[인터뷰] 한국정보보호산업협회(KISIA) 박동훈 회장
▲ 한국정보보호산업협회의 박동훈 회장
한국정보보호산업협회(KISIA)가 올해로 창립한 지 10년 째를 맞는다. KISIA의 지난 9년은 곧 국내 정보보호산업의 역사라 해도 크게 틀리지 않는다. 그런만큼 올 초 KISIA의 제 9대 신임 협회장 직에 오른 박동훈 회장은 10년이라는 정점을 찍고 새로운 이정표를 제시해야 하는 역할과 임무가 막중하다.
박 회장은 "협회장의 임기가 2년인데 9대 회장이 됐다. 2년 임기를 못 채우고 사임한 협회장들이 많았다는 것은, 결국 국내 정보보호 산업 자체가 경기 굴곡이 심하다는 것을 의미한다"며 "협회장은 봉사직이라는 생각으로 국내 보안업체들이 경쟁력을 갖춰 해외진출을 도모할 수 있는 방안을 마련하고, 앞으로 정보보호산업이 국민소득 4만불 시대를 이끌어 내는데 주춧돌 역할을 할 수 있도록 힘쓸 것"이라고 밝혔다.
특히, 국내 보안업계 유지보수 기준 마련 및 성공적인 해외진출이 어려운 이유는 대부분 보안업체들의 규모가 작기 때문이라며 500억 이상의 매출 규모를 지닌 안철수연구소 정도의 업체들이 10개 이상 있어야 고객들에게도 국내 보안업체들이 제대로 된 목소리를 낼 수 있고 업계 위상이 정립될 것이라고 말했다. 이에 올해 정보보호 업체들 간 M&A를 활성화 할 수 있도록 국내 M&A 전용펀드나 중소기업청의 씨드머니 지원 확대 등을 적극 추진한다는 방침이다.
다음은 KISIA 박동훈 회장과의 일문일답.
- 국내 정보보호 산업 육성을 위한 계획은.
협회는 올해를 기점으로 지식경제부 산하로 이관됐고, 국내 보안업체들의 해외 진출, 유지보수 등의 문제 해결 방안을 담은 '정보보호 육성 전략 리포트'가 이제 지경부로 올라간다.
정권 교체 및 정부의 조직개편으로 협회의 유관기관이 바뀌고 인사이동이 되면서, 누구랑 얘기 할지도 기다려야 하는 등 당장 협회장으로서 목표 실현을 하는데 한계가 있어 개인적으로 아쉬운 부분이 많다. 일단 올해는 지난해 확정된 국가 예산을 가지고 정보보호 산업에 대한 지원이 이뤄질 것이라 본다. 당장 예산확보를 위한 노력을 한다 해도 내년 예산에 반영될까 말까한 상황이다. 정부 및 중앙부처의 IT산업에 대한 시각이 바뀌고 있는 게 사실이다.
KISIA는 정보보호산업을 단순히 자금을 지원해줘야 하는 산업이 아닌, 미래 핵심 동력 사업으로 인지하고 전략인 투자를 할 수 있도록 하는 것을 최대 목표로 잡고 있다. 올해 10주년이란 것을 최대한 활용한 홍보 활동 등을 통해 정보보호에 대한 투자 및 인식 제고에 집중할 계획이다.
- 현재 국내 보안 업체들의 가장 큰 고민은 무엇인가.
크게 CC인증, 보안적합성 검증필 등 보안성 심의의 적체 현상과 제대로 된 대가를 받지 못하고 있는 유지보수 서비스 제공에 대한 고민을 꼽을 수 있다.
인증평가의 적체 현상은 보안 업체들 입장에서 사업을 하는데 엄청난 손해일 수밖에 없다. 인증제도가 완화, 개선되고 있지만 이 역시도 늦었다고 생각하는 업체들이 많은 게 사실이다. 또 일반 SW 제품의 유지보수가 업그레이드, 패치 서비스에 불과한 것과 달리 보안제품은 신규 취약점에 대한 지속적이고 즉각적인 서비스가 요구됨에도 불구하고 충분한 대가를 받기 힘들다.
미국, 일본 등 외국시장의 유지보수 계약 기준이 권장소비자가의 15%~25%인데 반해 국내 보안 업체들은 최종 공급가의 8%~15%밖에 받지 못하고 실정이다. 유지보수 비용은 최소한 공급 계약가의 30%수준은 되어야 한다. 정보보호에 대한 투자 및 제품은 '사다 그냥 사용하는 게 아니라, 언제 무슨 일이 발생하면 즉각적인 서비스가 필요한 분야'라는 인식이 강화되어야만 한다. 사후 취약점 해결을 위한 서비스 대가를 충분히 받을 수 있는 기준이 마련되어야 할 것이다.
- 위의 고민을 해결하기 위한 구체적인 방안이 있다면.
국내 보안업계 정례화 된 유지보수 정책이 없고 해외사업에 성공한 보안업체들을 찾아보기 힘든 가장 큰 이유는 국내 보안업체의 규모가 너무 작기 때문이다. 안철수연구소 정도로 500억 이상의 매출 규모를 지닌 업체가 10개 이상은 늘어나야 시장과 고객들에게도 국내 보안업체들이 제대로 된 목소리를 낼 수 있을 것으로 본다.
하지만 규모를 키우기 위해 업체 스스로의 한계가 존재하기 때문에 정보보호 업체들 간 M&A를 활성화 할 수 있도록 국내 M&A 전용펀드나 중소기업청의 씨드머니 지원 확대를 적극 추진하고 있다.
투자 회수가 확실히 이뤄진다면 업종의 장벽 없이 활발한 투자 유치가 가능하지만, 정보보호는 업계 특성상 리스크가 동반되는 산업이라 창업투자사를 포함한 벤처그룹들이 투자의 매력을 느끼지 못하고 있다. M&A 전용펀드는 단순한 지원이 아닌, 일정 지분을 금융기관이 가지면서 들어가는 형태라 투자 유치가 훨씬 수월해 질 수 있다. 이 같은 자금 유치로 국내 보안업체들이 경쟁력을 갖춰 해외 진출 역시 도모할 수 있을 것으로 본다.
- CCRA 가입 이후, 그 효과는.
국내 보안 시장 규모가 작기 때문에 궁극적으로 보안업체들이 해외 시장에 진출하는 것을 목표로 우리나라는 2005년 6월 국제상호인정협정(CCRA:Common Criteria Recognition Arrangement)에 가입했다. 하지만 산업계 입장에서 아직 이렇다 할 해외 진출 성공 사례는 없는 것으로 알고 있다.
해외 사업은 단기간 내에 성과를 기대하기 힘든 롱텀 비즈니스다. 1년 단위로 주주총회를 열어 투자 효과를 검증받아야 하는 대부분의 국내 보안업체들은 실제 롱텀보다 숏텀 비즈니스에 주력해 왔다.
보안 제품군에 따라 해외 사업을 위한 경쟁력을 갖춘 데도 있고 아직 그렇지 못한데도 있다고 본다. 하지만 FTA 협정이 체결되고 CCRA에 가입한 상황에서 온실 속에서 안주하며 우리의 잔치로 끝나는 것을 발주처에서도 원하지 않을 것이다.
국내외 보안업체 간 가장 큰 차이는 서비스 매커니즘이다. 국내 보안업체들이 커스터마이징, 기술지원 체제 등에 대한 연구와 품질 관리, 가격 경쟁력 등의 끊임없는 차별화를 모색해 외산업체들과의 경쟁에서 살아남을 수 있기를 바란다.
김정은 기자
jekim@itdaily.kr