II. 글로벌 정보보호 산업 국가별 현황 - KISAII. 글로벌 정보보호 산업 국가별...

II. 글로벌 정보보호 산업 국가별 현황

1. 선진 시장

선진 시장의 특징

▶ 미국과 일본, 유럽은 한국과 교역이 매우 활발한 지역으로 세계경제의 핵심 축을 이루고 있음

• 미국의 GDP는 19조 3,906억 달러, 1인당 GDP 역시 60,0431달러(2017년)로 가장 높은 수준이며, 독일,

영국, 프랑스는 유럽의 빅 3로서 이들 국가의 경제규모 역시 세계 최 상위권을 기록하고 있음

• 미국은 우리나라에게 중국에 이은 최대 교역국으로 우리나라는 미국과의 교역에서 높은 흑자를

기록하고 있음

• 일본, 독일, 영국, 프랑스, 호주도 우리나라의 주요 교역국이나 한국은 독일, 프랑스를 제외하고는

대체로 흑자를 유지함

표 _ 선진시장 주요국의 한국과의 관계(2017년 기준)

항목 수교일우리나라 수출규모 (US$ 억)

우리나라 수입규모(US$ 억)

우리나라의 주요수출품

우리나라의 주요수입품

미국 1948. 8. 687 507자동차 및 부품, 기계류 및 부품, 전기기기와

부품 등

기계류 및 부품, 전기기기와 부품, 광물성연료 등

일본 1965. 12. 533 282석유제품, 액정제품, 반도체, 철강판 등

반도체, 반도체 제조장비, 철강판,

기초 유분 등

독일 1886. 6. 85 197자동차, 반도체, 건전지 및 축전지, 자동차부품,

농약 및 의약품 등

자동차, 농약 및 의약품, 계측제어분석기, 자동차부품, 등

영국 1884. 4. 81 63해양구조물, 승용차, 선박, 항공기부품 등

원유, 승용차, 의약품, 원동기, 주류, 백금 등

프랑스 1883. 11. 30 58승용차, 축전지,

합성수지, 자동차부품, 원동기 등

화장품, 가방, 의약품, 천연가스, 항공기부품

등

호주 1961. 10. 199 192해양구조물, 선박, 승용차, 경유 등

유연탄, 철광, 천연가스, 가축 육류 등

[출처] Kotra-국가정보(2018)

요약문

▶ 국제전기통신연합(ITU)은 인터넷 사용, 유무선 초고속 인터넷 가입자 등과 ICT 스킬(문맹률,

고등교육진학률) 등 측정항목에 가중치를 부여하여 종합적인 ICT 발전지수(ICT development Index,

IDI)를 측정하여 국가 간 비교를 하고 있음

• 2017년 글로벌 ICT 발전지수(ICT Development Index, IDI)에 따르면 대부분의 북미·유럽 지역

국가들의 ICT 발전 지수 순위는 세계 상위권으로 영국의 IDI는 8.65점으로 세계 5위, 일본은 10위,

독일은 12위를 기록함

표 _ 선진시장 주요국 ICT 발전지수(IDI)

국가IDI(2017년) 접근성(access) 이용성(use) 스킬(skill)

순위 지수 순위 지수 순위 지수 순위 지수

미국 16 8.18 17 8.27 20 7.67 3 9.05

일본 10 8.43 9 8.80 11 8.15 30 8.22

독일 12 8.39 6 8.93 18 7.77 17 8.54

영국 5 8.65 4 9.15 7 8.38 33 8.17

프랑스 15 8.24 11 8.64 17 7.93 39 8.06

호주 14 8.24 26 8.00 16 7.97 1 9.28

한국 2 8.85 7 8.85 4 8.71 2 9.15

[출처] ITU, ICT Development Index 2017, https://www.itu.int/net4/ITU-D/idi/2017/index.html

▶ 선진시장의 주요 진출 전략은 다음과 같음

• 정부 및 민간 등 다양한 분야에서 레퍼런스가 시급한 상황으로, 스타트업 맞춤형 육성 프로그램,

조달시장 진출 방안 마련 등의 진출 전략이 필요함

• 시장 진출을 위한 협력 및 신규 서비스 분야에 공동 R&D 등 필요

가. 미국

∎ ITU 글로벌 사이버보안 지수(Global Cybersecurity Index, GCI)

· 미국은 법, 조직, 기술, 역량 강화 부문에서 최상위 수준이며 국제협력 부분은 상대적으로

낮은 수치를 나타냄

(● 상, ● 중, ● 하)

국가명

2017 GCI 지수 및

순위5대 하위 항목 평가

종합

지수 순위 법제 기술 조직 역량 협력

미국 0.919 2 ● ● ● ● ● ●

대한민국 0.782 13 ● ● ● ● ● ●

∎ ICT 관련 주요 지수

· 미국의 전반적인 ICT 발전 수준은 전 세계 상위 약 10% 이내에 속함

지표명미국 한국

점수 순위 점수 순위

ITU ICT 발전지수(IDI 2017) 8.18 16 8.85 2

접근(Access) 부문 8.27 17 8.85 7

활용(Use) 부문 7.67 20 8.71 4

기술(Skills) 부문 9.05 3 9.15 2

ITU 글로벌 사이버보안 지수(GCI 2017) 0.919 2 0.782 13

UN 전자정부 지수(2018) 0.877 11 0.901 3

∎ ICT 관련 주요 통계(ITU, 2017년 말 기준)

· 미국의 이동통신 보급률은 약 122% 수준이며 이 중 LTE 보급률은 70%대에 이름

항목미국 한국

가입자수(천 명) 보급률(%) 가입자수(천 명) 보급률(%)

유선전화 119,902 36.9 26,842 52.6

유선브로드밴드 109,838 33.8 21,195 41.5

이동통신 395,881 122.0 63,658 124.8

인터넷 이용률 76.18% 95.1%

‘17년 GDP(십억달러) 19,390.60

'17년 인구수(천명) 325,719

1. 선진 시장 - 미국

정보보호 산업 개요

1. 보안 환경

정보보안 환경

▶ ITU 2017 ‘Global Cybersecurity Index(GCI)’에 따르면 미국의 사이버보안 지수는 0.919로 싱가포르에

이어 2위를 기록했으며, 미주 권역에서 압도적인 1위를 기록

• 해당 지수는 법적·기술적·조직적 대응 및 역량 강화, 국제협력 등 5개 부문의 지수를 종합한 것으로,

미국은 법적·기술적 및 조직적 대응, 그리고 역량 강화 면에서 골고루 높은 점수를 기록

• 특히 법적 대응과 역량 강화 측면에서는 만점을 나타내고 기술적 및 조직적 대응 지수도 1.0 만점에

0.9 이상을 기록하는 등 국제협력을 제외한 전 부분에서 고른 발전 수준을 과시

▶ 트럼프 행정부는 2018년 3월 러시아가 미국 전력시설을 목표로 지난 2년간 사이버 공격 캠페인을

지속해온 것에 대해 러시아 정부를 비판하고 처음으로 모스크바를 공개적으로 고발함(2018.3)

• US-CERT는 미국 국토안보부(DHS)와 연방수사국(FBI)이 합동기술경보(joint Technical Alert)팀을

구성해 분석한 결과, 러시아 정부가 미국 정부시설뿐만 아니라 에너지·핵·수력·항공 시설과 핵심

제조업을 겨냥해 공격을 펼치고 있다고 경고함

• DHS와 FBI는 다단계로 설계된 침투 캠페인이라는 사실이 이번 공격에서 특이할 만한 점으로 이른

바 ‘사이버 킬 체인(Cyber Kill Chain)’이라고도 하며 러시아의 정부 지원 해커들은 소규모 상업시설의

네트워크에 멀웨어를 설치한 뒤 스피어 피싱을 수행하고 추후 에너지 부문 네트워크까지 원격 접근함

▶ 미국은 세계적으로 사이버 범죄의 피해가 가장 큰 지역 중 하나이며, 이에 따라 정보보안에 대한 수요가

지속될 것으로 기대

• 2017년 4월, Symantec 사이버 보안 리포트에 따르면, 2016년에 미국은 멀웨어, 스팸, 피싱 공격 등의

사이버 공격 진원지에서 23.96%로 글로벌 1위 국가로 밝혀짐

• 사이버 공격 진원지 2위는 중국으로 9.63%, 3위는 브라질로 5.84%를 기록

• NexusGuard DDoS 동향보고서에 따르면, 2016년 전 세계 2분기 DDoS 공격이 전 분기 대비 83%


증가한 159,704건을 기록한 가운데 미국은 76,462건을 기록하며 러시아와 중국에 이어 DDoS

발생국가 3위를 기록

▶ 보안업체 시만텍이 조사한 2017년 노턴 사이버시큐리티 인사이트 보고서에 따르면 미국 인터넷 인구

절반 이상인 1억4천300만 명은 지난해 악성코드나 바이러스, 스파이웨어, 피싱 등과 같은 공격을 받음

• 글로벌 피해 규모는 1천720억 달러로 ‘17년 미국 피해액만 174억 달러에 달함

• 이러한 피해는 대부분 사용자가 비밀번호와 같은 기초적인 데이터를 부주의하게 관리한 실수에서

비롯됐으며 미국인 60%는 비밀번호 하나로 여러 기기와 온라인 사이트 계정에서 동일하게 사용하고

있는 것으로 나타남

물리보안 환경

▶ 미국 내 테러와 총기 난사 등의 범죄에 대한 경각심 고취, 기존의 보안제품 발달 및 가격 인하에 따른

수요 증가 등으로 보안시장 성장 및 수요 급등

• 학교, 병원, 쇼핑몰, 오피스 등의 상업 시설에 첨단화된 보안 시스템이 설치되고 관련 포럼, 박람회

등의 국제 행사도 꾸준히 증가

• 미국 정부의 공공 안전 관련 정보통신기술 예산 편성 증가

▶ 건설 및 주택 경기의 활성화와 교체 수요에 힘입어 물리보안 시장의 성장세가 이어졌으며, 테러 대응과

관련한 물리보안 강화의 필요성도 적지 않은 상황

• 강력 범죄 발생, 주택 및 상업 빌딩의 신규 건설, 경기 안정화에 의한 구매력 증가 등이 물리보안

시장의 확대에 영향을 미치는 요소들

• 물리보안 장비 시장의 성장은 주거용 건물보다는 주로 상업용 빌딩이나 공항, 해안, 도로 등의 수송

관련 보안 분야의 비중이 큰 편

• 미국 물리보안 시장의 매출은 장비 판매, 설치, 서비스, 호스팅 및 모니터링 서비스 등에서 발생

• 시장의 수요는 정부기관, 기업과 상업시설, 개인 등으로 구분되며 상업용 빌딩에 대한 물리보안 수요

점유율이 개인 수요보다 2배 이상 큰 시장이지만 미국 내 가정의 보안 카메라 보유가구는 14%에

이르는 등 시장 성장은 지속될 전망


2. 인터넷 및 통신 환경

▶ 유선통신

• 2017년 기준 미국의 유선통신 가입회선 수는 2016년 대비 1.4% 감소한 1억 1990만 회선(보급률

36.7%)을 기록했으며 점차 감소하는 추세임

• 주요 통신사들은 광케이블 네트워크로 초고속 유선 통신 서비스를 제공하고 있으나 모바일 인터넷

사용자의 수가 증가함에 따라 시장의 성장 동력이 크지 않은 상태

• 주요 유선통신 사업자로는 AT&T, Verizon, Century Link Inc.가 있으며, 인터넷 접속(44.1%)과 음성

서비스(29.9%) 관련 사업 비중이 높은 편

그림 _ 미국 유선통신 가입자 수와 보급률

(단위: 천 명)

[출처] ITU Statistics DB(2018.10)

▶ 브로드밴드

• 2017년 기준 미국의 브로드밴드 가입회선 수는 2016년 대비 3.6% 증가한 1억 934만 회선을 기록,

보급률 33.9%를 기록했으며 가입자는 점차 증가하는 추세임


그림 _미국 브로드밴드 가입자 수와 보급률 (단위: 천 명)


▶ 이동통신

• 2017년 기준 미국의 이동통신 가입회선 수는 2016년 다소 감소한 3억 9,588만 회선을 기록, 보급률

122.0%를 기록함

• 한편 시장조사업체 Buddecomm에 따르면, 미국의 이동통신 시장에서는 AT&T Mobility 및 Verizon

Wireless가 가입자의 70% 점유하고 나머지 30%는 T-Mobile US, C Spire, US Celluar 및 MVNO

TracFone 등임

• Buddecomm 보고서에 따르면, 미국의 Mobile-Only 가구는 2008년 18%에서 2017년 49%로 증가함

• 미국 통신사들은 최근 몇 년간 LTE 및 5G 기술로 이동하고 있으며 통신사 간 경쟁으로 몇몇

통신사에서 LTE 커버리지는 97%에 달함

• 미국 무선산업연합회는 2022년까지 미국 모바일 가입자의 25%가 5G 네트워크로 옮겨갈 것으로 전망


그림 _미국 이동통신 가입자 수 및 보급률 (단위: 천 명)



정보보호 시장 현황

1. 시장 규모

시장 개요

▶ 미국의 정보보호 산업 규모는 세계 최고 수준을 유지하고 있으며, 특히 미국 정부의 투자도 적극적으로

이루어짐

• 글로벌 보안시장 전문 조사기관 Strategic Defence Intelligence(이하 SDI)에 따르면, 2024년까지

미국을 포함한 북미 정보보호 시장의 규모가 전 세계 시장의 50% 가량을 차지할 것으로 전망

▶ 미국의 정보보안 시장은 세계 최대 규모이며, 민간과 정부 부문에서 모두 활발한 투자를 진행하며

꾸준하게 성장

• 미국 정보보안 시장은 전 세계 시장의 약 1/3 이상을 차지할 만큼 규모가 크고 IT 분야별 주요

사업자들이 대거 진입해 활약

• 미국의 정보보안 시장에서 정부가 대규모 수요를 형성하고 있으며, 사이버 공격에 대한 정부 예산은

국방부(DoD), 국토안보부(DHS)를 중심으로 집행

▶ 미국 시장에서 보안 서비스 분야는 전체 보안 시장의 큰 부분을 차지하고 있으며, 실행, 평가 및 아키텍처

디자인을 포함한 애플리케이션 및 무선 보안 솔루션 등의 수요 증가가 시장을 강하게 견인

• 미국 정보보안 장비 시장은 장비 출하량과 매출이 10% 가량의 성장세를 보이고 있는 것으로 추정되며,

미국을 겨냥한 보안 위협 증가로 방화벽·가상사설망 (VPN) 등의 수요증가가 원인으로 분석

• 보안 솔루션 가운데 안티바이러스, 이메일 보안 등에서 지속적인 신제품 출시가 이루어지고 있으며,

취약성 관리와 빅데이터 등 신기술을 적용한 정보 제공 및 이벤트 관리 (SIEM, Security Information

& Event Management) 기반의 보안관제 서비스 등의 분야도 성장세

▶ 미국의 물리보안 시장은 보안 제품, 생산 및 유통 업체 등이 제품 및 서비스에 따라 혼재되어 시장이

여러 분야로 구분

• 미국 내 보안장비 시스템 관련 업체는 경비, 알람 모니터링, 제품 설치 서비스 제공 업체까지 모두


포함할 경우 약 총 5,000여 개를 상회

• 최근 수 년 동안 이 분야에서 업체 간의 활발한 인수합병이 이루어졌음에도 불구하고, 전반적으로

미국 물리보안 산업은 매우 세분화 되어있는 편

• 완성품 제조업체 기준으로 약 300개의 업체가 경쟁하고 있으나 기술 집약적인 보안 제품군에서는

소수 업체에 집약된 시장 구조를 보이는 것이 특징

• 한편, 물리보안 장비 업체들의 매출 형태는 보안 장비 판매, 보안 장비 임대 및 모니터링 서비스에서

발생하는 가입자형 월별 서비스 매출 등으로 구성

▶ 미국의 물리보안 시장에서는 고객 대상 보안서비스를 제공하는 기업이 보안 장비에 대한 수요가 가장

많은 편이며, 물리보안 제품의 유통은 전문 도매업체들을 중심으로 하되 다양한 거래 유형이 혼재되어

있는 상황

• 생산된 제품은 시장에서 주로 전문 도매 유통업체나 유통 딜러에게 공급되며 일부는 OEM 생산자와

공급자간의 계약을 통해 판매

• 전문 도매 유통업체는 수많은 로컬 딜러 및 시스템 통합업체와 거래하며, 다양한 제품을 취급하는

로컬 딜러들은 최종 소비자에게 제품을 공급

• 제품생산 업체가 설치 업체나 최종 소비자에게 직접 제품을 공급하는 경우도 있으며, 특히 제품이

복잡하거나 기술 지원이 필요한 경우에는 생산 업체가 보안 제품을 직접적으로 설치 업체에 판매

표 _미국의 물리보안 시장 구분 및 업체 구성

구분 업체

부품공급 제품 부품 및 소프트웨어 공급업체

생산 보안 시스템 생산자

유통총판 보안 시스템 전문 도매 유통업체

유통채널 딜러, 지역별 시스템 연동업체

사용자 가정, 산업, 정부 등의 실제 사용자

컨설팅 사용 그룹에 제품공급 방식 및 제품 컨설팅

[출처] Ken Research, ‘The US Electronics Security Industry Outlook to 2017’(2013.6)

시장 규모 및 전망

▶ 글로벌 시장조사기관인 MarketsandMarket에 따르면, 2016년 세계 전체 보안시장의 규모는 2,475억

달러로, 2021년에 이르러 4,565억 달러까지 성장할 것으로 전망함


• 2017년 미국 보안시장은 317억 달러 규모로 예측되고, 전 세계 시장의 약 18% 이상을 차지하며

꾸준히 증가할 것으로 예상됨

• 시장조사 전문기관 Frost & Sullivan에 따르면 2020년까지 북미지역 지방자치 기관의 공공안전 부문의

ICT 관련 예산 편성이 100억 달러를 초과할 것으로 분석

▶ 글로벌 마켓 리서치 전문기관 Market Research Media에 따르면, 미국 연방정부의 사이버보안 예산은

연평균 4.4% 성장해 2022년까지 220억 달러에 달할 것으로 전망함

• 미국 대통령 예산안에 따르면, 행정부가 연간 의회에 요청하는 사이버보안 관련 예산(2017년 기준)은

총 190억 달러로 매년 급증하고 있음

• ‘17년 연방정부가 미국 전체 정보보호 시장의 약 60%인 143억 달러 시장을 차지하고 있으며, 이는

전 세계 정보보호 시장의 12.8%를 차지함

• 또한 미국 연방정부 부처가 구매하는 사이버보안 제품/서비스 수요는 2015년 86억 달러에서

2020년까지 110억 달러로 성장(연평균 5.2%)할 것으로 예상(미국조달시장 조사기관 Deltek

보고서)되며 분야별로는 네트워크 보안 수요 비중이 40% 수준으로 가장 높고, 다음으로 데이터

보안(25%), IAM(19%), 클라우드 보안(15%) 등 순임

• 또한, 연방정부 사이버보안 관련 지출의 64.4%인 총 6.9억 달러가 워싱턴 광역 지역(버지니아,

메릴랜드 주)에서 집행됨으로써, 이 지역이 사이버보안 분야 정부 지출의 특수를 누리고 있는 것으로

파악됨

• 사이버보안 관련 벤처 투자가 캘리포니아 또는 보스턴 지역에 집중되고 있는 반면, 연방정부 기관을

배후에 두고 있는 워싱턴 광역지역이 공공 수요가 높은 사이버보안 산업의 새로운 메카로 각광 받고

있음

※ 미 주요 연방기관별 시장 점유율 : US Intelligence 기관 : 50.45% / DoD : 33.38% / DoD :

