올해 원전 등 주요 산업시설에 적용하는 산업 자동화 제어시스템을 공격해 피해를 주는 악성코드 스턱스넷의 등장으로 사이버공격이 국가 기간망은 물론이고 사회 전반을 마비시킬 수 있다는 시나리오가 현실성을 갖게 됐다.
이처럼 사이버위협이 국가차원으로 확대되고 있지만, 이에 대비해 인프라 구축과 솔루션 개발을 담당하는 보안산업은 정부의 무관심한 정책과 사회적 인식 부족으로 성장에 발목이 잡힌 상태다.
주요 공공기관에 대한 중국발 악성코드 출현 등 사이버공격이 끊이지 않고, 개인정보유출 사고도 급증하는 상황에서 정부는 오히려 새해 정보보호 예산을 무려 24.7%나 삭감한 2035 억 원을 배정했다.
지식정보보안협회(KISIA) 조사에 따르면, 2009년도 기준 국내 131개 정보보호기업의 전체 매출액 8027억원 중 정부 및 공공기관이 차지하는 매출은 2361억원으로 29.3%에 달했다. 공공 부문 매출 의존도가 높은 보안 업계의 경우 그 여파가 클 수밖에 없다.
정부 및 공공기관에 이어 대기업 1657억원(20.5%), 금융기관 1633억원(20.2%)을 차지해 전반적으로 공공기관과 대기업 의존도가 매우 높다. 이 중 수출액은 440억원에 그쳐, 국내 보안 산업은 내수 시장에 머물고 있다.
전문가들은 정부는 정보보호예산을 늘려 관련 기업들의 기술개발과 해외진출을 체계적으로 지원하고, 대기업을 비롯한 사회 전반에서 정보보호에 대한 활발한 투자를 하는 인식 전환이 필요하다고 지적한다.
정부의 정책적인 지원과 사회적 인식 전환도 필요하지만, 상당수 보안 업체들이 공공분야 매출에 지나치게 기댄 탓에 내부 경쟁력 강화를 위한 노력을 게을리한 점도 있다. 국내 대표 보안 기업이 안철수연구소보다 늦게 설립된 러시아 보안업체 카스퍼스키랩은 꾸준한 기술력 향상과 해외진출 노력으로 현재 5500억원의 매출을 기록하는 글로벌 빅4의 반열에 오른 반면에 안철수연구소는 여전히 매출 1000억원의 문턱을 넘지 못했다.
세계 시장에서도 뒤처지지 않는 기술력을 갖추려면 뛰어난 기술을 개발한 우수한 인재 확보가 필수다. 그러나 2009년 기준 기술개발 투자액은 평균 9억8000만원으로 매출 대비 12.9%에 그쳤고, 연구개발 전담부서를 운영하는 기업은 14.9%인 19개에 불과했다.
임종인 고려대 교수는 “스턱스넷 등장으로 산업시설 마비가 현실화되면서 해외 선진국들은 국가차원에서 보안 산업 강화에 나서고 있다”면서 “우리 정부도 정보보호산업 육성정책을 마련하고 정보보호의 필요성을 사회 전반에 인식시켜야 한다”고 말했다.
이경원기자 won@etnews.co.kr