[방은주의 보안산책] 아쉬운 정보보호산업 백서
미국 작가 마크 트윈은 촌철살인 언어로 유명합니다. 우리에겐 '톰 소녀의 모험' 이란 책으로 잘 알려져 있죠. 그가 남긴 의미심장한 명언 중에 '3대 거짓말'이 있습니다. 'Lies, dammed lies, and statistics.' 우리말로 하면 '거짓말, 새빨간 거짓말, 통계'가 되겠죠. 트윈은 통계를 왜 거짓말이라고 했을까요. 현실을 적확히 반영하지 못한 통계는 사실(팩트)을 왜곡할 수 있기 때문이죠. 1년도 넘었는데요, 당시 모 통계청장이 국가 통계 조작으로 검찰에서 조사를 받았는데 통계로 팩트를, 사실을 호도했기 때문이죠. '측정하지 못하면 관리할 수 없다'는 말이 있습니다. 작고한 유명 경영학자 피터 드러커가 남긴 말로, 통계와 데이터의 중요성을 시사합니다. 적확하게 조사한 통계(데이터)는 현재를 보여주는 창이자 미래를 여는 열쇠 역할을 합니다. 국내 정보보산업 통계는 어떨까요? 정부(과기정통부)는 매년 정보보호(보안)산업 실태 조사를 공표합니다. 물리보안과 SW보안의 산업 현황을 담은 백서지요. 과기정통부가 발주하고 실제 보고서 작성 작업은 협회(한국정보보호산업협회)가 합니다. 가장 최근 자표는 작년 10월말 과기정통부가 발표한 '2024년 정보보호산업 실태조사'입니다. 제목은 '2024년' 이지만 실상은 '2023년 현황'을 담은 자료입니다. 그러니 보고서 제목은 '2024년 정보보호산업 실태조사가' 보다 '2023년 기준 정보보호산업 실태 조사'가 더 맞습니다. 백서가 흔히 그렇듯 '2024년 정보보호산업 실태조사'도 산업 특성과 기업 매출 현황, 수출현황, 인력, 고용현황, 기술개발 현황 등을 담았습니다. 뭘 하든 정의가 중요하죠. 백서에 따르면, 정보보호산업의 정의는 정보보호제품을 개발, 생산 또는 유통하거나 정보보호에 관한 컨설팅, 보안관제 등 서비스를 수행하는 산업으로 돼있습니다. 기술 적용영역과 제품 특성에 따라 정보보안, 물리보안, 융합보안 등 크게 3가지로 분류했습니다. 백서는 왜 필요할까요. 산업 현황을 한눈에 파악해 발전에 필요한 정책을 만드는데 기초 자료로 삼기위해서입니다. 백서의 숫자(데이터)는 당연히 현황을 적확히 반영해야 하고요. '2024 국내 정보보호산업 실태조사'는 어떨까요. 최근 백서를 읽으면서 협회 사람들이 만드느라 고생을 많이 했을거라는 생각과 함께 아쉬운 부분도 있었습니다. 디테일, 세부사항이 좀 더 담겼으면 좋았을 거라는 생각이 들었습니다. 보안산업을 정리한다는 의미에서 백서에 나와 있는 산업 전반에 대한 데이터와 다소 아쉬운 부분을 짚어봤습니다. 물리보안은 제외하고 소프트웨어 보안(정보보안) 부분만 다뤘습니다. 정보보호산업 실태조사 발표 시기 너무 늦어 먼저 가장 아쉬운게 백서 발표 시기였습니다. 너무 늦습니다. 실제는 2023년 기준 산업 현황인데 '2024년 정보보호산업 실태 조사'라는 이름으로 실제 기준보다 10월개월 정도 늦게 발표됩니다. 하루가 멀다하고 신기술이 쏟아지는 때에 10개월 간격은 크다는 생각입니다. 상장사들의 연간 실적 발표가 매년 1분기 안에 다 뤄진다는 걸 감안하면 최소 상반기에는 발표했으면 합니다. 국내 정보보안 SW기업 총 814곳...대기업 79곳·중견 364곳·소기업 371곳 백서(실태조사)에 따르면, 국내 정보보안 SW기업은 총 814곳입니다. 