왜 한국에서는 글로벌 보안 기업이 나오지 않을까
시작: 창업가의 선택
간만에 혼자 있는 시간이었던 미국 장기 출장 중, 잠이 안오는 김에 생각난걸 적은 글이라 두서가 없을 수 있습니다.
2023년 4월, 저는 선택의 기로에 섰습니다. 센드버드에서 글로벌 기업의 클라우드 보안을 경험하며 커리어를 더 쌓을 것인가, 아니면 제가 믿는 방향으로 시장을 바꿀 것인가.
돌이켜보면 한국 보안 시장의 특이함은 이미 여러 번 느꼈던 것이었습니다.
클래스101과 왓챠에서 첫 보안 엔지니어로 일할 때, 경영진이 ISMS 인증을 준비하라는 지시를 받았습니다. 보안 엔지니어로서 그 방향을 이해했습니다. 법적 요구사항이니까요. 하지만 동시에 고민이 생겼습니다. ISMS 가이드를 100% 따라가다 보면, 실질적인 보안을 강화하는 것보다 컴플라이언스 규제를 맞추는 데 더 많은 시간을 쏟게 됩니다. 더 큰 문제는 글로벌 진출을 준비하는 두 회사 모두 ISMS, SOC 2, ISO 27001을 각각 개별적으로 해석하고 대응해야 한다는 점이었습니다. 통합적인 컴플라이언스 체계를 구축하기보다는, 각 인증마다 별도의 문서와 프로세스를 만들어야 했죠. 빠르게 성장해야 하는 스타트업이 수개월을 인증 준비에 쏟아야 하는 현실이 계속 의문으로 남았습니다.
센드버드에서 글로벌 고객들과 일하며 더 명확해졌습니다. 미국 고객들은 “SOC 2 Type II 있나요?”라고 물었고, 유럽 고객들은 “GDPR 준수하나요?”라고 물었습니다. 그런데 한국 고객들만 “ISMS-P 있나요?”, “망분리 되어 있나요?”라고 물었습니다. 같은 제품인데 시장마다 다른 질문을 받는 게 이상했습니다.
특히 많은 오픈소스를 통해 대체할 수 있는 Secret Detection도구를 Enterprise용 유료 솔루션으로 도입하며 결정적으로 깨달았습니다. Secret Detection이라는 니치한 시장에서 시작해 지금은 GitHub, GitLab, Bitbucket, Slack 등 글로벌 SaaS, 클라우드 회사들과 연동하고 플랫폼으로 확장한 솔루션들이 나오고 있구나, API로 모든 것이 연동되고, 실시간으로 위험을 탐지합니다. 이게 글로벌 스탠다드구나.
그리고 동시에 생각했습니다. “나도 이런 솔루션을 만들 수 있었을 것 같은데.” 아니, 어쩌면 더 잘 만들 수 있을지도 모른다는 확신이 들었습니다. 센드버드에서 직접 겪은 문제들, 한국 스타트업들의 협업 환경에 대한 이해, 글로벌 보안 트렌드에 대한 감각. 모든 조각이 맞아떨어지는 느낌이었습니다.
하지만 바로 다음 질문이 따라왔습니다. 한국에 이런 솔루션을 만들어서 팔 수 있을까? 망분리된 환경에서? ISMS-P 심사위원이 클라우드 네이티브 보안을 이해할 수 있을까?
저는 후자를 선택했고, Cremit을 창업했습니다.
창업 후 가장 먼저 느낀 것은 제가 이미 알고 있던 한국 보안 시장의 특이함이 더 깊고 구조적인 문제였다는 점입니다. 이건 단순히 규제의 문제가 아니라, 전체 생태계가 혁신을 거부하도록 설계되어 있었습니다.
올해 미국에 장기출장을 몇 번 다녀왔습니다. 실리콘밸리의 보안 스타트업들을 만나고, 투자자들과 대화하며 확신했습니다. 한국과 미국의 격차는 기술이 아니라 시스템에 있다는 것을.
