사이버 보안 분야 주요 기업의 시장 성과와 ICT 공급망 관련 정책 동향

표 1[9]과 같이 현재 상장된 IT보안기업 중 시가총액¹⁾²⁾이 가장 큰 기업은 Palo Alto Networks이다. 본 기업은 진보된 방화벽 및 클라우드 기반 맞춤형 제품을 개발하고 있으며, 네트워크, 엔드포인트, 원격 자산 공격에 강한 보안 역량으로 68.9억 달러의 매출(2023년), 시가총액 922억 달러로 평가된다. 2위는 CrowdStrike로서 엔드포인트 보안과 서비스에서 강점을 가진 것으로 평가받으며, 22.4억 달러의 매출과 777억 달러의 시가총액을 보이고 있다. Fortinet은 네트워크 경계 보안이 강점으로 평가되며, 53억 달러의 매출, 515억 달러의 시가총액을 보였다. 이외에 Cloudflare는 WAF, DDoS, CDN, DNS 등을 주 사업으로 하며 시가총액 320억 달러, Zscaler는 클라우드 보안 우수 기업으로 시가총액 294억 달러, Check Point는 방화벽에 강점을 보이는 이스라엘 기업으로서 195억 달러의 시가총액을 보이고 있다. 시가총액 상위 5개 기업은 주로 네트워크, 클라우드, 엔드포인트 보안, 방화벽 등 최근 수요가 발생하는 영역에서 시장 경쟁력을 확보하고 있는 것으로 파악된다. 시가총액 상위 40개 기업의 대부분은 미국 기업이지만, 이스라엘 4개 기업, 영국 2개, 일본‧프랑스‧독일·인도 각각 1개 기업도 포함하고 있다[9].

글로벌 사이버 보안 유니콘 기업 수도 2019년 8개에서 2022년 59개로 빠르게 성장하는 추세이다[10]. 2023년에도 Tanimum(기업용 차세대 보안), Lacework(클라우드 보안) 등이 기업가치 90억 달러, 83억 달러³⁾로 평가받고 있으며, 이 중 Snyk(애플리케이션 및 클라우드 보안), Wiz(클라우드 보안 인텔리전스) 등은 이미 규모가 커져 유니콘을 졸업했다고 평가받고 있다[11].

사이버 보안 기업의 성장에 따라 전통 빅테크를 중심으로 보안기업들의 인수합병도 활발하게 일어나고 있다. 2022~2023년 주목받은 M&A로서는 2023년 9월 Cisco가 Splunk를 280억 달러에 한 인수 계약⁴⁾⁵⁾[12-14], 2022년 9월 구글 클라우드가 Mandiant⁶⁾를 54억 달러에 인수한 사례[14] 등으로 적지 않은 금액에 인수합병이 이루어진 사례이다. 2019~2023년 3사분기까지의 보안기업에 대한 M&A 중 10억 달러 이상은 표 2와 같이 총 37건으로 추산되며, 이 중 Broadcom이 VMware를 인수한 610억 달러가 가장 크고, Cisco의 Splunk 인수가 280억 달러로서 두 번째 규모이다. 다음으로 사모펀드인 Thoma Bravo가 Proofpoint를 123억 달러에 인수하였으며, 역시 Broadcom의 Symantec Security Business 인수가 107억 달러로 진행되었다[15].

국내 사이버 보안 기업들 중 가장 큰 매출을 보이는 기업은 안랩이다. 2023년 매출⁷⁾은 2,298억 원, 영업이익은 323억 원, 영업이익률은 14.1%를 기록하였다. 2023년 매출 1천억 원 이상인 국내 사이버 보안 기업으로 시큐아이, 이글루코퍼레이션, 오픈 베이스, 윈스 등이 있다.

국내 사이버 보안 기업의 2023년 성장률 대비 매출액을 비교하면 그림 1에서 보듯이 안랩, 이글루코퍼레이션 등이 매출 규모가 큰 기업이고, 지란지교시큐리티, 이스트소프트, 엑스게이트 등은 성장률이 빠른 기업들로 볼 수 있다. 영업이익률 관점에서는 대부분의 기업이 2022년 성장률을 2023년에도 유지하고 있다. 특히 시큐브, 윈스, 한국전자인증 등은 2년 연속 높은 성장률을 보이고 있으나, 이에 반해 샌즈랩, 라온시큐어, 시큐센 등은 2022년 플러스 성장세가 2023년 마이너스 성장으로 전환되었음을 알 수 있다.

