가. 산업 특성

□ 정보 보안 산업 관련 최근 주요 정책

코로나19의 영향으로 일본에서도 재택근무가 확대됨에 따라 정보 보안 대책의 중요성도 부각되고 있다. 시간과 장소에 구애 받지 않고 언제 어디서든 업무가 가능해지면서 회사 내부 뿐만 아니라 사외에서도 사이버 공격의 위험에 노출되는 사례가 크게 늘어나고 있다. 업무의 디지털 전환 가속화에 따라 PC 및 온라인 플랫폼에 대한 일본 기업의 의존도가 높아지고 있어 이에 따른 사이버 보안의 필요성이 더욱 증대되고 있다.

강력한 권한을 갖는 디지털청 신설

스가 요시히데 전 총리가 간판 정책으로 내세웠던 디지털 개혁을 주도할 중앙정부 기관 ‘디지털청’이 2021년 9월 1일 공식 출범했다. 디지털청 창설을 축으로 하는 디지털 개혁 관련 6개 법안이 2021년 6월 통과됐다. 관련법은 디지털청 설치법, 디지털 사회 이념을 규정한 디지털 사회 형성 기본법, 행정절차상 도장 날인 폐지를 핵심으로 하는 디지털 사회 형성 정비법 등으로 구성되어 있다. 총리(내각) 직속으로 설치된 디지털청은 다른 정부 부처의 디지털 관련 업무 내용을 검토하고 개선을 권고할 수 있는 강력한 권한을 갖는다. 디지털청은 행정 시스템의 통일 및 온라인화을 디지털화 추진의 핵심으로 한다. 디지털 행정의 효율성 향상에 더불어 디지털청 창설에 따른 디지털 정책 추진 가속화가 기대된다.

<디지털 개혁 관련법안 개요>

 자료: 일본 디지털청

<LAC의 일본 최대 규모 보안 감시 센터 'JSOC'>

자료: NIKKEI 신문

기시다 정권의 디지털 정책

2021년 10월 새롭게 발족한 기시다 후미오 정권은 소신표명 연설에서 성장전략의 핵심 축의 하나로 <디지털 전원도시 국가 구상>을 내걸었다. 이 구상에 대해 디지털청 홍보 담당자는 ‘디지털화의 실제 적용을 늘려 개혁을 일으키고 지방과 도시간 격차를 줄여가는 폭넓은 시책의 집합체’라고 설명했다. 차세대 통신 규격인 5G 등 디지털 인프라를 전국적으로 전개함으로써 도쿄 일극 집중의 개선을 노린다는 것인데, 2021년 10월에 중의원 총선이 치러진 만큼 향후 선거결과를 적극 반영한 정책 운영 및 구체적인 디지털 정책이 주목된다.

사이버 보안 경영 가이드라인 책정

일본의 종합 사이버 보안 기업 ‘트렌드 마이크로’의 <사이버 보안 동향 조사>에 따르면, 일본의 관공서를 포함한 각종 법인 조직의 43.8%가 2019년에 정보유출 등 중대 피해를 경험했고, 연간 평균 피해액은 약 1억 5천억 엔에 달하는 것으로 밝혀졌다. 이런 상황을 고려해 일본 경제산업성은 <사이버 보안 경영 가이드라인>을 개정했고, 사이버 공격의 조기 발견 이외에도 사이버 공격 피해 발생에 대비한 복구 체제 정비 등 사후대책 강화를 추진하고 있다.

□ 주요 기업 현황

일본 사이버 보안 업계는 트렌드 마이크로 등 종합 사이버 보안 회사가 중심이 되는 가운데, 개인용 소프트웨어 판매가 주력인 기업, 필터링 서비스 등 네트워크 보호가 주력인 기업, 인증 및 서버 관리가 주력인 기업, 보안관제서비스(Managed Security Service, MSS)를 운영하는 기업 등으로 분류가 가능하다. 일본의 정보 보안 업계는 타업종에 비해 상대적으로 신흥 기업이 많은 편이지만, 대형 경비 회사나 대형 연구소의 사내 벤처, 대형 정보통신 회사 계통 등 다양한 업력과 폭넓은 사업영역을 보유한 기업들이 존재한다.

