[K-보안 주권 ④] "北·中 APT 최전방서 단련된 K-인텔리전스"…...

실전 경험의 제품화·선단 수출이 다음 과제디지털데일리는 [K-보안 주권] 기획 시리즈를 통해 한국이 서 있는 보안 현주소와 향후 나아갈 방향을 짚어본다. 대한민국이 'AI 3대 강국'을 넘어 사이버 방위의 핵심 축인 '보안 주권(소버린 시큐리티)'을 확보하기 위해 필요한 과제와 방향성을 살펴보고 국내 보안 기업과 관계자, 전문가들이 현장에서 말하는 한국의 경쟁력과 미래 전략을 알아본다. <편집자>[사진=픽사베이][디지털데일리 박재현기자] 국내 보안기업들이 북한발 위협 대응에서 쌓은 1차 위협 데이터를 앞세워 일본·중동·동남아 시장을 두드리고 있다. 단순 솔루션 수출을 넘어 국가 사이버안보 체계를 통째로 이식하는 사업도 나왔다. 같은 경험을 가진 기업들 사이에서도 그것을 글로벌 시장에서 팔리는 형태로 만드는 데 성공한 곳과 아직 그 전환 앞에 선 곳의 간극이 벌어지고 있다.◆ 北·中 APT 최전방서 쌓았다…'공개 정보 재가공' 아닌 1차 데이터 축적·분석최근 국내 보안기업들이 해외 시장에서 내세우는 경쟁력, 이른바 'K-인텔리전스'의 기반은 하나다. 북한·중국 등 국가배후 APT 조직의 실제 공격 타깃으로 오랜 기간 노출돼 온 환경에서 쌓은 1차 위협 데이터다. 공개 정보를 재가공한 수준이 아니라, 공격자가 실제로 쓰는 인프라를 현장에서 추적하고 침투 경로를 분석한 데이터다.공격자를 추적하는 방식도 단일 침해지표(IoC) 탐지에서 공격 인프라 생태계 전체를 겨냥하는 쪽으로 진화했다. AI스페라의 '크리미널 IP'는 전 세계 43억개 IPv4 자산을 직접 수집·분석해 북한계·중국계 APT 조직이 인프라를 빠르게 교체하더라도 새로 만들어지는 인프라까지 연관 식별한다.안랩은 엔드포인트·네트워크·메일·클라우드 전 영역 데이터를 연계 분석해 개별 이벤트가 아닌 공격 캠페인 단위 인텔리전스를 제공한다. NSHC는 딥·다크웹과 위협 헌팅·악성코드 분석 데이터를 연결해 공격 그룹 간 연관성과 인프라 재사용 여부를 추적하고, 이를 STIX/TAXII·MITRE ATT&CK 등 국제 표준 포맷으로 제공해 해외 고객 환경과 바로 연동되는 구조를 갖췄다.엔키화이트햇은 추적한 공격 방법론을 침투테스트와 공격표면관리(ASM) 진단에 직접 연결해, 위협을 분석하는 데서 그치지 않고 실제로 뚫리는지 검증하는 데까지 이어지는 구조를 갖췄다. 라자루스·김수키·코니 등 주요 위협 그룹의 공격 인프라를 장기 추적하면서 확보한 데이터가 진단 시나리오로 순환하는 방식이다. 최근 국내 그룹웨어 서버를 표적으로 한 김수키의 공격 사례를 국내 최초로 식별해 'K-CTI 2026'에서 발표한 것도 이 체계에서 나온 결과다.S2W는 인텔리전스를 국제 수사 공조로 직접 연결했다. ICPO 게이트웨이 이니셔티브에 국내 기업 중 유일하게 파트너로 참여해 글로벌 사이버범죄 대응 작전 '시너지아 III'와 '사이클론'에 인텔리전스를 제공하고 거점 수색과 조직 검거를 지원했다. 제품을 판매하지 않고도 수사기관 실전 검증으로 신뢰를 쌓는 방식이다. 국가사이버안보센터 판교캠퍼스 퍼스트그룹과 KISA 인텔리전스 협의체 참여도 병행하고 있다.가장 뚜렷한 해외 성과를 내고 있는 곳은 AI스페라다. 설립 초기부터 글로벌 SaaS로 제품을 설계한 결과 크리미널 IP는 현재 150개국 이상에 서비스 중이고 전체 사용자의 약 90%가 해외 고객이다. 구글·마이크로소프트·시스코·팔로알토 네트웍스 등 50여 개 글로벌 IT·보안 기업과 협력 관계도 구축했다.강병탁 AI스페라 대표는 "창립 멤버들이 글로벌 게임 서비스를 운영해온 경험을 바탕으로 초기부터 글로벌 시장을 겨냥한 서비스 설계가 가능했다"고 말했다. 국내 보안 시장 문법에서 자라난 기업들과 출발점이 달랐던 것이 이 결과로 나타났다는 평가가 나온다.◆ 중동 급부상·일본 법인까지…지역별 공략 지도 구체화보안기업들의 수출 활로도 윤곽이 잡히고 있다. 눈에 띄는 것은 일본과 중동이 공통으로 겹친다는 점이다. 일본은 SIEM 시장이 두 자릿수로 성장하는데 현지 전문 벤더가 없고, 구조적 보안 인력 부족이 고질적 과제다. 