• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“보안시장만을 위한 보안의 가치는 사라지고 있다.” 2007.10.10

보안 관리자들은 전문업체가 시장에서 얼마나 살아남을 수 있을지 묻고 있다.

 


“보안시장만을 위한 보안의 가치는 사라지고 있다.”

2월 샌프란시스코에서 열린 RSA 시큐리티 리더 회의에 참가한 아트 코비엘로(Art Coviello) 사장의 얼굴은 검게 그을려 있었다. 햇빛에 탄 것인지, 재정적인 문제로 상기된 것인지 구분하기 어려웠다. 코비엘로는 참석자를 상대로 한 기조강연에서 “앞으로 10년 안에 보안시장 그 자체는 사라질 것”이라고 강조했다. 회의에 참여한 리더들이 수군대기 시작했다. “RSA가 방금 합병됐기 때문에 그렇게 말하기 쉽겠지.”


RSA는 코비엘로의 예측을 뒷받침하는 상징이었다. 세계적인 규모의 인프라스트럭처 업체인 EMC가 지난 6월 상당한 규모의 보안 회사를 21억 달러에 인수했다. 이를 통해 EMC는 그동안 상대적으로 저조했던 저장·데이터관리 포트폴리오를 완성할 수 있었다. EMC는 보안관련 규제가 강화된 이후 뜨거운 감자가 됐던 데이터 보안 시장에 황급히 뛰어들었다. 7800여 개의 회사들이 1달러를 벌기 위해 1%의 시장점유율이라도 높이려고 치열하게 경쟁하는 보안산업에서 코비엘로가 “합병은 불가피하다고 하다”고 역설하는 것은 이해가 된다.


독립된 작은 보안업체는 거대한 공룡에게 너무나 쉬운 먹잇감인가? 보안산업이 컴퓨터 산업에 포섭될까? 최상의 소프트웨어를 사용한 포인트 솔루션 보안이 EMC, IBM, HP와 같은 회사가 발표한 통합 서비스에 포함될 것인가?


일부 보안전문가들은 이러한 질문에 부정적인 견해를 밝히고 있다. 전문서적을 출판하는 휴톤 미플린(Houghton Mifflin)의 정보보안 담당자인 패트릭 코트(Patrick A. Cote)는 “벤처 형식으로 새롭게 시작하는 작은 보안회사에 진정한 혁신이 있다”고 주장한다. 그는 “합병이 일어나면 일어날수록 새로운 회사도 늘어난다. 돈을 벌기 쉽기 때문”이라며 “벤처 형태의 회사는 계속 생길 것이고 그들은 대형 기업보다 시장에 더 유연하게 대처할 수 있다”고 말했다.

 


큰 것은 새로운 작은 것이다


보안관리자들이 직면하는 위태로운 사태는 대부분 새로 생긴 위협 때문이지만, 예산 때문에 어려움을 겪게 되는 일도 발생한다. 정보보호는 눈에 보이지 않는다. 전문가들은 “정보보호는 보험에 가입하는 것과 같다”고 말한다. 보안 관리자가 경영진에게 정보보호를 위해 새롭게 투자를 해야 한다는 점을 이해시키기 어렵다. 대부분의 보안 관리자들은 적은 예산으로 완벽한 보안을 이뤄야 한다.

 


투자정보서비스협회(Financial Services Organization)의 보안 책임자인 샌더 실베라(Sander Silvera)는 “내가 원하는 것은 제품에 투자를 해 성과를 내고, 회사가 그 제품을 지속적으로 생산하며, 제품이 소비자에게 오랜 기간 실용적으로 쓰이는 것”이라고 강조했다.


예를 들어 IBM이 한 기업의 제품을 구매한다고 했을 때, 해당 기업 담당자는 자신의 제품과 경쟁하는 제품을 IBM이 생산하지 않기를 바랄 것이다. 실베라는 “경쟁에서 자신의 제품이 살아남지 못한다면 매우 낙담하게 될 것”이라고 지적했다.

 


작은 보안회사가 시장에서 오래 살아남을 수 있는지는 그 회사가 얼마나 혁신적인 경영방식을 택하고 있으며, 뛰어난 기술을 갖고 있느냐에 달려있는 것이 아니다. 이것은 기업이 흥하느냐, 망하느냐의 문제이지 회사를 유지할지 그렇게 하지 않을지를 결정하는 요소가 아니다. 보안기술은 적지 않은 비용을 요구한다. 보안자산을 갖고 있는 작은 보안회사가 커다란 인프라를 제공하는 기업과 관계를 맺고 있다면, M&A를 통해 대기업에 기대고 싶은 생각이 드는 것은 당연하다.


