안랩의 보안 소프트웨어인 V3가 출시 25주년을 맞이했다. 1988년 의대에 재학 중이던 안철수 전 안랩 이사회 의장이 처음 개발한 V3는 수많은 기술 혁신을 이어가며 대한민국 대표 보안 솔루션으로 자리매김했다. 하지만 안랩은 V3로 시작했으나 이제는 보안 컨설팅, 네트워크 보안, 관제 서비스 등으로 사업 영역을 확장하며 해외 시장 공략에 박차를 가하고 있다. 지난해에는 보안 및 패키지 소프트웨어 업계 최초로 1,000억 원 매출을 돌파하기도 했다. 김홍선 안랩 대표를 만나 안랩의 사업전략과 IT보안 산업 전반에 대한 의견을 들어봤다.
김의준 기자 eugene@hmgp.co.kr
사진 윤관식 기자 newface1003@naver.com
안랩을 대한민국 대표 IT브랜드로 성장시키면서 가장 큰 성과가 있었다면?
소프트웨어 산업에 있어서 가장 중추적인 부분이 인프라 및 백엔드 보안이라고 생각한다. 이 분야에서 우리가 글로벌 기업들과 경쟁하고 있다는 것과 그런 세계적인 기술을 기반으로 매출, 시장점유율 등을 꾸준히 늘려나가고 있다는 점에 대해 굉장히 큰 자부심을 느낀다. V3를 원동력으로 안랩이 국내 보안 및 패키지 소프트웨어 기업 중 최초로 1,000억 원 매출을 기록한 것도 큰 의미가 있다.
V3가 한국 대표 보안솔루션으로 자리 잡을 수 있었던 원동력은 무엇인가?
초창기에는 단연 제품의 높은 품질 때문이었다. 그 당시 컴퓨터 바이러스들을 가장 정확하고 깨끗하게 잡아냈기 때문에 현재의 브랜드 이미지를 형성하고 고객들의 신뢰를 쌓게 된 것이다. 2008년에 내가 대표로 오고 나서는 단순한 치료 백신뿐 아니라 악성코드 (malware)에 대한 전문성을 갖고 세계적으로 굉장히 앞선 기술을 개발하게 됐다. 클라우드 기반으로 시스템을 분석하고 실시간으로 새로운 공격에 대해 미리 선제 대응하는 시스템을 만들어 경쟁력을 상당히 높였다. 이것을 기반으로 PC단계뿐 아니라 네트워크와 모바일까지 종합적으로 관리할 수 있는 기술력을 키우게 됐다.
과거에는 V3에 대한 수익 의존도가 높았는데 최근에는 점점 다른 분야의 매출이 커지는 것 같다.
한때 80~90%에 이르던 V3의 매출 비중이 지금은 35% 수준까지 떨어졌다. V3 자체의 매출은 계속 증가하고 있지만 다른 제품들이 성장하면서 V3가 전체 매출에서 차지하는 비중이 줄어든 것이다. 여러 가지 다른 사업들을 서로 연동해서 전략적으로 시너지를 일으키고 있다.
2011년부터 V3 외의 분야에서 수익이 늘어나면서 안랩 전체 매출도 급성장한 것으로 나타났다. 각 사업 분야에 대해 좀 더 구체적인 설명을 부탁한다.
현재 가장 크게 성장하는 분야는 ‘통합위협관리(UTM) 솔루션’을 포함한 네트워크 보안 쪽이다. 대부분의 수입은 기업들에서 나오는데 많은 국내 대표 기업과 거래를 하고 있다. 그 다음으로 빠르게 확장하는 분야가 관제 서비스와 보안 컨설팅이다. 이런 신성장 사업들은 전부 기존에 존재하지 않다가 갑자기 성장한 분야다. 보안 컨설팅 사업과 보안관제 서비스 사업은 2012년 매출이 전년대비 각각 31%, 38% 성장했다. 안랩의 보안 컨설팅 서비스는 업계 최고 수준인데 기업들에게 자신들의 취약점이나 미래 로드맵 등을 종합적으로 제공한다. 관제서비스는 말 그대로 24시간 모니터링하면서 현장에서 일어나는 사이버공격을 관제센터나 원격조종을 통해 해결해준다.
해외사업도 점점 활발해지는 것 같다.
