초라한 K보안…안랩 시총 0.6조 vs 美 팰로앨토 93조

매출 1000억 넘는 업체 6곳뿐
90% 이상이 비상장 중소기업
SW보안 '비용'으로 여기고
수출도 저조 내수용 머물러
"기술 중심 평가제도 도입해야"

‘93조원 vs 6300억원.’

세계 1위 사이버 보안기업인 미국 팰로앨토네트웍스와 한국 대표 보안 소프트웨어(SW) 기업 안랩의 16일 기준 시가총액이다. 팰로앨토는 최근 보안기업으로는 사상 처음으로 시총 100조원 벽을 넘는 등 고공행진을 이어가고 있다. 반면 안랩은 여전히 ‘정치인 테마주’ 신세다. 특정 국회의원의 행보에 따라 주가가 널을 뛴다.

 보안은 ‘IT 코리아’의 약한 고리

팰로앨토 외에도 원화 환산 시총이 조 단위를 넘어서는 보안 기업이 적지 않다. 포티넷(시가총액 78조원) 크라우드스트라이크(44조원) 체크포인트(18조원) 등이 대표적 사례로 꼽힌다. 최근 맨디언트를 54억달러(약 7조원)에 인수한 구글클라우드와 같이 보안 기업을 대상으로 한 인수합병(M&A)도 활발하다.

반면 한국은 보안 기업의 90% 이상이 비상장 중소기업이다. 상장사도 안랩을 제외하면 시가총액 규모가 1000억원 안팎에 불과하다. 한국정보인증(2214억원) 드림시큐리티(1738억원) 윈스(1704억원) 이스트소프트(1487억원) 등이 가까스로 ‘1000억원 클럽’에 이름을 올렸다. 매출도 변변치 못하다. 한국정보보호산업협회(KISIA) 소속 주요 보안 기업 20곳 중 작년 매출 1000억원을 넘긴 기업은 6곳에 불과하다.

지난 12일 열린 제12회 정보보호의 날 기념식은 한국 보안기업의 현실을 고스란히 보여줬다. 이날 한덕수 국무총리는 정보보호 유공자로 A기업 대표에게 철탑산업훈장을 수여했다. 이날 수여된 훈·포장 중 가장 높은 등급이다. A사는 업력 25년에 작년 매출 185억원, 영업이익 13억원을 기록한 기업이다.

한국의 사이버 보안 산업은 ‘내수용’이란 꼬리표가 붙어 있다. ‘2022년 국내 정보보호산업 실태조사’에 따르면 한국 정보보안 수출액은 1526억원(2021년)이다. 정보보안산업 전체 매출(4조5497억원)의 3%에 불과하다. 한국 사이버 보안 회사들과의 거래를 검토하다가도 너무 작은 시가총액 등을 이유로 사업 발주를 망설이는 사례가 많다는 게 업계의 설명이다.

KISIA 수석부회장을 맡고 있는 윤두식 지란지교시큐리티 대표는 “세계적으로 사이버 보안은 국방 안보 기술의 일종”이라며 “자국 핵심 설비를 지키는 역할은 자국 사이버 보안 기업에 맡기지 해외 기업에 맡기지 않는다”고 했다.

국내 시장에선 ‘보안=비용’이란 고정관념을 깨지 못하고 있다. 보안은 흉내만 내면 된다고 생각한 발주 기업들이 최저가를 써낸 기업을 낙점하는 일이 반복되다 보니 국내 기업이 덩치를 키우지 못하고 있다는 분석이다.

 “해외 기업에 점령 우려”

현재 상황이 계속되면 결국 국내 사이버 보안은 해외 기업에 점령당할 것이라는 우려의 목소리가 나온다. ‘규모의 경제’를 이룬 해외 기업들이 SW와 솔루션의 단가를 한국 기업들보다 낮게 써낼 수 있어서다. 보안업계에서는 기술력 중심의 기업 평가 제도 도입이 시급하다고 입을 모은다. 최저 단가를 써낸 업체를 낙점하는 풍토를 바꾸려면 정부의 공공 프로젝트 선정 기준부터 바꿔야 한다는 설명이다. 백종욱 국가정보원 3차장은 “최저가 입찰 방식의 문제를 포함해 종합적인 대책을 검토 중”이라고 말했다.

검증된 기술만을 고집하는 관행에 ‘메스’를 대야 한다는 목소리도 나온다. 지금은 기업이 사이버 보안에 투자할 때, 정부에서 인증한 특정 방식의 사이버 보안 기술을 도입하도록 독려하고 있다. 매일같이 새로운 해킹 기법이 나오는 흐름과 맞지 않는 방식이다. 윤 대표는 “신기술을 자유롭게 활용할 수 있도록 사이버 보안과 관련한 지침을 바꿔야 한다”고 지적했다.

과학기술정보통신부도 최근 사이버 보안 분야 스타트업에만 투자하는 100억원 규모 이상의 모태펀드를 조성하는 등 신기술을 적극적으로 발굴하겠다는 입장을 내놨다.

김진원 기자 jin1@hankyung.com

▶ 클래식과 미술의 모든 것 '아르떼'에서 확인하세요
▶ 한국경제신문과 WSJ, 모바일한경으로 보세요