휴톤 미플린의 코트는 “대기업은 커다란 그림자를 만든다”고 설명한다. 대기업의 제품이 항상 최고는 아니지만, 소비자는 제품을 구매할 때 사용이 얼마나 간편한가를 따진다. 새로운 제품이 기존에 구축된 인프라에 얼마나 적합한가 하는 것은 결정적인 요소가 된다. 코트는 “대부분의 사람들은 완벽하지 않은 기술을 사용하면서도 통합제품은 무조건 크고 복잡해야 한다고 생각한다”고 비판했다.


M&A는 보안산업 이외의 분야에서 수익을 창출하는 방법으로 활발하게 이뤄지고 있다. EMC는 RSA를 합병해 주목을 받았다. IBM은 지난해 9월 13억 달러를 투자해 인터넷 시큐리티 시스템즈(Internet Security Systems)를 합병, 시장을 놀라게 했다.


IBM은 이에 그치지 않고 12월 콘솔 리스크 매니지먼트(Consul Risk Management)를 인수했다.  시스코 역시 이러한 흐름에 맞춰 지난 2년 동안 게이트웨이 보안기기 업체인 아이언포트(IronPort)와 감시 및 위협관리 기기 업체인 프로테고(Protego), 사이버트러스트(Cybertrust)의 정보서비스 자산을 인수했다.


이들과 상반된 활동을 보인 곳도 있다. 보안 전문업체인 시만텍은 2005년 7월 저장기기 리더인 베리타스(Veritas)와 합병했으며, 2006년 1월에는 엔드포인트 보안기업 알티리스(Altiris), 다음달에는 시스템관리 회사 릴리코어(Relicore)를 인수해 모든 인프라를 제공하는 업체로 발돋움했다. 시큐리티 인사이트(Security Incite)의 사장이자 책임분석가인 마이크 로트맨(Mike Rothman)은 “큰 것이 새로운 작은 것”이라고 말하곤 한다.


“90년대 초반 얼리 어댑터가 성장하고 난 뒤 혁신적인 기술에 대한 이점이 있었다. 그러나 본격적으로 시장에 진입하면 누구와 함께 사업을 해야 하는지 생각해야 하는 상황에 부딪혔다.”


시큐리티 인사이트의 로트맨은 “시장의 추세는 합병과 통합적인 솔루션 세트”라고 단언한 후 “그러나 이러한 추세가 지속된다면 새로운 솔루션을 찾을 수 있는 기회는 없을 것”이라고 강조했다.


통합제품 논란


보안은 최신기술의 안식처이다. 회사가 크면 클수록 사무용 컴퓨터에서 네트워크와 응용기기의 보안까지 모든 것에 최고의 보안 솔루션에 투자를 할 것이다. 그러나 보안 전문기업들은 “완벽한 보안 솔루션을 갖춘 업체는 극소수에 불과하다”고 지적한다. 보안기업의 눈에는 최고의 보안 시스템을 갖춘 기업이라 해도 최신기술에 미치지 않는 것으로 보인다.

 


트렌드마이크로의 CEO인 에바 첸(Eva Chen)은 “새로운 위협은 쉴 새 없이 쏟아져 나오며, 그에 대한 지식을 끝없이 습득해야 하고 지속적인 투자가 있어야 한다. 보안 관련 대책을 저장할 수 있는 공간을 확보해야 한다. 게다가 예산 등 다른 제약도 해결해야 한다”고 지적했다. 아울러 그는 “네트워크 보안은 여전히 복잡하다. 위협·감시 등과 같은 특정한 분야에는 깊이 있는 지식이 필요하다”고 덧붙였다.


전문 보안업체는 통합 서비스를 제공하는 업체와 차별화하기 위해 소비자에게 특화된 제품을 공급하고 지원한다. 체크포인트의 회장 겸 CEO인 길 쉐드(Gil Shwed)는 “소비자와 파트너는 보안 전문업체를 찾는다. 그들은 통합된 서비스를 제공하는 업체를 원하지 않는다”며 “소비자에게 필요한 것은 독립적이고 전문적인 회사”라고 강조한다.


