TTESays

왜 우리나라 해커들은 제품이 아닌 사람을 팔게 되는가

Donghwi Shin, Jin Kwak

Published: 08:00, 30 Mar 2026 (Updated: 01:59, 11 Apr 2026)

최근 Youtube를 통해 하나의 영상을 흥미롭게 끝까지 시청했다. 영상을 보면서 영상을 제작한 사람은 누구인가? 어떻게 이런 생각을 하게 되었는가? 등이 궁금했다. 그러다 문득 영상을 통해 규제 대응, 눈앞의 프로젝트 등의 논평을 들으면서 자칫 잘못하면 인재들이 잘못된 선택을 하고 있으며 그 결과 세계적인 기업에 밀리는 상황에 이르렀다고 인식할 수도 있겠다 싶었다. 물론 이와 같은 방향을 영상을 제작하신 분께서 의도하지 않았을 것으로 생각한다. 하지만 사람의 생각은 다양하게 변하고 나아갈 수 있으니 조금 길게 써내려 가면서 방향을 조정해 보고 싶었다. 그리고 글을 써 내려가다 보면 이전에 작성했던 "값싼 소프트웨어의 나라"라는 글과 연결되는 부분이 등장할 것으로 예상되어 생각을 정리해 보았다.

우리나라에는 뛰어난 해커가 많다. 국제 해킹 대회에서 실력을 입증한 인재도 있고, 취약점 분석과 다양한 보안 영역에서 세계적 수준의 연구자도 적지 않다. 하지만 이상한 점이 있다. 그렇게 뛰어난 인력이 존재하는데도, 대한민국 보안 산업에서는 세계 시장에서 지속적으로 판매되는 소프트웨어보다 사람을 직접 투입하는 용역 사업에 집중한다는 것이다. 이 현상은 개인의 역량 부족으로 설명되지 않는다. 오히려 그 반대다. 인재가 있으나 인재가 제품을 만들도록 보상하는 시장 구조 또는 시장의 역량 부족으로 인해 나타나는 결과로 바라봐야 한다. 이 문제를 단순한 기업 경영의 실패가 아닌 소프트웨어를 대하는 인식, 가격을 정하는 방식, 규제와 인증, 내수 시장의 크기와 성격이 함께 만든 구조적 악순환으로 설명하고자 한다.

소프트웨어를 투자로 보지 않는 시장

이전에 다른 글에서도 언급했지만, 우리나라 시장에서 소프트웨어는 미래 가치를 만들거나 보존해 주는 자산이라기보다 가능한 한 낮은 가격으로 도입해야 하는 비용으로 취급된다. 그 인식은 보안 분야에서도 동일하게 나타난다. 오히려 더 심하게 나타날 수도 있다. 기업은 보안 제품이 장기적으로 얼마나 조직의 위험을 줄이고 운영 효율을 높이는지보다, 지금 얼마에 도입할 수 있는지를 먼저 본다. 이런 문화는 유지보수 요율에도 그대로 반영된다. 국내 보안 제품의 유지보수 요율은 6~8% 수준에 머무는 반면, 해외 기업 평균은 약 20% 수준으로 제시된다. 유지보수에서 재투자 재원이 생기지 않으니 제품 기업은 출시 이후 개선할수록 강해지는 구조로 나아가지 못하고, 팔수록 지원 부담만 늘어나는 구조에 놓인다. 기술을 더 넣을수록 이익이 커지는 시장이 아닌, 기술을 넣어도 가격을 올리기 어려운 시장이 되는 것이다.

