불장에도 소외된 보안업계, 올해는 반등할까
정부 새 보안 정책 추진…보안 산업에 기회
| 한스경제=석주원 기자 | 지난해 대형 보안 사고가 연이어 터지면서 정보 보안의 중요성에 대한 인식이 높아졌지만 정작 국내 보안업계에 대한 인식은 여전히 개선되지 못한 것으로 나타났다.
지난 1년간 국내 증시가 우상향하는 동안 보안업계 대장주인 안랩의 주가는 16%이상 감소하며 역주행했다. 지난해는 대형 보안 사고 이후 기업들의 대규모 보안 분야가 투자가 예상되면서 보안 산업의 활성화가 기대되는 분위기였지만 증시는 이런 흐름을 반영하지 않았다.
국내 대표 보안 기업 중 하나인 이스트소프트의 주가도 지난 1년간 28% 이상 감소했으며 드림시큐리티, 이글루코퍼레이션, 윈스 등 주요 보안기업들의 주가도 제자리걸음하는데 그쳤다. 예외적으로 지니언스는 증권가의 우호적인 평가를 받으며 연간 60%대의 주가 상승률을 기록했지만 전반적으로 보안 기업의 주가는 증시의 호황을 따라가지 못하는 모습이다.
◆ 국내 보안산업의 구조적 리스크
이처럼 주식시장에서 국내 보안 기업이 저평가 받는 이유는 사업 구조에 한계가 있기 때문으로 분석된다. 가장 큰 문제는 국내 보안 기업의 수익이 대부분 내수 시장에 집중돼 있다는 점이다. 국내 주요 보안 기업들의 해외 매출 비중을 보면 안랩 6.4%, SK쉴더스 4.3%, 파수 4.6%, 지니언스 3.5%에 불과하다.
한국정보보호산업협회가 발간한 '2025 국내 정보보호산업 실태조사'에 따르면 정보 보안 산업의 수출 규모는 2023년 1477억원에서 2024년 1242억억원으로 15.9% 감소한 것으로 집계됐다. 내수에 집중된 보안 산업의 수익 구조가 여러 악영향을 낳고 있다는 것이 전문가의 지적이다.
국내 보안 산업의 주요 수익은 공공·금융 분야 프로젝트에서 발생하는데 입찰 경쟁이 붙는 순간 단가 인하 압력이 커진다. 구축형 납품이 많아 매출이 수주 타이밍에 좌우되며 유지보수도 단가를 끌어올리기 어렵다.
업계에 따르면 글로벌 시장에서는 소프트웨어 가격의 20~25%를 유지보수 요율로 책정하는 반면 국내 시장은 여전히 10~15% 수준에 머물러 있다. 이는 보안 기업들이 제품 판매 이후 지속적인 기술 지원과 연구 개발을 수행하는 데 필요한 재원을 고갈시키며 기업 가치 평가의 핵심 지표인 영업이익률을 하락시키는 요인이 된다.
규제의 불확실성도 투자자들을 꺼리게 한다. 정부 정책이 자주 바뀌고 그 영향이 개별 기업에 어떻게 미칠지 예측하기 어렵다. 인증·관제·클라우드 보안 기업들은 규제 강화로 수혜를 받을 가능성이 크지만 단기적으로 정책 변화에 따른 변동성은 피할 수 없다.
더욱이 지난해 대형 보안 사고가 연이어 발생했음에도 여전히 많은 국내 기업 경영진은 보안을 수익을 창출하는 투자가 아닌 사고를 막기 위해 지불해야 하는 매몰 비용으로 간주한다. 이러한 문화 속에서 보안 예산은 사고가 발생했을 때만 일시적으로 증액될 뿐 지속적인 성장을 위한 동력으로 작용하지 못한다.
결과적으로 보안 기업들의 매출은 일회성 구축 사업에 편중되어 주식 시장이 선호하는 '지속가능한 성장성'을 증명하는 데 실패하고 있다. 이러한 요인들이 종합적으로 작용하면서 보안 기업의 주가가 시장 평균을 따라가지 못하는 상황이 계속되고 있다.
◆ 정부의 정책 전환
정부는 작년 10월 '범부처 정보보호 종합대책'을 발표하고 올해 이를 구체적으로 실행에 옮길 계획이다. 세부적으로는 ▲ISMS·ISMS-P 인증 제도의 개선 ▲정보보호 공시의 확대와 투명성 강화 ▲기업 보안 책임 강화와 피해자 보호 확대다.
작년 보안 사고에서 보안 인증 제도의 실효성에 대한 의문이 제기된 만큼 ISMS·ISMS-P 인증 제도의 개선은 시급한 과제다. 그동안 자율 신청으로 운영되던 ISMS-P 인증이 내년 7월부터 공공·민간의 주요 개인정보처리시스템에 의무화된다. 통신사, 대형 온라인 플랫폼, 금융사 등 국민 파급력이 큰 기업에는 더욱 강화된 기준이 적용될 예정이다.