16.17%(‘16), AI 기반 금융 상품의 확산, 금융 시장의 새로운 성공 요건 제시


그림 _미국의 정부 및 정부기관별 정보보호 예산 집행 현황

미국 정부 보안 시장 미국 정부 기관별 보안 시장

[출처] KISA 북미거점레터(2018.9)

• 서비스와 솔루션 비율은 52.15%, 47.85%로 큰 차이를 보이지 않고 있으나, 서비스 연평균 성장율이

10%를 상회(‘16)

• 기관 내 설치(On-premise)와 클라우드 기반(cloud-based) 솔루션 비율은 74.42%, 25.58%로 기관 내

설치형이 우세하나, 클라우드 기반 솔루션 연평균성장률이 약 13%로 매우 가파르게 증가


그림 _미국 정부 기관의 보안제품 형태 및 서비스 현황

제품 형태별 시장 구축모델별 시장

[출처] KISA 북미거점레터(2018.9)

• 보안솔루션 및 서비스를 연방정부 기관에 납품하기 위해서는 매우 엄격한 요건을 갖추어야 하며

영업을 위해서 인적 네트워크, 활용이 매우 중요

※ 연방정부와 거래하는 대부분의 보안 솔루션 및 서비스 기업들은 연방정부 기관, 군출신자를 고용함

• 하지만, 진출하게 되면 매우 안정적으로 영업 가능하며, 상당히 좋은 가격으로 공급 가능하므로

한국기업은 현지 사업자와 파트너십 맺어 OEM 형태로의 진출을 꼭 모색해야 함

▶ 글로벌 보안시장 전문 조사기관 SDI에 따르면, 2016년 미국 국토 보안 지출은 320억 달러 규모로 2025년

351억 달러에 이를 전망임

• 동 기간의 연평균 성장률은 1.01%로 현 수준을 유지하는 수준임


그림 _ 미국의 국토보안 지출 규모 추이 및 전망

(단위: 백만 달러)

[출처] SDI, 'United States Defense Spends on Homeland Security'(2016.8)

▶ 시장조사기관 Barnes & Co.의 조사에 따르면, 미국의 물리보안 시장 규모는 업체들의 매출 기준으로,

2015년 163억 6,180만 달러 규모에서 2016년 175억 5,900만 달러와 2017년 188억 8,690만 달러 규모로

확대될 전망

• 미국의 물리보안 시장은 지금까지와 비슷하게 꾸준하게 성장할 것으로 예상

• 미국은 단독주택의 주거 비율이 높아 주택 보안서비스의 수요 또한 많은 편이며, 최근에는 카메라와

경보 알람 등을 직접 설치하고자 하는 소비자들의 관심도 많아짐에 따라 DIY 제품의 수요도 증가

• 미국 물리보안 시장은 새로운 기술의 발전에 힘입어 양방향 커뮤니케이션을 비롯해 좀 더 진화된

기능을 가진 제품으로 향상된 보안 서비스를 제공하는 방향으로 발전

그림 _ 미국 물리보안 시장의 성장 추이 및 전망(2013년~2017년)


14682.215507.3

16361.817559

18886.9

0

2000

4000

6000

8000

10000

12000

14000

16000

18000

20000

2013년 2014년 2015년 2016년 2017년

[출처] Barnes Reports, '2016 U.S. Industry & Market Outlook: Security Systems Services Industry'(2016.5)


▶ 미국 보안카메라 시장은 2019년 45억 6,000만 달러 규모로 전망됨

• 미국 보안카메라 시장은 2014년 30억 8,000만 달러였으며, 2019년까지 연평균 10.3% 성장해 45억

6,000만 달러 규모 전망

• 품목별로는 돔(Dome) 형태, 외부용, HD 보안카메라가 가장 큰 비중을 차지하며, 가장 높은 성장률

전망

• 사무실과 상점에서는 오랫동안 보안카메라를 사용해왔으나, 주택부문의 수요가 크게 많아지고 있으며

특히 직접 설치가 가능한 제품들이 시장을 주도하고 있음

• 2017년 CTA가 실시한 설문 조사에 따르면 이미 보안카메라를 가진 가구는 14%이고, 2017년 내로

구매할 계획이 있는 가구는 13%로 시장 성장은 계속될 전망

• Parks Associates에 따르면 2020년 Wi-Fi가 연결된 보안카메라 설치 가구 비율이 24%가 될 전망

2. 분야별 현황

정보보안 제품 및 서비스 시장

▶ 세부 정보보안 제품에서는 네트워크 보안 비중이 전체의 57%로 가장 높고, 데이터 보안이 31%로 2위,

클라우드 보안 16%, 신원확인 및 접근 통제가 14%를 기록

• SDI에 따르면, 미국의 네트워크 보안 시장 규모는 2015년 35억 달러를 기록했으며 2015년부터

2025년까지 누적 시장 규모는 489억 달러에 이를 것으로 전망

• 데이터 보안 시장 규모는 2015년 14억 달러에서 2025년에는 18억 달러로 증가 전망

• 2015년의 경우 네트워크 보안 시장과 데이터 보안 시장의 규모가 전체 정보보안 시장의 70% 이상으로

절대적인 비중을 차지

• 반면, 2015년 8억 8,600만 달러 규모였던 인증 및 접근 제어 시장은 시장 규모가 점점 줄어들어

2025년까지 연평균 3.27%의 하락세를 기록할 것으로 예상


표 _ 미국의 정보보안 분야별 시장 규모와 전망(2015년~2025년)

(단위: 십억 달러)

분야 2015년 2025년누적시장규모

(2015-2025)

연평균증감률

(2015-2025)네트워크 보안 3.5 4.8 48.9 3.32%데이터 보안 1.4 1.8 22.0 2.73%

클라우드 보안 0.925 1.4 14.9 4.55%인증 및 접근 제어 0.886 0.636 9.2 -3.27%

합계 6.7 8.7 94.9 2.70%

[출처] SDI, 'The Cyber Security Market in the United States to 2025'(2016.3)

▶ IBIS World에 따르면, 정보보안 제품의 수요처로는 기업용 보안 소프트웨어가 시장의 61.6%를 점유,

기업 내의 데이터 서비스 구축, 클라우드 기반의 정보 저장 및 데이터 보안 비용 등으로 지난 5년간

지속적으로 성장

• 직접 소비자에게 공급되는 보안 소프트웨어의 점유율이 시장의 29.1%를 차지함

• 정부와 공공기업의 점유율이 시장의 9.3%를 차지하고 시민의 개인 정보 기록, 기밀 정책 및 관련

서류 보안 소프트웨어가 주로 사용됨

▶ Barclays가 미국 CIO(Chief Information Officer) 대상으로 실시한 설문에 따르면, 7개의 보안 분야 중

지난 12개월간 가장 우선순위가 높은 분야는 71점을 획득한 엔드포인트 솔루션으로 나타남

• 엔드포인트 보안, 인증 및 접근제어, 보안정보 및 이벤트 모니터링은 2015년 대비 우선순위 점수가

상승하고 있는 분야로 각각 1~3위를 기록함

• APT 대응 역시 2015년 13점에서 2016년 17점으로 다소 순위가 상승함

• 하지만, 보안 정보 및 이벤트 모니터링, DDoS 대응, 방화벽 등은 2015년 하반기에 비해 우선순위

점수가 다소 낮아지고 있는 것으로 나타남

▶ 미국에서 개최되는 RSA 2018과 Black Hat은 글로벌 정보보안 기업의 제품 트렌드 및 시장 동향을 파악할

수 있는 곳인데 Black Hat의 머신러닝 제품 출시는 주목할 만함

• 글로벌 보안기업의 전략, 제품 트렌드, 시장 동향을 파악에는 RSA 전시회 유용

• 보안위협 동향, 해커들의 관심분야, 세부 기술 트렌드를 파악하는데 있어서는 ‘Black Hat/Defcon’

• 특히 Black Hat은 RSA와 달리 상당히 많은 업체가 머신러닝(Machine Learning) 기술을 적용하고

있다고 홍보하여 전시장에서 ‘머신러닝’이라는 용어는 빈번하게 볼 수 있었던 반면, ‘AI’용어를


사용하는 업체는 2018.1~2곳 정도로 매우 드물었음

• 파이어아이, 시만텍 등 Threat Intelligence를 운영하고 있는 대형 글로벌 보안 기업은 이미 위협분석에

머신러닝 기술을 적용하고 있었음

▶ 미국 전시회에서 파악된 머신러닝 기술은 위협 분석에 활용되며, 그 적용 포인트는 크게

3곳(로그관리시스템 연계, 네트워크 기반, 에이젼트 기반)이며, 기대 이상으로 네트워크 기반 접근제어

시스템에 적용사례가 다수 있음

• SIEM과 같은 통합 로그관리시스템과 연동, 대량의 로그 기반으로 위협분석에 적용

• 네트워크 기반으로 In/Out bound 트래픽 흐름을 분석, 공격위협을 탐지하는데 적용

• 시스템에 설치되는 에이전트 기반으로 비정상적인 행위를 분석하여 공격 위협을 탐지하는데 적용

▶ 미국은 CLTC, IoT 전시회, APPA 포럼 등 행사에서 개인정보보호가 강조되고 있음

• CLTC의 경우, 유럽 기관/학생들과 많은 인터페이스가 있다고 하며, GDPR에 대응해야 한다는 것은

의식하나 대부분의 현지 기업이나 개인정보 담당자들은 개인정보보호에 초보 수준 임

• IoT 전시회에서 개인정보보호 관련하여 많은 주제발표가 이루어졌으나, 보안솔루션은 상당히 적음

• APPA 포럼(2018.6.25~27)에서 가장 많이 논의된 내용이 GDPR, 카펜터* 등으로 현지에서의

개인정보보호 인식에 대한 변화를 느낄 수 있음

* 미 대법원에서 항소결과를 뒤집고, 사용자의 전화 위치 데이터를 확보하기 위해서는 영장 청구가

필요하다고 판결

• 멀지 않은 시기에 개인정보보호 관련 미국 시장은 상당히 성장할 것으로 기대되는바 한국의 상당히

엄격한 개인 정보 규제에 대응해온 한국기업이 개인정보보호 측면에서 상당한 경쟁력을 확보하고

있다고 판단됨

▶ 하지만 IDC보고서(U.S. GDPR Security Products Forecast, 2018–2022)에 따르면 미국 보안시장에서

개인정보를 위한 예산 투입은 그다지 크지 않을 수도 있다고 전망

• 그 이유로 기업은 이미 GDPR을 준수할 수 있는 툴을 구입해서 활용하고 있어 성장이 제한적

• IDC는 미국 GDPR 시장 성장을 연복합성장률 5.2%로 2017년 4억 1600만 달러에서 2022년 5억

3700만 달러에 달할 것으로 전망


그림 _ 미국 개인정보보호 시장 성장 전망(2017~2022)

* STAP: Specialized Threat Analysis and Protection

[출처] SDI, 'The Cyber Security Market in the United States to 2025'(2016.3)

정보보안 제품 및 서비스 유통

▶ 미국의 정보보안 제품 및 서비스 유통은 일반 소비자를 대상으로 하는 B2C와 기업 및 정부 고객들을

대상으로 하는 B2B 방식에 차이가 존재

• 일반 소비자를 대상으로 하는 경우는 소매 유통업체를 통하거나 온라인 등을 통한 벤더의 직접 판매

방식이 활용되는 경우가 대부분을 차지

• 금융, 통신, 정부 분야 등 규모가 크거나 전략적으로 중요한 프로젝트의 경우 시스템 통합업체(SI)들과

제휴해 제품을 판매하는 경향이 보편적

• 일반 소비자 대상의 소매 시장의 경우 브랜드와 성능 이외에도 가격, 활용 용이성 및 소프트웨어의

업데이트 빈도 등이 경쟁력에 중요한 영향을 미치는 요소로 작용

▶ 미국 보안 소프트웨어 판매 채널은 직접 판매 방식과 간접 판매 형태인 유통업체(Distributor/Retailer)

경유 방식 등 두 가지로 구분

• 직접 판매는 현지에서 판매를 직접 수행하기 위해 지사 법인을 설립하거나 에이전트 계약을 맺는

방식으로, 2000년을 전후로 국내 주요 벤더들의 경우 장기적 현지 시장 개척 및 적극적 시장 진출

관점에서 현지 법인을 설립을 선호

• 간접 판매는 IT 및 SW 전문 도매(Wholesales) 유통 기업이나 PC 제조업체, 대형 소프트웨어


소매판매업체(Retailer)를 경유해 유통하는 판매 방식으로, 2004년 이후 국내 기업들이 미국 및 해외

시장 진출 시 선호하는 유형

• 미국 내 IT 전문 유통기업(Distributor)으로는 Ingram Micro, Tech Data, Avnet, Arrow Electronics,

SYNNEX 등이 주요 플레이어로 활동

• 소매판매업체로는 주로 소비자용 전자 디바이스, 가전 및 소프트웨어를 취급 하는 대형매장들인 Best

buy, Circuit City, OfficeDepot, Staples 등이 유명

▶ 정보보안 소프트웨어 유통은 Ingram Micro와 Avnet 같은 대형 IT 제품 전문 도매 유통업체들을 통하는

방식이 전체의 70%를 차지

표 _ 미국의 대표적인 IT 및 소프트웨어 전문 도매 유통업체 현황

업체명 주요 취급 품목

Ingram Micro, Inc. IT Peripherals, Systems, Software(15~20%), Networking

Avnet, Inc.Electronics, Technology Solutions, Logistics, Managed

Technologies

Tech Data Corp. IT Peripherals, Systems, Software, Networking

Arrow Electronics, Inc.Semiconductors, Computing Solutions, OEM Computing

solutions, Passive, electromechanical and connectors

Tyco International

Hardware and software products, application development,

asset and lifecycle management, product procurement,

systems integration, and training

SYNNEX Corporation PCs, servers, and software

IKON Office Solutions, Inc.

Scopiers, printers, fax machines, office supplies, document

management outsourcing, electronic file conversions, facilities

management

ScanSource, Inc.

Automatic identification and data capture (AIDC) products,

point-of-sale(POS) products, voice and data communications

products and electronic security equipment

Newegg Inc.Cell phones, digital cameras, home appliances, networking

devices, peripherals, DVDs, accessories, and software

MA Laboratories, Inc.

Memory modules, hard drives, motherboards, modems, power

supplies, and graphics cards, monitors, software, GPS systems,

network cards, digital cameras, notebook computers, wireless

networking gear, digital music players, etc

[출처] Wikipedia, Google Finance 종합


• 대형 벤더들의 경우 독립 소프트웨어 벤더(ISV), VAR(Value-added reseller), 서비스 관리기업(MSP)등과

채널 파트너십(channel partnership)을 체결해 제품을 유통하는 방식이 확대 추세

• 미국 정보보안 소프트웨어 부문의 주요 유통업체들은 다음 표와 같음

물리보안 제품 및 서비스 시장

▶ 미국 물리보안 시장은 주로 침입탐지, 비디오 감시 장비, 출입통제, 화재감지. 인터폰, 통합보안장비.

외부감지, 홈 자동화 및 그 외의 제품과 서비스로 구성

• 시장조사업체 Barnes & Co.의 조사에 따르면, 미국 보안 시스템 서비스 업체들의 2017년 총 매출

규모(추정)는 119억 200만 달러로 전체 시장에서 가장 높은 비중을 차지했으며, 업체 수는 총 2만

1,370개를 기록

• 침입 탐지 관리 및 모니터링 시장의 비중이 그 다음으로 높았으나 매출 규모는 보안 시스템 서비스의

절반 수준인 58억 900만 달러를 기록

• 보호 장비 및 안전 부문의 총 매출은 8억 2,600만 달러였으며, 업체 수는 3,780개를 기록해 업체당

사업 및 매출 규모가 상대적으로 소규모임을 반영

• 폐쇄감시시스템 시장의 매출이 4억 6,920만 달러였으며, 화재 감지 및 모니터링 부문의 매출은 4억

2,000만 달러를 기록

표 _ 미국의 물리보안 분야별 시장 규모와 현황(2017년)

(단위: 백만 달러, 개, 명)

분야총 매출 규모

(2014)

총 매출 규모

(2017)

업체 수

(2017)

종사자 수

(2017)

보안 시스템 서비스 10,713.0 11,902.5 21,370 98,103

침입 탐지 관리 및 모니터링 5,302.0 5,890.7 3,190 20,284

화재 감지 및 모니터링 378.2 420.2 730 3,780

보호 장비 및 안전 743.5 826.0 3,151 12,886

폐쇄감시시스템 422.3 469.2 706 2,897

[출처] Barnes Reports, '2016 U.S. Industry & Market Outlook: Security Systems Services Industry' (2016.5)

▶ 시장조사업체 Barnes & Co.(Barnes Reports)의 조사에 따르면, 2017년 보안시스템서비스 매출이 61%,

침입탐지 31%, 보호장비 및 안전 4%, 폐쇄감시시스템 3%, 화재감시 및 모니터링 2% 순이며, 이러한

시장 비중은 2014년과 거의 동일하며 각 분야의 매출 상승에도 불구하고 시장 판도에는 큰 변화가 없는

것을 나타냄


• 규제당국은 금융시장의 안정성 유지와 소비자 보호를 우선할 수밖에 없기 때문에 금융업체들과는

시각이 다를 수밖에 없음

• 이에 소비자, 규제당국, 금융업체간의 지속적인 협의를 통해 AI 금융상품에 대한 최적의 규제 방안을

도출하는 과정이 필요

• 국내 금융업계에서도 로보 어드바이저나 챗봇 같은 AI 기반 서비스가 잇따라 출시되고 있는 만큼,

소비자 보호와 시장 혁신 양쪽 모두에 부합하는 새로운 규제 시스템이 필요

그림 _ 미국의 물리보안 분야별 시장 규모와 현황(2017년)

[출처] Barnes & Co.

