례도 나타나고 있다”며 “이는 악성코드의 기술이 인터넷을 통해 공개되고 제작자의 기술 수준도 높아졌기 때문”이라고 설명했다.

 허재준 하우리 연구원은 “일반적으로 보안 전문가들이 윈도 등 특정 제품에 대한 보안 취약점을 발견한 후 보안 패치 파일을 만들기 위해 소스코드를 인터넷에 올리는데 이를 이용해 악성코드가 만들어지는 것”이라며 “인터넷에 올라온 소스코드는 악성코드의 재료로 사용되지만 반대로 백신의 자료도 되기 때문에 공개가 불가피하다”고 말했다.

 제로데이의 위험이 증가하면서 정보보호 산업의 중요성도 더욱 커진다. 예를 들어 많은 악성코드 가운데 클레즈 웜은 세계적으로 자그마치 90억달러의 생산성 감소 피해를 가져왔다. 러브레터 웜은 88억달러, 코드레드 26억달러의 손해를 입혔다. 정확한 수치는 나오지 않았지만 작년 1월 인터넷대란을 일으킨 슬래머 웜도 천문학적인 피해와 더불어 정보보호 취약국가라는 돈으로 환산하기 어려운 오명을 받게 만들었다. 제로데이의 공포가 다가올수록 정보보호 산업의 가치도 함께 높아지게 마련이다.

장동준기자@전자신문, djjang@

★기고

정보보호 산업 경쟁력 갖춰 세계무대로 도약해야

-오경수 한국정보보호산업협회장

 불과 몇년 전 우리는 외환위기를 국민적인 단결과 IT 산업을 중심으로 한 벤처 정신으로 단기간에 극복했다. 이 과정에서 우리는 세계 제일의 초고속 인터넷 인프라를 구축했고 네티즌 3000만명이라는 인터넷 강국을 실현했다.

 반면 최근에는 사정이 달라졌다. 제조업체들은 가격경쟁력 확보를 위해 각종 설비를 중국 등 해외로 이전하고 있다. 국내에 투자되는 사업 역시 자동화, 첨단화로 고용이 동반되지 않아 경제적 파급효과가 축소되고 있는 실정이다.

 이를 해결하기 위해서는 이미 세계 최고 수준의 인프라를 보유하고 있고 고용 창출 효과가 높은 IT 산업이 활성화돼야 한다. 과거 외환위기의 파고를 극복할 수 있었던 원동력도 IT 산업의 열풍이다. 현재 세계적인 경기 회복 현상 또한 그 중심에는 IT 산업이 자리를 잡고 있다.

 지금까지 IT 산업의 성장이 양적인 측면에 치우쳤다면 이제는 질적인 성장이 이뤄져야 한다. IT 산업의 건전하고, 장기적으로 안정적인 발전을 위해서는 안정성과 신뢰성, 그리고 서비스의 질적인 향상이 전제돼야 한다.

 전체 IT 투자비용의 10%를 정보보호 예산으로 책정하고 인프라 구축 시에 정보보호를 기본적으로 고려하는 선진국에 비해 사고 후에야 수습하는 후순위 투자로 인식되어 있는 정보보호에 대한 불감증은 이러한 차원에서 가장 우선시 되어야 할 화두다.

 국내 정보보호 업계의 발전을 저해하는 요인 중 또 다른 하나는 저가 출혈경쟁이다. 이는 사고가 발생했을 때에만 잠시 이슈가 되고마는 후순위 투자로 인식돼지고 있어 정보보호 서비스의 중요성이 제대로 평가를 받기 어렵기 때문이다.

 이는 IT산업 전반에 걸쳐 팽배해 있는 현상이지만 그렇지 않아도 작은 정보보호 시장을 더욱 위축시키고 있다. 연구개발에 몰두해야 할 정보보호 업체들이 저가 수주로 인한 출혈경쟁에 시달리면서 IT기업의 생명력인 기술개발 재투자를 하지 못하는 아이러니한 현상이 벌어지고 있다.

 또 보안업체도 정보보호에 대한 사명감을 갖고 국내 보안시장의 성장과 경쟁력 강화를 위해 전력투구해야 할 것이다. 국내 시장만 바라보고 풍토만 탓할 것이 아니라 더욱 기술력과 제품 성능을 높여 해외시장을 개척하겠다는 진취적인 생각을 해야 하며 이를 실행해 나갈 때인 것이다.

 오늘날 세계적인 기업들과 어깨를 나란히 하고, 국가경제를 선도하는 국내의 대표적인 기업들 모두 그 당시 외환위기로 인한 어려움을 겪는 과정에서 기업 체질을 더욱 개선하고 기술 개발에 힘써 한 차원 높은 수준에 도달한 기업들이다.

 대한민국의 보안업계가 보다 선진화되어진 정보보호서비스에 대한 인식의 바탕 하에서 경쟁력을 강화하고, 이를 기반으로 세계적인 업체들과 어깨를 나란히 하며 세계 보안시장을 주름잡을 수 있게 될 그날을 기대해 본다.

오경수 한국정보보호산업협회장 ceo@secui.com