[성공예감] 구글은 재난복구‧데이터에 95억 달러 쓴다…카카오 보고있나?

=======================================================
인터뷰 자료의 저작권은 KBS라디오에 있습니다.
전문 게재나 인터뷰 인용 보도 시,
아래와 같이 채널명과 정확한 프로그램명을 밝혀주시기를 바랍니다.
=======================================================

- 경제 불황기에도 사이버, 네트워크 보안 분야에 투자금 몰려
- 구글, 메타 등 글로벌 빅테크 재난복구 시스템 투자로 IT 인프라 확충... 우리나라 다소 미흡한 상황
- 코로나19 이후 사이버 보안 중요... 최고 보안 책임자(CSO) 도입하고 예산 책정하는 곳 증가
- 사이버 보안 대부분 B2B 서비스라 시장 넓지 않았지만, 위험 다양해지면서 스타트업도 증가
- 미국의 시큐로닉스, 온라인 보안 서비스 제공... 올해 1분기 보안 분야에서 가장 큰 규모의 투자 유치
- 이스라엘 R&D, AI, 디지털 IT 강국... 미국에 이어 사이버 보안 기업 점유율 높아
- 이스라엘 지정학적 요인 때문에 사이버 공격은 국방 위협으로 연결... 국가 주도 사이버 보안 육성
- 국내 사이버 보안 스타트업은 초기 단계, 전통적인 대기업이 하지 않았던 서비스 발견하고 진행
- 다양한 소프트웨어와 네트워크망 연결 등으로 자율주행, 커넥티브 자동차 분야가 향후 보안 취약할 것으로 예상
- 현재 화이트 해커들이 자동차 제조업체와 협업하며 해킹 실험... 국제적으로 사이버 보안 규정 만드는 상황
- 국내 스타트업 '아우토크립트' 자율주행 보안 기술 개발... '모라이'는 자율주행 신뢰성 검증 서비스
- 원격과 재택근무 보안 문제... 사내 보안과 클라우드 데이터 관리하는 스타트업과 서비스 증가
- 사물인터넷, 스마트 빌딩, 스마트 시티 등 향후 사이버 보안 필요 산업 분야 확장

■ 프로그램명 : 성공예감 김방희입니다
■ 방송시간 : 10월 19일(수) 09:05-10:53 KBS1R FM 97.3 MHz
■ 진행 : 김방희 소장 (생활경제연구소)
■ 출연 : 조가연 이사(가우스벤처)


◇김방희> 잠시 후 11시에 카카오가 먹통 사태에 대한 사과 기자회견을 한다고 합니다. 남궁훈 대표가 사퇴한다고 지금 알려지고 있는데 글쎄요, 이게 사과의 핵심이 돼야 될지는 모르겠군요. 사실은 스톡옵션 행사로 투자자들한테 원성도 많이 샀던 분인데 이번 카카오 먹통 사태로 IT강국의 허점이 드러났습니다. 이 틈을 파고들고 해킹 메일이나 스미싱 문자 같은 사이버 공격도 기승을 부리고 있어서 주의가 필요한데요. 모든 게 지금 온라인, 모바일 사이버 공간으로 연결되면서 보안 산업의 중요성이 커지고 있습니다. 실제로 성장세도 가팔라서요. IT 쪽 시장조사업체죠. 가트너에 따르면 글로벌 정보보안 시장이 2024년까지 연 평균 10%씩 규모를 확대해 나갈 전망입니다. 요즘 시장 성장률이 10%가 넘는 산업이 거의 없습니다. 그런데 이건 상당히 유망한 거죠. 그래서 오늘 미래생활사전 시간에는 가우스 벤처스 조가연 이사와 사이버 보안의 세계 또 이곳에서 사업의 기회를 포착한 스타트업들 얘기를 좀 해보겠습니다. 어서 오십시오.

◆조가연> 네, 안녕하세요.

◇김방희> 직함이 바뀌셨네요.

◆조가연> 네, 바뀌었습니다.

◇김방희> 회사를 옮기신 모양이군요. 유능한 분들이 회사를 요즘 자주 옮기더군요.

◆조가연> 자주는 아닙니다.

◇김방희> 카카오 먹통 사태 때 개인적인 피해는 없었습니까?

◆조가연> 주말 사이 터졌다 보니까 아쉽게도 집순이는 연락이 원래 안 오기 때문에 알아차리는 데 시간이 걸렸습니다.

◇김방희> 그렇군요. 카카오 먹통 사태는 지금 화재 원인에 대해서는 조사나 규명이 더 필요하겠습니다마는 어쨌든 그런 일이 벌어졌을 때 대비하지 못했다는 게 지금 상당한 논란거리인데 국내 빅테크 기업이 의외로 빅테크라는 말에 어울리지 않게 대비 태세가 충분치 못하다는 걸 확인했는데 해외 쪽은 어떤지 모르겠어요.

