[디지털데일리 김보민기자] 글로벌 보안 시장에서 '합종연횡'이 선택이 아닌 필수로 떠올랐다. 보안 기업들은 단일 제품 만으로 시큐리티(Security) 전략을 완성할 수 없다는 공감대를 세우고, 각 사 역량을 뭉치기 위해 협업을 이어가고 있다.

국내 또한 파트너십 체결은 물론, 정부 주도 프로젝트를 필두로 연합 체계를 갖춰나가고 있다. 다만 민간 주도 협업 문화가 정착하려면 시간이 필요하다는 의견이 나온다. 이를 주도할 대형 보안 기업이 없는 데다 산수 계산에 몰두할 수밖에 없는 현실 탓인데, 일각에서는 제로트러스트 등 패러다임이 전환된 만큼 국내 또한 쇄신이 필요하다는 목소리가 제기된다.

30일 관련 업계에 따르면, 보안 사업을 운영하는 글로벌 기업들은 자사 주도 협업 체계를 강화하고 있다. 대표적으로 마이크로소프트(MS)는 지능형보안연합(Microsoft Intelligent Security Association·이하 MISA)을 운영하고 있다. MISA는 회원사 보안 제품과 MS 보안 기술을 융합해 고객에게 통합 보안 전략을 제공하는 일종의 얼라이언스 체계다.

이날 홈페이지 공지 기준으로 보면, MISA 회원으로 활약하고 있는 곳은 657개사다. 회원사는 개별 소프트웨어 벤더(ISV)와 관리형 보안 서비스 공급자(MSSP) 등 다양하다. 이들 기업은 접근 관리부터 확장탐지및대응(XDR), 플랫폼 응용프로그램인터페이스(API), 클라우드 이메일 보안 등 각 주요 영역에서 자사 제품을 제공하고 있다.

구글은 거시적인 보안 협업뿐만 아니라, 각 제품별 보안 파트너를 늘리고 있다. 일례로 구글 워크스페이스 보안 연합에는 크라우드스트라이크, 옥타, 팔로알토네트웍스, 탈레스 등이 참여했다. 올 6월에는 연합 체계에 지스케일러 등 주요 기업을 추가했는데, 당시 연합 측은 제로트러스트 보안에 활약 중인 지스케일러가 파트너 보안 역량을 강화할 수 있을 것이라고 밝히기도 했다.

이 밖에도 IBM은 '시큐리티 테크놀로지 얼라이언스 프로그램(Security Technology Alliance Program·이하 TAP)'을 운영 중이다. 운영 방식은 MS, 구글과 유사하다. 보안 사업을 운영하는 빅테크 기업이 얼라이언스를 주도하는 모습이다.

국내 보안기업 관계자는 "미국을 중심으로 해외 보안 시장에서 연합 체계 속 기술 파트너십을 맺는 것은 흔한 일"이라며 "경쟁사들 사이에서도 화이트라벨링이 익숙한 문화가 있다"고 설명했다. 화이트라벨링은 특정 회사가 제조 혹은 개발한 제품에 다른 회사가 자사 브랜드 기술력을 올리거나 브랜드명을 붙여 유통 혹은 판매하는 것을 의미한다.

이 관계자는 "각 사 API를 교환해 데이터를 보강하거나, API를 공유하는 대신 자사 로고를 사용할 수 있도록 하는 일종의 '기브앤테이크(give-and-take)' 문화가 있다"며 "뿐만 아니라 통합 마켓플레이스 내에서 설치 버튼을 누르면 특정 기업의 기능을 활성화할 수 있도록 하는 파트너십도 인기를 끌고 있다"고 부연했다.

국내에서도 이러한 흐름에 올라탄 곳이 있지만, 국내 기업들끼리 관련 문화를 구축한 사례는 찾아보기 어려운 실정이다. 또 다른 국내 보안기업 관계자는 "주요 해외 시장의 경우, "반드시 100이라는 숫자 가운데 이익 비율을 균등하게 나눠가지지 못하더라도, 보안 시장이 전반적으로 커진다는 보장이 있으면 손해를 봐도 괜찮다는 문화가 있다"며 "반면 한국의 경우 산수처럼 이익을 계산해 보는 경우가 다수"라고 지적했다. 이어 "협회 등을 통해 협력을 한다 하더라도 이러한 접근법만이 대세라면 진정한 얼라이언스라고 부르기 어려울 것"이라고 말했다.

한국판 시큐리티 얼라이언스 문화가 무르익지 못한 데에는 먼저 협력 기업들을 이끌 만한 거대 보안 기업이 부재하다는 데 있다. 아울러 API 노출 자체를 꺼려 하는 분위기도 있다. 해외의 경우 시작 단계부터 API를 국제 표준에 맞춰 개발하지만, 국내에서는 시스템통합(SI)성으로 만들어 표준을 따르지 못하는 API를 운영하는 경우도 다수다.

경쟁사들 끼리 모여 협력하는 것이 현실적이지 않다고 보는 곳도 있다. 특히 국내 보안 기업들의 경우 공공사업에 대한 의존도가 높은 편인데, 입찰 중 경쟁하는 과정에서 기술력보다는 유지보수율과 커스터마이징 여부 등을 승부 카드로 내놓는 사례가 늘어나며, 유사 사업을 운영하는 기업들 간 관계가 예전과 비교했을 때 악화되고 있다고 보는 기업도 있다.

정부는 K-시큐리티 얼라이언스를 필두로 통합보안 모델 개발 시범사업 과제를 추진하며 분위기 전환을 모색하고 있다. 단품 위주 보안 솔루션에 집중해온 국내 시장의 한계를 돌파하기 위해 XDR, 물리보안, 제로트러스트 및 엔드포인트 보안 등 주요 영역에서 관련 기업들이 협업해 하나의 플랫폼을 제공할 수 있도록 문화를 바꾸자는 취지다. 해당 프로젝트가 주요 해외 시장에서 거대 보안 기업들에 맞설 만한 제품을 선보일 수 있을지는 지켜볼 부분이다.

다만 글로벌 흐름이 '뭉치면 이기고, 흩어지면 진다'는 패러다임으로 전환하고 있는 만큼, 국내 기업들 또한 합종연횡에 동참할 필요가 커질 전망이다. 현재 글로벌 시장에서 주목하고 있는 제로트러스트 보안 방법론의 경우 내외부 위협을 구간마다 막아야 한다는 미션이 있기에, 단일 솔루션 및 서비스 만으로는 승부를 볼 수 없다는 이야기도 나온다.