심사 방식도 바뀐다. 기존 서면 중심의 심사에서 현장실증형 점검으로 전환되며 예비심사에서 핵심 통제항목이 미충족되면 본심사 자체가 불가능해진다. 사고 발생 기업은 사후심사 인력과 기간이 2배로 늘어난다. 패치 관리나 취약점 점검 기준을 미달하면 아예 인증을 부여하지 않는다.
정보보호 공시 제도의 적용 범위도 확대된다. 현재 666개 기업만 정보보호를 공시하고 있지만 올해부터 상장사 전체 2700여개사로 늘어나며 공시 결과는 등급화돼 공개된다. CEO와 CISO의 보안 책임도 법령에 명문화된다.
보안 부실로 침해사고가 발생하면 기업이 아닌 개인의 입증책임을 완화하고 과징금 수입을 피해자 지원에 활용하는 기금도 신설될 예정이다. 징벌적 과징금 제도도 도입돼 최대 매출액의 3~10% 수준의 벌금이 부과될 수 있다.
이 외에도 정부는 망분리 중심의 보안에서 데이터 보안 중심으로 전환하고 금융·공공기관이 보안 소프트웨어 설치를 강요하는 관행을 올해부터 단계적으로 제한하겠다고 밝혔다.
이러한 정책 변화는 보안 시장 전체에는 구조적 성장 모멘텀을 제공할 것으로 보인다. 인증, 관제, 클라우드 보안 기업들이 직·간접적 수혜를 받을 가능성이 크다. ISMS-P 의무화로 인한 인증 수요 증가, 주요 기업들의 현장실증형 심사 대비에 따른 컨설팅 수요, 데이터 보안 중심의 새로운 솔루션 수요 등이 예상된다.
그러나 단기적으로는 보안기업들의 부담이 더 클 수 있다. ISMS-P 의무화 대상이 되는 공공기관과 보건 분야 기업들은 이미 비용 문제와 인력 부족을 호소하고 있다. 현장실증형 심사 강화로 인증 취득 난도가 높아지면 이에 대비하는 컨설팅 수요는 증가할 수 있지만 규제 불확실성으로 인한 투자 결정은 여전히 꺼려질 것 같다.
정부의 R&D 투자 방향도 변화를 시사한다. 올해 신규 과제로 인공지능(AI) 생태계 보안 내재화(36억원)와 범국가 양자내성암호 전환(36억원)이 편성됐다. 이는 기존의 네트워크·시스템 보안 중심의 원천기술 개발에서 AI와 양자 영역으로의 전략적 전환을 의미한다. 이러한 신기술 영역에서 경쟁력 있는 국내 기업이 충분한지에 대해서는 의문의 여지가 있다.
◆ 보안 산업의 기회와 과제
올해 정부의 보안 정책 추진과 글로벌 보안 기술 패러다임의 변화는 국내 보안 기업들에게 기회와 리스크를 동시에 줄 것으로 예상된다. 국내 보안 산업이 성장하면서 동시에 주가도 끌어올리기 위해서는 이러한 변화의 시기에 빠르게 대응할 수 있는 경쟁력을 갖춰야 한다.
가장 시급한 것은 국내 보안 기업의 글로벌 경쟁력 강화다. 현재 10% 미만에 머물러 있는 해외 매출 비중을 단기적으로 15~20% 이상으로 끌어올려야 한다. 내수 중심의 단가 경쟁에서 벗어나 글로벌 시장에서 기술 기반의 수익 창출이 가능해야 이익률도 개선할 수 있다.
이를 위해서는 신기술 영역에서의 인재 양성과 기업 경쟁력 확보가 중요하다. AI 기반 공격과 양자컴퓨터 시대에 대응하기 위해 관련 인재 양성에 정부와 기업이 함께 투자해야 한다. 현재 정부 R&D 예산의 규모를 감안하면 충분한 원천 기술 기반을 갖춘 기업들이 성장할 가능성이 있다.
정부의 정책 방향 투명성과 안정성 강화도 필수적이다. ISMS-P 의무화, 정보보호 공시 확대 등의 규제가 단순한 의무 부과가 아니라 기업의 자발적 참여를 유도할 수 있도록 설계되어야 한다. 정부는 규제 변화의 시간 경로를 명확히 하고 중소 기업의 대응 기간을 충분히 제공해야 한다.
보안업계 관계자는 "개별 보안기업들의 주가 부진은 국내 보안 산업의 구조적 문제를 반영하고 있다"며 "올해부터 시행되는 정부의 정책 강화가 장기적으로는 보안 시장 전체의 성장을 견인할 것이지만 그 혜택이 개별 기업에까지 골고루 미치기 위해서는 기업과 정부 모두의 노력이 필요하다"고 말했다.
Copyright © 한스경제 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.