5년 내 日 잡으려면…”연 300억씩 투자해 시장 규모 키워야”

[MT리포트] 보안 유니콘 하나 없는 나라 (下)


윤석열 정부가 사이버보안 강화를 공약했음에도 국내 보안업계는 여전히 영세성을 벗지 못하고 있다. 경직된 보안규제가 완화되며 일부 활로가 열렸지만 여전히 투자는 얼어 붙어있다. 각종 해킹피해가 잇따르는 가운데 사이버보안 산업과 유니콘 육성을 저해하는 요인을 짚고 타개책을 모색한다.

“연 300억 투자시 4.5兆→ 10兆로 시장 성장”, 5년내 日추월도 가능

매년 300억원 규모의 정책펀드가 투자될 경우 현재 4조원대 중반 수준인 국내 사이버 보안 시장을 2030년쯤 10조원 이상으로 키울 수 있다는 전망이 나와 눈길을 끈다. 이 정도의 정책펀드 투자만 있으면 현재 글로벌 4위권인 일본마저도 제칠 수 있다는 평가다.

지난해 12월 KISA(한국인터넷진흥원)의 의뢰로 ENF어드바이저가 작성한 ‘ 국내 사이버 보안 산업 활성화를 위한 펀드 조성방안’ 보고서는 “현재의 국내 사이버 보안 산업이 양적 성장에 비해 질적 성장은 저조한 상태”라며 “사이버 보안 산업의 질적 성장을 위한 기업 대형화에 정부 재원 투입이 필요하다”고 지적했다.

또 “현재 글로벌 시장 규모를 비교했을 때 모태펀드(사이버보안 전용펀드)를 통해 추월이 가능한 국가는 시장규모 8조원 수준의 일본”이라며 “(한국이) 가장 빠르게 기술적 패권을 추월할 수 있는 시기는 2030년으로 300억원 규모의 펀드 수립시 달성이 가능하다”고 전망했다.

보고서에 따르면 2021년 기준 글로벌 사이버 보안 시장의 규모는 132억달러(약 177조원)로 미국이 40.9%를 차지하고 중국(99억달러, 7.5%) 영국(86억달러, 6.5%) 일본(71억달러, 5.4%) 독일(66억달러, 5%) 등이 뒤를 잇는다. 한국의 사이버 보안 시장은 35억달러(4조5000억원) 수준으로 일본의 절반에도 못 미친다.

보고서는 모태펀드(Fund of Fund), 즉 목적에 부합하는 모(母)펀드를 만들어 여러 개의 자(子)펀드에 투자하는 방식의 정책펀드 조성을 가정했다. 또 한국 사이버보안 시장이 최근 3년간 연평균 6.7% 성장하고 있다는 점, 기존 모태펀드 피투자기업의 매출 증가율이 3년에 걸쳐 연평균 30%에 이른다는 선행연구 결과 등을 더해 이번 전망을 도출했다. 연간 300억원 가량의 정책펀드 투자가 있으면 국내 사이버보안 시장은 2026년(5조8800억원) 2028년(7조9500억원)을 거쳐 2030년이면 10조8600억원 규모의 시장으로 커질 수 있다는 전망이다.

현재 사이버 보안 부문에 대한 정책펀드가 아예 없다고 할 수는 없다. 지난달 중소벤처기업부는 4805억원의 정부출자로 1조755억원 규모의 모태펀드 조성방안을 밝혔다. 이 중 정부출자 1000억원을 더해 총 2000억원 정도로 조성될 초격차 펀드의 투자대상 10개 리스트에 ‘사이버 보안 및 네트워크’가 들어 있다. 나머지 9개에는 △바이오 △미래 모빌리티 △친환경·에너지 △로봇 △시스템 반도체 △빅데이터·AI(인공지능) △우주항공·해양 △차세대 원전 △양자기술 등이 있다.

그러나 이 초격차 펀드 10개 투자대상 중 나머지 9개는 이미 상대적으로 민간 투자가 활발히 이뤄지는 분야인 반면 사이버 보안은 그렇지 못하다. 모태펀드를 위탁받아 운용하는 민간 투자사 입장에서도 사이버보안 외에 다른 부문에 더 집중할 공산이 크다는 게 사이버 보안 업계의 우려다.