▶ IBIS World에 따르면, 미국 보안 서비스 기업들의 시장점유율은 지난 5년간 크게 변화하지 않으며

기업(28.1%), 정부기관(22.4%), 주거 및 기타(16.6%), 소매상 및 레저(14.5%) 및 금융기관(18.4%) 등의

순으로 매출 차지

▶ 물리보안 시장은 경기의 부침에 따른 시장 수요의 변동이 있지만 안전과 테러 방지에 대한 요구 사항이

커지고 사용자 저변의 확대가 이어지면서 시장 규모를 유지

• 보안 시스템 서비스, 침입 탐지 관리 및 모니터링, 화재 감지 및 모니터링, 보안 장비 부문 등 물리보안

전반적으로 건설 경기의 영향을 받는 편

• 물리보안 산업 시장 비중은 주거용과 비주거용이 1:2 정도의 비율을 보이고 있으며, 이와 같은 매출

비율은 수 년 간 비슷한 수준을 유지

• 미국 물리보안 시장은 ▲범죄 및 테러 방지에 대한 관심 증가 ▲기술 발전 및 신제품 개발에 따른

기존 제품 업그레이드 수요 증가 ▲가격인하에 따른 수요저변 확대 등에 힘입어 꾸준한 성장세를

이어나갈 것으로 기대


▶ 물리보안 시장의 전자출입통제 및 침입 탐지 시스템에 최신 정보기술 등이 적용되면서 보안 성능의

향상과 새로운 시장의 창출이 이어지고 있는 추세

• 전자출입통제시스템(Electronic Access Control System)에 대한 수요는 사용자들 사이에서 모니터링

및 접근제어 통제를 통해 신뢰성 있는 범죄 예방 효과를 볼 수 있다는 인식이 확산되면서 점차

높아지는 추세

• 바이오 인식 업계는 지문, 홍채, 망막 및 얼굴 인식 식별 시스템과 같은 바이오 인식 기술용

소프트웨어를 개발함으로 지난 5년간 많은 성장을 기록했음

• 2013년 기존의 미국 방문자 및 이민 상태 표시 프로그램 대신 바이오 인식 신분증 관리소(Office of

Biometric Identity Management)가 만들어지면서 기업의 민간 투자가 증가하고 이민 목적을 위한

바이오 인식 스캐닝이 더욱 강조되면서 업계 수익은 계속해서 증가할 것으로 예상됨

• 보안 바이오 인식 시장은 2016년에만 14.0%의 성장률을 기록하며 전반적으로 업계 매출은 지난 5년간

연평균 7.8%, 총 54억 달러의 수익을 기록함

• 도난 경보기 등을 포함한 침입탐지 시장은 주거용과 상업용 모두 스마트폰 및 태블릿으로 원격

모니터링, 제어 및 액세스가 가능한 통합형 솔루션으로 진화 중

▶ 영상 감시 부문은 디지털화, 네트워크화, 클라우드화 등을 통해 성능과 활용도가 크게 향상되고 있는

상황

• 영상 감시 장비 산업은 미국에서 가장 빠르게 성장하는 물리보안 분야로서, 분석 기술 발달 및

클라우드 서비스를 접목한 VSaaS와 같은 새로운 서비스 영역이 확대되고 있으며 아날로그 시스템의

IP 기반 장비로 대체 확산

• 보안카메라 시장은 디지털저장장치, 화질개선, 인터넷 기반의 모니터링 시스템 등 기능 개선 및

범죄자들의 행동패턴을 포착해낼 수 있는 ‘스마트 CCTV' 등과 같은 신기술 도입 등의 기술 진화가

주된 성장 요인이 될 것으로 전망

• 최근의 지능형 CCTV 바이오인식 기술은 CCTV 시스템 가시거리 내의 객체 식별을 물체와 사람으로

구분해 식별하는 수준을 구현하고 있으며, 이동식 카메라에 의한 사람의 움직임 및 안면인식 기술을

결합해 휴먼 재식별 융합 기술로 발전하고 있는 추세

• 딥러닝이 CCTV를 만나 AI CCTV로 발전하면서 감시만으로 활용하던 CCTV가 AI와 융합되면서 리테일,

제조, 오일 & 가스 등 스마트 팩토리 분야 등 활용 분야가 확대 중


물리보안 제품 및 서비스 유통

▶ 미국의 민간 물리보안 부문에서는 주로 전문 도매(Wholesales) 업체나 대형 딜러 및 공급 업체를

중심으로 유통 시장이 형성

• 대다수의 보안 장비 생산업체들은 주로 전문 도매 유통업체를 활용하고 있으며, 생산업체는 이들

총판에 전적으로 제품을 홍보하고 프로모션에 대해서도 높은 의존성을 보이는 것이 특징

• 물리보안 제품 생산 업체가 직접 판매 및 제품의 설치와 서비스를 모두 담당하는 경우도 있으며,

이 경우 소비자에 대한 접근 권한이 커지는 것이 장점

• 유통업체는 해외 브랜드를 그대로 유통하기도 하며, 브랜드 파워가 없는 해외 제품에 대해 일정 기간

OEM 방식으로 제품을 들여와서 미국 시장에 유통하는 경우도 드물지 않은 편

▶ 지문 인식은 바이오 인식 스캔 업계에서 매출의 약 55%를 차지함

• 법 진행과 출입국 사무소나 개인 식별을 위해 지문을 사용하며 체육관이나 도서관과 같은 여러

공공기관에서 이제 카드키 대신 지문을 사용하고 있음

• 안면 인식은 정부에서 주로 사용해 왔지만 서서히 다른 분야로 확대되고 있는 추세 보안 카메라 및

얼굴 샷을 통해 범인을 확인하는 기술로, 이 기술을 통해 확인된 범죄자 수는 더욱 증가할 것으로

예상됨

• 3D 안면 인식과 같은 혁신기술은 정확도가 낮아 현재 점유율 상승에 한계 존재

• 망막 및 홍채 인식은 업계 매출의 약 15.0%를 차지할 것으로 예상됨

• 다른 바이오 인식으로는 손, 핏줄 및 음성 패턴을 통한 인식이 있으며, 업계 매출의 약 14.0%를

차지하고 있으나 오류로 인해 상대적으로 낮은 점유율을 보임

▶ 미국의 공공 물리보안 부문에서는 연방정부, 주정부, 학교 등에 대한 조달 시장이 형성되어 있으며

조달시장에 제품을 공급하기 위해서는 기본적으로 GSA 계약자(GSA contractor) 자격이 필요

• GSA contractor 중에도 대형 유통/공급 업체들은 공공 부분의 제품 공급에 많은 영향력을 행사

• GSA contractor 업체와의 관계를 형성하려면 공공 및 보안 전시회에서의 노출을 통해 이들 대형

유통업체에 국내 기업의 브랜드 인지도, 품질 및 기술력을 각인시키는 과정이 필수

• 국내 기업 중 미국 조달 시장 진출에 성공한 업체 대부분이 GSA contractor 자격을 취득하여 제품

및 기술력에 대한 공인 받음은 물론, 전시회를 통해 대형 유통 업체와의 오랜 관계 형성으로 시장

진입에 성공


▶ 물리보안 부문에서는 다양한 종합 유통 업체들과 전문 벤더들이 활약하고 있으며, 물리보안 제품과

정보보안 제품을 함께 취급하는 업체들도 다수 활동 중

• 물리보안 제품 공급 및 유통 업체 중에서는 ADT Security Service가 가장 규모가 큰 업체로 평가

• Ingram Micro 같은 대형 업체들은 물리보안과 정보보안 분야를 망라한 보안 제품을 유통

표 _ 미국의 대표적인 물리보안 종합 유통 업체 현황

업체명 개요 및 주요 취급 품목

ADT Security Service

- 안전 및 보안 관련 글로벌 최대 기업으로서 가정 및 비즈니스 분야 보안 서비스를 제공하며,

400군데 이상 인증 받은 딜러를 보유

- 미국 외에도 전 세계 200개 이상의 현지 법인 및 지사 보유

Ingram Micro

- 세계 최대 규모의 IT, 전자제품 전문 유통 업체로 세계 최대의 유통망을 보유

- 미국 본사를 비롯해 48개국에 162개의 지사와 물류 창고를 운영하며 150개국에 약 17만

개 도·소매업체(Best Busy, Future shop, Staples 등 리셀러)에 제품을 공급

- Sony, HP 등 대기업을 비롯해 약 1,400개의 제조업체에서 제품을 구매하며, 자체

브랜드를 OEM방식으로도 소싱

PELIKANCAM- 미국 정부 기관 대상 전문 유통업체로서 GSA 컨트랙터로 활동 중

- 취급품목으로는 CCTV 카메라, 네트워크 DVR, IP 카메라 & 시스템이 대표적

A1 Security Cameras

- 보안 카메라 및 카메라 시스템 유통의 선도 기업

- GSA 컨트랙터로서 정부, 육해군, 은행, 주정부 등 대형 우량 고객 보유

- 온라인 사이트를 운용하며 글로벌 기업의 보안 카메라 라인업 보유

[출처] Wikipedia, Google Finance 종합

3. 주요 사업자 현황

시장 특성 및 경쟁 강도

q 정보보안 시장

▶ 미국의 정보보안 시장은 특정 업체들이 시장에서 뚜렷한 우위를 점유하지 못한 상태에서, 다양한 기업들

간의 치열한 경쟁과 인수합병을 통한 시장 재편이 두드러진 상황

• Check Point, Fortinet, McAfee, Cisco, Symantec, Trend Micro, Palo Alto Networks, Blue Coat

Systems, Check Point Technology, Kaspersky Lab 등 다양한 업체들이 치열하게 경쟁 중


• Symantec, McAfee, Check Point가 시장을 이끄는데 3사 점유율은 2011년 35.4%에서 2016년 32.8%로

감소

• 최근에는 클라우드 보안 시장의 성장세가 두드러지고 신규시장이 확대 되면서 주도권 확보를 위한

기업 간의 인수합병(M&A) 사례가 급증

표 _ 정보보안 시장의 최근 주요 인수합병 사례들


발표일 인수업체 피인수업체피인수기업 가치

또는 매출규모인수거래규모

2018.10.04 Palo Alto Networks RedLock N/A 173

2017.05.24 Microsoft Hexadite N/A 100

2016.09.20 Fortinet AccelOps N/A 28

2016.09.18 Oracle Palerra N/A N/A

2016.09.07 TPG Intel Security (지분51%) N/A 3,100

2016.07.28 Oracle Netsuite N/A 9,300

2016.06.28 Cisco Systems CloudLock N/A 293

2016.06.12 Symantec Blue Coat Systems 7.8 4,650

2016.06.01 Vista Equity Partners Ping Identity Corp. N/A N/A

[출처] 451 Research, Oppenheimer Research, 기타 언론종합(2018.10)

▶ 미국 워싱턴 D.C.를 중심으로 보안 스타트업이 활발히 창업 중이며, 뉴욕 역시 경쟁이 심한 실리콘

벨리보다는 다양한 지원을 내세워 스타트업 유치에 앞장서고 있음

• 맨해튼 중심의 ‘실리콘 엘리’는 2008년 금융위기 후 급속히 확장하고 있으며 스타트업 투자는 꾸준히

증가

※ ‘17년 미 도시별 투자규모 : 샌프란시스코(196억 달러), 뉴욕(133억 달러), 산호세(69억 달러),

보스톤(60억 달러), LA(40억 달러), 워싱턴D.C.(17억 달러), 시카고(16억 달러), 시에틀(13억 달러),

샌디에고(13억 달러)

• 뉴욕주 차원의 ‘Start-up NY’ 정책, ‘코넬 테크’ 조성 등 스타트업 생태계 육성 정책을 공격적으로 추진

※ Start-up NY : 주세금 및 지방세 10년 감면, 판매 및 사용제 공제/환급, 부동산 양도세 면제 등

※ 코넬 테크 : 뉴욕 루즈벨트 섬에 코넬대, 이스라엘 테크니온 공대가 컨소시엄으로 설립, 전 시장

블룸버그가 1억 달러 기부하였으며, 산학 협력 시너지를 통한 혁신 창업 생태계 조성

▶ Barclays가 미국 CIO 대상으로 실시한 서베이에 따르면, 지난 12개월간 미국 상위 보안 기업의

선호도에서 Palo Alto Networks의 상승이 두드러졌으며 2015년 상위인 Check Point와 Symantec은


선호도 조사에서 다소 점수가 낮아짐

• 특히 Palo Alto Networks는 2015년 하반기 25점에서 2016년 상반기 50점으로 가장 선호되는 벤더로

꼽혔기에, Firewall 분야 점유율과 연관이 있는 것으로 추정

• 그 뒤를 이어 FireEye, Cisco Systems, Trend Micro, Splunk 등이 2015년에 비해 2016년 상반기

선호도가 상승했으며 각각 2위에서 5위를 기록함

• 하지만, 2015년 선호도 1위였던 Check Point는 2016년 상반기 선호도 9위, Symantec은 2015년

2위에서 2016년 6위로 선호도에서 다소 하향세를 나타냄

• 또한, F5와 Juniper의 경우, 2016년 선호도에서 2015년에 비해 하향세를 보임

표 _ 미국 CIO가 선호하는 보안기업 벤더 순위(2015 하반기~2016 하반기)

벤더 2016 하반기 2016 봄 2015 하반기

Palo Alto Networks 50 36 25

FireEye 47 48 39

Cisco Systems 41 47 16

Trend Micro 25 22 12

Splunk 24 24 14

Symantec 24 34 45

F5 19 21 38

Fortinet 18 6 5

Check Point 15 16 60

Juniper 11 15 24

Proofpoint 8 5 3

Imperva 5 5 3

Barracuda Networks 3 1 1

Sophos 3 6 6

Hewlett-Packard Enterprise 2 NA NA

Rapid7 2 0 0

CyberArk 1 0 0

Qualys 1 1 0

Radware 1 0 0

[출처] Barclays, US Software Security, Design & VSS: Stock-Picker's Market in 2017

▶ Barclays 보고서에 따르면, 보안시장에서 기업 경쟁력을 엿볼 수 있는 분야는 방화벽(Firewall) 분야로

Palo Alto Networks와 Fortinet는 해당분야 시장 점유율이 상승하고 있으며 Cisco, Check Point 및

Juniper는 점유율이 감소하고 있음


• 특히 Palo Alto Networks는 2013년 5.3%에서 2015년 10.1%로 가장 성장이 두드려졌으며 Cisco

18.1%, Check Point 14.1%의 점유율을 보임

q 물리보안 시장

▶ 미국 물리보안 시장에서 IT 등 새로운 기술 가치의 도입과 해외 기업들의 활약에 따른 경쟁이 치열해지고

있는 추세

• 미국의 물리보안 시장에서는 완성품 제조업체 기준으로 약 300~400개의 업체가 경쟁을 벌이고

있으며 보안장비 시스템 관련 업체는 경비, 알람 모니터링, 제품 설치 서비스 제공업체까지 모두

포함할 경우 약 총 5,000여 개를 상회할 것으로 추산

• 미국 보안 장비 판매시장에서는 United Technologies, Honeywell International, Tyco International

등이 시장점유율 상위 3개 업체로 우위를 차지

• 이 밖에 Assa Abloy(스웨덴), Checkpoint Systems, L-3 Communication, Robert Bosch(독일),

Safran(프랑스) 등 해외 사업자들도 주요 시장 참여자로 활동 중

▶ 2017년 미국의 보안카메라 관련 수입액은 67억 달러로 전년 대비 16.27% 증가

• 미국의 주요 수입국은 중국, 일본, 태국 등으로 중국으로부터의 수입액은 30억 달러로 전년 대비

32.88% 증가하였으며 전체 수입금액의 약 45%를 점유. 베트남, 독일도 각각 전년 대비 152.63%,

50.86% 수입금액이 증가했음

• HIS Markit의 애널리스트인 Kim Dearing은 와이파이가 연결된 초인종 카메라의 수요는 폭발적이며,

앞으로 더욱 대중화될 전망이라고 밝힘

• 비교적 진입 장벽이 낮아 여러 스타트업이 경쟁하고 있으며 보안제품 진입의 중요한 요소는 기술적

측면보다는 소비자가 직접 설치가 쉬운 제품 개발이 중요

• 또한 적정수준의 가격이 중요한 요소로 설문조사에 따르면 500달러 이상의 보안카메라를 구매한

소비자의 비율이 28%로 가장 많은 비중을 차지했으며, 그 뒤로 27%는 250달러에서 500달러 사이의

제품을 구매

• Motorola, Axis, Netgear, Nest Cam, Icontrol Networls, Canary, Amcrest Technologies, Unide 등

다양한 브랜드의 제품이 시장에 나와 있으며 중국제품은 비교적 저렴한 가격을 강점으로 온라인

마켓에서 쉽게 구매가 가능함


주요 사업자


▶ Symantec Corporation

• Symantec은 보안 영역을 포함한 세계 최대의 소프트웨어 기업으로서 현재 엔드포인트 보안, 데이터

보안, 이메일 보안, 인증서 등 신뢰서비스 분야에서 전 세계 시장 점유율 1위를 기록하고 있는 업체

• 2016년 6월 클라우드 보안 전문 업체 Blue Coat Systems를 인수함으로써 웹 보안 시장과 클라우드

보안 분야도 선도할 수 있을 것으로 주목

• 또한 지능형 지속 위협에 대한 보안 전략을 앞세워 차세대 엔드 포인트 보안, 이메일 보안, 원격

보안관제 서비스 등에 초점을 맞추고 이와 관련한 포트폴리오를 확대

• Symantec Mobile Security는 iOS, Android 및 Windows OS 기반의 모바일 단말을 각종 멀웨어 및

보안 위협으로부터 보호할 수 있는 앱 형태의 종합 솔루션을 지향

• 안티바이러스 기술, 방화벽, SMS 안티스팸 등의 기능이 기본으로 포함되어 있으며, Symantec Mobile

Management Platform으로 복수의 모바일 단말 보안을 일원적으로 관리 가능

• 2016년 11월, 시만텍은 AI 기술이 적용된 엔드포인트 보안 솔루션 ‘SEP 14 (Symantec Endpoint

Protection 14)’를 공개하고 실시간으로 올라오는 멀웨어 100개를 상대로 탐지 성능 데모를 시연해,

해당 멀웨어에 대한 시그니처가 갖춰지지 않은 상황에서도 90개 이상을 탐지함으로 AI 기반 보안제품

경쟁에 선두로 나섬

▶ Trend Micro

• Trend Micro는 모바일 단말, 엔드포인트, 게이트웨이, 서버, 클라우드 보안 솔루션에 주력하고 있으며

개인과 기업, 정부 기관의 데이터센터, 클라우드, 네트워크 및 엔드포인트에 다층 보안 솔루션을 제공

• 엔드포인트 보안과 멀웨어 감지기술 분야의 선두 업체이지만, Symantec, McAfee 등과의 경쟁이

심화됨에 따라, 차세대 유망 기술 분야인 클라우드보안, 가상화(Virtualization), 모바일보안,

지능형지속위협(APT), 사물인터넷(IoT) 기술 시장에 주목

• Amazon의 AWS와 Microsoft의 Azure 등 유력 클라우드 서비스 플랫폼에서 Trend Micro를 보안

벤더로 추천한 것을 계기로 2014년 이후 Trend Micro의 클라우드 관련 총 매출은 큰 폭의 성장세를

이어가는 중

• 독립형(stand-alone) 솔루션으로 이용하는 것은 물론, ‘Trend Micro Control Manager’ 콘솔을 통해

다른 Trend Micro 엔드포인트 보안 솔루션도 일원화해 관리 가능


▶ Palo Alto Networks

• 2007년에 설립된 보안 업체로서 차세대 방화벽 전문 기업 외에 지능적 지속 위협(APT) 보안 솔루션

업체로 유명

• 차세대 방화벽 기능 이외에 침입방지 시스템(IPS), 안티바이러스, URL 필터링 기능 등을 지원하는

네트워크 통합 플랫폼과 Wildfire와 Traps를 연동해 위협 정보를 다루고 있음

• 2016년에는 클라우드 컴퓨팅 시스템 환경을 겸할 수 있는 시스템을 공개했으며, 이 같은 겸용

시스템을 통해 최근 기술 업그레이드에 속도를 높이고 있는 상황

• 클라우드 기반의 지능적 지속 위협(APT) 솔루션인 Wildfire는 지능형 공격에 대한 탐지와 대응, 사전

방어를 종합적으로 지원하는 전략을 구현하고 있으며, SecaaS형 클라우드 접근 보안 브로커(CASB)

