정보보안 산업의 현실과 문제 그리고 방향에 대해 정리
국내 정보 보안 산업의 현실. #2
지난 편에 이어서 두 번째 리얼한 실상이다.
지난 편에서는 전체적인 상황을 살펴보았고, 이번 편에서는 어떤 차이와 문제를 가지고 있는지 살펴보자.
먼저 2023년 기준 정보 보안 기업의 수는 814개. 세계 기업은 1만 개가량. 비율상 한국의 기업은 7.5%가량을 차지한다.
또한 매출액은 6조 1454억. 세계 사이버 보안 시장은 330조. 비율 상 1.85%가량이었다.
인력 비율은 23947명. R/D 인력 28.8% 엔지니어 37.7%, 관제/컨설팅 18.7% , 영업/기타 12.2% , 관리자 2.5% 로 구성 되어 있다.
기업에서도 기본 여력의 기준 이랄 수 있는 중견 기업 매출액 800억 이상은 10여 개 사 미만이며, 전체 매출의 40%가량을 공공에 의존하는 구조라는 것을 살펴보았다.
기형적으로 많은 기업의 수와 인터넷 인프라와 경제 규모에 맞지 않게 너무나도 적은 시장 규모를 가지고 있고, 더더욱 매출의 40%가량을 공공에 의존하는 기형적인 구조를 국내 정보 보안 산업이 가지고 있음을 알 수 있었다.
단적으로 비교할 수는 없겠지만 간단한 비교를 해보자.
세계 1위 업체라고 할 수 있는 Palo Alto Networks의 경우를 보면 전체 직원은 15286명가량. 이중 연구 인력으로 분류할 수 있는 인원만 5800여 명가량이다. 심지어 이스라엘의 연구소에만 천여 명의 연구인력을 보유하고 있다.
24년 매출액. $80.28억 (한화 11조) 올해 1분기 매출액 $22.89억 (한화 3조 1150억)
차마 주가시장에 등록된 시가총액은 말도 하기 어렵다. 올해 6월 기준으로 약 192조 가량이 시가총액이다.
한 기업의 매출액이 세계 10위권 경제력을 지닌 한국 정보 보안 산업 규모의 두 배에 해당한다.
또한 한 기업의 R/D 인력 전체가 인력의 질을 따지지 않더라도 국가 전체의 R/D 인력의 수치와 비슷하다. 인력의 질을 비교한다면 단순한 수치로 비교하는 것이 무의미한 상태이다. 최소한 한국 내 R/D 인력의 전체의 퀄리티에 비해 수십/ 수백 배 높은 상태라는 것은 부정할 수 없을 것이다. 비율 상으로도 전 세계적으로 세일즈와 기술 지원을 하는 기업이라는 점을 감안하면 R/D 인력의 구성 비율은 따질 필요도 없이 현격히 높은 수준이라 할 것이다.
Palo alto 이외에도 Crowd Strike나 Fortinet과 같은 상위 기업들의 경우 현재 우리가 목도하고 있듯이 강력한 기술 기반의 드라이빙을 통해 세계 시장을 대상으로 선도를 하고 있다.
즉 새로운 기술 트렌드와 방향성을 제시하고 있으며, 이 과정에서 수많은 M&A를 병행함으로써 규모와 기술의 확장을 계속하고 있다. 즉 기술적인 경쟁과 영역의 확장을 위해 새로운 기술 분야에 대해 빠르게 접근하고 신속한 결정을 통해 새로운 트렌드를 주도하는 형태가 기본인 상태이다.
반면 한국의 정보 보안 산업의 상태를 보면 기술 주도라는 형태와는 매우 동떨어져 있다. 새로운 기술에 대한 트렌드 형성도 경쟁도 할 수 없는 상태에 처해 있다고 할 수 있다. 연구/개발보다는 구축과 운영을 주도하는 형태의 기업들이 상당 부분을 차지하고 있으며, 심지어 연구/개발조차도 공공 혹은 특수성에 의존한 (규제나 정책) 소규모 프로젝트들에 집중되는 상황이다.
시간이 지날수록 늪을 벗어나기는커녕 점점 더 깊이 빠져 들어갈 것이고 새로운 흐름은 출현하기 힘들어 보인다는 것이 개인적인 전망이다. 현 상태는 어쩌면 지난 20년 이상 잘못된 판단과 결정 등으로 인해 산업의 성장보다는 생존 만을 위해 지나온 것이 아닐까 싶다.
새로운 기술과 방향으로 리딩을 하기보다는 법제화와 규정을 통해 손쉬운 시장의 확대와 관리에만 집중한 면이 있다. 기업과 시장에서는 어쩌면 불필요해 보이는 규정과 규제로 인해 책임과 의무를 다하기보다는 최소한의 면책 만을 위해 움직이게 만들었다.
그 결과는 시장의 확대는 어려워졌고 관리에만 집중하게 된 것이 보안 산업의 현실이다. 국가 차원에서도 피해는 계속되고 있고 여전히 문제는 끝나지 않는 상황이다.