이들의 총 매출액은 6조1454억7900만원입니다. 소재지를 보면 814곳 중 서울에 578개(71%)가 있고 경기 125개(15.4%), 대전 23개(2.8%), 부산 22개(2.7%), 대구 12개(1.5%) 순으로 많습니다. 제주에는 가장 적은 1곳(0.1%)이 있습니다. 지역 격차 해소는 우리나라의 오랜 숙제죠. 보안 분야에서도 이 아킬레스건이 드러난 것 같아 씁슬했습니다. 기업 규모별로 보면 전체(814개) 정보보안 기업 중 대기업(매출 800억 초과)이 79개(9.7%), 중기업(매출 800억~50억)이 364개(44.7%), 소기업(매출 50억 미만)이 371개(45.6%) 입니다. 정보보안 분야는 매출 800억을 초과하면 대기업에 속합니다. 중견과 소기업 육성을 위해 데이터를 좀 더 세분화했으면 하는 생각이 들었습니다. 참, 각주에서 소기업을 50억 이하라고 표기했는데 50억 이하가 아닌 50 미만이 맞을 듯 합니다. 814개 정보보안 기업 중 상장사는 코스닥 63개, 거래소 20개, 코넥스 1개 등 총 84곳입니다. 약 10%인데, 다른 나라 상황이 없어 아쉬웠습니다. 올해엔 미국, 유럽, 일본, 이스라엘 같은 다른 나라 데이터도 들어갔으면 좋겠습니다. 업력 24년 이상 기업 122곳...글로벌 기업 탄생은 여전히 숙제 국내 대표 보안기업인 안랩이 오는 3월 설립 30주년을 맞습니다. 국내 보안산업도 역사가 꽤 되는 셈이죠. 전체 814개 보안SW기업 중 2000년 이전에 설립 한 곳은 122개(15%)입니다. 업력이 최소 24년 이상인 보안 SW기업이 122곳인데, 여전히 우리나라에는 글로벌 보안SW기업이 없네요. 왜 그럴까요? 설립 자본별로 분류하면, 814개 정보보안 기업 중 578곳(71%)이 10억 미만이였습니다. 100억 이상은 55곳(6.8%), 50억~100억 미만은 35곳, 50억 미만~10억은 146곳이였습니다. 자본금은 회사의 지속가능성 등을 판별하는 중요한 지표 중 하나입니다. 건강한 생태계를 위해 10억 미만 기업들을 더 세분화해 5억 초과~10억 구간, 5억~3억 초과, 3억~1억 초과, 1억 미만으로 분류하면 어떨까 하는 생각을 해봤습니다. 종사자 수도 마찬가지입니다. 20인 미만 기업이 341곳(41.9%)인데, 20인~10인 초과, 10인~5인 초과, 5인 미만으로 더 상세히 할 필요가 있습니다. 시장을 혼탁하게 하는 걸 막으려면 더 세분화해야 합니다. 814개 보안SW기업 총 매출 6조1454억 7900억...국내 명목GDP의 0.002% 수준 814개 정보보안 분야 기업의 총 매출은 6조1454억7900만원입니다. 2013년 기준, 처음으로 6조원대에 진입했죠. 전년(2022)보다 9.4% 늘어난 규모구요. 2023년 우리나라 명목 GDP는 2236조 원입니다. 명목GDP의 0.002% 수준이네요. 남과 비교 하면 실체가 명확해지죠. 다른 선진 G10 국가는 어떤지 모르겠네요. 올해 나올 백서에는 이 부분이 들어갔으면 좋겠습니다. 최근 몇 년간 국내 정보보안 규모 성장세는 놀랍습니다. 최근 몇년간 매년 6천억~9천억이나 늘었습니다. 즉, 2020년 3920억 규모에서 2021년 4540억으로 4천억대를 찍었고, 이어 2022년에도 5610억으로 5000억대를, 또 2023년에는 6천억대를 기록했습니다. 