솔루션도 제공

• 또한 Palo Alto는 지난 2017년 10월 주로 기업 고객들이 원하는 보안 서비스를 클라우드

환경(SaaS)에서 골라 쓰도록 하는 보안 앱스토어 생태계를 구축 발표

▶ Cisco Systems

• 세계적인 네트워크 장비 업체로서 차세대네트워크, Service Provider Video, 데이터센터, 와이어리스,

사이버보안 등의 분야에서 활약

• Cisco Systems가 추진 중인 보안 비즈니스의 투자 방향은 2015년에 발표한 ‘모든 곳에서의

보안(Security Everywhere)’ 전략이 바탕이 되고 있음

• 이 전략은 확장된 네트워크 환경에서 가시성과 제어능력을 높이고 사이버 공격이 발생하기

전(Before)과 공격이 이뤄지는 동안(During)과 공격이 이뤄진 후(After)에 이르기까지 전체 주기에

걸쳐 위협을 탐지하고 복구시간을 단축시키는 것이 특징

• 특히 클라우드 환경에 적절하게 대응하기 위해 2013년 Sourcefire와 2014년 Open DNS 등의 네트워크

보안 업체를 연달아 인수하고 2015년 통신장비 업체 Ericsson과 제휴를 체결했음

• 2015년 10월에는 모바일 기기 등 엔드 포인트에 대한 백도어 보안 솔루션 업체 Lancope를 인수해

보안 솔루션 사업부로 편입

• 2016년 8월 클라우드 보안업체 CloudLock 합병완료로 클라우드 보안 경쟁 강화

▶ Check Point Software Technologies

• 이스라엘에 본사를 둔 Check Point Software Technologies는 매출 기준으로 글로벌 기업보안 시장

점유율 4위를 기록


• 인터넷 정보보안 전문업체로서 전 세계 10만 개 이상의 대기업, 중소기업을 고객으로 확보

• 특히 네트워크 보안 어플라이언스, 엔드포인트, 모바일 안티 멀웨어 블레이드, 웹 게이트웨이 등

다양한 포트폴리오를 보유하고 꾸준한 성장세를 지속

• 고객들은 Check Point의 버추얼 시스템과 함께 방화벽, 가상사설망(VPN), 인터넷침입방지시스템(IPS),

애플리케이션 컨트롤, URL 필터링, 안티봇, 안티바이러스, ID인식 등 체크포인트 소프트웨어

블레이드를 선택해 가상화 보안을 강화할 수 있음

• 2016년 출시된 차세대 보안관리 플랫폼 ‘CheckPoint R80’은 전체 인프라스트럭처를 포괄하는 단일

콘솔로서 메인 게이트웨이, 데이터센터 지점, 클라우드 구현을 두루 관리하는 것이 특징

▶ Fortinet

• Fortinet은 고성능 네트워크 보안 제품과 서비스 공급회사로서 Unified Threat Management(UMT)

솔루션 분야의 주도 업체로 자리매김

• 통신업체, 데이터 센터, 엔터프라이즈, 분산 오피스 및 MSSP에게 네트워크 보안 어플라이언스 및

보안 구독 서비스를 제공

• 네트워크 보안 플랫폼, FortiGate는 방화벽, VPN, 멀웨어 방지, 침입 방지, 애플리케이션 관리, 웹

필터링, 스팸 방지, DLP, WAN 가속화, WLAN 관리 등 다양한 보안 및 네트워킹 기능을 제공하는

물리 및 가상 어플라이언스로 구성

• 대표 상품으로는 FortiGate라는 통합 네트워크 보안 방화벽을 내세우고 있으며, 전 세계 2만 여 개의

채널 파트너를 통해 서비스를 공급

▶ McAfee(구 Intel Security Group)

• 미국 산타클라라 소재 보안 전문기업으로 7,500명의 전문인력과 1,200여 개의 보안 기술 특허를 보유

• 네트워크보안, 서버보안, 보안분석, 웹보안 등 네트워크에서 엔드포인트까지 다양한 보안 솔루션 제공

• 주요 제품으로는 시간 가시성과 분석 제공, 위험 감소, 컴플라이언스 보장, 인터넷 보안 개선을

목적으로 기업을 지원하는 보안 관리 기능과 악성 프로그램 방지, 안티스파이웨어, 안티바이러스

소프트웨어 등을 제공


▶ Tyco Integrated Security

• 스위스계 Tyco International Ltd.의 북미 지역 자회사로서, 미국 물리보안 산업의 주요 사업자 중 하나


• 상업용 보안장비들의 연동을 통해 다양한 산업계에 종합 솔루션을 공급하고 있으며, 상업 보안

비즈니스를 화재 방지 비즈니스와 결합하여 시너지를 내는 전략으로 시장에서 경쟁

• 주요 취급 품목은 출입 통제, 자산 트래킹, 화재 및 안전, 장비 설치 및 유지보수 서비스 부문

▶ Stanley Convergent Security Solutions

• Stanley Black & Decker 그룹의 계열사로서 알람 모니터링을 포함하여 보안 시스템의 설계, 공급,

설치 및 전자 보안 서비스를 제공.

• 미국 시장 내에서만 30만 명의 고객을 보유하고 있으며 직접 세일즈 방식으로 사업을 전개

• 주택, 상업빌딩, 산업계, 정부 등의 다양한 고객군을 보유하고 있으며, 연방 정부 및 주정부 보안 솔루션

공급업체로도 활동

• 주요 취급 품목으로는 출입제어, CCTV/비디오 감시, 자동 화재감지, 침입탐지 모니터링, 종합 보안

솔루션 공급 등이 대표적

▶ Vivint Inc.

• 미국에서 가장 큰 주택 보안 서비스 시스템 공급업체 중 하나로 가정용 보안 제품을 생산하고

공급하는 업체

• 주택 보안 시스템 서비스를 제공하면서 경쟁업체보다 저렴한 제품을 공급하는 것이 핵심 경쟁력이며,

미국 전역에 대규모 판매 및 서비스 오피스를 운영

• 주요 취급 품목은 터치스크린, 보조 터치 스크린 패널, 디지털 도어록, 스모크 알람, 유선 비디오 카메라

등이 대표적

▶ Monitronics International

• 주택 및 기업 고객에게 보안 모니터링 서비스를 제공하고 있으며, 450여 개 독점 딜러 네트워크를

형성

• 2010년에 Ascent Capital Group에 피인수 된 후에도 사업을 지속

• 주요 취급 품목으로 일반가정, 한부모 가정, 시니어를 위한 맞춤형 시스템 공급, 강도, 화재 및 침입

감지 등의 모니터링 서비스 등을 제공

▶ Dieblod Security


• 전자 및 물리보안 시스템을 개발, 생산, 판매 및 서비스하는 전문 업체로서 뉴욕을 위시한 미국

동부지역을 중심으로 활동

• 자사 솔루션은 물론 금융 및 상업 시장 분야에서 다수의 서드파티 솔루션을 제공

• 주요 취급 품목으로는 ATM 보안, 전자 보안 서비스 등을 제공

▶ Vector Security Incorporation

• 미국 내 전자 보안 솔루션 제공 업체로서 미국 10여개 이상의 지역 거점 오피스를 보유하고 있으며,

캐나다 및 캐리비언 지역에도 서비스 제공

• 북미 지역에서 26만여 개의 일반 가정과 비즈니스에 전자 보안 솔루션을 제공하고 있으며 주택 시장

확대에 집중

• 주요 취급 품목으로는 전자보안, 화재 경보, 비디오 감시, 접근 제어, 강도 및 침입 탐지 등의 솔루션이

대표적

▶ Guardian Protection Services

• 1950년에 설립된 보안 시스템 기업으로서 보안 시스템을 설계, 설치 및 모니터링하고, 25만 여의

주택 및 상업빌딩 고객에게 서비스를 제공

• 원격 홈 제어, 모니터링 서비스, 무선 가정보안, 침입 탐지, 비디오 감시, 화재 감지, 응급 의료 상황

처리 등의 서비스를 제공

▶ Raytheon

• 미국 4대 방산 업체로서, 방공 미사일뿐 아니라 정보 수집, 소방, 기상, 항공관제 등의 레이더 장비,

커뮤니케이션 장비, 전자무기 등을 생산하고 있으며 전자 데이터 처리 시스템 및 소형 컴퓨터

시스템도 개발

• 주요 취급 품목인 전자 제품 및 항공 우주와 방위 분야의 주 고객은 미국 정부이며 공급자 등록(supply

registration)을 한 업체에 한해 공급 계약 논의가 가능

4. 주요 동향 및 이슈

▶ MS는 2014년 설립된 이스라엘 사이버보안 스타트업 Hexadite를 1억 달러(약 1,119억 원)에

인수함(2017.5)


• Hexadite는 2014년 텔아비브에서 설립된 신생업체로, 현재는 미국 보스턴에서 직원 35명을 두고 있음

• 사이버보안 가운데서도 머신러닝을 통해 사이버 공격을 감지하고 이에 따른 시스템 피해를

최소화하는 기술에 특화됨

▶ 미국 샌프란시스코에서 열린 RSA 2017에서 보안 업체들인Fortinet, McAfee, Palo Alto Networks,

Symantec이 설립한 사이버 위협 얼라이언스(Cyber Threat Alliance, CTA)가 공식 비영리 단체로

출범함(2017.2)

• CTA의 첫 번째 최고 관리자로 이전 미국 대통령인 버락 오바마의 정권 당시 사이버 안보

조정관(cybersecurity coordinator)이었던 마이클 다니엘(Michael Daniel)이 임명됨

• 또한, 보안 전문업체인 Check Point와 Cisco Systems가 새로운 CTA 멤버로 합류함

• CTA의 처음 과제는 동으로 위협 첩보를 공유하는 분석 플랫폼을 런칭하는 것으로서, 이는 멤버들이

이미 갖고 있는 위협 첩보 공유 시스템을 통합하여 사이버 위협 정보 표현 규격(STIX/TAXII)을

활용하는 것으로 알려짐

▶ IBM은 인공지능(AI) 보안 기술인 ‘왓슨 포 사이버 시큐리티(Watson for Cyber Security)’를 발표함(2017.2)

• ‘왓슨 포 사이버 시큐리티’는 IBM의 새로운 코그너티브 보안관제센터에서 제공되는 서비스로

엔드포인트, 네트워크, 사용자, 그리고 클라우드 전반에서 발생하는 보안 위협에 대응할 수 있도록

코그너티브 기술 기반으로 보안 운영서비스를 제공

• 이러한 보안 운영 서비스에서 가장 중심에 있는 제품은 ‘IBM 큐레이더 왓슨 어드바이저’로 IBM 왓슨의

사이버 보안 통찰력 전체를 활용하는 최초의 제품임

• IBM은 그간 자사의 클라우드 기반 인공지능 컴퓨터 시스템인 Watson을 정보보안 비즈니스에

활용하기 위해 IBM의 X-Force 보안팀이 제공하는 데이터를 통해 8백만여 건의 스팸 및 피싱 공격,

십만 건 이상의 취약점에 대한 학습을 진행 함

▶ 미국 DNS 서비스 업체, IoT 봇넷에 의한 대규모 디도스 공격 피해 (2016.10)

• 인터넷 도메인 서비스 업체인 Dyn이 대규모 디도스 공격을 받아 미국 동부지역의 근거지를 두고

있는 메이저 웹 사이트에 장애가 발생

• 감시 카메라가 하이재킹 되어 미라이(Mirai)라는 봇넷 구성에 이용된 것으로 확인됐으며, 감시

카메라의 복잡한 유통구조로 인해 최종 사용자와 현재 보안 현황을 파악 및 대처하는 것이 어려운


상황

• 가정용 라우터, 웹캠, 스마트 냉장고 등 사물인터넷(IoT) 기기들의 보안 취약점에 대한 여론이

환기되면서 이 분야 보안에 대한 수요와 관심이 커질 것으로 전망

▶ 미 중소기업 보안 수준 열악, 정보보안 투자 확대방안 필요 (2016.10)

• 미국의 보험 회사인 Nationwide는 미 중소기업의 80%가 정보보안 사건 사고 발생 시 대응할 만한

계획을 가지고 있지 않다고 지적

• 미국 중소기업 절반 이상이 2015년 한 해 동안 적어도 한 번 이상의 사이버 공격을 받았으며, 사이버

공격을 받은 경험이 있다는 기업들 중 60%가 복구에 1달 이상 소요된 것으로 확인

• 미 하원의 소기업위원회는 2,800만 개에 달하는 미국 소기업들의 정보보안을 강화하기 위한 노력을

기울이고 있으며 2016년 9월에는 소기업사이버보안강화법(Improving Small Business Cyber Security

Act)이 하원을 통과하는 등 관련 분야의 투자 확대를 위한 노력이 진행

▶ Intel, 사모펀드 TPG에 Intel Security 지분 매각 (2016.09)

• Intel이 정보보안 사업부 Intel Security의 지분 51%를 사모펀드 TPG에 31억 달러에 매각했으며 이에

따라 2017년부터는 McAfee 브랜드로 영업 개시

• Intel은 2011년 McAfee를 77억 달러에 인수한 이후 2014년 Intel Security로 개명

• Intel은 PC 보안 위협 분야가 성장세를 지속할 수 없다는 판단에 따라 지분을 매각했으며, 사모펀드

TPG는 사이버 공격 우려 증가에 따른 보안업계의 수익성에 주목해 지분을 인수한 것으로 평가


정보보호 정책 및 기관 현황

1. 관련 법령 및 정책

관련 법령 및 규제

▶ 트럼프 정부, 2003년 이후 15년 만에 연방차원의 ‘국가 사이버보안 전략’ 공개 (2018.9)

• 전략 보고서에서는 ▲미국 내 네트워크, 시스템, 데이터 안보 강화 ▲강화된 사이버보안 환경에서

디지털 경제와 기술혁신 증진 ▲미국의 국제 평화와 국가안보 증진 ▲국제 인터넷 환경과 기술

분야에서 미국의 리더십 확대 등을 핵심 목표로 제시함

• 사이버 범죄에 대응하기 위해 연방정부는 범정부부처 간 통합적인 대응 시스템 구축을 하기 위해

노력해옴

• 대통령 직속 국가안보위원회(NSC)와 국가안보테러보좌관이 주재하는 범정부 기관으로 사이버보안

정책과 전략을 수립하는 컨트롤 타워 역할을 하고, 국방부 산하 사이버사령부, 연방수사국,

국토안보부 등이 분야별 대응책을 마련하고 있음

▶ 트럼프 정부, 오바마 정부에서 신설한 국가 사이버 보안 조정관 제도 폐지(2018.5)

• 미국 국토안보부가 사이버보안 위험을 식별하고 관리하기 위한 새로운 전략을 발표했음에도 불구하고

백악관은 국가 안보위원회 역할이 더 이상 필요하지 않다고 판단하고 사이버보안 조정관 직책을

폐지함

* 오바마 대통령은 2009년 12월 미국 정부의 사이버 정책을 총괄하는 사이버 보안 조정관 제도를

신설한 바 있으나 트럼프 정부는 해당 제도를 2018년 5월 폐지함

• 사이버보안조정관은 대규모 침해사고 발생 시 국방부, 국가안보국, 국토안보부 등과 협력을 총괄하는

총 지휘관 역할을 담당하였음

▶ 2015년 민·관 사이버보안 위협정보 공유를 주요 내용으로 하는 「사이버 보안법(Cyber Security Act

2015)」제정

• 2002년 제정된 「사이버보안강화법(Cyber Security Enhancement Act)」을 수정하여 ｢2015년

사이버 보안법｣(Cybersecurity Act of 2015)이 제정


• 민간기관이 사이버보안 목적으로 정보시스템 및 정보를 ① 모니터링 및 ② 방어조치를 취하고, ③

정보를 공유할 수 있는 법적 근거를 마련

• 국가정보국장, 국토안보부장관, 국방부장관 및 법무부장관은 연방기관과 비연방 기관(민간기관,

주·지방정부 등 포함) 간 사이버위협지표 및 방어조치에 관한 정보 공유 절차 구축 및 가이드라인을

마련하도록 규정

• 민간 기관이 이 법에 따라 사이버위협지표와 방어조치를 모니터링, 공유·제공받는 행위는 소송의

원인(cause of action)이 되지 못하도록 규정하고, 반독점법에 따른 책임 면제 등 보호규정을 마련

• 국토안보부 장관 및 법무부 장관은 연방정부 내에서의 정보공유체계를 구축하고, 대통령은

민간기관과의 정보공유 역량·절차를 개발·실시하는 연방기관(국방부 제외)을 지정하는 것이 가능

• 국토안보부 산하 국가사이버보안정보통합센터(National Cybersecurity and Communications

Integration Center, NCCIC)에 사이버보안위협지표 및 방어조치 정보, 사이버보안 위험과 사고 관련

정보 공유 기능을 부여

▶ 2016년 미 국방부의 사이버 침해사고 보고의무에 관한 규칙 개정안 발표

• 국방부와 계약을 체결하고 있는 계약 당사자 및 하도급업자들에게 사이버 침해사고 (cyber

incidents)가 발생한 경우 이를 의무적으로 국방부에 보고하도록 하는 국방부 방위산업기지

사이버보안행위(Defense Industrial Base Cybersecurity Activities)에 관한 규칙의 개정안을 11월

3일부터 시행

• 이 규칙은 국방부와 방위산업기지 관련 기업 간 체결된 모든 형태의 계약의 당사자에게 적용되므로,

계약, 보조금, 협력협정, 그 밖의 거래계약, 기술투자협정 및 그 밖의 모든 종류의 법적 계약 등의

당사자를 모두 대상으로 포괄

• 계약당사자 및 하도급업자로 하여금 대상계약당사자 정보시스템 또는 그 안에 존재하는 대상

국방정보(covered defense information)에 관한 사이버 침해사고를 72시간 내에 보고할 것을 의무로

규정

※ 대상국방정보란 기밀이 아닌 통제된 기술정보나 법령 및 범정부적 정책에 따라 보호 또는 전파에

대한 통제가 요구되는 그 밖의 정보를 의미하며 대상국방정보임이 표식이 되어있거나 계약의 이행을

위하여 국방부 또는 국방부 대리에 의하여 표시되어 계약자에게 제공된 정보, 또는 계약의 이행을

위하여 계약당사자 또는 계약당사자 대리가 수집, 개발, 수취, 전송, 이용 또는 보관하는 정보

2. 담당기관

▶ 국토안보부(Department of Homeland Security, DHS)