◆조가연> 사실 이게 원래 요즘 같은 경제 불황 와중에도 벤처 투자가 상대적으로 몰리는 분야가 이런 사이버 보안이나 네트워크 보안 분야이기는 합니다. 그래서 투자자들도 주목하던 중에 이번에 카카오 화재 사태가 일어난 건데요. 사실 화재 같은 경우는 워낙 예측이 불가능한 재난의 영역이어서 누구를 비난할 수는 없겠으나 해외 빅테크 기업들을 보면 이런 사건 사고를 대비한 재난복구시스템, 소위 내부적으로 DR이라고 부르는 시스템을 이미 가지고 있습니다. 또 이번에 좀 문제가 됐던 데이터센터 같은 경우도 여러 지역이나 여러 지점으로 분산을 시켜서 관리를 하고 있거든요. 그래서 화재나 태풍 같은 자연재해가 나거나 전쟁이 나거나 또는 내부의 결함이나 담당자가 실수를 하더라도 내부적으로 자연스럽게 시스템이나 정보망을 연계해서 서비스할 수 있도록 좀 가지고 있는 상황입니다. 사실 뉴스도 나왔지만 구글 같은 경우도 올해에만 우리 돈으로 13조 정도를 들여서 이런 재난복구 시스템을 이미 만들었고요.

◇김방희> DR이라고 불리는 재난 복구 시스템에만 13조 원이나 썼다는 말씀입니까?

◆조가연> 올해에만 13조 원을 썼습니다. 그리고 데이터센터 같은 경우도 올해 3개를 추가로 구축했는데 이미 미국 안에 26개 주의 데이터센터를 가지고 있습니다. 페이스북이었던 메타 같은 경우도 올해 8조 원 정도를 투자해서 데이터센터 같은 IT 인프라들을 보완을 하고 있고요. 그래서 상대적으로 글로벌 빅테크 기업들의 투자와 비교했을 때에는 조금은 미진한 부분이 있는 것 같습니다.

◇김방희> 어제도 저희 기자들하고 이 얘기를 했습니다마는 상당히 투자금액이 적어서 130억 원대여서 방대한 데이터센터의 재난복구시스템 치고는 너무 적은 게 아니냐, 이런 지적이 있었는데 구글이나 메타 얘기를 들으니까 실감이 나네요. 사실은 이런 미국의 빅테크 기업들의 데이터센터에 대한 투자가 집중되면서 우리 반도체 경기도 부정적인 전망을 한 한두 분기를 더 미룰 수 있었던 거거든요. 이게 여기서 워낙 많은 칩을 필요로 하니까. 기업 입장에서 보면 이 금액들이 놀라운 게 뭐냐 하면 이게 기업은 자신들의 활동을 수익 사업과 비용 사업으로 나누는데 코스트센터, 베니핏센터, 프로핏센터 이렇게 얘기를 하는데 수익이 나는 건 아니잖아요. 이 분야는. 그런데도 이렇게 많이 투자한다는 얘기는 이게 기업의 생존과 직결된다는 걸 알고 있는 거군요.

◆조가연> 이 투자가 수익과 직결되지 않는다고 판단하는 게 아마도 문제일 것 같기는 합니다. 사실은 IT나 디지털 회사 같은 경우는 온라인 서비스를 지속적으로 연계시키는 것이 결국 수익과 연계되어 있는 거고요. 제품 개발하는 곳들은 또 R&D에 쏟아야 하는 건데 상대적으로 국내 기업들이 이런 사이버 보안이나 디지털 인프라 구축에 조금은 무관심했던 것 같습니다. 그래서 이번 같은 소위 서비스 블랙아웃 사태가 일어난 게 아닌가라고 보고 있는 편인데요. 글로벌 대기업들을 보면 최근에 이게 최근뿐만 아니라 이미 수년 전부터 CSO라고 하는 직책을 신설했습니다. 이게 최고 보안 책임자인데요.

◇김방희> S가 Security 그래서. 보안을 담당하는 분들을 임원으로 놓죠.

◆조가연> 네, 맞습니다. 그래서 물리적인 환경뿐만 아니라 이런 온라인 사이버 환경에서 전체적인 보안 상태를 책임지는 최고 경영진을 자리를 만들어뒀고요. 특히나 사이버 보안을 위한 예산들을 별도로 책정하는 곳들도 굉장히 늘어나고 있습니다. 이게 코로나19 이후로 더더욱 중요성이 강조되고 있는데 2020년도 중반에 코로나가 본격화된 시점이었잖아요. 이때 이후로 전 세계 사이버 공격 빈도가 약 1.8배에서 2배 정도 늘었다고 분석을 하고 있습니다. 그런 것들을 봤을 때에는 당연히 이런 네트워크 보안이 중요해질 수밖에 없고 최근에는 국내에도 일부 손해보험사들이 이런 랜섬웨어나 사이버 공격이나 재난에 대비한 사이버 보험을 출시하고 판매를 하고 있습니다. 실제로 꽤 많은 빅테크 기업들이 이런 사이버 보험에 가입을 해서 사이버 보안 예산에도 이것들을 포함하고 있고요. 그 정도로 이미 네트워크 보안이나 이런 온라인 보안에 경각심은 이미 있었다라고 보면 좋으실 것 같습니다.

◇김방희> 화재로 인한, 그러니까 자연재난으로 인한 사고였습니다 마는 이번 경우는. 사실은 사이버 공격 같은 물리적인 위협들도 있으니까 이 모든 걸 사이버 보안 산업을 통해서 해결하려고 하는 움직임이 일고 있는 건데 언제부터 이렇게 데이터 보호라든가 데이터 인프라에 세계적인 기업들이 집중 투자하기 시작한 겁니까? 특별한 계기가 있었습니까?