최근 한국에서는 굵직한 보안 사고가 계속 터지고 있습니다. 2024년 하반기에만 대형 병원, 통신사, 공공기관에서 연이어 사이버 공격을 당했습니다. 하지만 달라지는 건 없습니다. 여전히 같은 규제, 같은 심사, 같은 대응.
이 글은 그 시스템에 대한 이야기입니다.
정부가 교육 시장에 뛰어들면 생기는 일
2012년 BoB(Best of the Best)가 시작될 당시, 한국은 심각한 보안 인재 부족에 시달리고 있었습니다. 2011년 농협 전산망 마비, 2013년 3.20 사이버테러 등 연이은 대형 사고 앞에서 정부는 긴급하게 인재를 양성해야 했습니다. 민간 교육 시장만으로는 부족하다는 판단이었죠. 그 맥락에서 BoB는 불가피한 선택이었고, 실제로 빠른 시간 안에 많은 인재를 배출했습니다.
당시 저는 i2sec에서 교육 사업을 담당하고 있었습니다. 정부가 연간 교육생 1인당 2,000만원 이상을 투자하며 무료 교육을 시작하던 날, 우리는 알았습니다. 민간 교육 시장의 종말이 시작됐다는 것을.
i2sec은 기수별로 20명에서 40명씩 배출하며 95% 이상의 취업률을 유지하던 국내 최고의 보안 교육기관이었습니다. 15년간 축적한 교육 노하우, 실무 중심 커리큘럼, 실제 모의해킹 컨설팅을 하고 있는, 현업 강사진을 보유하고 있었죠. 지금은 교육 사업을 사실상 철수했습니다. i2sec뿐만이 아닙니다. 한때 번성했던 민간 보안 교육 시장 자체가 사라지고 있습니다.
BoB는 2012년 1기를 시작으로 현재 13기까지 운영되고 있으며, 12기까지 총 1,845명의 인력을 배출했습니다. DEFCON 우승도 BoB 출신들이 많이 이뤄냈죠. 저는 그들의 성과를 폄하하고 싶지 않습니다. 긴급 상황에서 많은 인재를 길러낸 것은 분명한 성과입니다.
하지만 13년이 지난 지금, 상황은 달라졌습니다. 긴급 처방이 영구 제도가 되면서 민간 시장은 완전히 위축되었습니다. 정부는 K-Shield, K-Shield Jr., 화이트햇스쿨 등 계속해서 새로운 프로그램을 만들었습니다. 최근에는 BoB의 운영기관이 KITRI에서 다른 기관으로 이관되고, 남은 교육을 KISA가 마무리한다는 소식도 들립니다. 계속해서 정부 기관들이 교육을 주도하는 것이죠.
아무도 묻지 않습니다. 그동안 민간 시장은 어떻게 되었는지.
경제학의 기본은 가격이 신호라는 것입니다. 비싼 교육은 그만큼 가치 있다는 신호이고, 저렴한 교육은 접근성을 높인다는 신호입니다. 하지만 정부의 무료 교육은 이 체계를 완전히 망가뜨렸습니다. “왜 돈 내고 교육받나요? 공짜가 있는데.” 이 한마디에 15년간 쌓아온 민간 교육의 가치가 무너졌습니다.
정부에서 만든 교육 프로그램으로 배출한 인력을 기업이 채용하고, 그들이 정부가 만든 법을 따라가고, 정부가 가이드한 보안 지침을 쫓아갑니다. 그 결과가 지금의 한국 보안 현실입니다. 매년 반복되는 대형 보안 사고, 글로벌 경쟁력 상실, 혁신의 부재.
정부-교육-채용-규제의 순환 고리가 만들어졌고, 이 고리 안에서는 새로운 시도가 불가능합니다. 정부가 정한 틀을 벗어나는 순간, 시장에서 살아남을 수 없으니까요.
규제는 있는데, 혁신은 없다
망분리가 도입된 2000년대 초반을 돌이켜보면, 당시로서는 합리적인 선택이었습니다. 인터넷 뱅킹이 막 시작되고, APT 공격 개념조차 생소하던 시절. 물리적으로 네트워크를 분리하는 것이 가장 확실한 방어책으로 보였습니다. 실제로 많은 사고를 예방했을 것입니다.