이번 ENF어드바이저의 보고서는 전용 정책펀드 조성이 생각보다 적은 자금으로도 큰 효과를 거둘 수 있다는 점을 시사한다. 정보보안 업계 한 관계자는 “단 50억원, 100억원도 좋으니 사이버 보안에만 투자되는 전용 정책펀드가 필요하다”며 “전용 정책펀드의 투자는 민간 및 외국인 투자자의 자금을 끌어올 수 있는 마중물이 될 것”이라고 말했다.

‘정보보안업 진흥’ 팔걷은 정부…정보보호 공시제, 신속확인제에 업계 기대감↑

국내 정보보호산업이 크게 활성화되지 못했던 것은 정부의 정책적 지원이 부족한 동시에 낡은 제도 때문이라는 목소리가 높다. 정부 역시 이같은 문제점을 인식하고 지난해 신속확인제도와 정보보호 의무공시 제도 등을 새로 도입하면서 정보보호 산업계의 기대감을 키우고 있다.

2일 과기정통부에 따르면 에프원시큐리티가 개발한 ‘F1-WEBCastle V2022.07’이 지난 16일 국내 첫 신속확인제품 승인을 받아 출시됐다. 호스트 기반의 웹 방화벽인 이 제품은 지난해 11월 신속확인제도가 도입된 이후 첫번째로 상정된 심의 안건이다. 신속확인제도 통과 제품은 확인서 발급일로부터 2년 동안 효력을 인정받는다.

신속확인제도는 마땅한 평가 기준이 없어 인증을 얻기 어려운 신기술 및 융·복합제품을 국가나 공공기관에 도입할 수 있도록 제품 보안성과 기능 적합성 등을 점검하는 제도다. 그동안 업계에서는 혁신적 보안 신 기술을 개발해 제품에 적용시켜 출시해도 평가할 수 있는 기준이 없다는 이유로 판로가 막히는 사례가 비일비재했다.

대표적인게 ‘CC인증’이다. IT 제품의 보안성을 평가해 인증하는 제도인데 받는데만 1년 가까이 걸려 시장진입이 늦어진다. 그럼에도 국가·공공기관에 납품하려면 반드시 CC인증이 필요해 울며 겨자먹기로 인증을 신청하는 상황이었다. 공공분야 판매사례(레퍼런스)가 없으면 민간 진출은 물론 수출, 투자유치 역시 요원하다.

이에 대한 비판이 쇄도하자 정부가 지난해 11월 도입한 게 신속확인제도다. 이에 최신 기술을 보유한 기업들은 별도의 평가 기준 없이도 보안성을 인증받을 수 있게 돼 국가·공공기관 납품 자격을 얻을 수 있게 됐다.

과기정통부 관계자는 “CC인증만 고집하다 보면 국가·공공기관은 신 기술을 도입하지 못해 새로운 유형의 위협에 대응하기어려워 진다”면서 “신속확인제도를 적극 활용하고 심의에 통과한 제품을 국가·공공기관에 적극 도입될 수 있도록 도울 계획”이라고 말했다.

판교데이터 센터 화재사고로 인해 실효성 논란이 제기된 ISMS-P(정보보호 및 개인정보 관리체계 인증) 제도에 대해서도 “산업별로 특화하거나 등급을 세분화하는 방식으로 개선해 나갈 예정”이라고 덧붙였다.

인증제도 개선과 함께 정보보호 의무공시 제도 강화도 정보보호산업에 대한 기업 투자를 촉진시켰다는 평가를 받는다. 정보보호 공시제도는 기업의 △정보보호 투자현황 △정보보호 전문인력 현황 △정보보호 인증 현황 △이용자 정보보호 활동내역 등을 소비자에게 공시하는 제도다. 정부는 자율규제로 운영하던 제도를 지난해부터 의무대상 기업을 선정해 적용하고 있다.

