[임경호 기자]
대한민국의 사이버 안보, 이대로는 안된다. 지난해 국내 기업을 중심으로 다양한 유형의 해킹 이슈가 발생했다. SK텔레콤 고객 정보 유출을 시작으로 KT, 롯데카드, 예스24, 쿠팡 이용자 정보 유출 등이 이어졌고, 이 여파는 현재까지도 진행중이다. 해킹은 새로운 기술과 혁신 속에서 더욱 정교하게 발전하고 있다. 이를 막기 위해서든 그보다 더 앞선 방식으로 대비해야 한다. 인력난과 비용 문제를 해결하고 제로트러스트와 AI를 통해 미래를 대비해야 한다. 국내 보안 산업의 당면한 과제를 해결하고 사이버 보안 강국으로서의 위상을 높일 수 있는 방안을 살펴본다. <편집자주>
대형 해킹 사고가 잇따라 발생하면서 기업들의 보안 투자 규모가 커지는 분위기다. 하지만 현장에서는 투자 증대가 산업 경쟁력으로 이어지지 않는다는 말이 반복된다. 부족한 보안 인력과 처우 문제, 기업들의 비용 부담은 표면에 드러난 증상일 뿐 뿌리는 보안산업이 '제값'을 받을 수 없는 시장 구조에 있다는 지적이다. 이에 전문가들은 요율·투자 담론이 단편적인 처방에 그치지 않으려면 산업 생태계와 보안 거버넌스 전반을 다시 점검하는 접근이 필요하다고 강조한다.
'통합유지보수'의 함정...보안 요율 법제화 담론 수면으로
13일 보안업계에 따르면 국내에서 보안 벤더(제조사)가 실제로 받는 유지보수 요율은 최저 5%에서 최대 12% 수준에 머무르는 것으로 확인됐다. 과학기술정보통신부에서 발표한 '2025 국내 정보보호산업 실태조사 보고서'의 하도급, 유지관리 요율(공공사업 21.2%, 민간사업 27.1%)과 격차는 여전히 큰 것. 이마저 언론과 업계가 수년간 문제를 제기하면서 예전보다 요율이 상향됐지만 물가나 인건비 상승률을 따라가기엔 역부족이라는 평가가 나온다.
대한민국의 사이버 안보, 이대로는 안된다. 지난해 국내 기업을 중심으로 다양한 유형의 해킹 이슈가 발생했다. SK텔레콤 고객 정보 유출을 시작으로 KT, 롯데카드, 예스24, 쿠팡 이용자 정보 유출 등이 이어졌고, 이 여파는 현재까지도 진행중이다. 해킹은 새로운 기술과 혁신 속에서 더욱 정교하게 발전하고 있다. 이를 막기 위해서든 그보다 더 앞선 방식으로 대비해야 한다. 인력난과 비용 문제를 해결하고 제로트러스트와 AI를 통해 미래를 대비해야 한다. 국내 보안 산업의 당면한 과제를 해결하고 사이버 보안 강국으로서의 위상을 높일 수 있는 방안을 살펴본다. <편집자주>
 |
대형 해킹 사고가 잇따라 발생하면서 기업들의 보안 투자 규모가 커지는 분위기다. 하지만 현장에서는 투자 증대가 산업 경쟁력으로 이어지지 않는다는 말이 반복된다. 부족한 보안 인력과 처우 문제, 기업들의 비용 부담은 표면에 드러난 증상일 뿐 뿌리는 보안산업이 '제값'을 받을 수 없는 시장 구조에 있다는 지적이다. 이에 전문가들은 요율·투자 담론이 단편적인 처방에 그치지 않으려면 산업 생태계와 보안 거버넌스 전반을 다시 점검하는 접근이 필요하다고 강조한다.
'통합유지보수'의 함정...보안 요율 법제화 담론 수면으로
13일 보안업계에 따르면 국내에서 보안 벤더(제조사)가 실제로 받는 유지보수 요율은 최저 5%에서 최대 12% 수준에 머무르는 것으로 확인됐다. 과학기술정보통신부에서 발표한 '2025 국내 정보보호산업 실태조사 보고서'의 하도급, 유지관리 요율(공공사업 21.2%, 민간사업 27.1%)과 격차는 여전히 큰 것. 이마저 언론과 업계가 수년간 문제를 제기하면서 예전보다 요율이 상향됐지만 물가나 인건비 상승률을 따라가기엔 역부족이라는 평가가 나온다.