해외 법인이 중국, 일본, 미국 등 세 곳에 있다. 중국법인은 악성코드 분석이나 R&D 분야에 주력하는데 ‘트러스라인’이라고 공장 자동화 시스템을 보호해주는 솔루션이 인기가 좋다. 일본법인은 주로 관제산업을 위주로 하는데 24시간 일본어 서비스도 제공한다. 미국 법인은 가장 최근에 생겼는데 MDS(Malware Defense System)라는 지능형 지속위협(ATP) 공격 솔루션에 주로 초점을 맞추고 있다. 미국은 워낙 시장도 크고 발전 가능성이 커 잠재력이 크다. 우리 기술이 분명히 앞서 있다고 믿기 때문에 1년 안에 고객과 시장으로부터 인정 받을 것으로 믿는다. 현재 해외 사업 비중은 아직 전체 매출의 10% 수준이지만 2015년까지 30% 수준으로 키울 계획이다.
항상 R&D투자에 주력해 왔는데 앞으로도 역시 기술혁신과 연구개발에 가장 많은 투자를 할 것인가?
R&D 투자에 대해서는 강한 확신이 있다. 안랩은 전체 830명 직원 중 450명 이상이 순수 연구 인력이다. 자기 기술을 갖추고 있어야 경쟁사와 대등하게 경쟁할 수 있기 때문이다. 특히 벤처기업은 차별화 된 기술이 필수적이다. 우리 개발자들이 특허기술이나 지적재산권을 가진 기술 개발에 집중하도록 적극 투자하고 장려하고 있다. 그 기술들이 결국에는 우리의 무기가 될 것이기 때문이다.
안철수 전 이사회 의장의 행보에 따라 안랩 주가가 영향을 받기도 했는데, 요즘도 연락을 자주 하는가?
사실 그분은 이제 정치인이시고 뵙기도 힘들다. 요즘 뵌 적이 없어 그분에 대해 할 말도 없다.(웃음) 주가가 오르든 내리든 우리의 목표는 꾸준히 회사 실적과 가치를 높이는 일이다. 한국 시장을 벗어나서 수익성이 더 좋은 글로벌 시장에서 실적을 내고 성과를 내기 위해 노력 중이다.
보안솔루션이 소프트웨어 산업의 핵심이 되야 한다고 했는데 좀 더 구체적인 설명을 부탁한다.
다른 소프트웨어들이 아무리 제품을 잘 만들어도 보안이 제대로 구축되지 않으면 사용할 수가 없다. 보안 기반이 있어야 소프트웨어가 꽃을 피울 수 있다. 그렇기 때문에 제대로 된 보안 기반을 구축하는 것에 상당히 신경 쓰고 있다. 특히 우리 사회가 점점 IT기반으로 가면서 모든 경제·사회 기반이 IT소프트웨어 없이는 작동이 어렵게 됐다. IT보안은 모든 소프트웨어와 인프라 구축에 중심축이 돼야 한다.
정부나 국내 기업들이 이런 IT보안의 중요성에 대해 인지하는 편인가?
보안이 중요하다는 얘기를 안 하는 사람은 없다. 하지만 아직도 보안을 중심축으로 보기보다는 피해가 발생했을 때 부분적으로 대응하는 정도인 것이 사실이다. 예를 들어 디도스 공격을 당하거나 개인 정보가 유출 되면 그런 부분에 대해서만 보안에 신경 쓰고 있다. 이건 한국뿐 아니라 외국도 마찬가지인 것 같다. 요즘 많이 좋아지고 있지만 IT보안을 최우선 사안으로 두는 것에 대해서는 아직 부족한 면이 있다. 정부에 바라는 것이 있다면 IT보안 전문 인력 양성에 좀 더 적극적인 지원을 해줬으면 좋겠다. 개발자, 컨설턴트, 안전요원 등 아무리 많이 양성해도 인력이 부족한 실정이다.
요즘 ‘사이버전쟁’과 같은 용어가 자주 등장하는데 어느 정도 심각한가?
요즘 IT보안에 있어서 가장 큰 변화는 사이버공격의 주체가 학생이나 해커가 아닌 특정 국가의 지원을 받는 조직적인 집단으로 진화하고 있다는 점이다. 굉장히 조직적이고 체계적으로 활동하기 때문에 국가 전체적으로 위협이 될 수 있다. 단순히 금전적인 손해를 입히는 것이 아니라 우리의 기반 시설, 방송망, 헬스케어, 전기 시스템 등 사회 안전망 전체가 무너질 수 있다. 더 넓게 보면 사이버공격으로 전쟁의 패러다임 자체가 바뀌었다. 사이버 공격은 굉장히 중요한 비대칭무기가 될 수 있다. 그런 측면에서 우리 나라도 이 부분을 좀 더 강화하고 치밀한 대비책을 세워야 한다.