<일본의 주요 정보 보안 기업>

자료: 회사 사계보 등

일본에서도 급증하고 있는 랜섬웨어 피해

최근 들어 해킹한 데이터나 시스템을 인질로 대금 지급을 요구하는 형태의 바이러스인 ‘랜섬웨어’ 공격으로 인한 일본기업의 피해사례가 급증하고 있다. 2021년 상반기에 일본 경시청에 보고된 일본 기업/단체의 랜섬웨어 피해 건수는 61건으로, 전년 하반기(21건) 대비 2.9배 대폭 증가했다. 랜섬웨어 공격을 한번 허용하고 나면 시스템 복구에 시간이 소요되기 때문에 시스템 복구에 투입되는 인력과 시간을 고려하면 상당한 금전적인 피해가 발생할 것으로 보인다. 클라우드 스트레지를 제공하는 미국 Wasabi Technologies의 데이비드 프랜드 CEO에 따르면, 랜섬웨어 공격에 따른 기업의 피해 금액은 평균적으로 180만 달러에 달한다. 일본의 경우에는 대기업 이외에도 중소기업이나 공공 교통기관, 병원 등으로도 피해 대상이 확대되고 있다. 현재 대외공개된 피해사례는 빙산의 일각에 지나지 않으며, 세계적으로도 랜섬웨어 피해는 심각한 문제로 부각되고 있다.

<일본 국내의 랜섬웨어 피해 사례>

<협박 메시지와 복화술 인형 '빌리'가 표시되는 랜섬웨어 JIGSAW의 화면>

자료: CNET Japan

나. 산업 수급 현황

□ 시장 동향

일본 네트워크 보안협회(JNSA)의 조사에 따르면, 2020년 일본의 정보보안 시장 규모는 전년대비 3.5% 증가한 1조 1,598억 엔으로 추정되며, 이는 10년 전과 비교하면 약 2배 가까이 증가한 수치다.

세부 항목을 살펴보면, 보안 툴 분야에서는 우선 엔드포인트(단말기) 보호관리 제품인 바이러스 대책 제품의 매출 규모가 눈길을 끈다. 엔드포인트 제품은 개인용/기업용의 구분이 사라지고 운영체제(OS)나 다른 제품과 일체화 비율이 높아지면서 평균 판매가격은 하락하고 시장 크기도 축소하는 경향을 보인다. 한편, 단말기 기반 지능형 위협 탐지 및 대응 솔루션(Endpoint Detection and Response, EDR) 과 같이 고급 기능 및 관리 기능을 갖춘 바이러스 백신 제품은 수요가 늘어나는 추세다. 2020년 이후로는 기업의 재택근무 시행 및 디지털화 움직임이 반영되면서 EDR분야의 매출 확대이 예상된다. 네트워크 방어 및 검출/경계선 방어 부문의 시장 규모도 큰 편인데, 이는 서비스형 소프트웨어(SaaS) 애플리케이션의 이용이 증가해 클라우드 환경에 대한 보안 수요가 늘면서 네트워크 보안, 웹 컨텐츠 보안 분야가 확대된 영향으로 추측된다.

사이버 보안 서비스 분야는 사이버 공격의 고도화 및 일본 국내외의 관련법 개정의 영향으로 인해 IT 통제·운영 및 컴플라이언스 대응 강화가 요구되면서 컨설팅/진단 서비스 수요가 안정적으로 증가할 것으로 보인다. 매출 규모와 성장률 모두 두드러지는 보안운영센터(Security Operation Center, SOC) 분야의 경우, 재택근무 보급에 따른 노동환경 정비 및 외부로부터의 시스템 접속 증가와 관련되어 있기 때문에 향후 급격한 수요 확대가 예상된다.

<일본 국내 정보보안 시장규모 - 보안 툴 분야(2020년 추정 매출)>

(단위 : 백만 엔, %)

※구성비는 소항목이 중항목 내에서 차지하는 비율

자료: 일본 네트워크 보안협회(JNSA)

<일본 국내 정보보안 시장규모 - 서비스 분야(2020년 추정 매출)>

(단위 : 백만 엔, %)

※구성비는 소항목이 중항목 내에서 차지하는 비율

자료: 일본 네트워크 보안협회(JNSA)

□ 시장 특성

정보 보안 투자에 대한 의욕은 있으나, 저조한 사이버 보안 의식 수준

일본의 IT전문 조사회사인 IDC Japan이 2021년 1월 일본 기업 883개사를 대상으로 실시한 <일본 기업의 정보 보안 대책에 관한 조사>에 따르면, 정보 보안 투자액에 대해서 일본 기업의 절반 이상이 전년(2019년)과 동일한 수준이라고 답변했지만, 투자를 줄였다고 답변한 기업(14.3%)보다는 투자를 늘렸다고 답변한 기업(31%)이 많았다. 다만 2019년 조사에서는 투자를 늘렸다고 답변한 기업이 36.4%였다는 것을 감안한다면, 코로나 사태로 투자 의욕이 소폭 위축된 것을 알 수 있다. 또한 응답 기업 중 60%가 정해진 정보 보안 투자 예산이 존재하지 않는다고 답변해 일본 기업들 사이에서 아직 사이버 보안에 대한 의식이 저조한 것으로 분석돼 향후 정보 보안 투자의 중요성을 향상시키기 위한 체계적인 정보 보안 리터러시 교육이 필요할 것으로 보인다.  

