요즘 주식 이야기를 하다 보면 빠지지 않는 종목이 방산이다. 방산주가 폭등하면서 적지 않은 개인 투자자가 큰 수익을 거뒀다. 이는 우연이 아니다. 한국 방위산업이 내수를 넘어 글로벌 시장의 핵심 공급자로 자리 잡았기 때문이다.
스톡홀름국제평화연구소에 따르면 한국은 유럽의 북대서양조약기구(NATO) 회원국에 무기를 수출한 국가 중 미국에 이어 2위를 차지했다. K9 자주포와 K2 전차는 여러 나토 회원국의 주력 무기가 됐다. 시가총액 상위권에는 여러 방산회사가 이름을 올렸다. 이는 30년 인고의 시간이 만든 결과다.
그렇다면 사이버보안은 왜 같은 길을 가지 못했을까. 휴전선을 맞댄 분단국가로서 한국은 국가 배후 사이버 공격의 최전선에 서 있다. 사이버 공격은 금융·통신·제조·공공을 가리지 않고 매일 발생했다. 한국은 이를 막아내며 세계 어느 나라도 갖지 못한 실전 경험을 쌓았다. 그러나 방산과 달리 사이버보안은 글로벌 산업으로 발전하지 못했다.
이유는 산업의 본질에 있다. 사이버보안 산업은 컴플라이언스에 후행한다. 컴플라이언스가 보안 통제 방안을 의무화하면 기업과 기관은 그에 맞는 솔루션을 산다. 보안 기업은 그 수요에 맞춰 제품을 만든다. 시장의 요구사항은 스스로 생기는 것이 아니라 컴플라이언스가 만든다. 그렇기에 컴플라이언스는 사이버보안 산업의 방향타다.
세계의 방향은 이미 정해졌다. 미국의 FedRAMP와 일본의 ISMAP 등은 정부 컴플라이언스부터 클라우드를 전제로 설계됐다. 일본은 '클라우드 바이 디폴트'를 정부 원칙으로 못 박았다. 클라우드로 제공되지 않는 보안은 글로벌 주류 시장에서 빠르게 밀려났다.
그러나 한국은 다르다. 민간은 이미 클라우드 중심으로 넘어갔지만 공공은 여전히 온프레미스에 머물러 있다. 문제는 공공이 국내 보안 시장의 가장 큰 고객이라는 점이다. 산업이 컴플라이언스를 따라가는 이상 최대 고객인 공공의 요구에 맞춰 제품을 만들 수밖에 없다. 세계가 클라우드 중심으로 재편되고 있지만 한국 공공 보안 시장은 그 변화에서 멀어지고 있다.
문제는 여기서 끝나지 않는다. 클라우드에 맞춰 만들어진 글로벌 제품은 이미 국내 시장을 빠르게 넓혀갔다. 그러나 온프레미스 스펙에 묶인 한국 사이버보안은 클라우드 중심의 글로벌 경쟁에 대응하지 못하고 있다. 서방세계에서 네트워크와 엔드포인트, 관제, 위협 인텔리전스까지 자국 기술을 갖춘 국가는 미국과 이스라엘 외에 한국이 유일하다. 그러나 현재의 온프레미스 중심 구조가 지속되면 머지않아 내수 시장마저 장악당할 수 있다.
한 번 무너진 산업 기반은 되살리기 어렵다. 방산은 글로벌 규격에 맞춰 세계로 나아갔다. 사이버보안도 그렇게 가지 않으면 글로벌은 고사하고 안방마저 내줄 수 있다. 남은 시간이 많지 않다.
그렇다면 무엇을 해야 할까. 두 가지가 필요하다. 첫째, 공공이 민간 클라우드를 적극 활용해야 한다. 공공 영역이 글로벌 기준에 맞는 클라우드 네이티브 아키텍처로 올라와야 한다. 그래야 국내 산업도 그에 걸맞은 경험을 쌓을 수 있다. 둘째, 정부 컴플라이언스가 요구하는 통제의 디테일을 글로벌 규격에 맞춰야 한다. 한국 시장이 요구하는 컴플라이언스 수준을 세계 기준에 맞추면 한국에서 만든 보안 솔루션이 그대로 글로벌 시장에서도 통할 수 있다.
이러한 변화는 개별 기업에만 영향을 미치는 것이 아니다. 클라우드로 옮겨가면 국내 벤더 간 협력도 한결 수월해진다. 글로벌 벤더와의 협력도 쉬워진다. 글로벌 파트너십과 마켓플레이스로 가는 길도 넓어진다. 협력이 쉬워질수록 더 많은 기회를 만들 수 있다. 그렇게 국내 보안 기업이 지금의 스무 배, 서른 배로 성장하면 한국 최고의 엔지니어들은 미국에 건너가지 않고도 한국에서 세계와 경쟁하게 된다.
방산이 그랬듯 사이버보안도 대한민국을 지키는 힘으로 세계 시장에 나아가야 한다. 공공이 글로벌 수준의 클라우드 네이티브 아키텍처를 도입하고 컴플라이언스를 세계 기준에 맞춰야 한다. 그래야 우리 기술로 가장 민감한 우리 시스템을 지키면서 세계로 나아갈 수 있다. 대한민국을 지키고 세계로 나아가는 것, 그것이 사이버 주권이다.
구동언 로그프레소 공동창업자 겸 사업본부장 전무 d.goo@logpresso.com