그림 1

국내 사이버 보안 기업 현황(2023년 성장률 vs 매출액, 2023년 vs 2022년 영업이익률)

출처 Reproduced from [16,17].

최근 ICT 공급망 위협과 공격으로 기업 중요 정보 해킹, 악성 SW 배포 등이 발생하거나, 국가의 중요 기반 시설이 멈추는 사례도 발생하고 있다. 대표적인 사례로는 2020년 SolarWinds 공급망 공격, 2021년 Kaseya 랜섬웨어 유포⁸⁾[18], Apache Log4j 취약점⁹⁾ 공격[19] 등으로 미국 정부 및 기업들이 피해를 입었으며, 동년 발생한 Colonial Pipeline 랜섬웨어 감염으로 미국 북동부 휘발유 공급이 실제로 중단되는 물리적 피해가 발생하기도 하였다. HW 공급망 공격 사례로는 2018년 발표된 Supermicro 서버 보드 해킹 사건이 대표적이며 미국 내 30여 개 기업과 정부에게 큰 충격을 주었다.

ICT 공급망이란 ICT 제품(SW/HW)‧서비스를 주요 대상으로 하는 공급망¹⁰⁾[20]을 의미한다[21]. ICT의 급격한 혁신은 ICT 공급망 구성 시 전자‧디지털 제품 및 SW의 활용 확대, 아웃소싱과 패키지 도입 등 분업화된 SW 개발 절차, 오픈소스 활용 증가 등이 전개되었다. 이러한 변화는 결국 ICT 공급망 자체의 계층화‧복잡화를 가져오고, 공격 표면의 확대, 공급망 SW 검증의 어려움을 발생시켜 ICT 공급망 전체에 보안 취약성을 증대시키고 있다. ICT 공급망의 이러한 취약성은 공급자 입장에서는 멀웨어, 사회공학 등을 통해 공급망을 손상시키고, 수요자 입장에서는 피싱, 개인데이터 유출 등의 손실을 초래한다.

주목할 점은 기존 공급망 공격의 목적이 많은 경우 금전 탈취를 지향한 악성 해커 중심의 범죄 행위였다면, 현재는 해킹을 주된 업으로 삼는 단체가 중심이 되며, 특히 국가의 지원을 받는 공급망 공격¹¹⁾ [22]을 통해 조직적으로 암호화폐 탈취, 국가 안보 교란, 기밀 정보 해킹 등이 발생하고 있다는 점이다.

가. 미국

미국이 공급망 보안 정책을 본격적으로 추진한 것은 바이든 대통령이 서명한 행정명령 EO-14028, 「Executive Order on Improving the Nation’s Cybersecurity」로부터 비롯되었다고 평가받고 있다(2021년 5월 12일)[23]. 행정명령 EO-14028의 주된 지시사항은 정보 공유, 제로트러스트 아키텍처 이행, SBOM 개시 등 국가의 사이버 보안 강화를 위한 다양한 시책을 포함하고 있다. 이 중 행정명령 4절은 「SW 공급망 보안 강화」에 관한 내용이며, NIST가 표준, 절차 및 기준을 참조하여 SW 공급망 보안을 강화하기 위한 다양한 지침을 특정 시점까지 게시할 것을 요구하고 있다. 표 3은 행정명령에 적시된 다양한 시책 중 주요 내용을 정리하였다. 우선적으로 연방정부 관점에서 관리할 EO-Critical SW를 정의하고, 공급자에 대해서는 NIST의 요구사항에 명확히 대응할 수 있도록 가이드라인(NISTIR 8397, SSDF ver 1.1, IoT 라벨링, SP 800-161 Rev.1, Self-Attestation Form 등)을 구성하였으며, 정부기관 관계자에 대해서도 안전한 SW 조달을 위한 가이드라인을 제시하였다.