창업한 해커가 결국 용역으로 향하는 이유

앞서 설명한 구조에서 창업한 해커는 곧바로 현실과 마주한다. 우수한 성능의 제품을 기획하고 만들기 위해 긴 개발 기간과 반복적인 개선, 고객 피드백을 흡수할 시간, 그리고 그 과정을 버티기 위한 자금이 필요하다. 그러나 우리의 보안 시장은 그 시간을 허용하지 않는다. 결국 기업은 가장 빠르게 현금화할 수 있는 일, 즉 모의해킹, 컨설팅, 진단, 규제 대응 문서 작성, 공공 발주형 프로젝트로 이동하게 된다. 처음에는 생존을 위한 임시 선택처럼 보이지만, 시간이 지나면 그것이 그 기업의 본질이 된다. 결국 높은 기술력을 가진 해커 출신 스타트업들조차 자체 솔루션보다 공공기관과 대기업 대상 보안 컨설팅·진단 용역 비중이 압도적으로 높아지는 경향을 보인다. 결국 이들은 기술 기업이라기보다 고급 인력을 공급하는 서비스 기업으로 체질이 굳어지게 된다.

Man-Month가 혁신을 가로막는 방식

고급 인력을 공급하는 사업 모델이 문제가 있는 것은 아니다. 높은 기술력을 보유한 인원을 알아보고 채용할 수 있으며 관리할 수 있는 능력 또한 대단히 중요한 능력이기 때문이다. 하지만 문제를 더 심각하게 만드는 것은 대가 산정 방식이다. 우리나라 보안 시장 또는 IT 시장 전반에서는 여전히 기술의 난이도나 위험 감소 효과보다 몇 명이 몇 개월 투입되었는지가 가격의 기준이 되는 경우가 많다. 그리고 KOSA 평균임금 가이드라인이 사실상 가격 상한선처럼 작동한다고. 이 구조에서는 자동화가 역설적으로 불리해진다. 더 빠르게, 더 정교하게, 더 적은 인력으로 문제를 해결하는 제품일수록 오히려 투입 시간이 줄어 매출을 설명하기 어려워진다. 반대로 사람을 오래 붙여두고 보고서를 많이 써내는 모델은 시장에서 쉽게 이해된다. 소프트웨어가 가진 본질적 장점은 확장성인데, 우리나라 시장의 계약 구조는 그 확장성을 보상하지 않고 오히려 투입량을 보상한다. 제품이 아니라 노동이 돈이 되는 구조에서는 결국 혁신보다 인력 운영이 더 중요해질 수밖에 없다.

규제와 인증은 왜 스타트업에 더 불리한가

이 시장 구조 위에 규제와 인증 부담이 더해지면 제품 공급 기업의 부담은 증가한다. 국가, 공공기관 납품에 필요한 CC 인증은 높은 인증 비용과 기나긴 시간을 요구하는 장벽으로 다가온다. 이미 보안성 검증을 받은 제품조차 GS인증 과정에서 다시 유사한 검증을 거쳐야 하는 중복 부담도 존재한다. 여기에 물리적 망 분리 규제는 오픈소스 활용과 정보 접근의 효율성을 떨어뜨려 제품을 빠르게 개선해야 하고 시장에 진입해야 하는 스타트업에 불리하게 작동한다. 이런 환경에서는 기업은 사용자 문제를 가장 잘 해결하는 도구보다 인증과 납품 절차를 통과하기 쉬운 도구가 먼저 만들어낸다. 당연한 결과인 것이, 생존해야 하는 기업으로서 넘기 어려운 허들을 문제라고 지적하면서 기다릴 수는 없는 노릇이기 때문이다. 결국 좋은 제품을 만드는 일보다, 통과 가능한 제품을 만드는 일이 사업적으로 더 합리적인 선택이 되는 셈이다.

중국에서 성장한 세계적인 기업

이 대목에서 중국과의 비교를 고려해 보고자 한다. 물론 너무나도 거대한 국가이므로 단편적인 비교라는 것이 무색하지만 상황을 생각해 보려고 한다. 중국 기업들이 성장할 수 있었던 이유는 단지 국가 지원이나 자본 규모 때문만이 아니다. 더 중요한 것은 언어 장벽 없이 받쳐줄 수 있는 거대한 내수 시장이 있었다는 점이다. 중국 기업은 자국어 환경만으로도 충분히 큰 고객군을 확보할 수 있었고, 그 안에서 제품을 반복적으로 개선하며 시장 적합성을 찾을 시간을 벌 수 있었다. 즉 내수 시장이 단순한 판매처가 아니라, 제품을 다듬고 버틸 수 있는 완충지대 역할을 했다. 반면 우리나라는 다르다. 시장은 상대적으로 작고, 그 안에서도 가격 경쟁이 강하며, 보안 솔루션 매출의 37.6%가 공공 부문에서 발생할 정도로 공공 의존도가 높다. 여기에 다수 기업이 매출의 90% 이상을 좁은 내수 시장에 의존한다면 시장이 작으므로 기업이 여유가 없는 것은 당연하다. 제품 기업이 버티며 학습할 수 있는 내수가 아니라, 시장에 진입하자마자 단가 압박에 시달리는 내수인 것이다. 결국 중국이 내수로 성장의 시간을 벌었다면, 우리나라 기업은 내수에서 먼저 체력을 소진한다.