◆조가연> 온라인이나 이런 웹의 서비스가 시작되었던 초창기부터 분명히 인식은 있었고요. 다만 확산된 것은 2001년 9.11 테러가 기점으로 보고 있습니다. 이 당시에 세계무역센터에 입주해 있던 거의 3~400여 개 기업들의 전산 시스템이 붕괴가 됐는데 당시에 입주했던 기업들이 글로벌 주요 자산운용사들이 굉장히 많이 있었고요. 물론 며칠 내에 복구가 되기는 했지만 어떤 한 지점에 데이터센터를 구축하는 것은 굉장히 위험하다는 인식을 하게 되는 시점이었습니다. 주요 정부기관이나 기업들 모두 같은 생각인데 미국 바이든 정부 같은 경우도 작년에 구글이나 마이크로소프트 같은 빅테크 기업들을 전부 소집했는데요. 여기에서 디지털 인프라를 가지고 있는 주요 민간 기업들은 반드시 사이버 보안에 투자를 해달라고 당부하기도 했습니다. 특히 클라우드나 데이터 관련 사업을 하고 있는 사업자들은 가장 중요한 건 데이터 센터를 다각화하고 사고에 대비하는 게 중요하다고 강조했는데요. 앞서 말씀하셨던 IT 조사업체인 가트너 같은 경우도 이런 온라인 보험이나 위험 관리 분야가 거의 매년 10%씩 증가할 거다. 그래서 내년에만 전 세계 시장 규모가 260조 원이 될 거라고 이야기하고 있습니다.

◇김방희> 이번 사태도 사실은 추후에 분쟁이 예상되는 분야가 하나는 데이터센터를 운영하는 SK C&C하고 이번 사태의 직접적 당사자인 카카오 간의 분쟁도 있을 테고 또 이 양사가 든 보험과 관련해서 보험 산업과 갈등이 있을 수도 있는데 지금 이미 이런 시장의 흐름이 형성되고 있다는 걸 세계적인 자료를 통해서 확인할 수가 있군요. 기업들이 데이터 보안에 기꺼이 큰돈을 투자한다는 게 확인됐는데 그 얘기는 말을 바꾸면 스타트업 업계에서도 이 분야가 상당히 유망한 시장이라고 봐야 되겠는데요.

◆조가연> 그동안 굉장히 많은 스타트업 산업들을 소개해 드렸는데 사실 아마 사이버 보안은 처음인 것 같습니다. 누적 유니콘이 많은 곳들은 당연히 핀테크나 소프트웨어 같은 것들 또는 전자상거래가 많을 수밖에 없고요. 다만 이런 데이터 분석을 하고 사이버 보안을 하는 스타트업들도 유니콘 순위에서는 거의 10위권 안으로 들어오고 있습니다. 순위권이 매년 상승하고 있는 중이고요. 사실은 이 사이버 보안 분야가 보통 B2B 서비스라고 해서 기업과 기업 간의 영업으로 이루어지는 서비스다 보니까 상대적으로 전통적인 사이버 보안 기업들인 대기업에 비해서 스타트업에 진입할 시장이 아주 넓은 편은 아닙니다. 그럼에도 불구하고 위험 방식이 굉장히 다양해지고 있고 대기업뿐만 아니라 중소기업 또는 개인들도 이런 온라인 보안이나 디지털 보안에 대한 필요성이 증가하면서 신생 스타트업도 증가하고 있고 자연스럽게 벤처 투자금도 증가하고 있고요. 이번 1분기 사이버 보안 스타트업 투자금을 보니까 작년 동기 대비 한 50%가 증가했습니다. 우리 돈으로 7조 5천억 원 정도 규모인데 워낙 코로나19 이후로 온라인 전환이 가속화되고 있고 이미 쇼핑이나 재택근무나 교육 같이 대부분의 생활들이 원격이나 온라인으로 이뤄지고 있고요. 당연히 온라인 의존도가 상승할수록 관련된 보안들도 중요해질 것이라고 보고 있습니다.

◇김방희> 구체적으로 세계적인 사이버 보안 관련 스타트업들 생태계를 알아볼 텐데 보안 분야에서 가장 앞서는 곳은 어디예요?

◆조가연> 당연히 미국 시장을 볼 수밖에 없습니다. 관련된 빅테크 기업들도 가장 많이 있고 거기에 자연스럽게 인프라가 개발되어 있고 R&D 활동이 많이 이뤄지는 것도 미국의 사이버 보안 분야입니다. 안티바이러스나 신원 확인 암호화 기술, 굉장히 다양한 기술들이 등장하고 있는데 오늘 소개해드릴 곳은 시큐로닉스라고 하는 회사인데요. 올해 1분기에 사이버 보안 분야에서는 가장 큰 규모의 투자를 유치했습니다. 여기가 투자금으로 10억 달러, 우리 돈으로 한 1조 2천600억 원 정도를 받았는데 저희가 그동안 유니콘을 소개할 때 기업 가치, 그러니까 유니콘 회사 몸값이 10억 달러라고 얘기를 했는데요. 여기는 기업 가치가 아니라 투자금으로만 10억 달러를 받았습니다.

◇김방희> 대단하네요, 어떤 회사인가요? 어디에 있고요.

