[포럼] 정보보호 생태계 종합대책 시급하다

김태성 충북대 경영정보학과 교수 밝은인터넷연구소장

김태성 충북대 경영정보학과 교수 밝은인터넷연구소장

"선순환적인 정보보호 생태계 구축을 위해 해결해야 할 난제"

20세기 수학 분야의 발달을 이끈 동인 중에서 '힐베르트 난제'가 큰 역할을 했다고 한다. 1900년 파리에서 개최된 국제수학자대회에서 당시 유명한 수학자인 힐베르트가 20세기에 수학자들이 해결해야 할 23개 난제를 제시했고, 이 문제들을 해결하는 과정에서 현대수학이 크게 발전했다는 것이다.

ICT기술이 타산업과 융합하는 과정에서 다양한 신산업이 등장하면서 정보보호 중요성은 이전보다 더 중요해질 것이다. 5월에 출범하게 되는 새로운 정부가 정보보호 분야의 선순환적인 생태계 구축을 위해 해결해야 할 '난제' 몇 가지를 제시해보고자 한다.

첫째, 시장 성장의 정체 및 수익성 악화 : 정보보호산업은 내수 시장이 정체돼 있고 사업 수익성이 악화돼 영업이익이 자본비용을 충당하지 못하는 일명 한계기업들이 속출하고 있다.

둘째, 정보보호 인력 수급의 불일치 심화 : ICT주무부처에서 꾸준하게 정보보호인력 양성을 위한 정책을 시행해오고 있지만, 정보보호 업체에서는 필요한 인력이 없다는 하소연을 오랜기간 지속하고 있다. 정부 주도로 추진되고 있는 인력양성사업에서 배출되는 인력이 인력수요처로 공급이 되지 않고 있다.

셋째, 정보보호위협의 다양화 및 대형화 : 사물인터넷 등으로 대표되는 사물 기반의 신규 ICT 서비스가 도입되면서 공격의 대상이 되는 포인트가 증가했고, 조직적으로 활동하는 기업형 해커가 등장하면서 경제적 이익이나 정치적 목적의 대규모 공격들이 증가하고 있다. 국내 정보보호업체는 매출 기준으로 수십억원 규모의 회사들이 대부분으로 산업의 역사에 비해 대형화나 글로벌화에 성공을 하지 못해 정보의 수집이나 대응 수단의 개발을 할 수 있는 역량을 축적하지 못한 상태다.

넷째, 충분하지 않은 정보 약자의 보호 : 개인정보 유출로 인해 발생했거나 발생할 수 있는 피해에 대해 현실적인 수준의 보상이 이뤄지지 않고 있다. 정보기술에 대해 지식이 없고 관련 조언을 얻기 위해 전문가의 도움이 필요한 경우 구체적인 피해 내역이나 보상 규모 산출이 어렵다. 기업에 온정적인 국내 법원의 성향으로 인해 법원 소송에서도 보상 판결을 받아내기도 어렵다.

난제를 풀 수 있는 묘수를 제시하지는 못하더라도 난제를 해결하기 위한 접근법을 소개하고자 한다. 정보보호산업 생태계에 대한 정태적 및 동태적 분석을 통해 생태계 활성화를 위한 종합적인 대책을 수립하는 것이 필요하다. 산업생태계에 대한 정태적 분석은 기업들이 연구개발, 생산, 판매/서비스 등의 부가가치를 산출하는 과정들을 구분해 각 단계별로 산출되는 가치의 양적/질적 특성과 애로사항을 파악하는 가치사슬 분석(value chain analysis)을 통해 수행될 수 있다. 소프트웨어 기반으로 서비스 중심의 정보보안분야와 하드웨어 기반으로 제조 중심의 물리보안분야는 정책의 방향과 적용 단계에 차이를 둬야 한다는 것이다.

산업생태계에 대한 동태적 분석은 정보보호산업을 과거에서부터 미래까지 종적으로 분석하면서 현재까지의 산업발전과정에서 수반된 문제점을 포착하고 미래에 대비하기 위해 수행된다. 정보보호산업 내의 M&A 역사, 성공 및 실패 사례 등을 분석해 창업환경의 변화방향, 성장을 주도해 온 전략분야(기술, 시장, 고객대응 등)의 변화 추이를 분석하는 사례 기반의 접근 방법이 가능하고, 유사한 소프트웨어 중심 산업(예, 게임산업) 또는 유사한 환경의 해외 정보보호산업(예, 이스라엘)과의 비교를 통해 국내 정보보호산업에서의 시사점을 도출하는 벤치마킹 방법이 가능하다.

힐베르트가 1900년에 제시했던 23개 난제 중에서 절반 정도가 해결됐고 그 과정에서 정보통신의 발달과 같은 산업적인 성과가 있었다. 새로운 정부에서 정보보호 산업과 관련된 난제 중에서 몇 가지를 해결할 수 있을 것인가와 그 과정에서 산업에는 어떠한 성과가 있을 것인지가 기대된다.