쉐드의 주장은 이론적이고 이상적이다. 그러나 현실은 그렇지 못하다. 휴톤 미플린의 코트는 “상황마다 다르지만, 모든 보안 기능을 독립적으로 구축할 수는 없다”고 반박했다. 예를 들어 휴톤 미플린에서는 사무용 컴퓨터 보안과 방화벽, 바이러스 방지를 위해 맥아피의 통합 솔루션을 사용한다.


코트는 “하나의 장치로 사무용 컴퓨터를 비롯한 모든 보안과제를 해결할 수 있다면 편리하기 때문에 통합 솔루션을 찾게 된다”며 “보안 장비를 기능에 따라 별도로 구축해 사용하면 사용과 설치가 매우 복잡해 질 것”이라고 말한다. 네트워크 보안도 다르지 않다. 휴톤 미플린의 네트워크 인프라는 시스코 제품으로 구축돼 있다. 따라서 인프라에 맞는 통합된 장비가 있으면 코트와 같은 정보보호 관리자는 망설임 없이 구입할 것이다.


모든 보안 전문 업체들이 15년 이상 시장에서 우위를 차지하고 있는 체크포인트와 같은 조건을 가질 수 없다. 보안산업의 한 부분을 이루고 있는 작은 업체들은 시장을 보다 더 확장하기 위한 대책을 마련하고 있다. 그 방법 중 하나로 인수·합병을 선택하고 있다.


10년 동안 인증 전문업체로 자리 잡아 온 아르코트 시스템(Arcot System)에서 최고 기술 책임을 맡고 있는 짐 레노(Jim Reno)는 “산업 전반으로 인수·합병이 이뤄지고 있으며, 지금은 그것조차 포화상태”라면서도 “그러나 시장이 정말로 포화상태라면 합병되지 않는다”고 역설했다. 새로운 아이디어들이 시장에 진입하고 있기 때문에 새로운 기술에 대한 아이디어가 나오는 이상 시장은 계속적으로 확장될 것이기 때문이다. 시장이 포화상태가 될수록 소비자에게는 더 많은 선택의 기회가 제공된다.


이에 대해 시큐리티 인사이트의 로트맨은 “포화상태를 ‘혁신의 과잉’과 혼동해서는 안된다”고 경고한다.


“무엇이 혁신이며, 무엇이 최고인가? 현실에서 혁신적인 아이디어는 그렇게 많지 않다. 같은 문제를 해결하기 위해 약간 다른 방법이 사용된다. 응용기기 보안 등 몇몇 분야는 이제야 따라오기 시작했다. 네트워크에 일어난 것과 비교해 그들이 무엇을 했는지 생각해보라. 응용기기 보안은 3~4년 정도 뒤쳐져 있다. 혁신적인 기술을 발표한 지 꽤 오랜 시간이 지났다. NAC, 정보유출방지 시스템 등과 같은 방법은 오랫동안 사용한 방법에 약간 다른 방법을 적용시킨 것 뿐이다. 새로운 제품들은 기존의 솔루션을 더 큰 세트에서 제공하는 것일 뿐이다.”

로트맨은 덧붙여 “오래된 솔루션은 작은 업체가 성장할 수 있는 발판이 된다”고 말했다.


버튼 그룹의 보안분석가인 피트 린드스트롬(Pete Lindstrom)은 “빈 틈을 찾아 연구해야 한다. 언제나 새로운 기술이 생겨나고 있으며 그들 중 몇몇은 대기업에게 매력없는 독특한 제품일 수 있다”고 조언했다. 그는 “만약 당신이 하나의 제품을 생산하는 업체라면 더 많은 이익을 얻을 수 있고, 더 많은 사람에게 적은 비용으로 다가가 경쟁력을 유지할 수 있다. 시장 통합의 문제는 대기업이 얼마나 이기적인가에 달려있다.


가능한 목표는 무엇인가?


게이트웨이 보안 제공업체인 시큐어 컴퓨팅(Secure Computing)은 1984년에 설립된 이래 금융투자회사와 정부기관에 제품을 공급하고 있다. 지난 2년간의 매출이익은 거의 3억 달러에 이르고 있다. 아트리 차터지(Atri Chatterjee) 마케팅 최고책임자는 “시큐어 컴퓨팅이 ‘쉬운 상대’라는 말을 들을 만한 규모인가 하는 것은 소비자들이 보안 전문업체에게 종종 묻는 질문”이라고 말했다.