◆조가연> 미국의 텍사스에 본사를 두고 있고 2008년도에 설립된 회사입니다. 주로 클라우드나 데이터 서비스하는 기업들을 대상으로 온라인 위협을 탐지하고 거기에 대응 방안들을 제공하고 있는 온라인 보안 서비스를 하고 있고요. 보통 이런 서비스 업체들을 SIEM이라고 부릅니다. 한국어를 풀어보면 보안정보 및 이벤트관리사업자라고 부르는데요. 이런 것들이 보통 회사 조직이나 회사가 이용하고 있는 통신망 안에 어떤 보안 위협이 있는지를 늘 실시간으로 탐지하고 분석하고 대응할 수 있도록 도와주는 곳입니다. 앞서 말씀드린 것처럼 이런 사이버 보안이 어떻게 보면 태생적으로 기업 간 영업을 해야 되는 비즈니스다 보니까 스타트업들이 진입하기는 어려웠는데요. 여기는 2008년도부터 차근차근 사업을 일궈와서 유니콘 지위까지 올라와 있습니다.

◇김방희> 얼마 전 우리나라에서도 먹통 됐던 그 알약, 그런 거 하고 비슷한 보안업체다, 이렇게 보면 됩니까?

◆조가연> 간단하게 그냥 사업을 한마디로 얘기하자면 큰 틀에서는 같다고 볼 수 있고요. 다만 상세하게 들어가면 구체적으로 어떻게 이루어지나라고 얘기를 드리자면 고객사가 가지고 있는 네트워크망이나 클라우드 데이터나 서버들이 있을 것입니다. 이게 원천 데이터라고 볼 수 있는데 이 원천 데이터들 또는 원천 네트워크망 안에 실시간으로 데이터 현황이 어떤지 상태가 괜찮은지 내부나 외부의 위험 요소나 위협은 없는지를 추적하고요. 여기에 AI, 기계학습 같은 AI 기술이 활용이 됩니다. 그래서 눈에는 보이지 않지만 어떤 특정한 신호가 갑자기 등장한다거나 비정상적인 신호가 있을 때 이런 것들을 이상 징후로 검출을 해서 각기 다른 망 안에 있는 위협 요소들을 연결을 하고요. 그리고 이런 것들은 당연히 실시간으로 보고하면서 자동화된 서비스가 실시간으로 해결을 하기도 합니다. 당연히 해커들의 기술이 진화할수록 위협 분석 기술도 같이 진화를 하고 있기 때문에 이 회사 같은 경우도 기계 학습이나 이런 위협 분석 관련된 특허를 굉장히 많이 가지고 있고요. 또 그동안 알려지지 않았던 신호나 위협들도 빠르게 검출하는 기술들을 추가적으로 개발하고 있습니다.

◇김방희> 그런데 이 사이버 보안이 강화되면서 벌어지는 일이긴 합니다마는 무서운 얘기가 될 수도 있겠네요. 직원들 모니터링 하는 거 아니냐 하는 논란도 미국에서는 벌어지고 있는데 실제로 이게 가능한가요?

◆조가연> 이게 당연히 외부의 위험도 중요하지만 내부의 어떤 리스크도 분명히 존재를 하기 때문에 보안 모니터링 서비스가 직원 모니터링을 하고 있다는 이야기도 나오고 있습니다.

◇김방희> 논란이 많더라고요.

◆조가연> 사실 이게 이런 신조어도 있었는데요. 코로나19 팬데믹 초창기였던 2020년도 초반에 보스웨어라고 해서 Bossware.

◇김방희> 보스가 지켜보고 있다.

◆조가연> 보스웨어라고 하는 소프트웨어 별칭도 생겼습니다. 이런 것들이 보통 회사 내나 사내 모니터링하고 있는 서비스인데요. 이제 시큐로닉스 같은 경우도 일부 서비스 중에 하나가 내부의 위협 요인들을 분석하고 감지하는 기능이 있습니다. 이게 뭐냐 하면 내부 직원이 자신이 허가받지 않은 보안 파일에 접속을 한다거나 또는 본인이 속한 팀이 아닌데 외부 팀의 어떤 중요한 핵심 기술 자료를 열어본다거나 기밀 데이터를 염탐한다거나 또는 사내에서 보안이 허가받지 않은 개인 이메일이나 노트북을 사용하는 것들도 검출하고 감지할 수 있습니다. 실제로 시큐로닉스 소개 자료 중에 하나를 보니까 보안 허가가 없는 직원 또는 퇴사 예정자가 보안파일에 접속했던 걸 탐지해서 밝혀냈다. 이런 슬라이드도 있더라고요. 그런 기능들도 가지고 있다고는 합니다.

◇김방희> 그런 경우라면 사실 필요한 보안 활동이겠지만 일상적인 감시까지 하게 되면 선을 넘는 거여서 논란이 되는데 우리나라는 아직은 그 정도는 아닐 것 같은데 국내에서도 이 문제가 꼭 이슈가 될 것 같은 느낌이 드는군요. 스타트업 업계에 계신 분들은 잘 아는 얘기입니다마는 요즘 세계의 흐름을 주도하고 있는 곳 가운데 하나가 미국 외에 이스라엘이죠. 이스라엘 특히 사이버 보안 분야 같은 분야는 전문적인 영역이라 투톱으로 미국 외에 이스라엘을 꼽을 수밖에 없는 거죠?

◆조가연> 이스라엘이 특히 R&D나 AI나 이런 디지털 IT 쪽에서는 굉장한 강국이긴 합니다. 굉장히 큰 몸값에 인수가 됐던 자율주행 모빌아이 같은 경우도 이스라엘 기업이기도 했고요. 눈여겨볼 만한 시장인데 미국 못지않게 사이버 보안 기술이나 시장 규모나 스타트업들을 보유를 하고 있습니다. 소위 이야기되기로는 전 세계 사이버 보안 시장에서 이스라엘 기업들이 점유하고 있는 게 10~15% 정도라고 얘기를 하고 있는데 사실 이스라엘 자체 시장은 1%에 불과한 편입니다. 작년 기준으로 사이버 보안 분야의 유니콘 기업들도 7개 정도를 가지고 있다고 이야기가 되고 있는 상황입니다.