업계에서는 "회사를 안정시키는 캐시카우는 유지보수비에서 나오는데 그 금액이 오르지 않으니 산업이 성장할 수 없다"고 주장한다. 소프트웨어 산업의 비용 대부분이 인건비인데 요율이 제자리라면 인력 투자 여력도 커질 수 없다는 설명이다.
 |
국내 보안기업들은 기술개발 인력 확보와 자금 조달에 가장 큰 어려움을 겪고 있는 것으로 나타났다. 업계에서는 결국 재원의 문제라며 산업의 구조적 개선을 요구하는 목소리가 나온다. /표=2025년 국내 정보보호산업 실태조사 보고서 |
더 큰 문제는 유지보수 산정 기준이 '정가(조달 등록가)'가 아니라 '입찰가'로 굳어져 있다는 점이다. 조달 기준 가격이 입찰 경쟁에서 '덤핑' 납품되면 이후 유지보수 요율이 20%로 책정되더라도 이는 덤핑가를 기준으로 책정된다. 그마저 벤더가 온전히 가져갈 수 없어 결과적으로 비율도 낮고, 기준 금액도 낮고, 중간에서 한 번 더 빠지는 삼중 구조가 형성된다.
요율 자체를 표준 약관 형태로 법제화해야 한다는 목소리도 나온다. 통합유지보수 과정에서 어느 한 곳의 비율이 과도하게 깎이지 않도록 하한선(최저 요율)이나 상한제(왜곡 방지 장치) 같은 제도적 장치를 검토해야 한다는 요구도 있다.
업계 한 관계자는 "기업에는 보안을 비용이 아닌 투자로 보라고 하면서 산업적으로 돈을 벌 수 있는 길은 제대로 안 닦여 있다"며 "법제화는 국가 차원의 투자"라고 말했다.
"보안은 최소한의 책임"...수요자 인식·거버넌스 함께 손봐야
다만 보안 산업의 구조 문제를 벤더 수익이나 요율 논의에만 한정해선 해법을 찾기 어렵다는 지적도 나온다. 유지보수 요율 현실화나 단가 조정은 필요 조건일 뿐 충분 조건은 아니라는 것이다. 조직 내부에서 보안을 투자로 인식하지 못하면 비용을 수반하는 점검이나 취약점 분석, 인력 확충은 항상 후순위로 밀릴 수밖에 없다는 설명이다.
 |
전문가들은 보다 다층적인 접근이 필요하다고 제언했다. 보안 요율이나 투자 규모 같은 개별 사안만 놓고 접근하면 보안 강화 논의는 결국 단편적인 처방에 그칠 수밖에 없다는 지적이다. 벤더의 수익 구조 개선과 함께 수요자인 기업과 공공의 인식 변화, 이를 아우르는 보안 거버넌스 재정립이 병행되지 않으면 보안 투자 확대 역시 일회성에 그칠 수 있다는 진단이다.
곽진 아주대 사이버보안학과 교수는 "보안 능력을 높이는 과정에는 조직에 비용이 수반되는데 이 비용을 투자로 받아들이지 못하면 결국 더 싼 선택지를 찾게 되고 그 과정이 반복되면서 보안 산업의 수익 구조도 다시 무너질 수밖에 없다"며 "요율을 일부 조정한다고 해도 수요자인 기업이 이를 수용하지 않으면 시장은 다시 최저가 경쟁으로 돌아가게 된다"고 짚었다.
기업 차원의 책임 요소도 분명히 했다. 곽진 교수는 "보안은 선택 사항이 아니라 사업 연속성을 위한 최소한의 책임"이라며 "부처별로 나뉜 권한과 역할, 신고·대응 체계, 산업 구조 등 구조적 문제들을 전반적으로 고려하지 않으면 같은 문제가 반복될 가능성이 크다"고 강조했다. 이아 "결국 시간은 걸리더라도 정부와 산업, 학계가 모두 연관된 보안 거버넌스 생태계 차원에서 현 체계를 다시 점검하고 접근하는 과정이 필요하다"고 힘줘 말했다.
임경호 기자 lim@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.