• 미국은 2003년 3월 「국토안보법(Homeland Security Act)」에 의거하여 국가 기반시설 보호를

담당하는 기존 부서들을 통합하여 국토 안전 및 사이버보안 주무부처로 국토안보부(DHS)를 신설

• 국토안보부는 국가기반보호 계획 수립, 주요기반시설과 자산 식별, 정보보호 활동의 우선순위 설정

및 프레임워크 구성 등을 담당

• 국토안보부는 2009년 10월 30일 국가를 상대로 한 각종 사이버 테러 대응 및 IT 기반시설 보호를

위해 미국 정부기관들의 사이버 안보 기능을 통합한 ‘국가사이버보안 및 통신통합센터’(NCCIC: The

National Cybersecurity and Communications Integration Center)를 개소

• 미국의회는 트럼프정부의 사이버보안조정관 제도 폐지함에 따라 국토안보부에 미국 사이버보안 관리

총책의 권한을 부여하는 의결 진행함(2018.9)

▶ 국방부(Department of Defense, DOD)

• 국방부는 2010년 10월 전략사령부(U.S. Strategic Command)내에 육군, 해군, 공군, 해병대가

개별적으로 운영하던 사이버부대를 통합하여 사이버사령부(U.S. Cyber Command, US

CYBERCOM)를 창설

• 2009년 1월 국방보고서에서 ‘네트워크 중심의 전투(Network-Centric Warfare, NCW)’를 미국의 핵심

역량으로 규정하였으며, 군 컴퓨터 네트워크 통합과 보안, 공격형 사이버무기 개발 등 사이버안전과

사이버테러에 대응하는 사이버사령부를 표방

• 국방부(DOD)는 국토안보부(DHS)와 국가 사이버보안에 관한 협력체계를 구축하여 인력, 기기, 설비

등을 상호 지원하는 것을 내용으로 협약서를 교환했으며, 2011년 7월에는 국방부(DOD)가 사이버

사령부의 역할을 포함해 국가 사이버 공간에 관한 방어 전략을 발표

• 2016년에는 사이버 침해사고 보고의무에 관한 규칙 개정안을 발표하여 외부 협력 업체들과의 보안

침해 정보 공유 체계를 강화

▶ 국가 리스크 매니지먼트 센터(NRMC: National Risk Management Center)

• 미국 국토안보부는 새로운 국가 리스크 매니지먼트 센터(NRMC: National Risk Management

Center)를 설립한다고 발표함(2018.9)

• 동 센터는 미국의 주요 인프라를 보호하기 위한 국가적 미션을 수행할 예정으로 민·관 합동 리스크

관리를 하며 국가사이버보안 허브인 NCCIC(Cybersecurity and Communications Integration

center)와 밀접하게 협력할 계획임

• NRMC는 사이버보안 위기 상황에서 지역, 주정부, 연방 및 민간조직을 위한 911 같은 기동대의 역할을

수행할 것임


▶ 법무부(Department of Justice, DOJ)

• 법무부 산하 연방수사국(FBI)에 사이버범죄를 전담하는 사이버범죄수사부(Cyber Division)소속에

운영지원과, 사이버범죄과, 컴퓨터침입범죄과, 특수기술응용과, 능력개발 및 대외협력과 등 5개과를

설치

• 컴퓨터침입범죄과는 해킹수사를 전담하는 ‘컴퓨터침입범죄수사계’와 사이버 테러를 전담하는

‘대태러/방첩 컴퓨터침입수사계’, 공격정보 분석을 전담하는 ‘사이버정보계’ 로 구성

• 이와 함께 FBI는 주요 22개 도시에 사이버 태스크 포스 조직을 별도로 운영

▶ 국립표준기술연구소(National Institute of Standards and Technology, NIST)

• 상무부 산하 국립표준기술연구소는 연방정보보안관리법(Federal Information Security Management

Act, FISMA)에 근거해 정보보안 정책, 절차 그리고 실무뿐만 아니라 정보시스템을 보호하기 위한

표준과 가이드라인 대응에 관해 정부 기관들에게 기술적인 지원을 제공하는 임무를 부여받음

• 2015년 6월에는 취약점 및 위협, 리스크 관리, 보안의 아키텍처, 실천사항, 보안 능력 및 툴에 대한

내용이 보강된 ‘산업 제어 시스템에 대한 사이버 보안 가이드’ 개정판을 발표

• 2016년 7월 ‘디지털 인증 가이드라인(NIST SP 800-63B 초안)’ 개정판을 통해 SMS 메시지를 통한

2단계 인증을 사용 중단할 것을 권고

3. 규제 및 인증제도

▶ 2017년 7월, 의료기의 보안성 향상을 위해 사이버보안 평가표 작성과 판매 전 보안 테스트를 의무화하는

의료기기 사이버보안법((Medical Device Cybersecurity Act of 2017,S.1656)을 발의함

• 본 법안은 의료기기에 대한 사이버공격으로부터 환자의 안전을 보호하고 의료기기의 안정성을

개선하기 위한 취지라고 설명

• 기기의 보안성 확인을 위한 사이버보안 평가표(report card)를 작성하고 판매 전 보안 테스트를 의무화,

병원 내외에서 의료기기에 대한 원격접속 보호를 강화하고 의료기기 제조업체가 중대한 보안 패치나

업데이트를 무료로 제공할 것을 규정

• 사이버보안 평가표에는 ▲HIMSS1에서 개발한 의료기기 보안을 위한 생산자 공개문(MSD2) 최신

1 Healthcare Information and Management Systems Society의 약자로 IT를 통한 건강 증진에 주력하는 세계 최대 규모의 비영리단체로, 의료기기의 사이버보안 수준을 평가하기 위한 측정도구로 MSD2를 제공


버전에 담긴 모든 기본적인 평가요인들에 관한 정보 ▲알려진 취약점을 해결하고 사이버보안을

개선하기 위한 보완통제2 방안 ▲기기 보안 테스트 등 사이버보안 평가 및 그 결과, 해당 평가를

진행한 기관 정보 등이 포함되어야 함

▶ 미국에서 판매되는 전자 및 보안 관련 제품에 대해 등록 및 인증 절차를 거치도록 의무화 하여 관리

• 물리보안 제품들을 중심으로, 연방통신위원회(Federal Communications Commission, FCC)의 등록

요건과 UL(Underwriters Laboratory) 인증 조건에 대한 검토가 필요

• CC(Common Criteria)인증은 미국을 비롯한 주요 국가들이 보안 제품에 대해 공동으로 개발해

적용하는 국제 공통 평가기준

▶ 미 정부의 정보보호 인증제도는 예산관리국(Office of Management and Budget, OMB),

국립표준기술연구소(National Institute of Standards and Technology, NIST),

최고정보관리자협의회(Chief Information Officer, CIO)로 구성

• 예산관리국(OMB)은 정책결정 기관으로서 보안인증제도 추진을 총괄하며 최고 정보관리자

협의회(CIO)가 작성한 보안항목에 대한 승인작업을 수행

• 국립표준기술연구소(NIST)는 보안기술을 개발하는 연구소로 환경에 따라 보안 설정을 적용/시험 할

수 있는 프로그램을 개발해고, 표준과 가이드라인을 개발하는 업무를 담당

• 최고정보관리자협의회(CIO)는 보안제도를 실행하는 기관으로서, 예산관리국(OMB)의 지시사항을

이행하기 위해 관련 업무에 대한 계획과 요구사항을 NIST와 함께 처리 및 진행

2 기존 보안 조치를 보완할 수 있는 추가적인 통제


그림 _ 미 정부의 보안인증제도 구성 및 역할 개념도

[출처] KHNP

q FCC(Federal Communication Commission) 인증

▶ 미국 내에서 유통되는 모든 보안 제품은 미국 연방통신위원회(Federal Communications Commission,

FCC)에 등록하고 등록번호를 부여받도록 규정

• 완제품이 아닌 보안 제품의 부품인 경우에도 FCC 등록 후 등록번호를 제품에 부착하도록 의무화

• 보안 제품 중 일부 카메라 제품, 데이터 저장을 위해 CD롬, DVD롬이 장착된 제품 등은 방사선

(Radiation) 관련 FDA 등록이 필요

• 전파발생장치에 대한 전파발생기준을 설정하고 해당 제품을 그 기준에 의거하여 심사하고 인증

• 10KHz~3,000GHz의 주파수 대역을 유효하게 사용할 수 있도록 무선을 발사하는 각종 장치에 대해

승인하고, 무선을 이용한 통신장비에 대한 인증 및 불필요한 전자파장해(EMI) 등에 대한 규제와

승인업무 수행

• FCC 규정에 있는 기술적인 요구사항은 이동통신에 방해를 줄 수 있는 전파 장애의 크기를 제한하고

있으며, 몇몇 기기들에 대해서는 방해를 발생시킬 수 있는 잠재적인 성능까지 규제

• FCC 규정에 해당되는 대상 품목으로는 무선전화, 해상 구명장비 및 산업 /과학/의료용 고주파 장비,

송신기류, 저출력송신기, 수신기류, PC 및 주변기기, 방송수신기류, 전화선에 연결되는 장치(전화기,

팩스, 모뎀류) 등이 대표적

• 일반적인 디지털 도어록 제품은 제품인증 없이도 통관 가능하지만, 컴퓨터와 연결하여 출입 시에


카드를 사용하는 제품은 FCC 인증

▶ FCC 인증은 ‘인증’과 ‘검사확인’ 등 두 가지 유형으로 구분되며 유형에 따라 요구 규정의 차이가 있음에

유의

• 첫째, 인증(Certification)은 제조자가 공인된 시험 장소에서 제품에 대한 검사를 받은 후 시험 보고서를

회로도, 블록다이어그램, 설명서 등과 함께 FCC에 송부하여 승인받는 제도

• 둘째, 검사확인(Verification)은 제조 및 수입업체가 공인시험소에서 검사를 통해 해당제품이 FCC

기준을 충족함을 확인하는 제도로서 시험보고서는 제조 및 수입업체가 자체 보관하도록 규정

▶ FCC 인증 절차는 다음과 같은 방식으로 진행

• 시험을 위한 적용 규격은 Communication Act(연방 통신법)와 47 CFR(The Code of Federal

Regulations: 연방법규집)이며, FCC 인증이 필요한 관련규정은 CFR(Code of Federal Register) Title

47 (Telecommunications)에 설명

• 제품 검사는 FCC에서 공인된 시험소에서 실시되며, 불합격인 경우 FCC 신청이 불가

• FCC는 효율적인 인증관리를 위해 제품별로 FCC ID를 부착하도록 하고 있는데 동 ID 발급을 위해

Grantee Code 발급이 필요하며 인터넷을 통해 신청 가능

• 제품시험이 완료되고 FCC ID가 구성되면 인증신청 관련서류 등을 구비하여 FCC에 인증 신청 →

FCC는 인증신청서류 검토 후 이상이 없으면 신청일로부터 4~6주 이후 인증서 발급

q UL(Underwriters Laboratory) 인증

▶ UL은 미국의 대표적인 비영리 안전시험기관으로서 UL이 제정한 UL규격은 미 연방정부의 강제 승인이

아닌 비강제 규격으로서 안전규격으로 사용하고 있으나 일부 주에서는 강제 규격으로 도입

• 시험 대상 품목은 가전기기 등 총 295개 품목이며, 제품을 시험한 후 해당 안전요구사항에 적합하다고

판정되면 UL은 제조자에게 UL마크 사용을 승인

• 사후관리 서비스 프로그램에 따라 주기적으로 공장검사를 통해 제품의 요구사항을 점검

▶ UL 인증의 효과 및 장점은 다음과 같이 요약

• UL은 오랜 기간 동안 축적된 경험을 통해 미국에서 안전시험 및 제품검정 증명 기관으로서의 확고한

위치를 차지


• 미국 내에서 UL의 신뢰성은 높이 평가되고 있으며, 소비자들의 선호도가 높기 때문에 생산업자,

판매상, 수입업자 대부분이 요구하고 있으므로 실제로 미국에 수출하기 위해서는 반드시 필요한

강제규격과 비슷한 효과를 발휘

• 미국 내 대형 소매업자 등은 UL 인증이 붙은 제품을 선호하고 있으며, 보험회사의 검사기관은

손해보험 위험도 평가에 있어서 UL마크의 유무를 확인

q CC(Common Criteria) 인증

▶ 이미 한 국가에서 평가받은 제품을 다른 평가기준을 사용하는 국가에 판매하기 위해서는 그 국가가

적용하는 평가기준을 활용하여 재평가 받아야만 수출을 할 수 있어, 이러한 번거로움을 해결하기 위해

미국을 비롯한 주요 국가들은 국제공통평가기준 CC에 합의

• 미국, 유럽 4개국(영국, 프랑스, 독일, 네덜란드), 캐나다는 각각 TCSEC(Trusted Computer Security

Evaluation Center)(미국 1985년 제정), ITSEC(Information Technology Security Evaluation

Criteria)(유럽 1992년 제정), CTCPEC(Canadian Trusted Computer Product Evaluation

Criteria)(캐나다 1993년 제정) 등 자국의 평가기준을 사용하여 정보보안 제품을 평가해 왔음

• 평가 결과를 상호 인정하는 것을 목표로 단일화된 공통평가기준인 CC를 제정하여 적용하게 되면

평가과정 및 시간 절약, 평가비용의 절감에 따른 제품가격의 인하, 신속한 평가에 따른 새로운

제품개발의 가속화 등을 실현

q 연방정부 위험 및 인증관리프로그램(FedRAMP)

▶ 클라우드 업체가 클라우드 내 데이터에 충분한 보안 조처를 했는지 인증하는 제도로서 클라우드의

도입과 이용을 확산시키는 목적과도 연관

• 미 연방정부에 도입되는 클라우드 제품 및 서비스에 대한 보안성 평가․인증 및 지속적인

모니터링을 위해 도입

• 미 조달청(GSA)은 2012년 6월 공공분야 클라우드 보안인증 프로그램 FedRAMP (Federal Risk

Authorization and Management Program)의 운영 및 게시 계획을 발표

• 클라우드에 특화된 보안 평가기준을 제시하여 신뢰성을 높이고 전문 평가 대행 기관(Third Party

Assessment Organization, 3PAO)을 선정하여 일관성 있는 보안 평가․인증을 수행

• FedRAMP는 전문 평가 대행기관으로 연방정부 1곳과 민간 기업 8곳을 선정하고, 프로그램 운영을

시작


▶ 각 정부기관 및 민간분야와 학계가 협력해 개발한 FedRAMP서비스는 기존의 보안인증 절차 간소화를

통해 인증 소요시간을 단축

• FedRAMP는 프로그램 운영을 맡고 있는 조달청과 NIST, CIO 위원회, 국방부, 국토안보부 및 관련

부처들 간에 2년 이상의 긴 협의 기간을 거치며 전체적 합의 도출에 성공

• 정부기관별로 수행하던 IT 시스템에 대한 보안성 평가를 클라우드에 한해 FedRAMP로 통합하여 비용,

시간 및 인력 절감을 기대

q USGCB(U.S. Government Configuration Baseline) 보안인증제도

▶ 연방기관에서 사용되는 모든 PC들이 안전한 보안 수준을 유지하도록 하기 위해 다양한 IT보안

침해행위로부터 연방기관내의 PC와 노트북 등을 보호하려는 PC보안 인증제도

• 사용자 접근권한 제한 등, PC의 설정항목을 표준으로 지정하여 보안수준을 향상 시키고 PC 공급에서

설정한 수준보다 엄격한 수준의 설정항목을 표준으로 사용하여, 위협과 취약점으로 인한 위험을 경감

• 접근권한 제한 등으로 인해 PC의 불필요한 동작이 감소하여 시스템 자원이 낭비되는 것을 방지하고

PC에 저장되어 있는 정보의 보안수준에 대해 구성원 모두가 신뢰하도록 함으로써 정부정보의

기밀성·무결성·가용성 확보에 대한 공감대 형성

• USGCB제도는 SCAP(The Security Content Automation)제도, FISMA(Federal Information Security

Management) 제도 등 여러 IT보안 인증제도와 연계하여 미국 연방기관내의 IT기반시설 영역을

체계적이고 통합적으로 관리 및 감독

q 기타 부처 및 기관별 인증

▶ 미 국토부의 SAFETY 인증은 2002년 입법된 Homeland Security Act와 후속 법에 근거한 인증제도

• 테러 기반의 기술 판매를 억제하고 테러로부터 생명을 구할 수 있는 테러 방지 기술 개발 및 배포

제공처 혹은 기업을 인증

• 인증 신청 절차는 ①Applicant Account 생성→②Application 제출→③SAFETY Act가 요구한 정보

제출→④보험 인증→⑤패스워드 변경 후 완료의 순서로 진행

▶ 국가안전보장국(NSA)은 NIAP(National Information Assurance Partnership) 인증 제도를 통해 미

정부기관에 납품하는 정보보호제품관련 보안 규격 및 인증 테스트를 진행


• 기존의 보안성 평가는 정부기관의 사용 목적을 중심으로 진행되어 왔으나, 기술의 발전과 민간 분야에

사용되는 정보시스템에 대한 보증의 중요성을 반영

• 인증 신청 절차는 ①적용 보안 문제에 대한 서술→②보안 제품에 대한 설명→③인증 필요조건

교부→④인증 완료의 순서로 진행

4. 최근 정책 동향 및 이슈

▶ 미국 연방거래위원회(Federal Trade Commission, FTC)는 중소기업이 사이버보안을 강화하여 중요한

데이터를 보호할 수 있도록 국가 교육 캠페인을 시작함 (2018.4)