한국이 실전에서 쌓은 위협 분석 역량과 AI 기반 자동화 솔루션이 이 두 가지 공백을 동시에 겨냥할 수 있다는 판단이 여러 기업을 같은 방향으로 이끌고 있다.중동은 국가 차원의 사이버 안보 투자가 빠르게 늘고 있고, 지정학적으로 한국과 유사한 위협 환경에 놓인 국가들이 많다. 그렇기에 한국의 보안 K-인텔리전스 역량이 적용되기에 적합한 상황이다.먼저 지니언스는 글로벌 누적 고객 200곳을 돌파했으며 최근 가장 빠른 성장 지역으로 중동이 떠올랐다. 북미·중동·APAC 세 축으로 권역을 다변화하면서, 데이터 주권 요구가 강한 지역에는 온프레미스를, 북미에는 클라우드 구독 모델을 각각 적용하는 맞춤형 전략을 쓰고 있다. NAC·ZTNA·EDR을 연결해 접속부터 실행 이후 행위까지 보안 규제 준수를 실시간으로 증명하는 '컴플라이언스 벨로시티'가 차별화 포인트다.지니언스는 "지정학적으로 민감한 위치에서 한국과 유사한 사이버 위협을 겪는 해외 고객들이 한국 보안 기업의 대응 경험을 높이 평가한다"고 설명했다.로그프레소는 일본을 우선 공략 시장으로 정하고 연내 법인 설립을 추진하고 있다. 일본 SIEM 시장은 두 자릿수 성장세가 이어지는데 현지 전문 벤더가 없어 국산 기업에게 열린 경쟁 구도가 형성돼 있다. 지난해 AT&T 재팬 전 부사장을 현지 고문으로 영입하며 파트너 네트워크를 다졌다. 차별화 포인트는 에이전틱 SOC다.일본은 구조적 보안 인력 부족이 SOC 운영의 고질적 병목인데, AI 에이전트가 분석가 업무의 상당 부분을 자동화하는 구조가 이 문제를 완화할 현실적 접근으로 평가된다.아톤은 보이스피싱 방어 솔루션 '디펜더스'로 미국·일본·인도 중앙은행 등과 공급 논의를 진행 중이고, 양자내성암호(PQC) 기반 인증도 금융권 수출 아이템으로 키우고 있다. NIST 표준 ML-DSA 알고리즘 기반 풀스택 PQC 체계를 국내 주요 은행·증권사에 구축한 실적을 글로벌 레퍼런스로 활용하는 구조다.엔키화이트햇은 일본·중동을 1차 진출 시장으로 정했다. 데프콘 34 CTF 예선 1위, 일본 NDIAS IoT 보안 CTF 1위 등 국제 경연 성과를 역량 레퍼런스로 삼고 있다. 일본은 위협 환경과 IT 운영 구조가 한국과 닮아 있어 국내에서 쌓은 대응 경험을 이식하기에 적합한 시장으로 본다.국가 사이버안보 모델을 통째로 이식하는 방식도 가시화됐다. 파이오링크는 KOICA 공적개발원조(ODA)를 통해 키르기스스탄에 한국형 사이버안전센터를 구축했다. KISA·국내 보안기업 컨소시엄과 함께 동남아 한 국가에서도 같은 방식으로 사업이 진행 중이며 6월 중 착수식이 예정돼 있다. 파이오링크는 "단순 제품 수출을 넘어 한국형 보안 운영 경험과 기술 모델을 함께 수출해야 한다"며 컨소시엄 방식이 그 경로가 된다고 봤다.◆ "레퍼런스 체크하면 공공기관만 나온다"…제품화·선단 체계가 다음 관문현장 성과가 하나둘 나오는 가운데, 업계 안에서는 냉정한 진단도 나온다. 실전 경험을 쌓은 것과 그것으로 해외에서 돈을 버는 것은 다른 문제라는 인식이다. 침해사고 대응 데이터와 악성코드 분석 결과가 프로젝트 안에서 소모되고 끝나는 경우가 여전히 많다는 것이 공통된 지적이다.NSHC는 "침해사고 대응과 APT 추적 경험을 개별 프로젝트에 머무르게 하지 말고 플랫폼·보고서·API 기반 인텔리전스 피드로 제품화해야 한다"고 지적했다. 해외 고객이 원하는 것은 단순한 위협 정보의 양이 아니라, 검증된 IoC·공격 맥락·조치 우선순위까지 포함된 실행 가능한 인텔리전스라는 설명이다.시장 구조가 이 전환을 막는다는 진단도 나온다. AI스페라는 "동일 기능을 반복 구축하는 SI 프로젝트 방식에서 벗어나야 하고 국내 SaaS 보안 예산이 글로벌 대비 너무 작다"고 봤다. 엔키화이트햇도 "구축형·단기 프로젝트 중심 구조에서는 상시 검증 기반 서비스 모델이 자라기 어렵다"고 진단했다. 보안 산업은 한 번 구축하면 끝나는 사업이 아니라 지속 업데이트되는 서비스 산업에 가깝다는 것이 공통 인식이다.수출 방식의 구조적 한계도 겹친다. 소프트캠프는 "해외에서 레퍼런스 체크를 하면 결국 국내 공공기관만 나온다"며