시장의 확대가 어려워지고 더 이상 갈라파고스와 같은 시장을 창출하는 것은 시대의 변화를 따르지 못한다. AI와 Cloud의 시대에서 더 이상 고립된 독점적인 시장은 존재하기 어려울 수밖에 없다. 기존의 영역들도 빠르게 재편되거나 몰락될 것이라 본다.
현 상황은 환경적으로는 더 이상 특화된 국내용 서비스나 제품의 소요는 계속 줄어들 수밖에 없다. 또한 기업들은 정책과 규정에 맞춘 최소한의 권고 만을 수행할 것이므로 시장의 확대는 불가능한 상황이다.
지난 과거나 현재나 기업은 이익의 최대화와 비용의 최소화가 기본이다. 이 부분은 보안 기업들이나 일반 기업들이나 다르지 않다. 일반 기업의 입장에서는 최소한의 투자로 비용을 줄이기를 원한다. 딱 그만큼만 하는 것이다.
보안 기업의 입장에서도 이익의 최대화가 안 되는 상황 ( 수출도 불가능, 시장 확대도 한계..)에서 오랜 기간 비용의 최소화를 통해 효율을 추구해 왔다.
비용의 최소화란 최악의 선택이 기업의 이윤을 만들 유일한 수단이기에 선택했을 것이다. 즉 인건비와 부대 비용의 축소는 상대적으로 격무에 시달리면서도 분야나 산업에 대한 뜻을 가진 인력들을 지속해서 대거 이탈하게 만들었고 그 결과는 숙련되고 경험 있는 인력 들은 전문 회사에 있는 것이 아니라 일반 서비스 기업들의 자체 보안 영역으로 대거 존재하고 있다.
경험 없는 신입들은 계속 유입이 되고 이들을 가르치고 이끌 수 있는 리더급들은 모두 이탈한 상황에서 변화란 것은 있을 수가 없다.
비용 최소화를 통한 이익 창출 -> 인건비 축소 -> 우수 인력의 연쇄적 이탈 -> 제품과 서비스의 퀄리티 지속 하락 -> 경쟁력 상실 -> 관리 및 공공 프로젝트 의존율 상승 및 출혈 경쟁.
연결 고리를 정리하면 위와 같다. 심지어 고객 사의 인력 보다 전문성이 떨어지는 전문 업체의 서비스를 전적으로 신뢰하는 기업은 없다. 단지 하기 싫고 단순 반복적인 업무들의 대리 해결을 원할 뿐이다. 그 결과는 앞서 말했듯이 정보 보안 산업 전체의 파이는 시대의 급격한 변화에도 불구하고 의미 있는 성장이 없으며, 산업 전체와 비교해서도 매우 작은 부분을 차지하는 현실, 한 개 기업의 R/D 인력보다도 역량과 수에서 모두 밀리는 상황이 현주소다.
연구 개발의 방향도 달랐고 투입할 수 있는 자원도 극악인 상태에서 투자와 같은 역량이 있을 리가 없다. 오로지 공공에 기댈 뿐인 상황은 암울하다. 시장은 성장하지 않고, 기업은 많으며, 비즈니스 기회는 구축과 운영에만 존재하고 있다. 새로운 개발은 공공에 기대어 보지만 그 결과는 지금껏 신통치 않았다.
인력은 지금보다 두 세배는 되어야 하는데 그 인력을 품을 환경이 없다. 시장과 경제 규모와 환경에 비추어 보면 규모 자체는 지금보다 2~3배 이상은 커져 있어야 되는데 그렇지도 못하다.
시장은 규모에 맞게 크지 않았고, 인력은 규모에 비해 현저히 적은 상태이다. 또한 그 인력들의 처우도 비교하기에 민망한 수준이라 할 수 있다. 양질의 인력으로 유지를 해도 가능성이 낮은 상황에서 지금은 가능성보다 탄식만 나오는 상황이다.
..
드러난 실상을 바탕으로 본인이 지난 시간 동안 경험하고 느낀 바를 적어본다. 정보 보안 산업 자체에 애정을 가지고 근 30여 년을 행동한 입장에서 지금의 상황은 쉽지 않다. 공허한 인력 양성과 연구 개발 자금 지원과 같은 지원 방안들이 지금껏 없었을까? 그 많은 지원과 인력 양성에도 불구하고 현재 상황은 왜 이런 상황 인지에 대해 의문과 고민을 먼저 해야 하지 않을까?
다음 편에는 또다시 뜬구름 잡고 빛 좋은 개살구와 같은 비현실적인 방안들이 되지 않도록 좀 더 날카로운 개선 방안과 회생할 길에 대해서 정리해 보도록 하겠다. 빠른 시간 내에..
출처: https://p4ssion.tistory.com/445 [바다란 세상 가장 낮은 곳의 또 다른 이름:티스토리]