나. EU

EU는 디지털 시대 변화에 대응하여, 사이버 보안을 디지털 정책 성공을 위한 핵심으로 간주하고 다양한 입법적 노력을 진행 중이다. ICT 공급망 보안과 관련하여 ENISA는 24가지 SW 공급망 공격과 그 결과를 검토한 「공급망 보안 공격 증가 이해」라는 제목의 보고서를 발표하고[26], 조직이 시행해야 할 권장사항을 공유하였다. 이를 기반으로 EU는 「Cyber Resilience Act(CRA)」¹²⁾[32]를 제안하였다. 본 법안은 “SW나 HW 제품, 원격 데이터 솔루션 및 시장에 별도로 출시될 수 있는 그 구성요소”에 적용되며, 설계 단계에서 노후화에 이르기까지 제품 수명 주기 전반에 사이버 보안 내재화를 위한 표준, 적합성을 준수해야 함을 명시화하고 있다.¹³⁾

다. 일본

일본은 「사이버 보안 기본법」을 기반으로 추진 중인 사이버 보안 기본 전략과 연차 전략을 개정하면서 공급망 보안에 대한 실질적인 시책을 추진 중에 있다.

2021년 9월 3번째로 개정되어 발표된 일본의 「사이버 보안 기본 전략」 중 공급망 보안 정책으로는 공급망 리스크에 대응하기 위한 기술 검증 체제 정비(SW·HW 검증기술의 연구개발 및 실용화)가 있다[33].

2023년 7월 연차계획 「사이버 시큐리티 2023」이 발표되면서 SBOM의 중요성을 언급하고 있으며, 특히 OSS 보급 확대에 따른 통신분야에서의 SBOM 도입이 급선무임을 지적하고 있다. 본 계획에서는 SBOM 도입의 글로벌 흐름에 비해, 일본에서는 SBOM 관리를 실용화하고 있는 기업은 적고, 현재 일본의 상황을 개념‧용어로서 인지되기 시작한 단계로 평가하고 있다[34].

국내에서는 이미 공공기관을 중심으로 시큐어코딩의 필요성과 대응 체계, 공급망 보안 강화를 위한 제도적 접근이 활발히 이루어지고 있으나, 집중화된 공급망 보안 정책은 최근에 많이 시도되고 있는 상황이다. 표 4는 그동안 추진되어 온 우리나라의 공급망 보안 유관 시책들이며, 특히 2022년 신정부 출범을 계기로 ‘제로트러스트 공급망 보안 포럼’ 발족, ‘SW 공급망 보안체계 구축을 위한 실증사업’ 등을 통해 본격적으로 공급망 보안을 지향하는 정책이 추진되고 있음을 알 수 있다.

ICT 공급망 관련하여 이에 적합한 보안 표준 및 관리체계를 규율하는 법령은 아직 미진한 상황이다. 현행 국내 법령은 일반적인 해킹‧DDoS 등 사이버 침해 행위를 방지하려는 목적으로 제정된 법률이 각각 개별법의 분산된 형태로 구현되어 「정보통신망법」, 「SW진흥법」, 「정보통신기반보호법」¹⁴⁾ 등이 있으며, 내용 자체는 다소 일반적인 보안관리 조항들로 선언적 성격을 가진다. 세부적인 제도로는 ‘주요 정보통신기반시설 보호 제도’, ‘보안 적합성 검증 제도’, ‘공공기관 정보 시스템 구축‧운영 지침’ 등이 운영되고 있다.

국내에서 추진되는 공급망 보안 R&D는 주로 HW 공급망 보안에 집중되어 있으나, 최근에는 SW 공급망 보안을 위한 R&D도 다양해지는 상황이다. 현재 ETRI는 「시스템‧디바이스의 HW 공급망 위협 대응 핵심기술 개발(’20~’24)」, 「임베디드 시스템 악성코드 탐지‧복원을 위한 RISC-V 기반 보안 CPU 아키텍처 핵심기술 개발(’21~’24)」을 추진 중이며, 고려대는 「고신뢰 온-디바이스 딥러닝 가속기 설계를 위한 물리채널 기반 취약점 검증 및 대응 기술 개발(’21~’24)」을 진행 중이다. SW 공급망 보안 측면에서는 고려대가 「SW 공급망 보안을 위한 SBOM 자동생성 및 무결성 검증기술 개발(’22~’25)」을 추진하고 있다. 이외에 쿤텍, 고려대, ETRI 등 국내 민간 기업, 대학‧연구기관에서 일부 개념 검증 수준의 취약점 탐지기술과 공급망 공격에 대한 대응 체계를 다루는 연구가 진행되고 있다. 쿤텍은 ETRI의 펌웨어 분석기술을 활용하여 BOM 추출, 분석, 취약점 자동 탐지 기술 개발을 추진하고 있으며[42], 고려대에서는 하드웨어 백도어 탐지 기술을 제안하고 있다.