[ⓒ픽사베이]

[디지털데일리 김보민기자] 2025년 새해를 맞아 국내외 기업들의 움직임이 분주하다. 올해 전략을 추진하는 과정에서 외부 협력은 물론, 인수·합병(M&A) 등 승부카드를 만지작거리며 동향을 살피는 분위기가 두드러지고 있다.

보안업계에서는 M&A가 기업 간 시스템, 프로세스, 문화를 통합하는 과정인 만큼, 자칫 보안 취약성까지 공유하게 될 가능성이 크다고 경고한다. 체계적인 보안 실사가 있어야 후폭풍을 방지할 수 있다는 관측에 힘이 실리는 이유다.

6일 보스턴컨설팅그룹에 따르면 2024년 글로벌 M&A 규모(1~9월 기준)는 1조6000억달러(약 2350조원) 수준이다. 같은 기간 성사된 거래는 약 2만2440건으로, 전년 동기 대비 10% 증가한 것으로 나타났다.

성장세를 이끈 산업군은 기술, 에너지, 유틸리티, 헬스케어였다. BGC는 "M&A 추진 의도는 다를 수 있으나, 전략적 도구로 협력과 파트너십을 검토하는 움직임이 두드러지고 있다"며 "시장 내에서 안정적인 입지를 보유한 업체라도 서로 협력을 꾀하거나 스타트업, 테크 및 사모펀드(PE) 기업들과의 파트너십도 모색하는 추세"라고 분석했다.

올해에도 유사한 흐름이 이어질 것으로 보인다. M&A의 경우 국가 선거 결과와 정책 변화, 금리인하 속도, 경기침체 가능성, 시장 불확실성 등을 고려해 이뤄지는 경우가 대다수다. 이 가운데 지난해 미국, 유럽연합(EU), 프랑스, 영국, 인도 등 주요국에서 핵심 선거 일정이 마무리됐고 업황 가치 수준도 회복세를 보이고 있다.

다만 M&A 규모가 커지고 있는 것이 긍정적인 신호 만은 아니다. 신규 자산과 시장 기회를 취득하는 동시에, 인수한 기업의 사이버 보안 취약성도 물려받을 수 있기 때문이다.

위협을 물려받았던 대표적인 사례는 2017년으로 거슬러 올라간다. 당시 미국 최대 이동통신사 버라이즌은 야후 핵심사업 부문을 5조원대 규모인 44억8000만달러에 인수하기로 합의했다. 야후 해킹 사태가 밝혀지면서 두 회사의 합병이 사실상 중단됐다, 종전 인수가보다 4000억원 낮아진 금액에 최종 합의했던 사례다. 거래가 추진되던 중에는 이전에 공개되지 않았던 야후 데이터 침해가 수면에 드러나며 뭇매를 받기도 했다.

이 밖에도 호텔 브랜드 메리어트는 2018년 제3자가 불법적으로 자사 예약 데이터베이스에 접근했다는 사실을 인정하기도 했다. 2016년 스타우트를 인수한 후, 오래된 예약 시스템을 업데이트하지 않아 멀웨어와 데이터 침해 취약점을 이전 받았던 영향이었다.

8년이 지난 지금도 흐름이 유사하다는 목소리도 나온다. 국내 보안업계 관계자는 "합병 중 보안 현황을 평가할 때 단답식 질문들을 나열할 때가 많다"며 "단순히 방화벽이 있는지, 안티바이러스 솔루션을 적용했는지 등 나열된 박스에 체크를 하는 경우도 있는데, 저장한 데이터 유형과 양, 규정, 법률 등 총체적인 이해가 필요하다"고 말했다.

정보보호최고책임자(CISO) 혹은 보안 담당 부서에서 사이버보안 프레임워크를 구축해야 한다는 취지다. 이 관계자는 "특히 하이브리드 통합을 꾀할 경우에는, 신기술을 레거시 시스템과 융합하는 작업이 필요하기 때문에 비환성과 확장성 문제를 야기할 수 있다"고 강조했다.

보안 및 컨설팅 시장에서는 취약점을 물려받지 않기 위해 M&A에 앞서 보안 실사가 필요하다고 말한다. 특히 인수 대상 기업의 기술 취약성, 데이터 프라이버시 규정 미준수, 발생 가능한 사이버 공격 징후 등 숨겨진 위험을 발견하는 것이 관건이다. 아울러 고객 데이터 또는 인터넷프로토콜(IP) 도난, 비즈니스 및 영업 차질 등 사건에 대한 사이버 위협 평가도 필요하다. IP 손실이나 자산 노출로 인해 사업을 분리할 때 발생할 수 있는 잔존 사업에 대한 위협을 완화하는 사전 작업도 필요할 것으로 보인다.