정보보호에 대한 투자내역이 투명하게 공개되는 만큼 기업이 보안 사고시 잘못을 추궁당할 가능성이 있어 투자를 늘리는 효과가 있다. 올초 개인정보 유출사고가 터진 LG유플러스의 경우 정보보호 공시 확인 결과 경쟁사 보다 보안 투자와 인력배치가 절반이하로 적었던 것으로 드러나 여론의 뭇매를 맞았다.

업계 관계자는 “정보보호 공시의무 제도 시행이후 기업들이 고객 신뢰를 얻기 위해 보안투자를 확대하는 것이 느껴진다”면서 “올해부터 정보보호 공시를 미흡하게 한 기업에 과태료를 부과하는 등 제재를 강화해 투자확대 기대감이 커지고 있다”고 밝혔다. 이어 “윤석열 정부들어 사이버보안 육성을 공약한데다 AI와 클라우드 확산으로 보안 허점이 더 늘어난 만큼 ‘제로트러스트’와 같은 보안원칙과 육성책을 더 촘촘히 해야한다”고 말했다.

“사이버보안 첫 유니콘은 바로 나”…주목해야 할 스타트업

코로나19(COVID-19) 팬데믹(세계적대유행)으로 높아진 비대면 수요와 AI(인공지능)의 발달로 가속화된 디지털 전환으로 사이버보안의 중요성은 더욱 커지고 있다.

국내에서도 두각을 나타내는 사이버보안 스타트업들이 속속 등장하고 있다. 이들은 경직된 정부 규제로 생존이 쉽지 않은 국내 사이버보안 시장에서 차별화된 기술력으로 성장하고 있다.

◇”MS 앞선 혁신기술로 ‘동형암호’ 국제 표준 만든다”

지난해 7월 210억원 규모의 시리즈A 투자를 유치한 크립토랩은 ‘동형암호’ 원천기술을 보유한 암호기술 스타트업이다. 2017년 ‘암호학의 대가’인 서울대 수리과학부 천정희 교수가 설립했다.

크립토랩의 핵심기술인 동형암호는 암호화된 데이터를 별도로 해석하지 않아도 연산·분석할 수 있는 암호기술이다. 동형암호의 가장 큰 장점은 안전성과 효용성이다. 기존 암호기술로 저장된 데이터를 연산하기 위해서는 먼저 해석을 해야 하는데 이 과정에서 주로 유출 사고가 일어난다.

그러나 동형암호는 별도의 해석을 거치지 않는다. 그러다 보니 유출 위험이 적다. 설상 데이터가 유출됐더라도 암호화된 상태여서 해커가 무슨 의미의 데이터인지 알아보는 건 사실상 불가능하다.

크랩토랩은 동형암호의 단점인 처리 속도도 크게 개선했다. 마이크로소프트(MS)의 동형암호 솔루션보다도 처리 속도가 90배 빠르다. 시장조사기관 가트너는 기술보고서를 통해 MS, IBM 등 글로벌 주요 IT 회사를 제치고 크랩토를 동형암호 표본 판매기업으로 선정했다.

◇AI만 알아보는 비식별화 기술…글로벌 기업 줄섰다

2018년 설립된 딥핑소스는 AI를 통한 영상 데이터 비식별화 솔루션을 제공하는 스타트업이다. AI로 CC(폐쇄회로)TV에 찍힌 영상 속 개인정보는 가리고 데이터로만 수집하는 기술을 갖고 있다.

CCTV 영상이 딥핑소스의 AI 박스를 거치면 육안으로는 알아볼 수 없는 노이즈 화면으로 바뀐다. 대신 AI는 화면 속 객체를 인식하고, 이를 텍스트 정보로 제공한다. 예를 들면 코엑스 한 전시관에서 나온 사람의 성별은 무엇인지 어디를 바라보는지 등의 정보를 제공한다.

딥핑소스의 주요 활용처는 유통기업이다. 고객들의 동선을 파악해 마케팅과 재고 관리에 활용할 수 있도록 하고 있다. 현재 국내 주요 유통기업에 관련 서비스를 제공하고 있으며 최근 일본과 미국 그리고 개인정보에 민감한 유럽에서도 러브콜을 보내고 있다.