하지만 클라우드 시대가 온 지금, 망분리는 오히려 발목을 잡고 있습니다. 한국 금융권에서는 여전히 업무망과 인터넷망을 물리적으로 분리해야 합니다. 최근에는 N2SF(Network to Service Framework)라는 더욱 현실과 동떨어진 규제까지 나왔습니다. N2SF 가이드를 완벽하게 따르려면 수백 페이지의 문서를 참고해야 하고, 각 조항마다 다양한 해석이 존재합니다. 현실적으로 이 모든 것을 완벽하게 이해하고 적용하기보다는, 차라리 기존의 망분리 규제를 맞추는 게 더 낫겠다는 판단을 하게 됩니다.
정부는 포지티브 규제로 “이것만 할 수 있다”고 정해놓고는, 기업들이 혁신할 여지를 원천 차단하고 있습니다.
실제로 Cremit과 같은 솔루션이 망분리된 금융회사에 들어가는 것은 매우 어렵습니다. 애초에 클라우드를 클라우드답게 쓰지 않는 한국 금융 환경에서 우리 같은 클라우드 네이티브 솔루션은 고려 대상조차 되기 힘듭니다. 금융회사만의 갈라파고스화된 인프라가 만들어지고 있는 것이죠.
아이러니한 것은 CrowdStrike, Palo Alto Networks, Zscaler 같은 글로벌 보안 기업들은 한국에 지사를 별도로 세우고 어떻게든 진출하고 있다는 점입니다. 대신 ‘한국 맞춤형 보안 요구사항’을 충족시키기 위한 별도의 로컬 파트너사들이 생겨났습니다. 이들이 중간에서 마진을 가져가며, 결과적으로 정작 한국 보안 기업들이 피해를 보고 있습니다.
최근 한 스타트업이 겪은 일은 한국 규제의 또 다른 문제를 보여줍니다. 위치정보사업자 감사를 받는 중, ‘백신 프로그램의 설치 유무’ 조항에 걸렸다고 합니다. 심사원은 과징금이 불가피하다고 통보했죠. 재미있는 것은 이 조항이 정보통신망법에서는 이미 없어졌다는 점입니다. 법률을 일관되게 관리하지 않으면서도, 기업에게는 모든 규제를 완벽하게 지킬 것을 요구합니다. 그 기업은 AWS Fargate와 RDS를 사용하고 있었는데, 서버리스 컨테이너와 매니지드 데이터베이스에 백신을 어떻게 설치할 수 있을까요?
규제에 최적화할수록, 글로벌 시장은 멀어진다
더 큰 문제는 이러한 한국식 규제가 한국 보안 기업의 해외 진출을 막는다는 점입니다.
국내 보안 기업들은 계속해서 해외 진출을 시도하고 있습니다. 좁은 국내 시장에서 성장에 한계를 느끼고 있기 때문입니다. 정부가 2027년까지 국내 보안 산업을 30조 원까지 키우겠다는 계획을 발표했지만 보안 업계의 반응은 큰 기대 없이 미적지근했습니다.
내수 위주인 국내 보안 시장이 30조 원까지 커지려면 정부 공공기관이 보안 제품 구매를 대폭 늘려야 한다는 이야기나 마찬가지이기 때문입니다. 비현실적인 이야기죠. 따라서 답은 하나뿐입니다. 바로 수출입니다.
하지만 한국 보안 기업들은 해외 시장에서 고전하고 있습니다. 왜일까요?
첫째, 한국식 규제에 맞춘 기술은 글로벌 표준이 아닙니다. 망분리, ISMS-P, 한국형 인증 체계… 이런 것들을 구현하는 데 투자한 시간과 비용은 해외에서는 전혀 통하지 않습니다. 글로벌 시장은 ISO 27001, SOC 2, GDPR 같은 국제 표준을 요구합니다. 한국 기업들은 국내 규제 대응에 리소스를 쏟느라, 정작 글로벌 표준 대응에는 소홀할 수밖에 없습니다.