기업은 보안기술을 통해 그들이 투자한 자산을 보호하기를 원한다. 보안위협이나 공간, 예산의 한계를 해결하기 원하거나 옵션을 제시하는 것, 그리고 그들의 계약을 안전하게 하기 위해 무엇을 할 수 있는지 질문한다. 하지만 보안 관리자들이 이러한 질문에 모두 만족할만한 대답을 할 수 있는 것은 아니다.


실베라는 “내가 문제점을 제시한다 해도 그들은 어떠한 정보도 제공하지 않는다”며 “또한 보안업체가 기업에게 답변을 한다 해도 철썩 같이 믿어서도 안된다”고 지적했다.


시큐리티 인사이트의 로트맨은 “보안업체는 거짓말을 한다. 합병을 할 것인지 물으면 보안업체는 ‘적어도 오늘은 아니다’고 답할 것”이라며 “만약 합병을 해야 하는 상황에 닥친다면 금전적인 면에서 고려를 할 것”이라고 말했다.


“모든 사용자들이 그렇다는 것은 아니다. 모든 회사가 다른 회사와 차별적인 전략을 갖고 있다는 점은 소비자도 잘 알고 있다. 그러나 회사가 사라지고 기업이 손실을 보는 일은 종종 발생한다. 신생회사와 거래를 한다면, 그 회사가 없어졌을 때를 고려하지 않을 수 없다.”

 


체크포인트, 퀄리스, 아크사이트와 마찬가지로 시큐어 컴퓨팅은 자신의 분야에서 최고의 위치를 지키고 있기 때문에 보안사업을 강화하거나 새로 시작하고 싶어 하는 대기업에게 매력적인 목표가 되어왔다. 체크포인트가 그랬던 것처럼 스노트(Snort)나 RNA 같은 혁신적인 기술을 가진 소스파이어(SourceFire)를 인수해서 성공가능성을 높일 수도 있다.


아르코트와 같은 회사는 대기업과 제휴해 다른 회사 제품의 ‘유비쿼터스’가 될 수 있다. 아르코트가 보여주는 가장 좋은 예는 자사의 인증제품을 인포카드로 알려진 윈도우 카드스페이스에 통합한 것이다.


아르코트의 레노는 “대기업이 거절할 수 없는 조건을 제시하는 것으로 작업을 시작하면 시장에는 기업의 합병에 대해 많은 해석이 나온다”며 “2~3개의 업체를 인수할 때 2~3개의 제품이 추가로 생기고, 2~3배로 늘어난 고객을 관리해야 한다. 이 모든 것을 유지하기 위해서는 많은 노력과 관심이 필요하다.”고 말한다.


“인수·합병은 매우 바쁘고 복잡한 작업이다. 800개의 보안업체 중 80%가 1000만 달러에 채 못 미치는 매출을 기록한다. 1500만 달러에서 2000만 달러의 시장에서 얼마나 많은 회사가 살아남을 수 있을까? 망하면 어떻게 될까? 보안업체는 기업에게 제대로 된 해결책을 제시해야 한다. 기업은 보안과 관련된 문제가 발생하기를 원하지 않는다. 보안을 통해 추가로 성장할 수 있는 기회를 얻기를 원한다. 아무도 해결할 수 없는 문제를 해결한다면 작은 회사로부터 제품을 구매할 것이다.”

시큐어 컴퓨팅의 차터지가 밝힌 인수·합병에 대한 시각이다. 다른 보안전문업체에서도 마찬가지의 생각을 갖고 있다.


에뱌 첸 트렌드마이크로 CEO는 “우리의 전략을 ‘스타벅스 전략’이라고 부른다. 우리는 매우 좋은 커피를 판매한다. 우리는 통닭이나 피자를 판매하지는 않는다”며 “트렌드마이크로와 같은 전문 보안기업이 이 분야에서 앞서나가는 것이 중요하다”고 말했다.

 


사이즈별로 혼합하기


“보안업체들은 기업이 투자를 할 때 전략적으로 접근해야 한다. IBM이 보안업체를 인수할 때마다 위축되면 안된다. 쥐덫을 갖고 있다고 해도 더 좋은 쥐덫이 나오면 사람들은 새 쥐덫을 구매한다. 그것이 시장의 원칙이다.”