◇김방희> 대단하네요. 사실은 꼭 이 분야만이 아니더라도 워낙 좋은 스타트업 생태계를 가지고 있어서 우리도 롤 모델 국가로 꼽는 곳이 이스라엘인데요. 이스라엘이 유독 보안 문제에 공을 들이고 또 잘하는 이유나 배경도 있죠?

◆조가연> 지정학적 요인을 당연히 얘기해야 될 것 같고요. 온라인 공간에서의 사이버 테러나 공격 같은 경우도 국방의 주요한 위협으로 인식하다 보니까 그동안 R&D들을 많이 했던 것 같습니다. 2000년대부터는 전쟁이나 테러 위협이 실질적으로 사이버 공간으로 확장이 되다 보니까 국가적으로도 사이버 보안 태스크포스를 만들면서 국가 주도 육성을 하고 있고요. 2011년도부터는 총리실 아래에 국가 사이버국을 조금은 이르게 설립을 해서 관련된 투자를 많이 하고 있습니다. 또 앞서 말씀해 주신 것처럼 워낙 이스라엘 같은 경우는 좋은 IT 인력들을 가지고 있는 편이다 보니까 실제로 구글이나 인텔이나 마이크로소프트 같은 글로벌 IT 기업들이 거의 대부분 이스라엘에 R&D 센터를 가지고 있거든요. 그렇다 보니 현지에 사이버 보안 기업들이나 인력들이 잘 양성해 됐던 것도 한 몫을 한 것 같습니다.

◇김방희> 그래서 왜 이란 핵 프로그램 같은 거 사이버 공격으로 유예시킬 때도 미국과 협력했다. 이런 얘기들이 나오고는 했는데 아무래도 사이버 보안 쪽 군인들이 강하다 보니까 본인들이 스타트업 창업하는 모양이던데 이스라엘에서는 이게 굉장히 익숙한 풍경이라면서요.

◆조가연> 이스라엘은 일단은 성인이 되면서 대부분 군대를 가다 보니까 그런 경험들이 좀 많이 있고요. 그렇다 보니 모든 창업가가 군대 출신이긴 할 겁니다. 아마도. 특히나 이쪽 같은 경우는 정부와 군 그리고 대학 산업계가 연계되어 있는 인력 양성이 굉장히 잘 되어 있고 또 이스라엘 국가 자체가 스타트업 창업을 굉장히 권장하는 곳이다 보니까 창업 사례가 굉장히 많은 편이긴 합니다. 특히나 이런 온라인이나 보안 분야에는 이스라엘 정보부대 출신 IT 기업가들이 굉장히 많다고 이야기되고 있는데요. 국방부 산하에 이스라엘 방위군이 있는데 그 안에 가장 큰 군대가 사이버 인텔리전스 그러니까 사이버 작전을 수행하는 유닛 8200이라고 하는 곳이 있습니다. 여기가 전장에 있는 거의 대부분의 사이버 방어 업무를 수행하는데요. 여기서 이 부대 출신이 창업한 IT 기업만 1천 곳이 넘는다는 통계도 나올 정도로 군대에서 IT 훈련과 신기술을 습득하고 다시 사회에 복귀한 다음에 관련된 스타트업을 창업하는 사례가 굉장히 많이 있다고 이야기되고 있습니다.

◇김방희> 이스라엘 얘기를 하면서 우리도 그렇다 그런 얘기를 했는데 생각해 보니까 이스라엘은 여자들도 2년간 군 복무를 하니까 좀 차이는 있군요. 그런데 군 출신으로 스타트업 창업해서 키운 대표적인 사례가 어떤 겁니까?

◆조가연> 2012년도 11년 차 회사인 사이버리즌이라고 하는 회사가 있습니다. 여기가 실제 본사는 미국 보스턴에 있지만 창업가들이 이스라엘 정보부대, 앞서 말씀드린 유닛 8200, 8200 출신인데요. 소위 사이버 킬체인이라고 하는 기술을 가지고 있습니다. 이게 뭐냐 하면 단순하게 위협을 사전에 탐지하는 것뿐만이 아니라 인공지능 같은 것들을 활용해서 위험 단계별로 탐지해서 경고를 할 수 있고요. 또 공격에 대해서 직접 방어를 하기도 합니다. 앞서서 말씀드렸던 랜섬웨어 같은 경우도 사실은 랜섬웨어에 감염되면 사용자나 기업이 활용하고 있는 컴퓨터가 외부의 해커에 의해서 장악되고 데이터를 암호화시켜버리는 공격인데요. 그래서 우리가 이걸 정상적으로 작동하게 해줄 테니까 얼마를 줘라, 라고 하는 금품을 요구하기도 하는데 워낙 온라인 사용들이 늘면서 관련된 데이터나 이런 공격들이 늘어나고 있고 당연히 사이버리즌 같은 이런 서비스들이 선제적 대응을 할 수 있다는 점에서 성장을 하고 있는 것 같습니다.