작은 시장보다 더 어려운 것은 ‘저가 시장’이라는 점

문제는 단순히 내수 시장 규모가 작고 경쟁이 치열하다는 데만 있지 않다. 더 본질적인 문제는 그 내수가 저가 시장이라는 점이다. 시장이 작더라도 가격이 제대로 형성된다면, 소수의 고객만으로도 깊은 기술을 만드는 기업이 나올 수 있다. 그러나 우리나라 보안 시장은 좁은 데다 가격까지 낮게 형성되어 있다. 이 구조에서는 범용 제품 개발에 필요한 긴 호흡의 R&D가 사업적으로 매우 불리하다. 당장 매출을 만들기 위해서는 사람을 투입해야 하고, 사람을 투입하다 보면 다시 제품화의 시간이 사라진다. 이렇게 되면 해커의 실력은 높아도, 그 실력이 세계 시장에서 반복적으로 판매되는 소프트웨어로 응축시킬 수 없다. 기술은 존재하지만, 제품은 남지 않는 이유가 여기에 있다고 보인다.

결국 우리나라 보안 산업이 잃고 있는 것

이 악순환은 단순히 몇몇 스타트업의 실패로 끝나지 않는다. 자료는 2024년 기준 정보보안 인력 증가율이 0.2%에 불과하고, 2028년에는 연구 인력이 약 4만 7,000명 부족할 것으로 전망된다고 지적한다. 또 국내 기업 상당수가 정보보호 전담 조직조차 갖추지 못했고, IT 투자 대비 보안 투자 비율도 평균 6.44% 수준으로 글로벌 표준에 크게 못 미친다. 인재가 남아 있더라도 그 인재가 제품을 만들 동기와 환경이 없고, 시장은 여전히 보안을 사고를 줄이는 장기 투자보다 규제 대응과 책임 분산의 수단으로 본다. 이런 조건에서 우리나라 해커들이 사람을 파는 것은 선택이라기보다 구조가 강요한 생존 방식에 가깝다.

지금 필요한 질문

문제를 “왜 우리나라에는 글로벌 보안 제품 기업이 적은가”라는 질문으로만 좁게 볼 필요는 없다. 더 정확한 질문은 이것이다. 왜 우리나라에서는 뛰어난 해커가 제품을 만들수록 불리해지고, 사람을 투입할수록 더 쉽게 생존하는가. 왜 내수 시장은 기업을 키우는 발판이 아니라, 저가 경쟁에 익숙해지게 만드는 훈련장이 되었는가. 그리고 왜 우리는 여전히 보안 산업을 기술 산업이 아니라 인력 산업처럼 운영하고 있는가. 이 질문에 답하지 못한다면, 우리나라는 앞으로도 뛰어난 해커를 배출하면서도 세계 시장에 남는 범용 보안 소프트웨어는 만들지 못하는 나라로 남게 될 가능성이 크다.

현재 보안 기업들을 바라보면 이와 같은 구조를 탈피하기 위해 노력하고 있다는 것은 직간접적으로 알 수 있다. 앞서 설명한 어려운 환경과 부정적인 모습을 언급했지만 그런데도 이를 뛰어넘고자 하는 기업들이 노력이 이어지고 있다. 누가 될지 알 수 없지만 누군가가 뛰어넘어 시장을 바로잡는 선구자가 되었으면 하는 바램을 담아 글을 마무리하고자 한다.