매년 기억하기도 어려울 정도로 많은 정보보안 관련 행사들이 열리고 있다. 이 행사들에는 여러 보안업체들이 참여해 자사의 제품들을 홍보하기에 여념이 없다. 하지만 행사에 참석했던 기업 또는 기관의 보안담당자들로부터 공통적으로 나오는 의견이 있다. 수년간 매년 반복해서 되풀이되고 있는 그 의견들.
"볼 것이 없다", "작년과 차이가 없다".
개인으로서도 그리고 30년 가까이 IT와 보안분야에서 근무해 온 사람으로서도 이러한 의견들에 십분 공감한다. 올해의 보안 관련 행사가 작년과 차이가 없다시피 하고, 작년의 행사는 재작년과 별 차이가 없는 상태에서 개최됐었다. 벌써 몇 년째 같은 현상이 되풀이되고 있고, 같은 불만과 푸념들이 반복되고 있는 것이다.
이러한 상황이 정확히 언제부터 시작되었는지는 분명하게 기억나지는 않는다. 그럼에도 분명한 건 하나 있다. 행사에 참석한 사람들의 관심을 끌만한 새로운 보안기술이나 새로운 보안제품이 시장에 나타나지 않고 있다는 것, 보안시장이 나아가지 못하고 정체되었다는 것, 그리고 정보보안 기업들이 새로운 기술 개발, 새로운 제품 개발에 소극적이라는 것이다. 대부분 기존의 기술, 기존의 제품들을 살짝 모습만 바꾼 채 행사에 참여하고 있으며, 이러한 현실이 매서운 눈을 가진 보안전문가들에 의해 간파되고 있다.
오랫동안 함께 악성코드와 해킹이라는 외부의 위협에 맞서 싸우는 역할을 해온 보안업체들이 주요 고객인 기업/기관의 보안담당자들에게 외면받고 냉대받는 현실. 대체 왜 이렇게 되었을까를 고민해 보다 원인으로 짐작되는 두 가지 이유를 추려보았다.
첫째, 기술 중심에서 이익 중심으로
누가 봐도 작금 보안업체들의 운영 추세는 명확하다. 자본과 이익 위주의 경영. 오직 이익 극대화를 위해서 조직이 운영된다.
보안업체들의 시작은 달랐다. 기술을 중시하는 연구소 중심의 조직체계로 운영되었기 때문이다. 머리 좋고 뛰어난실력을 가진 많은 고급 인재들이 연구소에서 근무하며 다양한 기술들을 연구하고 시도하고 탐구하였으며, 그 과정에서 도출된 결과물들이 보안제품이라는 이름을 달고 시장에 출시되었다.보안업체들은 뛰어난 인재의 영입에 적극적이었고 항상 인재들로 넘쳐났었다.
지금의 현실은 전혀 다르다. 그 뛰어났던 인재들은 모두 뛰쳐나가거나 권력싸움에 밖으로 내몰려 다른 직장에 자리를 잡았고, 그들의 빈자리는 인건비 절감이란 명분하에 상대적으로 낮은 연봉의 인력들로 대체되었다. 새로 온 사람들은 기존의 기술과 제품에 대해 습득하고 유지하는 것만으로도 힘들고 벅찰 것이므로 새로운 기술의 연구나 신제품 개발은 어렵다.
이는 현재 우리 산업 전반에 걸쳐 나타나고 있는 현상으로 비단 보안업계에만 적용되는 현실은 아니다. 언제부터인지 아이들이 과학자(혹은 연구자, 기술자)를 미래의 직업으로 꿈꾸지 않게 된 우리네 현실과도 관련이 있다. 너도나도 돈과 이익만 추구하며, 뛰어난 인재들이 돈이 되지 않는 순수학문이나 과학자, 연구자는 꺼려하게 된 현실말이다.
오로지 이익만 좇아서 기업의 대표이사를 영업출신으로 임명하고, 그렇게 임명된 대표이사가 본인의 성과 창출을 위해 연구와 기술개발에 대한 투자를 줄이고 영업조직 확충과 영업망 확장에만 집중하는 현실. 그러한 현실이 장기간 누적된 결과가 지금의 보안시장이다.
둘째, 현재의 작은 이익에 대한 미련
현재 국내 보안시장은 대체로 포화상태에 이르렀다고 해도 과언이 아니다. 쉽게 말해서 기업/기관들이 추가 보안제품을 구매할 여력이 별로 없다는 뜻이다. 따라서 제품구매로까지 이어지기 위해서는 보안조직이 혹할만한 무언가를 제공할 수 있어야 한다. 뛰어난 신기술로 무장한 획기적인 신제품이거나 보안조직이 간절히 원하는 요구사항을 만족시켜 주거나.
하지만 위에서도 얘기했듯 획기적인 신제품을 기대하기는 어렵다. 해외 보안업체의 신제품 중에서 관심을 끄는 기술들이 있어 구매로 이어지는 경우는 간혹 있다. 하지만 정보보안 관련 법에 의해 반강제적으로 형성된 국내시장의 특성상 법적 필수요건이 아닌 제품의 경우 꼭 필요한 기업이 아니라면 보안조직이 도입을 검토하기는 쉽지 않다.
그래서 보안조직이 원하는 요구사항을 만족시키는 제품의 개발이 필요하다. 예를 들면 단말기 보안을 책임지는 슈퍼앱 같은 제품말이다.
현재 기업의 단말기에는 여러 개의 보안제품들이 설치되어 함께 동작하고 있다. 각 보안제품마다 별도의 중앙서버도 있고, 제품을 운영하기 위한 담당자도 각각 배정되어 있다. PC 한 대에도 여러 제품이 설치되다 보니 자원을 많이 소모한다는 임직원들의 불평불만도 끊임없이 나오며, 제품이 많은 만큼 운영과정에서의 관리하고 처리해야 할 문제도 많다.그래서 보안조직들은 차라리 여러 제품의 기능을 하나로 통합한 보안제품이 나와주기를 기대한다. 하나의 제품으로 통합된다면 그만큼 운영에 있어 유리하기 때문이다.
문제는 이런 제품의 개발이 기존 보안업체에게는 제 살 깎아먹기로 비친다는 점이다. 새로운 제품을 추가로 판매하는 것이 아니라 자사의 기존 제품을 슈퍼앱으로 대체하는 것이기 때문이다. 또한 한 개의 제품이 아닌 여러 보안제품의 기능을 하나로 통합해야 하므로 만약 보유하고 있지 않은 보안기술이 있다면 인재 영입등을 통해서 추가로 확보해야만 한다. 따라서 상당한 추가 투자가 이루어져야 할 수 있으므로 개발에 소극적이다.
그러나 현실은 냉정하다. 기존 보안업체들이 차일피일 소극적으로 개발을 미루는 동안 시장의 요구사항을 재빨리 파악한 새로운 경쟁자들이 슈퍼앱을 개발해서 시장에 출시하기 시작했기 때문이다. 자칫 현재의 작은 이익에 연연하다 아예 관련 시장을 통째로 빼앗길 수도 있다. 시장이 원하고 필요하다면 과감히 제 살도 깎아야 한다. 그런 각오가 있어야 미래 시장에서 생존할 수 있다.