◇김방희> 랜섬웨어 공격과 금품 협박은 금품은 대개 가상화폐로 요구한다고 하던데 우리 기업들에서도 지금 많이 벌어지고 있거든요. 언론을 통해서 알려진 건 빙산의 일각이고 그런데 지금 수준이 이걸 탐지하고 대응하는 선에 그치고 있는데 아예 랜섬웨어 공격 자체를 뿌리 뽑을 수는 없습니까? 기술적으로는.

◆조가연> 사실 A라고 하는 보안망을 만들면 A라고 하는 랜섬웨어가 몇 시간 안에 만들어지다 보니까 실질적으로 완전하게 랜섬웨어 공격을 막는 방법은 없다고 보는 것 같습니다. 또 랜섬웨어 공격을 돈으로 해결한다고 하더라도 한 조사를 보니까 돈을 지불한 뒤에 기업 중 80%는 한 달 안에 또 다른 랜섬웨어 피해를 입는다는 조사 결과도 나오고 있고요. 앞서 말씀드린 이스라엘 출신 창업가 사이버리즌 창업진 같은 경우도 본인들이 직접 국가에서 해킹 방어를 하는 활동을 하면서 겪은 경험을 가지고서 이런 사이버 보안 쪽 사업을 창업했다고 얘기를 하고 있습니다. 그 덕분인지 작년 7월에 한 2억 7500만 달러 우리 돈으로 4천 억 정도 투자를 받았는데요. 거기에 참여했던 투자자 중 한 명이 트럼프 행정부의 재무장관입니다. 국가적으로도 굉장히 관심이 높은 사업이라고 볼 수 있을 것 같습니다.

◇김방희> 아까 우리 기업들 피해도 많다. 알려진 것보다는 훨씬 더 많다 이런 말씀드렸는데 실제로 우리나라가 이스라엘에 이어서 두 번째로 랜섬웨어 공격을 가장 많이 받는 나라인데 우리는 말로는 IT 강국인데 이런 사이버 공격에 상당히 취약한 편인가 보죠?

◆조가연> 안타깝게도 어떤 온라인이나 디지털 회사들이 그 서비스의 연속성을 유지하기 위한 이런 보안 쪽에는 상대적으로 투자가 부족했던 게 아닌가라고 업계에서 이야기를 하고 있는데요. 앞서 얘기 드린 것처럼 글로벌 선두 기업들은 C레벨 주요 경영진의 늘 최고 보안 책임자 또는 정보 보안 책임자들을 올려놓고 있고 빅테크 기업들은 올해에만 거의 100조 원 가까이 들여서 데이터센터나 이런 온라인 재난복구 DR시스템을 만드는 것들을 하면서 이미 대비를 해왔었습니다 한국 같은 경우도 이번 그 사건이나 전에 KT 화재 사건들도 있었고요. 일련의 사건들을 겪으면서 온라인 서비스에 대한 데이터 센터 확보 또는 안전망 서비스에 대한 좀 더 경각심이 생길 것 같습니다.

◇김방희> 지금 말씀해 주신 C레벨은 청취자 여러분들 이해를 돕기 위해서 설명드리면 C자가 들어간 경영진이라는 뜻입니다. 이제 CEO. CFO, CTO, 이런 것처럼 칩이 들어간 경영진을 뜻하고 이분들이 모이는 데를 C스윗이라고 부릅니다. 이걸 그래서 그냥 경영진을 뜻하는 속칭으로 받아들이시면 됩니다. 사이버 보안은 우리한테도 이렇게 중요한 거니까 어떻게 보면 말을 바꾸면 돈이 된다는 얘기니까 국내 스타트업도 꽤 있지 않아요?

◆조가연> 글로벌 시장에서도 전통적인 대기업들 외에 스타트업이 치고 나오기 시작한 게 사실 상대적으로 최근이고요. 그렇다 보니까 사이버 보안 시장이 국내에서도 스타트업들은 아직 초기 단계이기는 합니다. 대기업인 삼성SDS나 SK쉴더스 같은 곳들이 클라우드 보안에서는 아직까지는 점유율을 높게 가지고 있는 상황이고요. 핀테크 분야에서 조금 떠오르고 있는 곳 중에 하나가 에버스핀이라고 하는 스타트업입니다. 설립으로는 2014년도에 설립돼서 연차는 좀 됐지만 핀테크 IT 보안 컨설팅으로 사업을 시작해서 최근에는 클라우드 보안으로까지 사업 영역을 넓히고 있는 스타트업 중에 한 곳입니다.

◇김방희> 이런 기업들이 가진 강점이나 특징은 뭐예요?

◆조가연> 일단은 전통적인 대기업들이 조금은 번거로워서 하지 않았던 하지만 서비스가 필요한 영역들을 먼저 발견해서 진행하고 있는 게 아닌가라고 추정을 해보는데요. 매일 새로운 형태의 보안 코드를 만들어서 해킹을 방지하는 서비스도 있고요. 또 고객사들이 어떤 보안 취약점이 있는지 맞춤형으로 발견해서 해결해주는 서비스도 진행하고 있습니다.

◇김방희> 매일 새로운 보안 코드를 만들어낸다. 군에서 암구어라고 매일 바꾸는 것 같은 상황이 연상되는데 뚫지 못하게끔 하려는 거겠지만 기업 입장에서는 너무 수고가 많이 들어가는 노력이 많이 들어가는 일 아닌가요?