• 미국 내 중소기업은 약 3천만 개가 존재하고, 이들은 미국 경제를 이끄는 중요한 요소임에도 불구하고

사이버 공격을 받아서 기술유출과 같은 피해가 발생하고 있으며, 피해는 증가 추세임

• FTC는 중소기업에서 필요로 하는 사이버보안에 대한 정보를 제공하고 있으며, 교육 자료를 개발하여

배포 할 예정임

▶ 미국 상원 의원들이 미국 정부기관3에 납품되는 IoT기기의 보안 취약점을 관리하기 위한 가이드라인을

수립하도록 하고, 보안 연구자에게 IoT 보안 취약점을 조사하고 공표할 수 있는 권한을 부여하는 내용의

법안 발의(2017.8)

• 2020년까지 IoT 기기가 200억 개를 넘어설 것으로 예상되며 IoT 기기를 이용한 DDoS 공 등의

보안위협이 증가하고 있어, 연방정부에 납품되는 IoT 기기에 최소한의 보안 가이드라인을 수립할

필요가 있다는 것이 법안 발의의 취지

• 법안은 연방 정부기관에 납품하는 IoT기기에 알려진 보안 취약점이 없어야 하며, 변경 불가능한 초기

비밀번호를 설정해서는 안 된다고 규정

• 법안 발표 후 180일 이내에 예산관리국장은 각 행정기관이 IoT기기를 납품할 도급업체와 계약을

체결할 때 포함해야 할 요구조항을 담은 가이드라인을 발표해야 함

▶ 미국 오리건주에서 주 행정기관들의 사이버보안 업무를 최고정보관리책임자(CIO)로 이전하고

사이버보안 강화를 위한 자문위원회 및 전문가 조직을 설치하는 내용을 골자로 한 《SB 90》법안이

발효됨(2017.7)

3 executive agency. 중앙 행정부처와 육해공군, 독립관청, 정부공사 등을 포함


• 새 법안은 사이버보안과 관련된 CIO의 권한을 강화하여 각 행정기관에서 사이버보안 관련 인력을

CIO 산하로 이전하고, 각 행정기관이 사이버보안 분야에서 CIO에 협력할 것을 강제함

• 주의 모든 행정기관은 리스크 기반의 IT 보안 평가와 개선 프로그램 시행을 위해 CIO에 협력하고,

행정기관의 IT 보안업무 통합과 관련해 CIO가 채택한 계획과 규정, 정책, 표준을 준수해야 함

▶ 미국 하원의 양당 의원들이 화이트해커를 활용해 국토안보부(DHS) 시스템의 보안 취약점을 찾아내기

위한 버그 바운티4 프로그램을 도입하는 《사이버보안 강화 법안》(Hack the DHS Act)을 발의(2017.6)

• 동 프로그램은 보안 취약점의 발견에 미국 최고의 보안 전문가들의 도움을 받기위한 방안으로 법안

발효일로부터 180일 이내에 국토안보부 장관은 국토안보부 정보시스템의 보안 취약점을 최소화하기

위한 버그 바운티 프로그램을 수립해야 함

▶ 미국 메릴랜드주에서 랜섬웨어(Ransomware) 범죄에 대한 민사상 손해배상과 강화된 형사처벌을

가능하게 하는 법안5이 의회에 제출됨(2017.2)

• 2016년 3월 메릴랜드주 워싱턴 카운티에 위치한 메드스타 헬스(MedStar Health) 종합병원이

랜섬웨어의 공격을 받아 일주일간 컴퓨터 운영 시스템을 폐쇄하는 사건이 발생하는 등 최근

랜섬웨어로 인한 피해가 급증하는 추세

• 현행 메릴랜드 주법 하에서 랜섬웨어 관련 범죄는 공갈죄(extortion)에 해당되어 피해액이 1,000달러

미만일 경우 경범죄로 처벌되어 왔으나 법안이 통과될 경우 랜섬웨어 관련 범죄를 따로 처벌하는

규정이 신설되어 피해액이 1,000달러 미만이라도 중범죄로 기소될 수 있음

▶ 미국 연방통신위원회(FCC)는 ‘광대역통신망 개인정보보호 규정’ 마련에 대하여 ‘보고 및 명령(Report

and Order)’을 발표(2016.11)

• 동 규정은 광대역통신망 인터넷접속 서비스 제공자 및 그 밖의 전기통신사업자를 대상으로

개인정보보호 관련 각종 의무를 정하고 있음

• 보호대상은 전기통신사업자가 수집한 고객통신망정보(Customer Proprietary Network Information,

CPNI), 개인식별정보, 통신 내용 등임

4 기업이나 기관의 서비스 및 제품을 해킹해 취약점을 찾은 해커에게 보상금을 주는 제도 5 House Bill 340. Criminal Law - Extortion –Unauthorized Software


▶ 美국방부(Department of Defense)는 국방부와 계약을 체결하고 있는 계약 당사자 및 하도급업자들에게

사이버 침해사고(cyber incidents)가 발생한 경우 이를 의무적으로 국방부에 보고하도록 하는 국방부

방위산업기지 사이버보안 행위(Defense Industrial Base Cybersecurity Activities)에 관한 규칙의

개정안을 발표함(2016.10)

• 동 규칙은 국방부와 국방부의 계약상대방 간 공유되는 정보에 보호가 필요한 극도로 민감한 정보가

포함되어 있다는 점에 대한 인식을 바탕으로, 사이버 침해사고에 대한 정보를 공유함으로써 국가의

방위산업기지를 목표로 하는 악의적인 행위를 이해하고 올바르게 대처하고자 하는 움직임으로 보임

• 동 규칙은 국방부와 방위산업기지 관련 기업 간 체결된 계약의 당사자에게 적용됨

나. 일본


· 2016년 일본과 한국의 사이버보안 지수는 동률 5위를 유지했으나, 2017년 평가에서는 다소 순위가

하락하여 2단계 위인 11위를 기록

(● 상, ● 중, ● 하)

국가명

2017 GCI 지수 및 순위

5대 하위 항목 평가종합


일본 0.786 11 ● ● ● ● ● ●

대한민국 0.782 13 ● ● ● ● ● ●


· 일본의 전반적인 ICT 발전 수준은 전 세계 약 10% 이내의 상위권을 유지하고 있음

지표명일본 한국


ITU ICT 발전지수(IDI 2017) 8.43 10 8.85 2

접근(Access) 부문 8.80 9 8.85 7

활용(Use) 부문 8.15 11 8.71 4

기술(Skills) 부문 8.22 30 9.15 2


UN 전자정부 지수(2018) 0..878 10 0.901 3


· 일본의 유이동통신(ICT) 이용 및 보급률은 세계 최고 수준으로 우리나라와 비슷

항목일본 한국


유선전화 63,941 50.1 26,842 52.6

유선브로드밴드 40,390 31.6 21,195 41.5

이동통신 170,128 133.4 63,658 124.8

인터넷 이용률 90.87% 95.1%

‘17년 GDP(십억달러) 4,872

'17년 인구수(천명) 126,785

1. 선진 시장 - 일본


1. 보안 환경

▶ 방범·방재·긴급 대응 분야의 보안 대책 수요가 확대하고 다양화 되고 있는 가운데, 보안 기기/시스템

서비스의 방식에도 변화가 발생 중

• 최근에는 동영상 해석 기술이나 인공지능(AI), 클라우드와 같은 혁신적 기술을 보안에 응용하여

고도의 보안 시스템이 구축

• 단순한 보안 기능 이외에 사회 인프라 솔루션이나 기업의 백오피스 업무 시스템과의 융합 등 새로운

시스템 서비스 개발이 진행되며 새로운 시장이 탄생

• 또한 이러한 최신 기술의 도입을 위해 업종 간 제휴가 가속화되고 있어 업계 판도의 변화도 함께

발생

▶ 물리보안 시장 환경은 2020년 도쿄 올림픽을 앞두고 감시 카메라, 영상 종합 관리 소프트웨어, 드론

등 각종 보안 장비에 대한 수요 환경이 개선되고 있는 중

• 자국 내 구입 상품 및 서비스에 부과하는 소비세가 당초 인상될 예정이었으나, 2016년 5월 아베

총리는 소비세 인상 계획을 2년 6개월 연기함에 따라 업계에서는 수요 환경을 촉진시킬 것으로

기대를 걸고 있음

▶ 잦은 지진을 비롯한 자연재해에 자주 노출되는 일본 정보보안 시장에서는 데이터 백업을 위한 클라우드

컴퓨팅에 대한 수요가 지속적으로 상승 중

• 일본은 2009년부터 클라우드 컴퓨팅 산업 육성 정책을 실시해오고 있는 가운데, 2017년 말 시점

클라우드 보안 산업 시장 규모는 99억 엔을 형성한 것으로 추산(IDC Japan, 2017.9)되며 지속적으로

높은 성장률을 유지

▶ 2015년 6월 일본연금기구 해킹으로 125만 명의 정보가 유출된 사건을 계기로 개인식별번호인

마이넘버의 도입이 이뤄지는 등, 일본 산업 전반에 걸쳐 정보보안 취약성에 대한 위기 의식 환기가 점차

확산되고 있는 중

• 2018년 들어 사이버보안법 개정안 확정 및 사이버보안전략 업데이트 등을 통해 사이버

보안전략본부의 기능 확대와 국가 정보보호 역량 결집을 위한 체계를 강화



▶ 유선통신(고정형 브로드밴드)

• 일본의 고정형 브로드밴드 가입 회선 수는 매년 미미한 증가세를 보이며 포화 상태에 근접 중

• ITU에 따르면, 2017년 말 일본 브로드밴드 인터넷 가입 회선 수는 4,039만 640회선으로 전년 대비

1.5% 증가

• 일본은 지진, 태풍 등 자연재해가 잦은 지리적･환경적 요인으로 인해 유선 대비 이동통신에 대한

기술 의존도가 높으며, 향후 이동통신 중심으로 투자가 확대될 것으로 예상

▶ 이동통신

• ITU에 따르면 일본의 이동통신 보급률은 2011년에 100%를 돌파했으며, 2017년 일본의 이동통신

가입자 수는 1억 7,012만 8,499명으로 보급률이 133.5%

• 높은 이동통신 보급률에도 가입자 수는 복수 단말 이용자 확대로 인해 매년 증가하고 있는 가운데,

2017년은 전년 대비 2.0%의 가입자 증가를 기록

• 일본 이동통신 시장 역시 국내와 마찬가지로 3G에서 4G LTE로의 이행이 신속히 이뤄졌으며,

네트워크와 디바이스의 고도화에 따른 사물인터넷(IoT), 클라우드, 스마트 시티 등 ICT 융합 분야의

성장 토대가 견고하게 구축되고 있는 중

그림 _일본 인터넷 및 통신 환경: 2015-2017

(단위: 명)

[출처] ITU(2018.7)



1. 시장 규모

시장 개요

▶ 일본 물리보안 시장에서는 2020년 도쿄 올림픽 개최와 고령자 서비스 다양화 등이 중요한 시장 견인차

역할을 수행

• 2013년 3월 후쿠시마 원전 사고 이후, 일본에서는 방사능 대응 제품과 감지 장비 등에 대한 수요

역시 두드러지게 성장했음

• 시장조사기관 후지케이자이(富士経済)의 조사6에 따르면, 보다 최근에는 도쿄 올림픽 개최에 따른

안전 니즈 충족을 위한 감시 카메라, 드론 등을 활용한 경비용 로봇에 대한 수요가 늘어나고 있는

것으로 분석

• 또한, 동영상 해석 기술에 의한 마케팅이나 방재·사고 방지 등의 도입 목적의 확대 등이 향후 일본

물리 보안 시장을 견인하게 될 주요인으로 지목

▶ 일본의 정보보안 시장은 동일본 대지진 이후 다소 성장이 주춤했으나, 2011년을 기점으로 시장이

회복됐으며, 2014년에 이어 대규모 정보유출사건의 발생, 소프트웨어의 취약성이 연달아 이슈가 되며

지속적으로 수요가 늘어나고 있는 중

• 특히 세계 최고 수준의 이동통신 기반시설을 토대로 한 스마트폰 및 태블릿 PC의 보급 확대는 모바일

정보보안 시장 성장의 기폭제 역할을 하고 있음

• 이는 모바일 앱을 통한 악성코드 유입을 동반 상승시키며, 관련 보안 수요도 늘어나고 있는 상황

• 스마트시티, 자율주행차량 등의 융합형 신기술 보급이 확산되며 IoT 시스템 보안 수요와 관련 기술

개발에 대한 정부 투자 역시 꾸준히 늘어나는 추세

시장 규모 및 성장률

▶ 시장조사기관 후지케이자이(富士経済)에 따르면, 2017년 일본의 물리보안 시장 규모는 2016년 대비

4.0%% 성장한 4,892억 엔으로, 이 중 가정용 기기/서비스가 50% 이상을 점하며 시장을 견인

6 セキュリティ関連の国内市場を調査, 富士経済, 2015.11


그림 _ 일본 물리보안 시장 규모

(단위: 억 엔)

[출처] 富士経済(2017.11)

▶ 정보보안 시장은 경제 환경의 호전, 사이버 보안 위협의 증대, 이에 대한 사회적 인지 확산 등의 요인들에

힘입어 지속적으로 견조한 수요 성장세를 보이고 있는 중

▶ 일본네트워크보안협회(JNSA)가 일본 내 정보보안 제품과 서비스를 제공하는 사업자를 대상으로 한

조사7에 따르면, 2017년 일본의 정보보안 시장규모는 전년대비 5.1% 성장하여 9,965억 엔으로 추산

• JNSA에 따르면 2017년 정보보안 시장은 정보보안 제품 시장이 5,306억 엔, 정보보안 서비스 시장이

4,659억 엔을 기록하며 전년 대비 각각 3.0%, 7.0%의 성장하여 전체 정보보안 시장은 5.1%가 성장한

것으로 나타남

• 2018년부터 일본 정보보안 시장은 1조 엔대의 규모를 형성하기 시작할 것으로 전망

▶ 한편, 일본 물리보안 시장규모는 지역적으로 볼 때, 도쿄, 오사카, 나고야 순이며, 일반적으로 오사카가

도쿄의 1/2, 나고야가 오사카의 1/2 규모로 추산

• 도카이(東海) 지방의 경우 일반 사무실보다는 제조 공장과 항구 창구 등을 중심으로 한 물리보안 장비

수요가 높으며, 내부보다 경계 경비를 위한 감시카메라와 게이트 설치 수요가 주요 특성으로 꼽힘

7 2017年度情報セキュリティ市場調査報告書, 2018.5


그림 _ 일본 정보보안 시장 규모 추이

(단위 억 엔)

[출처] 일본네트워크보안협회(JNSA)(2018.5)

• 정보보안 제품 시장은 통합형 어플라이언스, 네트워크 위협 대응 제품, 콘텐츠 보안 대응 제품, ID

액세스 관리 제품, 시스템 보안 관리 제품, 암호화 제품 등으로 구성

• 정보보안 서비스 시장은 정보 보안 컨설팅, 보안 시스템 구축 서비스, 보안 운용 관리 서비스, 정보

보안 교육, 정보 보안 보험 등으로 구성

▶ 2017년 정보보안 제품 시장에서는 콘텐츠 보안 대응 제품이 전체 시장의 40%(2,125억 엔)를 차지하며

가장 큰 비중을 차지

• 이어서 ID 액세스 관리 제품(18%), 시스템보안 관리 제품(16%) 등이 높은 비중을 차지한 것으로 추산


그림 _ 2017년 일본 정보보안 제품 시장 구성 추산치

(단위 억 엔)


▶ 2017년 정보보안 서비스 시장에서는 보안 운용 관리 서비스가 전체 시장의 44%(2,029억 엔)를 차지하며

가장 큰 비중을 차지

• 보안시스템 구축 서비스(28%), 보안 컨설팅(17%) 등이 그 뒤를 이은 것으로 추정

그림 _ 2017년 일본 정보보안 서비스 시장 구성 추산치

(단위 억 엔)



시장 전망

▶ 시장조사기관 후지케이자이(富士経済)에 따르면, 2020년 일본 물리보안 시장은 5,577억 엔으로 2016년

대비 18.1%가 늘어난 규모를 형성할 것으로 전망

• 가정용 기기/서비스는 가정용 보안 서비스가 안정적인 수요 기반을 형성하고 있는 가운데, 고령화,

고령자의 독신 생활의 증가, 개호 인력 부족의 영향으로 인해 고령자용 서비스 전망도 밝을 것으로

예상

• 감시 카메라 시스템은 2016년부터 2017년까지 폐쇄 회로(IP카메라) 수요가 꾸준히 늘고 있으며, 도쿄

올림픽 수요 피크 시점인 2019년에는 900억 엔을 돌파할 것으로 전망

• 액세스 제어는 향후 성장 폭이 클 것으로 예상되는 가운데, 2020년은 2016년 대비 25.6% 늘어난

594억 엔으로 관측

그림 _ 일본 물리보안 시장 주요 분야 별 규모 전망

[출처] 富士経済(2017.11)

▶ JNSA에 따르면 2018년 정보보안 시장은 전년 대비 4.9% 성장한 1조 404억 엔의 규모에 이르며, 1조대를

돌파할 전망

• 정보보안 제품 시장이 5,563억 엔, 정보보안 서비스 시장이 4,892억 엔을 기록하며 전년 대비 각각

4.8%, 5.0%의 성장률을 기록

• 2018년 정보보안 제품 시장에서는 콘텐츠 보안 대응 제품이 전체 시장의 41%(2,331억 엔)를 차지하며

가장 큰 비중을 차지하며, 이어서 ID 액세스 관리 제품(17%), 시스템보안 관리 제품(16%) 등이 높은


비중을 차지할 것으로 예상

그림 _ 2018년 일본 정보보안 제품 시장 구성 전망치

(단위 억 엔)


• 2018년 정보보안 서비스 시장에서는 보안 운용 관리 서비스가 전체 시장의 44%(2,130억 엔)를

차지하며 가장 큰 비중을 차지하며, 보안 시스템 구축 서비스(28%), 보안 컨설팅(17%) 등이 뒤를 이을

것으로 예상

그림 _ 2018년 일본 정보보안 서비스 시장 구성 추산치

(단위 억 엔)



그림 _ 일본 정보보안 시장 규모 전망

(단위: 억 엔)


