오는 23일부터 정보보호산업진흥법이 시행된다. 미래창조과학부는 K-ICT 시큐리티 이노베이션 확산 방안을 발표하고 스타트업, 인재, 기술을 함께 키워나가겠다는 의지를 내비쳤다. 겉보기에 정보보호 업계를 둘러싼 분위기는 나름 괜찮아 보인다.
그럼에도 국내 보안업계는 정체돼 있다는 인상을 넘어서 위축되고 있다는 느낌을 지우기 힘들다. 수많은 굵직한 보안사고를 겪으면서 보안이 중요하다는 인식은 늘어났지만 그만큼 수요는 늘어나고 있지 않다는 것이 표면적인 이유다. 수요부족만 탓하기에는 국내 보안회사들이 너무 조용하다. 눈에 띄는 새로운 기술이나 서비스로 무장한 토종 보안회사를 찾기가 쉽지 않다. 스마트폰 확산 이후 클라우드니 사물인터넷(IoT)이니 해서 새로운 IT패러다임은 확산되고 있는데, 보안 회사들의 비즈니스 모델은 예전과 크게 달라진 것 같지도 않다. 글로벌 트렌드와는 많이 다른 장면이다.
최근 글로벌 보안업계에서 눈에 띄는 변화는 크게 두 가지다. 하나는 크고 작은 보안 스타트업들이 대기업에 인수합병되거나 큰 규모의 투자를 받는 일이 많아졌다는 것이고, 다른 하나는 보안업체들 간 협력이 깊어지고 있다는 것이다.
글로벌 스타트업 혁신에서 보안은 이미 한축으로 자리 잡았다.
마이크로소프트는 이스라엘 보안 스타트업 중 지난해부터 올해 말까지 아오라토, 아달롬, 시큐어 아일랜드 테크놀로지스까지 총 3개 회사를 인수했다. 지난해 9월 인수된 클라우드 보안 스타트업 아달롬의 경우 인수 비용이 3억달러에 달한다. 아오라토는 2억달러, 시큐어 아일랜드는 비공식적으로 7천750만달러에 매각된 것으로 알려졌다. 아달롬 인수비용은 국내 1천억원 이상 매출을 기록하고 있는 보안회사 세 곳의 한 해 매출을 합친 것과 맞먹는 규모다.
파이낸셜타임스에 따르면 글로벌 시장에서 사이버 보안 스타트업에 대한 펀딩은 올해 1분기에만 10억달러를 넘어섰다. 2013년 9월 파이어아이가 나스닥에 상장한 이후 올해도 모의해킹툴인 '메타스플로잇'으로 유명한 래피드7, 베라코드 등이 기업공개(IPO)에 성공했다.
유명 벤처캐피털인 안드레센 호로위츠, 클레이너 퍼킨스 뿐만 아니라 주요 글로벌 은행들의 벤처캐피털 계열사까지 보안 분야에 대한 펀딩에 나서는 중이다. 파이어아이를 상장시킨 공동 주간사들은 모건 스탠리, 골드만삭스, 바클레이스 캐피털 등 유명 투자사들이다.
클라우드, 사물인터넷, 모바일을 겨냥한 보안 위협은 점점 복잡해지고 지능적인 형태를 보일 것이다. 보안솔루션만으로 이들 보안 위협을 막기는 어렵다는게 많은 전문가들의 지적이다. 지난 2월 포티넷, 인텔시큐리티(맥아피), 시만텍, 팔로알토네트웍스 등 글로벌 보안회사들이 보안위협정보를 공유하기 위해 '사이버쓰렛얼라이언스(CTA)'를 세운 것도 이런 위협환경변화와 무관치 않다. 혼자 막기 힘드니 뭉쳐서 막아보자는 흐름이 업체들 사이에서 확산되는 추세다.
한국의 보안 업계 분위기는 앞서 언급한 2가지 글로벌 트렌드와는 거리가 있다. 다이내믹한 보안사고를 경험하며 역량을 축적하고 있지만 국내 보안회사들 간 인수합병은 물론 기술협력 조차 제대로 이뤄지지 않고 있다는 점은 국내 정보보안산업계가 넘어야할 큰 산이다.
최근 만난 국내 보안회사 대표는 "우리나라 보안산업이 성장하기 위해서는 1천억원이 넘는 매출을 내는 회사들이 100여곳 이상은 있어야 한다"고 말했다. 기술력을 갖춘 회사들이 합병을 통해 덩치를 키우면서 규모의 경제를 만들어낼 수 있어야 산업이 제대로 클 수 있다는 주장이다.
한국의 경우 인수합병에 나설만한 규모의 자금력을 확보한 보안회사를 찾기 힘든 것이 현실이다. 결국 외부 펀딩을 통해 필요한 자금을 마련해야하는데 벤처캐피털이나 정부조달펀드나 몇 개월 단위로 투자 대비 수익률만 따지는 탓에 중장기투자는 어림도 없는 일이다. 보안회사 스스로도 인수대상기업의 가치를 생각보다 높게 보지 않는 것도 인수합병을 어렵게 만드는 원인 중 하나로 지적된다.
심종헌 지식정보보안산업협회장은 "최근에 M&A펀드라는 용어를 많이 들었다"며 "두 회사가 가진 가치를 통합하려고 할 때는 각 회사 대표는 물론 임직원들에게 그에 상응하는 대가가 주어져야한다"고 말했다. 인수되는 기업 대표에게는 그에 맞는 금전적 보상이 이뤄져야하고, 해당 회사 임직원들에게는 자신들의 비전을 실현할 수 있는 기회가 보장돼야한다는 설명이다.
관련기사
- 업계가 주목해야 할 정보보호 10대 기술2015.12.11
- 실전같은 사이버보안훈련장 만들어진다2015.12.11
- 사이버보안 스타트업-인재-기술 함께 키운다2015.12.11
- MS, 이스라엘 보안회사 속속 인수...왜?2015.12.11
정부는 제도적인 장치를 통해 국내 보안회사들 간 기술협업을 할 수 있는 장을 마련해 나간다는 전략이다. 그럼에도 우려의 시선이 적지 않은게 현실이다. 보안 업계 내부에서도 마찬가지다. 업체 CEO들을 만나봐도 IT시장의 무게중심이 모바일과 클라우드로 넘어가는 상황에서 갈길을 잘 찾을 수 있을지 걱정하는 뉘앙스가 진하게 풍긴다.
2016년 IT인프라 시장의 변화는 더욱 가속화될 것이다. 그럴수록 보안 업체들도 익숙했던 과거와 결별을 강하게 요구받게 될 것이다. 기술협업과 인수합병을 통해 기술경쟁력을 높이고, 규모의 경제를 이루지 못하면 글로벌 보안 회사들의 탄생은 꿈에 그칠 가능성이 높다. 국내 정보보호업계가 위기의식을 좀 더 가져야할 것 같다.