딥핑소스의 비즈니스모델(BM)과 기술력에 투자사들도 지갑을 열었다. 2019년 일본 벤처캐피탈(VC) 글로벌브레인과 일본 통신사 KDDI는 공동 조성한 펀드를 통해 55억원 규모의 투자를 진행했고, 지난해 초에는 글로벌 VC로부터 1300만달러(약 164억원) 투자 받았다.

◇ 사물인터넷 시대…개인정보 지키는 ‘자물쇠’ 솔루션

시큐리티플랫폼은 사물인터넷(IoT) 시대 개인정보보호를 위해 반도체와 결합된 보안기술을 가진 스타트업이다. 시큐리티플랫폼이 IoT 보안 솔루션 개발에 본격적으로 나선 건 설립 2년차인 2017년 소프트뱅크벤처스로부터 투자를 유치하면서다.

당시 영국 반도체 설계회사(팹리스) ARM 모회사인 소프트뱅크는 ARM의 차세대 IoT 프로세서와 시너지를 낼 수 있는 기업을 물색했고, 시큐리티플랫폼을 파트너로 선정해 투자했다.

시큐리티플랫폼 기술은 보안 기능을 구현하는데 리눅스 등과 같은 운영체제(OS)를 필요로 하지 않는다 게 특징이다. 최소의 하드웨어로 높은 보안규격을 만족시켜 원가 절감효과를 낸다. ARM은 시큐리티플랫폼의 기술을 기반으로 보안 솔루션이 탑재된 IoT 프로세서를 선보였다.

시큐리티플랫폼은 올해가 스케일업하는 원년이 될 것으로 기대하고 있다. 지난해 10월 보안 솔루션 개발 3년만에 국정원 인증(KCMVP)를 회득한 데 이어 올해 4월에는 미국 국립표준기술연구소(NIST)의 연방정보처리규격인 FIPS 140-2 인증을 완료했다.

시큐리티플랫폼 솔루션의 보안성이 국내외에서 검증된 만큼 에너지, 홈, 국방, CCTV 등 다양한 시장으로의 진입이 가능하다. 올해 상반기 120억원 규모의 계약을 수주할 것으로 기대된다.

◇사이버보안에 인색한 벤처투자 업계 규모 키워야

그러나 이런 몇몇 업체를 제외하곤 사이버보안 스타트업에 대한 VC들의 반응은 냉랭하다. 기술 인증에 필요한 고정비가 큰데다 실제 BM이 작동하기까지 몇년이 걸릴지 알 수 없기 때문이다.

한 VC 관계자는 “보안 서비스를 제공하기 위해서는 실제 보안 기능이나 솔루션이 제대로 동작하는지 공신력 있는 기관에서 검증을 받아야 한다”며 “각 국가별로 인증을 받아야 하는데 이에 들어가는 비용을 무시할 수 없다”고 말했다.

이어 “펀드 운용 기간이 상대적으로 짧은 국내 벤처펀드 특성상 사이버보안 스타트업이 수익을 낼 때까지 끈기 있게 기다려줄 VC들은 많지 않을 것”이라고 덧붙였다.

일각에서는 사이버보안 투자 활성화를 위해서는 밑거름이 되는 정책펀드가 필요하다는 목소리가 나온다. 한국인터넷진흥원(KISA)은 지난해 ‘사이버보안 투자활성화를 위한 펀드 조성 방안 마련 연구’ 결과 사이버보안 정책펀드 조성이 필요하다는 결론 내렸다.

KISA 관계자는 “내년까지 사이버보안 펀드 조성을 위한 방안을 마련할 계획”이라고 말했다.

[머니투데이 스타트업 미디어 플랫폼 ‘
유니콘팩토리
‘]

• “차라리 상폐시키고 美 가자”…한국선 돈 없어서 기술 개발 못해요
• ETRI, 미래 모빌리티 산업에 활용 가능한 유망 기술 382개 공개
• 위치추적 태그가 스토킹에 악용…애플·구글, 결국 해법 찾기로
• 카카오뱅크, 1분기 순익 1019억…대출 몰리면서 ‘최대’ 순익
• 카카오페이, 순손실 24억원…신원근 “시버트로 금융 경쟁력 키우겠다”