둘째, 한국 시장에서의 경험이 해외에서는 차별화 요소가 되지 못합니다. “한국에서 1위”라는 말이 실리콘밸리나 유럽에서는 아무 의미가 없습니다. 오히려 “왜 한국 밖으로 나가지 못했나?”라는 의구심만 키웁니다.
셋째, 기술 개발 방향 자체가 달라집니다. 국내 기업들은 “정부 과제를 따내기 위한 기술”, “컴플라이언스를 통과하기 위한 기능”을 개발합니다. 반면 글로벌 기업들은 “실제 위협을 막기 위한 기술”, “고객의 진짜 문제를 해결하는 기능”을 개발합니다. 방향부터 다른 겁니다.
실제로 국내 빅5 보안 기업들의 2024년 실적을 보면, 평균 3%대 성장에 그쳤고, 한 곳은 역성장을 기록했습니다. 모두가 “AI 적용”, “동남아·중동 등 해외시장 진출”을 외치지만, 실적은 그들의 어려움을 말해줍니다.
Cremit이 미국 진출을 준비하는 이유는 단순합니다. 한국 시장이 너무 작고 경직되어 있기 때문입니다. 하지만 모든 스타트업이 해외로 나갈 수는 없습니다. 그리고 저희도 한국 시장을 포기하고 싶지 않습니다.
한국이 변해야 합니다. 갈라파고스 규제를 버리고 글로벌 스탠다드를 받아들여야 합니다.
물론 지역별로 특수한 규제가 필요할 수는 있습니다. 캘리포니아의 CCPA처럼 말이죠. 하지만 차이가 있습니다. CCPA는 개인정보 ‘보호’라는 목적을 위한 규제입니다. 어떤 기술을 쓰든, 어떤 아키텍처를 선택하든, 개인정보를 보호하기만 하면 됩니다.
반면 한국의 규제는 ‘방법’을 규정합니다. 망분리를 해야 하고, 특정 방식으로 인증을 받아야 하고, 정해진 양식의 문서를 만들어야 합니다. 목적이 아니라 수단을 강제하는 겁니다. 이게 문제입니다.
ISO 27001은 국제 표준입니다. 전 세계 어디서나 인정받습니다. 하지만 K-ISMS는 한국에서만 통합니다. 더 복잡하고, 더 많은 비용이 들지만, 해외에서는 아무 의미가 없습니다.
인증 심사의 기술적 괴리
ISMS-P가 만들어진 배경을 이해합니다. 2000년대 후반, 한국 기업들의 보안 수준이 들쑥날쑥했고, 최소한의 기준선이 필요했습니다. 체크리스트 방식은 명확하고 공정하게 평가하기 위한 방법이었죠. 당시 대부분의 기업이 온프레미스 환경을 사용하던 시절, 이 기준은 충분히 합리적이었습니다.
문제는 기술이 너무 빠르게 변했다는 겁니다. 2010년대 초반의 온프레미스 환경을 전제로 만들어진 기준이 2025년의 클라우드 네이티브 환경을 평가하려니 괴리가 생길 수밖에 없습니다.
실제로 ISMS-P 심사를 받으며 겪은 일들입니다.
클라우드 SSO를 이해하지 못하는 심사
“직원들이 AWS 콘솔에 접근할 때 어떻게 로그인하나요?”라는 질문을 받았습니다. “Google Workspace SSO를 통해 SAML 인증으로 접근합니다”라고 답했습니다.
“그럼 AWS 계정 비밀번호는 어디에 저장되어 있나요? 비밀번호 정책 문서를 보여주세요.” “SSO를 사용하기 때문에 AWS 계정에는 비밀번호가 없습니다. Google Workspace에서 MFA를 포함한 인증을 처리합니다.”
“그럼 직원이 퇴사하면 어떻게 AWS 접근 권한을 회수하나요?” “Google Workspace에서 계정을 비활성화하면 AWS 접근도 자동으로 차단됩니다.”