사이버공격에 대비해서 일반인들이 숙지해야 할 사항이 있다면?
지금의 사이버공격은 최종 사용자(end user)를 목표로 진행된다. 기업 네트워크 서버가 아닌 기업 내에 있는 직원들의 PC를 바로 공격하고 있다. PC에 일단 근거지를 마련하고 정보를 탈취한 다음 거기서 또 자기가 원하는 목표를 찾아 들어간다. 소위 APT공격의 전형적인 방법이 이런 우회공격이다. 이를 사전에 막기 위해서는 기본적으로 안티 바이러스 제품을 설치·업데이트하고 비밀번호를 정기적으로 바꿔줘야 한다. 이런 부분만 잘해도 어느 정도 공격을 막을 수 있다. 아무리 조직이 크더라도 나 자신으로부터 공격이 시작 될 수 있고 나를 통해서 조직 전체가 피해를 볼 수 있다는 인식을 가져야 한다.
모바일 보안 사업은 어떤 식으로 진행하고 있나?
모바일 보안 제품은 스마트폰이 나오기 전부터 개발했다. 국내 주력 기업들한테는 이미 백신이 제공되고 있고 최근에는 모바일 기기를 잃어버렸을 때를 대비한 도난방지 제품이나 사기방지 제품에도 신경을 쓰고 있다. 스마트폰 앱에 대한 특성 분석도 강화하고 있다. 2년 전부터 삼성전자 앱스토어에 올라가는 모든 앱들은 안랩의 검증 시스템을 통과해야 한다. 모바일 보안을 기업에 적용할 때는 요즘 추세가 되고 있는 BYOD(Bring Your Own Device)처럼 개인이 사용하던 기기를 기업 네트워크에 접속시킬 때 다른 네트워크나 보안구조와 어떻게 잘 호환시킬 것인지에 많은 노력을 기울이고 있다.
더 큰 혁신을 위해 개발자들이 제품 개발뿐 아니라 경영에도 적극적으로 관여해야 한다는 지적이 있다. 안랩 개발자들은 경영 측면의 역할이 큰 편인가?
개발자가 시장에 대한 지식 없이 기술만 있으면 의미가 없다. 시장을 통찰하는 능력이 있어야 고객들을 상대로 사업을 할 수 있는 것이다. 결국 기술자에게 기업가 정신(entrepreneurship)을 심어주고 이런 고급인력을 적극 양성해야 한다. 기술은 전체 사업을 시작하는 데 20% 정도 역할을 하고 나머지는 그 기술을 상품화시키는 과정이다. 안랩에는 ‘iQ제도’라는 것이 있는데 모든 직원들이 제품에 대한 아이디어나 개선점을 공유하는 제도다. 대부분의 아이디어들은 개발자들한테서 나오는데 채택이 되면 그 기술을 특허로 발전시키고 제품으로 내놓기 위해 다 함께 토론한다. 보안과 관련 없는 아이디어도 많이 나오는데 요즘은 일일이 심사를 다 하지 못할 정도로 반응이 뜨겁다.
매출도 계속 성장 중이고 보안에 대한 인식도 점차 강화되는데 안랩은 앞으로 어떤 분야에 주력할 계획인가?
지금 보안 업계에 큰 변화가 일어나고 있다. 과거 보안솔루션들이 수동적인 방식으로 대응했다면 요즘은 공격적으로 선제적인 대응이 가능한 시스템을 구축하고 있다. 기존 기술로도 98%의 공격은 막을 수 있지만, 2%의 알려지지 않은 공격 방식과 악성코드에 대비하기 위해 네트워크, PC, 모바일 등 여러 관점에서 다양한 서비스를 개발 중이다. 실제 이 분야는 치열한 전쟁이 벌어지고 있는 산업이다. 게다가 요즘은 국가차원의 사이버 공격이 늘고 있어 상당히 많은 양의 정보를 요구한다. 안랩이 과거에 안티 바이러스가 가장 뛰어난 회사였다면 이제는 한 단계 진보해서 악성코드의 움직임과 특성을 가장 잘 이해하고 대응 할 수 있는 회사로 발전하려 한다. 그래서 장기적으로는 IT안보 정보(security intelligence) 분야에서 최고로 인정 받는 것이 목표다.