왜 한국에서는 팔로알토네트웍스와 같은 글로벌 보안기업이 없을까? 대기업은커녕 기업가치 1조원을 넘는 사이버보안 유니콘기업조차 전무한 실정이다. 전세계적으로 기술 발전과 함께 보안산업은 성장하고 있지만, 아직 한국에선 제 가치를 제대로 인정받지 못하고 있다. 규모의 경제를 이루지 못하고 만년 유망주에 머무르는 국내 보안산업, 더 이상 이대로는 안 된다. <디지털데일리>는 특별기획을 통해 국내 보안산업 현주소를 진단한다. <편집자주>

[디지털데일리 최민지기자] “낼 돈 내고 샀으면 좋겠습니다.”

한 국내 보안기업 관계자의 한숨 섞인 푸념이다. 단순한 불평으로만 치부하기엔, 가격경쟁에 따른 기술혁신 저하 문제는 국내 보안산업 경쟁력 강화를 가로막고 있는 고질적인 문제다.

특히, 국내 보안기업 대다수가 한국시장 매출이 90% 이상일정도로 높은 내수시장 의존도를 보이는 데다, 공공사업이 주효한 매출원으로 작용하고 있다. <지난기사 참조 [韓보안진단]③ 공공·내수 집중에 '영세 산업' 꼬리표…성장동력 물음표>

국내 공공기관과 주요 기업은 ‘정보통신망법’ ‘개인정보보호법’ 등 법‧제도적 근거에 따라 보안시스템을 구축해야 할 의무가 있다. 공공기관과 국방분야 경우, 안보상 이유로 외산보다는 인증받은 국내 보안기업 제품을 우선적으로 채택하는 상황이다. 이에 국내 보안기업들은 공공시장을 주요 수익원으로 삼고 있고, 규모가 작은 기업일수록 대체적으로 공공시장 비중이 크다.

◆국내 보안기업 3苦…최저가 경쟁, 낮은 유지보수율, 과도한 커스터마이징

이러한 가운데 여전히 ‘보안’을 투자가 아닌 비용으로 인식하는 경향이 큰 만큼, 국내 보안기업을 향한 가격경쟁 압박은 지속되고 있다. 이는 국내 보안산업이 성장하지 못하고 제자리걸음하게 만드는 요인이다.

<디지털데일리>가 진행한 설문조사 <지난 기사 참조 [韓보안진단]① '돈줄'이 흘러야, 한국 보안산업이 산다>에 따르면 응답자 86%가 공공분야 보안사업 입찰 때 고객사가 ‘낮은 가격’을 가장 중요하게 고려한다고 답했다. 이어 ‘높은 기술력(41%)’을 꼽았다. 중복 선택이 가능한 질문이었지만, ‘낮은 가격’을 선택한 응답자가 압도적으로 많은 모습을 드러냈다. 금융‧기업분야 보안사업 입찰 경우, ‘높은 기술력’을 가장 우선적으로 고려한다는 답변이 가장 많았다. 다만, 절반 가량 응답자가 ‘낮은 가격’도 중요하다고 선택했다.

이번 설문조사에서 상당수 응답자들은 최저가 경쟁에 따른 출혈을 호소했다. 저가 경쟁으로, 마진이 줄어들고 손실이 커질 수밖에 없는 구조를 지적했다. 기술 변별성 없이 낮은 가격 중심으로 입찰되는 사례가 많다는 설명이다. 한 응답자는 “80% 정도는 가격으로만 평가받고 있다. 기업들이 가격을 맞춰주더라도, 예산 부족으로 구매하지 않거나, 최종 견적 이후 다른 낮은 가격으로 재평가 받는 경우도 있다”고 전했다.

낮은 유지보수율도 국내 보안기업이 겪는 애로사항 중 하나다. 설문조사 응답자 중 59%는 공공고객군 평균 유지보수율을 ‘5~9%’대라고 답했다. 응답자 과반수 이상은 금융‧기업고객군 평균 유지보수율 경우 ‘10~14%대’로 선택했다.

응답자들은 평균적으로 15% 이상 유지보수율을 책정해야 한다고 주장했다. 보안 소프트웨어(SW) 특성상 지속적인 보안패치가 요구된다는 점, 기술지원 인력 투입 비용이 늘어나면서 유지관리 인력 소모가 크다는 점 등을 꼽았다.

국내 기관‧기업들은 국내 보안기업에 특히 더 많은 커스터마이징(맞춤형)을 요구하고 있어, 기술 이슈 해결에도 상당한 비용과 시간을 투자해야 하는 상황이다. 시스템통합(SI) 방식 턴키 사업으로 진행되는 경우, SI 마진을 빼면 보안기업이 가져가는 유지보수 금액이 줄어드는 경우도 발생한다.