이 추세라면 올해 나올 '2024 기준 규모'는 6조5천억이 넘을 듯 합니다. 제품 종류별 매출을 보면, 네트워크보안 솔루션이 1조8030억으로 압도적으로 많습니다. 보안컨설팅 부문은 5952억입니다. 수출액 1477억5700만원...중동과 동남아 현황 없어 아쉬워 국내 정보보안 기업들의 수출액은 얼마일까요. 2023년 기준 1477억5700만원입니다. 전년보다 4.8% 감소했습니다. 최근 몇년간 증가세였는데 2023년에만 마이너스 성장을 했네요. 지역별로 보면 일본이 49.7%로 거의 절반을 차지했습니다. 이어 중국(8.5%), 유럽(8.5%), 미국(5.5%), 기타(27.7%) 순입니다. 아쉽게 요즘 핫한 중동과 동남아는 수치가 없습니다. 역시 올해 나오는 '2025년 버전'에는 중동과 동남아가 들어갔으면 합니다. 보안SW 인력 2만3947명...경력별로 보면 4년 이상~7년 미만이 가장 많아 국내 정보보안 인력 수는 2023년 기준 2만3947명입니다. 경력별로 보면 4년 이상~7년 미만(6249)이 가장 많습니다. 또 7년 이상~11년 미만(5060명)도 5000명이 넘습니다. 15년 이상은 약 10%(2370명), 4년 미만이 28%(7300명)입니다. 공공기관이 정보화 사업을 시행하면서 기업에 인건비를 줄때는 직무별 초급, 중급, 고급, 특급으로 구분해 줍니다. 백서의 정보보안 인력 구분도 이와 부합해야 할 듯 합니다. 신규 채용 현황을 보면 2023년 기준 총 7247명인데 이 중 신입이 3986명(55.0%), 경력이 3261명(45.0%)으로 신입 채용이 더 많았습니다. 기술개발 및 동향...평균 연구개발비 7억6200만원 정보보호산업은 일반SW와는 다른 특징이 있습니다. 백서 지적처럼, 진화하는 보안위협에 대응하려면 일반SW보다 더 지속적인 연구개발(R&D)이 필요합니다. 특히 보안위협 대응과 우수한 제품 개발을 위해서는 암호·인증·인식·감시 등의 보안 분야 학문 외에 인문학·공학 등 다학제적인 연구 및 인재가 요청됩니다. 백서에 따르면 연구개발 전담부서를 운영하고 있는 곳은 의외로 직원 20인 미만 기업(44곳)이 가장 많았습니다. 반면 직원 100인~200인 미만 기업은 연구개발 전담부서를 운영하고 있는 곳이 겨우 4곳에 그쳤습니다. R&D는 좋은 제품을 내놓기 위한 필수입니다. 더 분발이 필요해 보였습니다. 연구개발 투자액 평균액은 7억6200만원으로 조사됐습니다. 기술개발 애로사항은 인력 확보 및 유지(76%)와 자금 조달(74%)이 압도적으로 높았습니다. 이 부분은 다른 산업도 그렇습니다. 또 정보보호 시장 확대를 위한 정부지원 사항으로는 자금지원 과 세제 혜택이 각각 65.4%, 80.7%로 가장 높았습니다. 특이한 건, 정보보안 시장의 경쟁 및 산업 동향입니다. 국내 기술력이 외국보다 낮다고 동의한 점수가 비교적 낮은 2.62점(만점 5점)이였습니다. 반면 가격 경쟁이 치열하다고 답한 응답은 3.59점(5점 만점) 이였습니다. 가격 경쟁이 치열하다는 거죠. 치열한 가격 경쟁은 수주 경쟁이 기술 싸움이 아니라 저가 싸움으로 자칫 변질될 수 있다는 점에서 업계와 발주자, 정부 모두 보안SW시장이 기술력으로 승부하는 시장이 되도록 노력해야 함을 말해줍니다.