휴톤 미플린의 코트는 페스트패트롤(PestPatrol), 웹루트(Webroot) 등 작은 보안업체와 무료 공개 백신인 Spubot에 장악된 백신시장을 예로 들어 말했다.


“큰 규모의 회사는 보안시장에서 완전히 발을 뗐다. 보안시장에는 작은 회사만 남았다. 그러나 작은 기업들은 더 좋은 제품과 더 뛰어난 성능을 지원한다. 소비자는 이 사실을 계속해서 확인할 것이다. 큰 기업에는 이러한 비전이 없다.”


대기업은 구매력이 있기 때문에 대기업이 보안전문업체를 인수함으로써 기대할 수 있는 이익이 있다. EMC가 RSA를 인수한 것을 생각해보면, 현재 EMC에 투자한 소비자들은 인프라 제공자들과 협조해 RSA 보안 제품을 그 환경에 서서히 적용시켜 현존하는 EMC에 통합하고 제품관리를 함께한다.


로트맨은 “이러한 작업은 작은 보안회사가 수행하기 어렵다. 대기업이 여러 업체를 합병해 한 번에 구매와 관리를 할 수 있다. 대기업이 보안업체를 합병함으로써 기대할 수 있는 이익”이라고 설명했다.


큰 보안업체가 작은 보안업체를 합병해 얻을 수 있는 이익도 분명히 존재하지만, 대기업이 인수·합병하는 것 만큼의 이익을 기대하기는 어렵다. 실베라는 “시만텍, CA, IBM과 달리 체크포인트와 같은 보안 전문업체는 작은 보안업체를 인수해 통합제품을 만든다고 해도 시장에서 경쟁력을 인정받기 어렵다”고 말한다.


시장이 확장되는 것은 소비자들이 선택할 수 있는 더 많은 기회가 생긴다는 것을 의미하며, 이는 큰 기업에게 더 매력적이다. 실베라는 “소비자들은 최고의 제품을 선택하며, 작은 회사들은 새로운 매출에 관심을 갖고 있다. 소규모의 보안 전문업체들은 대기업과 일하기 위해 간혹 자신의 전문영역을 벗어나기도 한다. 보안전문업체의 규모가 작을수록 대기업이 다가가기 더 쉽다”고 말한다.


퀄리스의 제품을 구입한 휴톤 미플린에는 네트워크 위험을 관리하는 방법으로 웹 상에서 제공하는 ‘서비스로서의 소프트웨어(SaaS : Software as a Service)’를 사용한다. 휴톤 미플린의 사장이자 CEO인 필립 코르타우트(Philippe Courtout)는 오래 전 네트워크 주변이 분열되고 있다는 사실을 알고 난 후 SaaS 모델로 변경하는 도박을 감행했다고 말한다. 휴톤 미플린의 이같은 결정은 기술의 혁신이 아니라 제공방법을 변화시켜 순수회사로서 퀄리스의 경쟁력을 강화시켰다.


코르타우트는 “SaaS 모델은 파격적이다. 업체는 고객이 인프라를 선택하지 않기 때문에 고객유지가 힘들어지고, 응용기기들이 브라우저를 운용하기 때문에 업체를 쉽게 바꿀 수 있다”고 말한다. 그는 “힘의 균형은 이동했다. 최신 기술을 가진 업체들이 시장을 지배하는 것이 아니고 지금은 고객들이 지배한다”고 말했다. 보안업체에게 기업이 원하는 바를 명시해주면 보안업체가 고객의 요구를 맞추기 위해 적합한 인프라를 선택해야 한다는 설명이다.


코트는 시장이 크게 줄어들지 않을 것이라고 예상한다. 작은업체들이 대기업에 인수되면 다른 회사들이 생겨나 그들의 자리를 채우면서 생겨난다. 새로운 회사들은 퀄리스와 같은 순수 보안업체로 성장하기도 한다. 코르타우트는 “퀄리스는 상당히 좋은 평가를 받고 있다. 솔직히 말해서 퀄리스가 아직 다른 기업에 인수되지 않은 것이 이상하다”고 덧붙였다.

<글: 마이클 미모소(Michael S. Mimoso)>

 

[월간 정보보호21c 통권 제86호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>