심사위원은 이해하지 못한다는 표정이었습니다. “그래도 AWS 계정 비밀번호 관리 정책은 있어야 하지 않나요?” 결국 “Google Workspace 비밀번호 정책이 곧 AWS 접근 정책입니다”라는 내용의 문서를 따로 만들어야 했습니다.
컨테이너에 백신을 설치하라는 요구
“모든 서버에 백신이 설치되어 있습니까?”라는 질문을 받았습니다. 저희는 ECS Fargate를 사용하는데, 컨테이너는 매번 새로 생성되고 삭제됩니다. “컨테이너에는 백신을 설치할 수 없습니다. 이미지 스캔과 런타임 보안으로 대응하고 있습니다”라고 설명했지만, “그럼 컨테이너가 실행되는 서버에는 설치되어 있나요?”라는 질문이 돌아왔습니다. Fargate는 서버리스라 우리가 관리하는 서버가 없다고 다시 설명해야 했습니다.
패스워드리스(Passwordless) 인증을 이해하지 못하는 심사
“직원들의 비밀번호 변경 주기는 어떻게 되나요?”라는 질문을 받았습니다. “저희는 패스워드리스 인증을 사용합니다. FIDO2 기반의 하드웨어 키와 생체 인증으로 로그인합니다. 비밀번호가 없습니다.”
“비밀번호가 없다는 게 무슨 말인가요? 그럼 어떻게 로그인하죠?” “YubiKey라는 하드웨어 보안 키를 사용합니다. 공개키 암호화 방식이라 비밀번호가 필요없습니다.”
심사위원은 납득하지 못하는 표정이었습니다. “그래도 백엔드에는 비밀번호가 있을 텐데요? 그 비밀번호 정책을 보여주세요.” “정말로 비밀번호가 없습니다. NIST도 이제 패스워드리스를 권장하고 있습니다.”
결국 지적사항으로 “비밀번호 정책 미수립”이 기록되었습니다. 패스워드리스가 더 안전한 방식인데도 말입니다.
GitOps 배포 파이프라인의 승인 절차
“운영 시스템 배포 시 승인 절차가 있습니까?”라는 질문에 “GitHub Pull Request에서 코드 리뷰와 승인을 받고, ArgoCD가 자동으로 배포합니다”라고 답했습니다. “자동 배포는 위험하지 않나요? 담당자가 직접 배포 버튼을 눌러야 하는 것 아닌가요?”라는 우려를 들었습니다. GitOps가 산업 표준인데, 수동 배포를 요구하는 겁니다.
이런 식입니다. 클라우드 네이티브 환경에 대한 이해가 부족한 심사 기준으로 인해, 실제 보안 수준과는 무관하게 문서 작업에 엄청난 시간을 쏟아야 했습니다.
ISMS-P를 취득한 기업들도 랜섬웨어 공격을 당합니다. KISA의 2024년 사이버 위협 동향 보고서에 따르면, 2024년 랜섬웨어 피해 신고 기업의 94%가 중견·중소기업이었고, 이들 중 상당수가 각종 보안 인증을 보유하고 있었습니다. 한국식 컴플라이언스를 준수하는 것이 실제 보안성 향상에는 효과가 없다는 방증입니다.
오히려 지나치게 상세화된 가이드라인은 기업의 보안 경쟁력을 약화시킵니다. 체크리스트만 맞추는 데 급급하고, 진짜 위협에는 대응하지 못하는 것이죠. 또한, 상세화된 가이드라인은 기술을 쫓아올 수 없습니다. 이미 나온 기술을 가이드로 작성하는데는 최소 6개월에서, 1년, 2년 이상 걸릴 수 있습니다. 매일같이 새로운 기술이 나오고, 새로운 보안을 적용할 수 있는 시대에 상세화된 가이드라인은 더이상 현실에 맞지 않습니다.