국내 보안기업 관계자는 “예를 들어 유지보수 예산 편성 때 10%로 산정하더라도, 최종 수주를 통해 실제 기술 지원 공급사든 5%대로 공급할 수밖에 없는 현실”이라며 “SW솔루션이지만 하드웨어 유지보수 요율로 예산 산정되는 경우도 대다수”라고 지적했다.

이어 “고객사가 글로벌 보안기업 수준 기술력과 고객 환경에 맞는 커스터마이징, 경쟁력 있는 가격을 모두 요구하니 서비스 제공에 어려움이 있다”며 “가격보다는 기술과 서비스 중심으로 업체를 선정하는 문화가 필요하다”고 부연했다.

◆적정한 사업대가→ 기술투자 증대→ 글로벌 성장 발판 마련

응답자들은 보안시장을 정상화시키려면 ‘사업대가 현실화’를 이뤄야 한다고 가장 많은 목소리를 냈다. 이어 ‘과도한 커스터마이징 요구 금지’와 ‘유지보수요율 현실화’ 순으로 개선사항을 짚었다.

가격경쟁이 심화될수록, 국내 보안기업은 적극적 연구개발(M&A) 투자와 인재 육성과는 거리가 멀어진다. 사업대가 제값받기가 이뤄져야만, 기술력으로 경쟁하는 문화가 생성되고, 글로벌시장에서도 겨뤄볼만한 국내 보안기업이 탄생할 수 있다는 진단이다.

한 응답자는 “국내 보안기업 제품이 외산 대비 경쟁력 없는 것은 뼈아픈 사실이다. 이에 대부분 저가 수주를 하고 있고, 자금이 충분하지 않은 열악한 상황이 이어지면서, 경쟁력은 계속 떨어지는 뫼비우스의 띠와 같은 상황”이라며 “외산 제품만큼 대가를 달라는게 아니라, 최저가 입찰을 지양하며 정당한 대가를 지급해 달라는 말이다. 그래야만 외산과 경쟁할 수 있는 더 좋은 제품을 만들 수 있다”고 말했다.

이와 관련 홍준호 성신여대 융합보안공학과 교수는 ‘보안서비스 대가 현실화 및 정보보호 생태계 조성을 위한 법‧제도 개선방안 연구’를 통해 ▲정보보호 전문기업 지정‧관리 강화를 위한 규율 체계 개편 ▲기획재정부 예산안 가이드라인 개선 등 정보보호 서비스 예산 단가체제 개편 ▲정보보호산업법상 적정대가 규정 개정 등 특수 환경 고려한 계약시 특례 조항 신설 등을 제안했다.

기획재정부 ‘예산안 편성 및 기금운용계획안 작성 세부지침’내 정보화 사업에서 정보보호서비스에 대한 구체적 적용기준이 명시돼 있지 않다. 수요기관은 보안 관련 용역 사업 예산 한도를 상황에 따라 정하고 있는데, 구체적 적용 기준을 추가한다면 각 수요기관은 예산 편성 적용 항목과 대가산정을 명확히 할 수 있을 것이란 기대다.

또한, 가격이 아닌 기술평가로 우수기업을 선정할 수 있는 체계를 갖추기 위해 정보보호학계‧연구기관 등 다양한 전문가로 구성된 ‘예산심의위원회’를 통해 적정 예산을 산정해야 한다고 밝혔다. 편성 예산보다 낮은 금액으로 계약이 체결될 경우 낙찰차액을 정보보호 사업에 재투자하는 규정을 반영하고, 정보보호산업법 적용대상을 확대해 ‘국가기관 등’으로 넓히고, 적정대가 지급에 대한 법적 근거를 강화할 것을 요청했다.

홍준호 교수는 “보안서비스 대가 현실화 논의는 업계에서 10년 전부터 제기돼 온 비교적 오랜 기간 해소되지 못한 과제”라며 “보안서비스 대가가 현실화되지 못하면 공급기업의 정당한 수익이 담보되지 못하고, 이는 고스란히 인력처우 개선의 제약요인이 돼 결과적으로 서비스 품질 저하를 가져오는 악순환으로 이어지게 된다”고 우려했다.

홍 교수는 “정보보호를 위한 지출이 비용이 아니라 투자라는 문화를 국내에서부터 만들어야 하며, 국가기관부터 시작해야 한다”며 “국가‧공공기관이 보유한 정보가 일반 사기업들이 보유한 정보보다 민감하고 중요한 정보를 더 많이 보유하고 있다는 점에서 가격경쟁이 아닌 기술경쟁 구조가 될 수 있도록, 조달 환경도 개선될 필요가 있다”고 강조했다.