2. 분야별 현황

m 물리보안 제품 및 서비스

▶ 가정용 보안 서비스 분야

• 단독 주택이나 아파트 등 다양한 주거 형태에 걸쳐 전반적으로 수요는 꾸준히 증가 추세로, 사회

안전망의 강화로 인해 도둑이나 침입 건수는 크게 감소하고 있으나, 가정용 보안에 대한 잠재 수요는

여전히 높아 시장은 꾸준한 확대가 예상

• 2016년~2017년은 경비 회사 계열 인프라계 서비스가 늘어났으며, 특히 고령자나 1인 가구를 겨냥한

서비스가 확대되는 경향을 보이고 있어, 고령자, 1인 가구용 서비스에 대한 시장 요구가 커질 전망

• IoT 기능을 갖춘 주택의 관련 솔루션에 대한 잠재 수요가 있으나, 사용자의 편의성과 간편한 조작성

등이 주요 시장 과제

▶ 감시 카메라 분야

• 2020년 도쿄 올림픽 관련 일부 경기시설이나 개최지의 회담이 지연되고 수도권 재개발 및 도로 등

주변 정비에 관련한 수요가 정체되고 있는 가운데 IP 카메라가 판매 수량 면에서는 늘어나고 있으나


성장률은 다소 둔화되었으나, 2018년 이후에 관련 수요의 증가가 기대

• 용도별로는 현재 공장을 대상으로 작업 효율화, 안전 대책, 라인 감시 등 수요가 높아지고 있으며,

편의점용 등 중소기업을 중심으로 한 유통 소매 분야, 거리 감시와 병원·복지 시설용 등의 감시 카메라

수요가 호조를 보이고 있음

• 한편, 2018년 이후에는 도쿄 올림픽에 따른 시설·대회장 등을 위한 대폭적인 수요 증가가 기대

• 대형 감시 카메라 벤더들의 경우 동영상 해석 기술을 활용한 솔루션 서비스의 개발에 주력 중으로,

이상 발생 시 알람, 위험한 상황이나 사물의 검지, 매장이나 공장 내 사람의 행동 분석, 동선 분석

등에 해당 기술을 적용

• 또한 최근에는 AI 기술을 동영상 해석 기술에 접목함으로써 자체 학습 기능을 통해 판단의 정확도를

향상시킬 수도 있음

• AI 기반의 감시 카메라 분석 기술은 아직은 고가의 장비 특성으로 인해 시장이 제한적이나, 향후 특정

시장에 겨냥한 특화된 시장을 중심으로 시장 저변을 점차 확대할 것으로 전망

▶ 아날로그 카메라 분야

• IP 카메라의 보급이 확산되고 있는 가운데, 아파트, 학교나 청사 등 공공시설, 중소 규모의 매장

등에서는 비용 절감을 위해 기존의 동축 케이블을 이용한 아날로그 카메라에 대한 수요도 지속적으로

발생

• 최근 시장 진입이 이어지고 있는 HD-TVI(High Definition Serial Digital Interface)나 AHD(Analog High

Definition) 규격 등의 동축 HD 카메라의 수요 증가로 시장 하락세는 다소 둔화되고 있는 추세

• 그러나 동축 케이블의 수명 등의 단점을 고려할 때 최근의 동축 HD 카메라의 수요 증가는 일시적인

것으로 관측

• 한편, 아파트 임대 연립 주택용 등 저사양 용도의 수요가 꾸준하기 때문에 앞으로도 특정 분야에서는

보급 확대가 예상

▶ 액세스 제어 분야

• 액세스 제어 분야는 입·퇴실 관리 시스템의 경우 교체 및 증설 수요를 중심으로 수요가 늘고 있으며

도쿄 올림픽까지 가파르게 성장할 것으로 예상

• PC접속 관리 용도로는, 지자체를 중심으로 시작된 이요인 인증 확산에 따라 생체인식 솔루션에 대한

기업 수요가 늘어날 것으로 전망

▶ 이벤트 감시/신고 분야

• 이벤트 감시/신고 관련 기기는 경비용 로봇/드론 관련 서비스를 주목할 수 있으며, 시장 규모 자체는

크지 않으나 동영상 해석과 AI 등의 기술 도입이 본격화될 것으로 예상


• 한편, 침입 센서는 경비 회사에서 대다수의 물량을 소화하고 있으며, 기계식 보안 시스템용 수요가

안정적인 추세로 성장 중

▶ 재난 방재 관련 기기/서비스 분야

• 재해 방재 관련 기기/서비스는 2016년부터 2017년 신축 건물용 수요는 둔화 양상을 보이고 있으나,

화재용 경보기 등 건축 거품 시기에 건설된 대형 시설의 교체 수요가 늘고 있음

• 특히, 2018년~2019년은 올림픽 개최에 따른 건축 시장 활성화와 관련 수요 증가가 기대

• 이외 긴급 지진 속보 대응 단말과 이재민 안부 확인 서비스는 아파트 시장을 중심으로 도입이 확산될

것으로 예상

정보보안 제품

▶ 콘텐츠 보안 대응 제품

• 정보보안 제품군에서 가장 큰 비중을 차지하는 콘텐츠 보안 대응 제품은 2016년 실적치 기준으로

1,892억 엔을 기록하며 2015년 1,767억 엔 대비 7.1% 증가

• 콘텐츠 보안 대응 제품군 중에서는 엔터프라이즈용 바이러스/부정 프로그램 대책 소프트웨어가

810억 엔으로 가장 큰 비중을 차지했으며, 이어서 개인용 바이러스/부정프로그램 대책 소프트웨어와

메일 필터링 소프트웨어가 각각 321억 엔과 237억 엔으로 뒤를 이음

• 콘텐츠 보안 대응 제품 시장은 스마트 기기 확산에 따른 개인시장의 감소를 엔터프라이즈 수요가

메워가는 양상

▶ 네트워크 위협 대응 제품 및 통합형 어플라이언스

• 네트워크 위협 대응 제품 및 통합형 어플라이언스는 2016년 실적치 기준 766억 엔으로 2015년 644억

엔 대비 18.9% 성장

• 이 제품군 중에서는 방화벽 어플라이언스/소프트웨어가 전체의 32%인 246억 엔으로 가장 큰 비중을

차지하며, 이어서 IDS/IPS 어플라이언스/소프트웨어와 VPN 어플라이언스/소프트웨어가 각각 148억

엔, 143억 엔으로 각각 19%대의 시장을 형성

• 매년 가장 두드러진 성장세를 보이고 있는 분야로는 웹애플리케이션 방화벽으로 2016년 실적치 기준

121억 엔으로 전체 시장의 16%를 차지

▶ ID 액세스 관리 제품

• ID 액세스 관리 제품은 2016년 실적치 기준 922억 엔으로 2015년 843억 엔 대비 9.4% 성장

• 대기업에서의 관련 제품 수요는 일단락 된 가운데, 마이넘버 도입에 따른 중소 엔터프라이즈 시장


성장이 전망

• 향후 클라우드 컴퓨팅 서비스의 확산에 따라 프라이빗 클라우드 서비스 액세스를 일원화하기 위한

클라우드 액세스 보안(CAS)을 실현하기 위한 제품으로 ID 액세스 관리 제품군의 수요가 늘어날 전망

▶ 시스템 보안 관리 제품

• 시스템 보안 관리 제품은 2016년 실적치 기준 787억 엔으로 2015년 702억 엔 대비 12.1% 성장

• 하위 제품군 중에서는 기준 정책 관리/설정관리/동작감시 제어제품이 314억 엔으로 전체 시장의

40%를 차지했으며, 이어서 기타 시스템 보안 관리 제품이 215억 엔, 보안정보 관리 시스템이 157억

엔으로 각각 28%와 20%를 차지

• 단말의 정책과 동작을 감시/관리하는 정책관리/설정관리/동작감시제어제품은 모바일 기기 보안

대응을 위해 관련 수요가 확산

• 최근 표적형 공격 대책의 일환으로 내부 네트워크 트래픽의 이상을 상시 감시하기 위한 필요성이

증대하며 보안정보관리 시스템에 대한 수요가 늘어나고 있는 중

정보보안 서비스

▶ 보안시스템 구축 서비스

• 보안시스템 구축 서비스는 2016년 실적치 기준 1,273억 엔으로 2015년 1,323억 엔 대비 마이너스

성장을 기록

• 이는 그동안 보안시스템 구축 중심의 시장이 운영 관리 중심으로 전환되고 있는 추세를 반영

• 그러나 2017, 2018년에는 정보보안 서비스 시장 자체의 규모 성장에 따라 보안시스템 구축 서비스

역시 회복세를 보일 것으로 관측

▶ 보안 운용 및 관리 서비스

• 보안 운용 및 관리 서비스는 2016년 실적치 기준 1,970억 엔으로 2015년 1,742억 대비

• 동 서비스는 하위 서비스로 보안종합감시/운용지원 서비스가 468억 엔으로 이 시장의 24%를

차지하고 있으며, 이어서 취약성검사 서비스와 IDS/IPS 감시/운용지원서비스가 각각 274억 엔(14%),

240억 엔(12%)을 차지

• 최근에는 정보보안 컨설팅 및 보안시스템 구축으로부터 관리형 서비스로 수요 전환이 이뤄지며 운용

관리에 자금을 투입하는 기업이 늘어나고 있는 추세

▶ 정보보안컨설팅

• 매출 면에서 세 번째 규모인 정보보안컨설팅은 경영 관리 관점에서 전문가 지원을 활용하는 요소가


강하여, 경영 카운슬링의 개념과 유사하기 때문에 회계감사법인계, SI계, 독립계 등 다양한 사업자가

서비스를 제공 중

• 전통적으로 일본 정보보안컨설팅 수요의 확대는 ▲2005년 4월부터 전면 시행된 개인정보보호법

▲2008년 4월 회계연도부터 적용된 내부통제보고제도(J-Sox) ▲2004년 10월 니가타 현

주에쓰(新潟県中越)에서 발생한 대지진 및 신형 인플루엔자를 계기로 한 사업지속 계획(BCP) 등에

대한 관심에서 기인

• 이는 리스크 관리 계열의 컴플라이언스 전문가에 의한 컨설팅의 비즈니스 수요를 확대시켰으며,

프라이버시 마크(P마크)와 정보보호관리체계(ISMS) 인증에 대한 고객들의 니즈가 강화

• 그러나 과거 수년 간 업계 내 다양한 보안 대책 마련이 완비되고 시스템 구축도 일단락 됨에 따라,

정보보안컨설팅 수요는 감소 추세

• 2016년 실적치 기준으로 정보보안컨설팅 시장 규모는 787억 엔으로 2015년 806억 엔 대비 마이너스

성장

• 정보보안컨설팅 분야에서는 정보보안정책구축 지원/관리 전반 컨설팅이 2016년 기준 475억 엔으로

전체 시장의 60%로 가장 큰 비중을 차지

• 이어서 정보보안 진단/감사 서비스와 정보보안 관련 규격 인증 취득 지원 서비스가 각각 154억

엔(20%)과 89억 엔(11%)를 차지



▶ 물리보안 장비의 IP 기반화는 일본 시장의 주요 특성으로 자리매김 중

• 일본의 앞선 디지털 환경은 물리보안 시스템 및 장비 분야에서도 IP화를 급속히 진전시킬 것으로

예상됨에 따라, 디지털 기술력을 앞세운 보안 제품 및 시스템이 시장 내 경쟁을 이끄는 주요 화두가

되고 있음

• Fujitsu, Hitachi, Mitsubishi, NEC, Oki, Panasonic, Toshiba, Sony 등은 일본 물리보안 시장의 주요

업체로 활동 중

▶ IP 감시 카메라가 비중이 점차 커져가고 있는 상황에서도 아날로그 감시 카메라의 수요 역시 비용에

민감한 수요 계층을 중심으로 적정 시장 파이를 유지할 것으로 예상

• 특히 아파트, 공공 기관 등 단순한 모니터링 중심의 카메라 기능을 필요로 하는 시장에서는 기존

동축 케이블망을 이용한 아날로크 감시 카메라의 수요는 꾸준한 수요를 발생시킬 것으로 예상


• 한편, 하이엔드급 IP 감시 카메라 시장에서는 AI 기술과 동영상 분석 기술을 응용한 수요가 니치

시장을 형성하며 점차 확산될 조짐을 보이고 있음

▶ 시장조사기관 IDC에 따르면 총 120억 달러의 규모를 형성한 일본의 사이버보안 위협 분석 및 보호

제품의 경우 FireEye가 전체 시장의 52.6%를 차지

그림 _ 2016년 일본 사이버보안 위협 분석 및 보호 제품 시장 점유율 현황

[출처] IDC Japan(2017.8)

• 이어서 TrendMicro(21.3%), FFRI(6.8%), Symantec(4.7%)이 시장을 분할 점유 중

주요 사업자

q 물리보안

▶ Mitsubishi

• 일본의 대표적 물리보안 기업의 하나로, 입·퇴실관리, 감시카메라, 주변감시시스템, 전자차단 시스템을

포함한 토탈 보안 솔루션을 제공

• 물리보안 분야에서 확보한 다양한 제품 라인업과 기술력을 토대로 기술 간 융합을 통해 빌딩 및

에너지 관리 등 인접 사업 영역과의 시너지를 도모

• 특히 Mitsubishi는 사이버보안 기능과의 결합을 통해 통합 보안을 강화하기 위해 2018년 4월 원자력

발전소 등 주요기반시설의 제어시스템에 대한 공격 방어를 위한 통합형 보안 제어시스템 개발에 착수

▶ NEC


• 정보보안과 물리보안 공히 시장 경쟁력을 갖추고 있는 NEC는 컴퓨터 등 주요 장비에 대한 액세스

제어를 위해 안면인식 등의 바이오 인증 소프트웨어 기술(NeoFace Monitor)을 활용

• 해당 기술은 통합형 PC 보안 소프트웨어인 ‘InfoCage PC Security’와 패키지 형태로 시장에 판매

• 2017년 2월에는 IC카드 인증 인쇄가 가능한 모노크롬 레이저 리더인 MultiWrite 8300을 출시

• 2018년 3월에는 클라우드 기반 서비스인 NEC Cloud IaaS에 대해 미국국립표준기술연구소(NIST)의

보안 표준인 NIST SP800-171 대응을 완료한 바 있음

▶ Oki Wintech

• Oki Electric Industry(沖電気工業株式会社) 그룹 산하 전기 에너지 관련 설비 및 관련 보안 솔루션,

교통 방재시스템 등을 제공하는 기업으로, 기업 시장을 겨냥한 네트워크 및 서버 보안 솔루션도 개발

• 방재안전 설비 분야에서는 방재용 전원을 비롯, 무정전전원장치, 화재 시 각종 백업 전원에 이르기까지

다양한 니즈에 대비한 예비전원 시스템을 개발

• 보안 설비 분야에서는 네트워크 감시 카메라와 뇌전 설비 등을 제공

▶ Photosynth

• Photosynth는 2014년 스마트폰과 주택 도어록을 결합한 스마트 도어록 컨셉트를 개발하며 일본 내

해당 분야의 선도적 플레이어 역할 주도

• 동사의 대표적 제품인 Akerun은 기존의 자물쇠에 별다른 설치 작업 없이 특수 접착용 테이프를

부착해서 이용이 가능한 설치 상의 이점도 존재

• Akerun은 스마트폰 앱 조작을 통해 본인은 물론 특정인에게 특정 기간 동안 키 개방 폐쇄 권한

부여까지 가능

• 2018년 4월 미츠이부동산은 법인용 다거점 공유 사무실 서비스인 Work Styling 서비스에 Akerun의

입퇴실 관리 시스템을 채택하여 도쿄도 내 3개 사무실에서 적용

q 정보보안8

▶ Trend Micro

• 1989년 미국에서 설립된 이후 1992년 일본 소프트웨어 회사를 인수하며 도쿄로 본사를 옮긴 글로벌

보안 소프트웨어 개발사인 Trend Micro는 서버, 클라우드 컴퓨팅 및 기업용 보안 소프트웨어로 일본

8 일본 정보보안 분야에서 대기업이나 공공기관 및 교육기관을 대상으로 영업을 하기 위해서는 유지 보수 등을 위탁하고 있는 NEC, Fujitsu, Hitachi와 같은 대형 SI 및 엔드투엔드 솔루션 기업이나 NTT, KDDI 등의 메이저 통신사업자 및 관계사와의 협력이 효과적임. 또한 IT 및 정보보안 솔루션 진출은 대기업이나 중소기업에 네트워크, 데이터베이스, 시스템 등 IT분야별로 특화된 전문 SI업체를 통해 추진되기도 하는데, 이 경우에도 대형SI 업체나 지역SI 업체를 거치게 되므로 복잡한 유통단계가 형성


시장의 1위를 점하고 있는 기업

• 2016년 8월에는 랜섬웨어로부터 데이터 보호 기능을 강화한 토탈 보안 솔루션인 ‘VirusBuster’의

업그레이드 버전을 출시

• 2017년 8월 초에는 HITRUST와 협력하여 헬스케어 산업용 사이버 위협 관리 및 대응센터(HITRUST

Cyber Threat Management and Response Center)를 구축키로 함

• 동 센터에서는 의료 분야의 사이버 위협 정보를 공유하는 조직들을 중심으로 구축이 확대되고 있는

HITRUST Cyber Threat XChange(CTX) 기능을 강화

• 창립 30주년을 맞은 2018년 3월 말 Trend Micro는 법인, IoT 및 소비자 3개 시장을 대상으로 보안

감시 센터 관련 제품과 서비스를 새로운 주력 사업으로 추진할 것으로 발표한 바 있음

▶ Fujitsu

• 일본 정보보안 업계의 Top 3중 하나인 Fujitsu는 클라우드 보안과 바이오인증 등 차세대 보안 기술에

대한 투자에 적극적으로 나서고 있음

• 2016년 8월, Fujitsu는 온라인 회의 플랫폼인 ‘AZCloud SaaS Discussion’를 시즈오카(静岡)가스에 공급

• 동 솔루션은 클라우드 기반의 데이터 관리·보관 기능을 제공함으로써, 참석자 회의 자료 소실 가능성을

줄여 기업의 정보보안 리스크 해소에 기여

• Fujitsu는 바이오인증 기술 개발에 대한 투자도 적극적인 가운데, 2015년 10월에는 데이터 암호화와

복호화에 지문인식, 망막인식, 손바닥 혈관 인식과 같은 바이오인식 기반 보안 시스템을 구현할

계획을 발표

• 실제 2016년 9월에는 ‘Fujitsu Biometric Authentication PalmSecure-F Pro’와 ‘Fujitsu Biometric