규제 자동화 시장의 아이러니
흥미로운 점은 해외에서는 컴플라이언스 자동화 시장이 급격하게 성장하고 있다는 것입니다. Vanta는 2018년 창업 후 7년 만에 기업가치 41.5억 달러(약 5.5조원)을 달성했고, Drata는 2020년 창업 후 2년 만에 기업가치 20억 달러(약 2.6조원)을 인정받았습니다. 이들은 SOC 2, ISO 27001, GDPR 같은 국제 표준 인증을 자동화하는 솔루션을 제공합니다.
이 회사들이 급성장한 이유는 명확합니다. 국제 표준은 명확하고 일관되며, API를 통해 자동화할 수 있기 때문입니다. AWS, GCP, Azure, GitHub, Slack 등과 연동하여 실시간으로 보안 상태를 모니터링하고, 자동으로 증거를 수집하며, 대시보드로 한눈에 컴플라이언스 현황을 파악할 수 있습니다.
그렇다면 한국은 어떨까요? ISMS-P 인증 시장이 Vanta나 Drata 같은 유니콘 기업을 만들어낼 만큼 큰 시장일까요? 연간 수천 개 기업이 인증을 받는다고 하지만, 대부분은 컨설팅사에 외주를 맡깁니다. 자동화 솔루션보다는 사람의 노동력으로 문서를 만들고, 심사위원의 질문에 대응하는 방식이죠.
더 큰 문제는 자동화가 가능한지조차 불분명하다는 점입니다. 심사위원마다 해석이 다르고, 매년 기준이 바뀌며, 클라우드 네이티브 환경에 대한 이해가 부족합니다. 이런 환경에서 어떻게 자동화 솔루션을 만들 수 있을까요?
결과적으로 한국의 컴플라이언스 시장은 컨설팅 인력을 먹여 살리는 시장이지, 기술 혁신이 일어나는 시장이 아닙니다.
인증 산업의 기형적 구조
한국에는 약 500명의 ISMS-P 심사위원이 있습니다. 이들이 한국 모든 기업의 보안을 평가합니다. 같은 시스템을 두고도 심사위원마다 해석이 다릅니다. 작년에 통과한 방식이 올해는 통과하지 못하기도 합니다. “제 기준은 다릅니다”, “해석의 차이입니다”라는 말로 모든 것이 정당화됩니다.
대부분의 기업이 인증을 받기 위해 컨설팅 회사에 의존합니다. 5,000만원을 내고 “통과 보장”을 받는 것이죠. 기업은 돈만 내고, 컨설턴트가 모든 걸 대행합니다. 정작 기업은 자사 보안 체계를 이해하지 못합니다.
형식이 실질을 압도하는 기형적인 구조가 만들어진 것입니다.
권한은 있는데, 책임은 없다
민간 기업의 CISO는 보안 사고가 나면 경력이 끝납니다. 하지만 정부는 어떨까요? “예산이 부족했다”, “민간의 보안 의식이 낮다”, “해커가 너무 고도화됐다”는 변명만 늘어놓습니다. 아무도 책임지지 않으면서 규제할 권한만 계속 늘려갑니다.
사이버보안 관련 부처만 해도 여럿입니다. 국정원은 국가 사이버안보를, 과기정통부는 민간 사이버보안을, 국방부는 군사 사이버보안을, 경찰청은 사이버범죄를, 금융위는 금융 보안을, 개인정보보호위는 개인정보를 담당합니다. 각 부처는 자신만의 규제와 가이드라인을 만듭니다. 정부는 포지티브 규제를 통해 모든 것을 통제하려 하지만, 정작 일관성은 없습니다.
대형 보안 사고가 터져도 마찬가지입니다. 담당 공무원은 이미 다른 부서로 이동했고, 새 담당자는 “전임자 시절 일”이라며 책임을 회피합니다. 이런 구조에서 어떻게 발전을 기대할 수 있을까요?
더 큰 문제는 이런 무책임한 권한이 계속 확대된다는 것입니다. 새로운 기술이 나올 때마다 새로운 규제가 만들어집니다. AI가 등장하면 AI 규제, 블록체인이 나오면 블록체인 규제. 하지만 정작 그 규제를 만드는 사람들은 해당 기술을 제대로 이해하지 못합니다.