◆조가연> 이 회사가 최근에 한 행사에서 한 얘기를 보니까 이미 만들어져 있는 미로는 시간이 걸리더라도 어쨌든 풀린다. 그렇기 때문에 아예 매일 새로운 미로를 만들어야 한다고 본인들의 전략을 설명을 하던데요. 실제로 자체 보안 시스템이 어떻게 작동하는지 보면 소위 금융 앱이라고 얘기를 했을 때 금융 앱이 실행될 때마다 매일 다른 보안 소스 코드를 만들어냅니다. 그렇게 해서 해킹을 방지를 하고 또 해커를 분석하고 또 변조를 탐지하는 보안 코드도 일정 주기마다 자동적으로 바꾸고 있고요. 회사에서 이야기하기로는 본인들이 이러한 관련된 기술을 전 세계 11개 국가에 약 30여 개 특허로 보완을 하고 있다고 이야기를 하고 있습니다.

◇김방희> 가우스 벤처의 조가연 이사와 함께 사이버 보안 산업에 대한 얘기를 하고 있습니다. 이번 카카오 먹통 사태 같은 화재로 인한 자연재난도 있지만 악의적 공격까지 사이버 보안의 대상이 되는 위협들이 다양한데 글쎄요, 이게 질문이 성립되는 건지는 모르겠습니다만 어떤 분야가 사이버 보안에서 가장 앞으로 취약할까요? 그게 또 돈이 되는 분야일 테니까요.

◆조가연> 시장 규모나 위험성으로 봤을 때 업계에서 많이 이야기가 나온 것들이 자율주행 자동차 또는 소위 커넥티브 카 분야가 이야기되고 있습니다.

◇김방희> 차를 해킹한다?

◆조가연> 사실 자율주행을 구동시키려면 굉장히 많은 소프트웨어와 주변의 사물이나 교통 상황들을 인지하기 위한 네트워크망 연결이 실시간으로 필요하고요. 여기에 외부 해킹 같은 보안 사고가 생긴다면 사실은 굉장히 움직이는 자동차다 보니까 사람의 생명과 직결되는 부분이다 보니 위험성이 크기는 합니다. 실제로 최근에 자동차들 구매해 보신 분들 보면 잘 아시겠지만 한 10년 전에 비해서 너무나 많은 소프트웨어가 탑재되어 있고요.

◇김방희> 너무 전기전자 부품들이 많아서 사람이 손을 댈 수가 없는 상황이 됐죠.

◆조가연> 맞습니다. 또 대규모 내부의 네트워크를 외부로 연결시키거나 스마트폰으로 연결시키거나 관제센터에 연결시키는 여러 가지 통신망들도 존재를 합니다. 이렇게 네트워크나 온라인 접점이 늘어날수록 당연히 외부로부터의 해킹이나 데이터 문제가 일어날 수 있고요. 그렇다 보니 자율주행이나 커넥티브 카 분야, 모빌리티 분야에서도 사이버 보안이 중요하다고 판단하고 있습니다.

◇김방희> 객관적으로 지금 우리가 몰고 다니고 있는 내연기관차 대비 그러니까 그리고 사람들이 직접 다 모든 기능을 수행해야 되는 차 대비 자율주행차가 오히려 보안에 취약할 수 있다. 이렇게 업계에서도 보고 있는 겁니까?

◆조가연> 쉽게 말하자면 사실 그런 편이고요. 사실 실제로 하는 화이트 해커가 전기차 같은 것들을 해킹하는 경우도 있습니다. 올해 5월에 영국의 한 사이버 보안 기업이 전력이 낮은 블루투스 기술을 활용해서 수백만 개의 잠금장치, 디지털 잠금장치들을 풀어내면서 취약점을 발견한 적이 있는데요. 이게 한 테슬라 모델에도 차량 잠금장치 해제에 활용이 되면서 보안 이슈가 이야기됐습니다. 이게 해커가 잠금장치를 여는 데 한 2분 30초 정도가 걸렸다고 하니까요. 앞서서 2016년도에도 일본의 닛산 차량 전용 스마트폰 앱이 해킹을 당하면서 당시에 자동차 문이 자동으로 열리는 이슈도 있었고요. 사실 한 5, 6년이 지나서 2030년도에는 도로 위 차량의 12%가 완전 자율주행 차량일 것이라고 전망되고 있다 보니까 그러려면 당연히 차량과 외부 사물들을 인지하고 또 외부의 온라인망과 연결되는 통신이 굉장히 필수적인데 거의 24시간 동안 연결이 되는 거죠. 당연히 그렇다 보면 지금의 PC 통신이나 스마트폰만큼 자동차도 사이버 공격이나 해킹의 대상이 될 수 있다는 위험성은 있을 것 같습니다.

◇김방희> 그래서 실제 영화 같은 데는 자동차 해킹하는 기술들이 많이 등장하는데 그런데 이런 온라인 공격을 막을 보안 기술은 지금 수준이 어떻습니까?