심각한 인재난에 처해 있는 정보 보안 업계

일본에서 채용 컨설팅 및 IT 아웃소싱 서비스를 전개하는 영국의 Harvey Nash Group이 발표한 <Digital Leadership Report 2021>에 따르면, 전 세계 대기업 IT 전문 임원의 3분의 2 이상이 IT 인재 부족이 원인이 되어 사이버 보안 생태계의 변화에 따라가지 못하고 언급했다. 일본 NRI Secure Technology가 작성한 정보보안 실태조사 보고서 <NRI Secure Insight 2018>에 따르면, 일본·미국·영국·싱가포르·호주 5개국에서 '정보 보안 인재가 부족하다'고 답변한 비율이 일본 이외의 4개국은 대략 15% 정도인데 반해 일본은 무려 85%에 달해 극심한 인재 부족에 시달리고 있는 것으로 나타났다. 일본 경제산업성의 조사에 따르면, 정보 보안 분야의 인재 부족은 2016년 시점에서 약 13만 명 수준이었으나 2020년엔 20만 명으로 늘어날 것으로 추정된다.

다. 유망 분야 및 진출 전략

중소기업 및 의료업 대상

일본의 정보 보안 업계는 DX수요가 늘어남에 따라 안정적으로 성장하고 있으며, 앞으로도 지속적으로 성장세가 이어질 것으로 전망된다. 한편 일본 기업의 정보 보안 의식은 여전히 저조한 수준이므로 사이버 보안 리터러시 교육과 관련된 시장 수요도 확대될 것으로 보인다. 일본기업 중에서도 특히 중소기업은 대기업에 비해 사이버 보안 리스크에 취약하다. 중소기업이 사이버 보안 대책을 제대로 강구하지 못하는 이유는 자금 부족의 문제도 있지만 그보다 사이버 보안 인재난과 정보 보안 인식 부족이 심각한 경우가 많기 때문인 것으로 보인다. 한편, 정보 보안 업계 관계자 대상 설문조사에서 사이버 공격 리스크가 높은 업계 중 하나로 의료업계가 지목되기도 했다. 신체 정보 등 민감한 개인정보를 대량으로 보유하고 있는 의료 업계의 경우, 사이버 공격에 따른 접속 차단 등의 통신 장애가 사람의 목숨과 직결될 수 있어 심각한 피해가 예상되기 때문이다. 이처럼 중소기업 및 의료업계를 대상으로 하는 정보 보안 분야는 향후 시장 개척의 여지가 많아 상대적으로 유망하다고 볼 수 있을 것이다.

사이버 보험

기업의 정보 시스템이나 통신 시스템 등 사회 인프라를 위협하는 사이버 공격의 수법은 나날이 고도화·복잡화· 조직화되어 가고 있다. 해킹한 기업 정보를 인질로 삼아 거액의 대금을 요구하는 사례도 다수 보고된 바 있다. 기업이 사이버 공격을 받아 피해를 입게 되면 컴퓨터 시스템을 복구하는데 백신 소프트웨어 개발 비용과 사후처리 비용 등 막대한 피해를 입게 될 가능성이 크다. 이에 따라 대기업은 물론, 중소기업도 사이버 범죄로 인한 피해를 상정한 <사이버 보험> 가입이 한층 늘어날 것으로 예상된다. 참고로 앞서 제시했던 JNSA의 시장규모 조사에서는, 사이버 보험 시장규모를 159억 엔(2020년 매출 추정치)으로 추정하고 있다.

사이버 보안 교육 분야

앞서 언급한 바와 같이 현재 일본 내에서는 정보 보안 업계의 인재부족은 심각한 상태다. 또한 IT엔지니어가 아니라 일반 직원들의 사이버 보안 의식 수준 향상도 향후 지속적으로 추진되어야 할 과제다. 일본 경제산업성은 사이버 보안 전문 대학원 등 교육기관과의 연계와 해커 콘테스트 등을 통해 청년 정보 보안 인재의 발굴과 양성에 힘쓰고 있다. 참고로 앞서 제시했던 JNSA의 시장규모 조사에서, 사이버 보안 교육 시장규모는 280억 엔, 보안 관련 자격 취득 지원 시장규모는 147억 엔으로 추정된다. 사이버 보안 교육 분야에 대한 정책적 지원도 기대된다는 측면에서 해당 분야 또한 향후 상당히 유망한 분야라고 할 수 있을 것이다.

자료: NIKKEI 신문, 회사 사계보, CNET Japan, JNSA 자료 및 KOTRA 도쿄무역관 자료 종합