정부에서 교육한 인력을 기업이 채용하고, 정부가 만든 규제를 따르고, 정부가 제시한 가이드라인을 준수한 결과가 무엇일까요? 세계 최고 수준의 인터넷 인프라를 가지고도 글로벌 보안 기업 하나 제대로 키우지 못한 현실입니다.
그럼에도 불구하고
10년 넘게 이 업계에서 일하고, 이제 창업가로서 시장을 바라보며 확신하게 된 것이 있습니다. 정부가 할 수 있는 최선은 ‘하지 않는 것’이라는 사실입니다.
교육은 민간이 더 잘합니다. 시장이 원하는 인재를 가장 잘 아는 건 기업이니까요. 기술도 민간이 더 앞섭니다. 매일 변화하는 위협에 대응하는 건 현장이니까요. 혁신은 오직 민간만이 할 수 있습니다. 실패의 위험을 감수하는 건 기업가정신이니까요.
정부의 역할은 최소한의 규제와 사후 감독이어야 합니다. 포지티브 규제로 “할 수 있는 것”을 정하는 것이 아니라, 네거티브 규제로 “하면 안 되는 것”만 정해야 합니다. 그래야 혁신의 여지가 생깁니다.
실리콘밸리에서 가장 부러웠던 것은 기술이 아니라 문화였습니다. “Fail Fast, Fail Often”이라는 모토 아래, 빠르게 실패하고 빠르게 배우는 문화 말입니다. 한국은 어떤가요? 한 번 실패하면 “세금 낭비”라는 낙인이 찍힙니다. 그래서 아무도 새로운 시도를 하지 않습니다. 모두가 안전한 길, 정부 가이드라인이 정한 길만 따라갑니다.
Cremit이 미국 진출을 준비하는 이유는 단순합니다. 한국 시장이 너무 작고 경직되어 있기 때문입니다. 하지만 저는 한국을 포기하고 싶지 않습니다. 이 땅에서 시작해서 글로벌 보안 기업을 만들고 싶습니다.
그러려면 한국이 변해야 합니다. 목적 중심의 규제로, 수단을 강제하지 않는 규제로, 글로벌 스탠다드와 호환되는 규제로 바뀌어야 합니다.
마치며
이 글을 쓰면서 여러 번 망설였습니다. 지난 20년간 한국 보안을 지켜온 분들에게 실례가 되지 않을까 하는 고민이 들었습니다.
분명히 하고 싶은 것은, 저는 기존 정책들이 ‘틀렸다’고 말하는 게 아닙니다. 당시 상황에서는 최선의 선택이었을 것입니다. BoB는 실제로 많은 인재를 길러냈고, 망분리는 수많은 사고를 막았으며, ISMS-P는 최소한의 보안 수준을 끌어올렸습니다.
하지만 시대가 변했습니다. 긴급 처방이 영구 제도가 되었고, 과거의 성공 방식이 오히려 미래의 발목을 잡고 있습니다. 이제는 진화가 필요합니다.
저는 여전히 한국에서 글로벌 보안 기업이 나올 수 있다고 믿습니다. Palo Alto Networks, CrowdStrike, Wiz 같은 회사들이 한국에서도 나올 수 있다고 믿습니다.
그러기 위해서는 변화가 필요합니다.
정부는 규제자가 아니라 조력자가 되어야 합니다. “이것만 하라”가 아니라 “이것만 하지 마라”로 바뀌어야 합니다. 글로벌 스탠다드를 받아들이고, 한국만의 특별함을 고집하지 말아야 합니다.
그리고 민간은 더 목소리를 내야 합니다. “이건 아니다”라고 말할 수 있어야 합니다.
Cremit을 창업하며 선택한 이 길이 쉽지 않다는 것을 압니다. 하지만 포기하지 않을 것입니다. 이것이 제가 선택한 길이니까요.
변화는 작은 목소리에서 시작됩니다. 이 글이 그 시작이 되기를 바랍니다.
Ben DH Kim - Notes from Building Cyber Security Startup 
Leave a comment