정보보호 산업은 차세대 유망산업이다. 인터넷이 발전할수록 이를 보호할 정보보호 제품의 수요는 늘어난다. 또 보안산업의 부가가치는 어느 제조산업보다 높다. 더구나 IT경쟁력이 국가경쟁력으로 직결되는 정보보호산업은 정보화사회의 마지막을 지키는, 결코 남에게 넘길 수 없는 열쇠산업이기도 하다. 각 나라마다 정보보호산업을 육성하고, 세계 유수의 IT업계 거인들이 정보보호산업에 눈독을 들이는 이유다.
국내 상황도 마찬가지다. 벤처 거품이 완전히 사라진 지금도 안철수연구소로 대표되는 국내 정보보호기업들은 벤처의 명맥을 유일하게 이어가고 있다. 물론 정부의 강력한 지원정책이 뒷받침됐기 때문이다. 그동안 우리나라는 국정원에서 보안제품에 관해 공공 및 금융 시장에서 K4 등 정부 인증 제도를 운용하고 있다. 이 제도는 지적재산권인 소스코드의 공개가 조건이기 때문에 이를 꺼리는 외국 업체에는 한국시장에 진입하는 최대의 장애물이 돼 왔다.
그러나 최근 국가정보원은 국가간 보안제품에 대한 인증을 상호 인정하는 ‘국제공통평가기준상호인정협정(CCRA)’ 가입을 신청했다. CCRA에 가입하면 외국 보안업체들이 현지에서 받은 국제공통평가기준(CC)인증이 그대로 국내에서 통용된다. 이는 국내 보안시장이 전면 개방된다는 의미다. 일반적으로 CCRA 가입 신청부터 가입까지 1년 6개월 정도 걸린다고 추산하면 오는 2006년 초부터 국내 보안시장에서는 지금까지와는 비교할 수 없을 정도로 국내업체와 외국업체 간 사투가 불가피할 것으로 보인다. 시장 개방은 해외 제품이 국내 시장에 자유롭게 들어올 수 있다는 의미도 있지만 반대로 국내 보안제품이 자유롭게 수출될 수 있다는 순기능도 있다. 2∼3년 후에도 지금과 같이 한국을 대표하는 정보보호기업들이 존재하려면 지금부터 남은 1년 6개월 동안 우리가 무엇을 어떻게 해야 할 것인가가 관건일 수밖에 없다.
하지만 현재 국내 상황은 이와는 정반대다. 우선 국가적인 보안 인프라 강화와 보안산업 육성이라는 두 마리 토끼를 잡을 수 있는 각종 정책이 난항을 겪고 있다. 정보보호안전진단 등 인터넷 대란 이후 정부가 추진해온 각종 보안강화정책은 해당 기업들의 이해관계가 얽혀 축소, 시행되고 있다. 지난해 야심차게 추진됐던 공공기관 정보보호수준제고 사업은 아예 슬그머니 자취를 감추고 말았다.
국내 정보보호기업 역시 열악하기 짝이 없다. 외국의 경우 업체 간 활발한 인수합병으로 이른바 규모의 경제를 이끌어내고 있지만 국내 기업은 인수할 업체도, 인수하고자 하는 업체도 찾아보기 어렵다. 더욱이 일류상품 개발을 위해 필수적인 투자비용 마련은 시장의 출혈경쟁으로 인해 엄두조차 내지 못하고 있다. 따라서 시장개방은 국내 정보보호업체의 몰락이라는 최악의 시나리오로 막을 내릴 수 있다.
2, 3년 후의 모습을 예상할 수 있다면 이에 대비해야 함은 마땅하다. 우선 타 산업과 마찬가지로 알곡과 쭉정이를 가르는 일이다. 아직도 보안을 간판으로 내건 기업이 100개가 넘는다. 도태될 기업은 빨리 도태돼야 한다. 정부의 보안 인프라 강화정책이 수요를 낳고 이 수요가 제대로 된 기업에, 제대로 된 가격으로 돌아간다면 한국 보안산업 발전을 위한 첫 단추는 채워질 수 있다.
또 수요처인 기업들 스스로 정보보호에 대한 투자가 생산성 향상을 위한 관건이라는 인식 하에 IT인프라 구축 시 정보보호를 기본적으로 고려하는 분위기 조성이 무엇보다 중요하다. 정보보호기업들 스스로도 현재와 같은 저가 출혈경쟁에서 탈피해 기술경쟁력으로 승부를 걸어야 한다.
이제 1년 6개월 후 내로라하는 외국 보안업체들은 미개척지인 한국 시장을 대대적으로 공략해올 것이 분명하다. 정보보호산업마저 외국 기업에 넘어가면 우리의 IT산업의 미래는 없다.
◆양승욱 컴퓨터산업부장@전자신문, swyang@