◆조가연> 아직까지는 자동차 사이버 보안 문제들을 발견하기 위해서 화이트 해커들이 자동차 제조업체들과 함께 협업해서 해킹 실험을 하고 있는 상황이고요. 또 국제적으로도 사이버 보안 규정, 자동차와 관련된 사이버 보안 규정 국제 기준이나 가이드라인을 만들고 있는 상황이기는 합니다. 다만 이게 100% 해결했다고 얘기하기는 좀 어려울 것 같고요. 자율주행차가 사실은 그러면 이 온라인 네트워크망을 포기할 수 있느냐? 절대 그럴 수가 없습니다. 실시간으로 위치를 식별하는 GPS도 필요하고 또 내부에 굉장히 많은 대량의 데이터를 운전을 하다 보니까 당연히 빠르고 실시간으로 처리를 해야 하는 상황이고요. 실시간으로 처리하려면 당연히 데이터가 너무 고도로 암호화되어 있으면 전송이 어렵다 보니까 암호화를 많이 하기는 어렵습니다. 그렇다 보니 이런 부분에 어떤 외부의 해킹 위험성이 존재한다고 지적이 나오고 있는 상황입니다.

◇김방희> 이게 보니까 상당히 유망한 분야 같은데 자율주행자동차 해킹 방지 산업 같은 거. 국내 기업은 없습니까? 여기?

◆조가연> 스타트업 중에 아우토크립트라고 하는 회사가 이런 자율주행 보안 쪽에서는 투자를 많이 받은 편이고요. 차량 내부를 제어하는 보안 기술과 차량과 차량 간의 무선통신을 관여하는 기술, 그리고 전기차의 전력통신을 관여하는 기술들 같이 세 가지 기술을 크게 개발하고 있습니다. 자율주행 시뮬레이션을 하는 스타트업, 모라이라고 하는 스타트업이 또 있는데요. 여기는 보안 기술이라기보다는 자율주행 자동차가 시스템이 내부적으로 안정한지 신뢰성이 있는지를 검증하는 서비스를 하고 있습니다.

◇김방희> 과거에 어떤 기업들 특히 IT 쪽 회사를 가면 이 보안과 관련해서 임직원들의 인식을 각성시키는 수준의 보안 활동만 했거든요. 자판기 컵에 보안이 생명이다. 이렇게 쓴다든지 아니면 민감한 정보 유출 가능성이 있는 곳에서는 휴대폰을 이렇게 따로 두도록 한다든지 하는 거였는데 지금 걱정되는 건 그것보다 한 단계 더 올라간 보안 문제죠. 그러니까 회사 메신저 내용이나 문서 같은 게 재테크 격리 근무 같은 걸 하면서 새 나갈 가능성들 얘기가 많이 나왔는데 이 원격근무 시의 보안 문제는 어떨까요?

◆조가연> 요즘 보면 미국의 근로자들 중에서 절반 이상이 이미 원격이나 재택근무를 하고 있다고 얘기를 하고 있고요. 회사에 나가더라도 업무용 메신저들이 굉장히 많이 있고 또 원격근무 솔루션을 통해서 외부에 있는 직장 동료와 소통해야 되는 경우가 굉장히 많이 있습니다. 그렇다 보니까 관련해서 사내 보안이나 또는 사내 클라우드 데이터를 관리해주는 전용 스타트업과 서비스들이 많이 만들어지고 투자를 상당히 많이 받고 있고요. 팬데믹이 시작된 이후로 한 수천 명 정도의 고용인이 있는 사업장의 30%가 직원들의 데이터 추적 소프트웨어를 채택했다고 조사한 결과도 있었습니다. 이렇게 보면 사내에서 어떤 메신저나 문서 유출에 대해서도 굉장히 민감하게 해외에서는 대응을 하고 있는 것 같습니다.

◇김방희> 이번 카카오 먹통 사태도 사실 주말에 벌어졌으니까 직장인들 피해가 크지 않았지만 주중에 벌어졌다. 그리고 지금 완벽하게 확인이 되지는 않고 있습니다마는 데이터를 조금이라도 소실한 게 있다면 상당한 논란거리가 될 수도 있는 건데 그런 점에서 보면 이것도 중요한 이슈 중에 하나고요. 디지털 전환이라는 게 가속화되면서 결국 사이버 보안의 중요성은 계속될 텐데 화재 같은 자연재난도 그렇고 이 악의적인 공격 같은 기본적인 위협도 그렇고 앞으로 이 시장이나 산업은 어떻게 전망하세요? 또 확장 방식이나 방향은 어떨까요?

◆조가연> 그동안 많이 이야기했던 게 사물인터넷 IoT라고 하는 트렌드였는데요. 요즘에는 자동차나 집에 있는 스마트 냉장고, 청소기 IoT가 아닌 게 없습니다. 그렇게 생각해보면 사이버 보안이나 이런 클라우드 데이터는 어떤 일부 기업의 문제가 아니라 이번 카카오처럼 사회적이고 국가적인 혼란으로도 야기가 될 수 있고요. 나중에 스마트 빌딩이나 스마트 팩토리, 스마트 시티까지 간다면 이 피해의 규모는 굉장히 커질 것이라고 보고 있습니다. 그래서 사이버 보안을 필요로 하는 산업 분야는 계속 확장하고 있기 때문에 IT나 소프트웨어와 상관없어 보이는 분야들도 최근에는 사이버 보안 기술에 굉장히 투자를 하고 있고요. 또 빅테크 간의 M&A도 굉장히 많이 이뤄지고 있어서 이번 사건을 계기로 더더욱 관심을 갖고 봐야 될 분야인 것 같습니다.

◇김방희> 그리고 아마 이 분야 스타트업들도 많이 생겨나지 않을까? 더 성장하지 않을까? 그런 기대도 해봅니다. 오늘 가우스벤처스 조가연 이사와 함께 사이버 보안 산업에 대해서 알아봤습니다 고맙습니다.

◆조가연> 감사합니다.