Authentication Palm Vein Authentication Board’의 두 가지 기술 개발에 완료하여 다양한 응용 보안

분야로 바이오인증 기술 적용을 확대키로 함

• 2017년 7월에는 미국 국토안보부가 추진하는 사이버 위협정보 공유 체제인 Automated Indicator

Sharing(AIS)에 공동 대응키로 합의

• Fujitsu는 2016년 8월부터 사이버 공격 대책으로써 조직 간 위협 정보를 공유하기 위한 시스템을 개발,

운영해 오고 있으며, 양 기관의 협력에 따라 AIS가 제공하는 사이버 위협 정보와 동사의 위협 정보

활용 시스템을 연계키로 함

• 2018년 5월 Futjisu는 사이버공격 예측 검지에서부터 시스템 복구까지의 라이프 사이클을 일원적으로

지원하기 위한 서비스인 Fujitsu Security Solution Global 관리 보안 서비스의 신규 라인업을 발표

▶ Hitachi Solutions & Hitachi Systems

• 여타 일본의 메이저 보안 기업과 마찬가지로 엔드투엔드 보안 솔루션을 제공하고 있는 Hitachi는


바이오인증 분야에서 지정맥(finger vein) 인증 기술의 앞선 경쟁력으로, 동 분야에서는 Fujitsu와 함께

지문인증 시장 점유율을 앞지르고 있음

• Hitachi는 MS의 클라우드 정보 공유 협업 플랫폼인 SharePoint의 보안 기능을 강화한 SharePoint

온라인 익명화 솔루션을 2016년 10월 말부터 제공하기 시작

• 동 솔루션은 SharePoint Online 상에서 사이버 공격에 대응하고 시스템 운영자의 파일 내용 탐색을

막기 위해 모든 정보를 자동적으로 암호화함과 동시에 전문 검색에 이용되는 검색 인덱스도

암호화하여 안전한 파일 보존이 가능

• 한편, 동사는 해외 경쟁력 있는 솔루션에 대한 자국 유통 사업도 활발하게 전개 중으로, 2016년

4월부터 머신러닝으로 사이버 공격을 미리 차단하는 솔루션을 개발한 미국 스타트업인 Cylance의

AI 탑재 엔드포인트 보안 제품인 Cylance PROTECT의 일본 대리점 역할도 수행

• 이외 국내 기업으로는 잉카인터넷, 시큐어소프트 등이 Hitachi에 보안 솔루션을 공급한 사례가 있음

• 한편 Hitachi Systems는 2017년 3월에는 인터넷에 접속된 감시카메라와 자판기 등의 IoT 기기에

대응한 사이버 공격을 검지하기 위한 서비스를 개발

• 동 서비스 개발에는 피싱 대응 솔루션 전문 개발사인 Security Brain이 IoT 기기에 대한 사이버 공격

기법과 경향을 분석하고 개발하는 업무를 담당

• 한편 2017년 12월에는 NEC, Fujitsu와 공동으로 늘어나는 사이버공격에 공동 대응 일환으로

‘사이버보안 인재육성 스킴 책정 공동 프로젝트’를 통해 2,000명의 사이버보안 전문가 육성에

협력키로 함

▶ Vinx

• IT 및 보안 솔루션 전문 에이전트로, 자국 내 해외 기술 유통뿐만 아니라 중국 및 아시아 시장을

중심으로 활발한 해외 에이전트 활동을 전개 중

• 현재 확보하고 있는 보안 솔루션으로는 차세대통합운용솔루션의 Hybrid Series 중 Hybrid Security를

통해 액세스 관리, 데이터베이스 감시, 데이터베이스 유출 차단 기능 등을 지원


물리보안

▶ 2016년 이후에는 도쿄 올림픽 준비와 관련된 감시 카메라 수요가 본격화되고 있으나, 2020년 이후에는

수요 하락에 따른 시장 축소가 예상


• 추후 영상 해석 등의 응용 분야 개척이 감시 카메라 업계의 중요한 과제로 부상될 것으로 전망

▶ 최근 단품 솔루션 판매에서 통합관리 솔루션 제공으로 시장 비중이 이동 중

• 향후 IT 벤더, 경비회사, 빌딩관리 회사 간의 연계가 점차 강화되는 동시에 복수의 거점에 대해 동시

포괄적인 보안 체제를 구축하는 것에 대한 수요가 늘어날 전망

• 특히 올림픽을 앞두고 다수를 대상으로 한 인증 시스템 수요도 늘어나며, 인증과 관련된 다양한 기술

개발이 진전될 것으로 예상

• 다수 인증 시스템, 통합 보안 관리 및 인증 데이터를 활용한 키워드로 이용이 확대될 전망

정보보안

▶ 마이넘버 제도 도입은 일차적으로 정부 정보보안 수요를 촉발시킨 뒤, 다양한 민간 영역으로 시스템

구매 수요를 확산시키고 있음

• 일본 정부와 지자체는 마이넘버 관리 운영과 관련된 시스템 발주가 이어질 것으로 예상

• 민간에서는 마이넘버를 기반으로 한 직원 관리를 위해 관련 보안 솔루션 수요가 늘어날 것으로

예상되며, 2018년부터 금융 및 의료분야에서의 마이넘버 관련 보안 솔루션의 추가 수요가 발생될

것으로 관측

▶ 금융권, 공공기관을 중심으로 한 바이오인증은 정부와 기업의 적극적 후원 속에 도쿄 올림픽을 전후로

가파른 속도의 보급 확산을 보일 것으로 전망

• 지정맥 인증은 일본 ATM에 이미 80%나 적용되고 있을 정도로 보편화된 인증 수단

• 최근 Fujitsu 등이 앞장 서 개발 중인 손바닥 정맥 인식 기술은 인식에 소요되는 시간이 1초에

불과한데다 기타 인증을 위한 별도의 과정을 거치지 않는 간편성으로 인해 높은 기술적 가치를

평가받고 있음

• 이처럼 정맥, 지문 인증 등의 바이오 인식 분야는 정보보안 영역의 새로운 화두로 부각하게 될 전망





▶ 스마트폰 개인정보보호 가이드라인

• 2012년 8월, 총무성이 발표한 ‘스마트폰 개인정보보호 가이드라인’에는 스마트폰 이용자의 정보

보호에 대한 인식 현황 및 사업자들의 개인정보 활용 가이드라인을 제공

• 동 가이드라인에는 ▲준법적 수단을 통한 개인정보 수집 ▲애플리케이션 및 서비스 제공 관련

개인정보보호 강화 ▲개인정보 수집 및 활용에 대한 투명성 확보 ▲개인정보 보유 관련 보안 강화

▲개인정보 수집 및 활용에 대한 이용자 불만 접수 시 대응 강화 등을 포함

▶ 개인정보보호법 개정안

• 2014년 6월, 일본 정부 산하 IT종합전략본부가 마련한 개인정보보호법 개정 초안은 빅데이터 활용에

사용되는 스마트폰의 위치정보 및 웹사이트 이용 이력 등 데이터 관리에 대한 제도적 근거를 마련

• 일본의 개인정보보호법은 지난 2003년 성립됐으나 이후 IT의 발달로 인터넷 등에서 개인을 특정할

수 있는 데이터가 다수 생성되면서 IT종합전략본부는 법제도상 이들 데이터를 어떤 선상에서 다룰

것인지를 두고 논의를 거듭해 옴

• 2015년 9월 중의원 본회의에서 가결 및 성립된 개인정보보호법 재개정안에는 개인이 특정되지

않도록 하는‘익명가공정보화’를 의무화하고 제3자에 개인정보를 제공하는 규정을 명확히 함

• 이와 동시에 개인정보의 이용과 활용을 촉진하여 신산업 ․ 신서비스의 창출과 국가안전 ․ 안심 향상을

실현할 수 있도록 규정을 정비

• 이후 일본 정부는 EU 등 해외와의 규제 일관성을 유지하기 위한 입법 개정을 추진해 왔으며, 2017년

5월부터 개정 개인정보보호법이 발효

• 개정 법 하에서는 사전 동의 없이 개인정보 취득 행위를 불허함으로써 개인정보 공개에 따른 부당한

차별이나 편견을 최소화시키고자 하였으며, 빅데이터 산업 지원과 규제를 위한 근거를 삼기 위해

익명가공정보에 대해 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한

정보에 대한 복원을 금지

• 이 같은 접근은 익명가공정보일 경우라도 데이터 가공 주체가 원본 데이터를 폐기하지 않은 이상

여전히 식별 가능성이 남아 있기 때문에 법률로써 이를 금지하여 익명성 보장을 담보하기 위한 것


• 또한 다양한 민간 빅데이터 서비스가 익명 가공을 통해 관광, 도시 계획, 안전 등 공적인 영역에서도

다양한 서비스에 활용되고 있기 때문에, 개정 법률안으로 인해 이 같은 서비스 응용은 더욱 탄력을

받을 것으로 예상

▶ 사이버보안기본법

• 2014년 11월, 일본 중의원 본회의에서 사이버 공격 대응에 관한 국가의 책무 등을 정한 사이버보안

기본법이 통과되어 2015년 1월 9일부터 전면 시행

• 동법은 사이버보안에 관한 대응 전략을 국가 차원에서 종합적이고 효과적으로 추진하는 것을

목적으로 하며, 사이버 보안에 대한 기본 이념과 전략 및 국가의 책임을 정의

• 동 법을 통해 일본에서는 ‘사이버보안’이 ‘정보 시스템 및 정보 통신망의 안전성 및 신뢰성 확보를

위해 필요한 조치를 강구하고 그 상태가 적절하게 유지 관리되는 것’이라고 최초로 법률적 정의가

내려짐

• 정부의 사이버 보안 전략을 담당해 온 '정보보안 정책회의'를 격상시켜 ‘사이버보안전략본부’ 설치를

결정

• 이외에도 동 법안에서는 연구개발의 추진 및 연구자·기술자의 육성, 경쟁기반의 정비 등에 필요한

시책, 국민에 대한 교육 및 학습을 위한 시책 역시 강구할 것임을 적시

• 그러나 사이버보안기본법 발효 이후 4개월 뒤인 2015년 5월에 일본연금기구가 외부로부터 송부된

이메일에 의해 약 125만 건의 개인정보가 유출되는 사건이 발생됨에 따라 기본법 보완에 대한

필요성이 재기

• 이에 따라 2016년 개정안에서는 ▲국가가 실시하는 부정한 통신의 감시, 감사, 원인 규명 조사 등의

대상 범위를 확대하는 것과 ▲사이버보안전략본부의 일부 사무를 정보처리추진기구(Information-

technology Promotion Agency, IPA) 등에 위탁하고 국가자격제도(정보처리안전확보지원사)를

신설하는 것을 내용으로 한 조항이 새롭게 추가

• 이후 2020년 도쿄 올림픽을 앞두고 사이버공격의 지능화 및 대규모화에 대한 대응 차원에서 또 한

차례의 개정안이 발의

• 이 개정안에서는 사이버보안협의회 창설과 사이버보안전략본부 연락 조정 권한 부여 항목이 새롭게

추가

• 사이버보안협의회는 사이버보안에 관한 시책 추진에 관해 필요한 협의를 행하기 위해 설치되는

조직으로, 공공ㆍ민간 부문의 다양한 주체가 서로 연계하여 보안 정보 공유를 위해 노력하고 필요한

대책 등을 협의하는 것을 주요 목적으로 삼고 있음

• 또한 국내외 관민학에 걸친 사이버보안 통합 조정자 역할을 강화하기 위해 사이버보안전략본부에

대해 외부 기관들과의 연락 조정 권한을 강화

• 이 개정안은 2019년 중으로 시행될 것으로 예상


▶ 개인정보의 이용 및 활용 촉진과 소비자 신뢰성 확보의 양립을 위한 보고서

• 2017년 2월, 내각부 산하 개인정보보호위원회 사무국은 익명가공정보 안전관리조치 및 이용사례 및

가공방법 사례를 담은 “개인정보의 이용 및 활용 촉진과 소비자 신뢰성 확보의 양립을 위하여”

보고서를 발표

• 본 보고서는 2015년 9월 법안 통과되어 2017년 5월에 발효된 개정 개인정보보호법(個人情報の保護に

関する法律)에 규정된 ‘익명가공정보’ 활용에 앞서 제도 정비안을 마련하기 위한 목적으로 작성

• 주요 내용으로는 익명 가공 정보의 ▲정의와 취급 상의 유의사항 ▲생성 시 요구되는 가공 방법 ▲

안전 관리 조치 ▲이용 상의 유의사항 ▲활용 사례 및 가공 예시 등을 언급

• 이외 인정 단체나 사업자 단체가 익명 가공 정보의 작성에 관한 규정을 검토하거나 민간 사업자가

실제로 익명 가공 정보 작성 시 참고가 되는 정보를 제공

주요 전략 및 정책

▶ 사이버보안전략

• 사이버보안전략은 2013년 6월 정보보안정책회의를 통해 최초로 도입되었으며, 2015년 1월

사이버보안기본법 시행 이후 사이버보안전략본부가 주무 부처 역할을 하고 있음

• 사이버보안전략은 현재와 향후의 사이버 위협에 대한 국가 차원의 대응 방안을 수립하고 공공과

민간의 관련 당사자들을 위한 전략적 대처 방안을 제시하는 기능을 담당

• 3년 단위로 정기적인 업데이트가 이뤄지고 있는 사이버보안전략은 2018년 6월 내각사이버보안센터

(NISC)가 최신 전략버전을 확정하여 공공의견 수렴을 거친 뒤, 2018년 7월 말 각료회의를 통해 해당

안을 승인

• 사이버보안전략 개정안에서는 대량의 데이터를 분석·활용하는 사례가 늘어나면서 사이버 위협 발생

시 실생활에 미치게 될 파급력이 커지고 있는 상황과 2020년 도쿄 올림픽, 장애인 올림픽 등 대규모

행사를 앞두고 향후 3년 동안의 새로운 사이버보안 시책 목표와 시행 방침을 명시

• 개정안에서는 주요기반시설 보호를 위해 정부와 민간의 일치된 협력과 대학에서의 연구 자료 보호를

위한 조치를 강화하는 내용이 추가

• 2020년 올림픽 준비와 대회를 통해 확보한 사이버보안 체계를 이후에도 지속성 있게 계승·발전시키는

내용 역시 새롭게 반영된 항목이며, 이외 2016년 미라이 봇넷 사태로부터 빚어진 위기의식을

반영하여 DDoS 등 대규모의 잠재적 사이버공격에 대한 대처 능력 강화를 위한 시책도 추가로 포함

• 전략 추진을 위해 사이버보안전략본부는 산하 내각사이버보안센터(NISC)를 중심으로 관계 기관의

역량 강화를 도모

• 센터는 각 부처 간의 종합적인 사이버보안 활동 조정과 산학 관민 연계 촉진을 위한 주도적 역할을


담당하며, 국가 사이버보안 위기관리 대응 역량을 더욱 강화해 나갈 예정

• 전략적 목표 달성을 위한 세부 정책은 사이버보안법의 기본적 지향 가치인 ▲경제 사회의 활력 향상

및 지속적 발전 ▲국민이 안전하게 살 수 있는 사회 실현 ▲국제사회의 평화 안정 및 국가 안전 보장

등을 달성하기 위해 하위 정책 실행 사항을 제시

표 _ 사이버보안전략 개정안 세부 실행 정책

1. 경제 사회의 활력 향상 및 지속적 발전

① 새로운 가치 창출을

지탱하는 사이버 보안 추진

o 경영층의 의식 개혁을 촉진(‘비용’에서 ‘투자’로)

o 투자를 위한 인센티브 창출(정보 제공 및 공시에 따른 시장의 평가,

보험 활용)

o 설계 단계부터 보안 기능을 반영하는 ‘Security by Design’을 토대로

사이버 보안 비즈니스의 강화

② 다양한 연결에서 가치 창출

공급망의 실현

o 중소기업을 포함한 공급망(기기·데이터·서비스 등의 공급망)의 사이버

보안 대책 지침 마련

③ 안전한 IoT 시스템 구축o IoT 시스템의 보안 체계 정비와 국제 표준화

o IoT 기기의 취약성 대책 모델 구축·해외 전파

2. 국민이 안전하게 살 수 있는 사회 실현

① 국민과 사회를 지키기 위한

대응

o 위협에 대한 사전 방어(적극적 사이버 방어) 방안 수립

o 사이버 범죄 대책 마련

② 주요기반시설 보호를 위한

민간 공동 대응

o 안전 기준 개선과 확산: 주요기반시설 사업자 등을 대상으로 한

사이버보안 대책의 관계법령 정비

o 지방공공단체의 서비스 장애 시 대책 수립 등 보안 강화

③ 정부 기관 등의 보안

강화·충실

o 정보 시스템 상태의 실시간 관리 강화

o 첨단 기술 활용을 통한한 선제적 대응 과제 해결

④ 대학·대학연구기관의

안전한 교육·연구 환경의 확보

o 대학 및 대학공동연구기관(Inter-University Research Institute

Corporation) 단위의 사이버보안 대책 강화 및 가이드라인 개발을

통한 연구 자산 보호

⑤ 2020년 도쿄 올림픽대회와

이후의 대응

o 사이버보안 대응 조정 센터(정부 올림픽 CSIRT) 구축: 관계부처,

대회조직위원회, 경기장 관할 지방 공공단체, 도쿄도, 주요기반서비스

사업자 간 사이버보안 리스크 대응 협조 체계 마련


[출처] NISC

▶ 주요기반시설 정보보안대책

• 일본 정부는 2000년부터 주요기반시설 보호를 위한 대책을 수립해 왔는데, 2000년 12월에 발표된

주요기반시설 사이버테러대책에 관한 특별행동계획(重要インフラのサイバーテロ対策に係る

特別行動計画)에서는 정보보안 대책 추진 회의 등의 활동을 통해 사이버 테러로부터 정보통신, 금융,

항공, 철도, 가스, 전력 및 정부·행정서비스 등의 국민 생활과 사회 경제 활동에 중대한 영향을 미칠

수 있는 국가 기반 시설에 대해 보호 방안을 최초로 심의·정리

• 이후 정보보안정책회의에서는 2005년 12월 주요기반시설 정보보안대책에 관한 행동계획(重要イ

ンフラの情報セキュリティ対策に係る行動計画)의 최초 버전을 작성했으며, 이후 꾸준한 업데이트를

진행해 오며 2018년 7월 말 시점 사이버보안전략본부에 의해 4차 행동계획 개정안까지 업데이트된

o 올림픽을 통해 갖춰진 사이버보안 대응 체제의 성과를 이후에도

지속적으로 계승 활용

⑥ 기존 틀을 넘어선 정보

공유·협력 체제 구축

o 정보 제공자 및 민간 전문 기관 등 다양한 주체의 참여를 통한 정보

공유·제휴 추진

3. 국제사회의 평화 안정 및 국가 안전 보장

① 자유, 공정 및 안전한

사이버 공간 유지 강화

o 자유롭고 공정하고 안전한 사이버 공간 이념 전파

o 사이버 공간에서의 법질서 강화

② 국내

방어력·억제력·상황파악 능력

강화

o 강력한 국가 방어력(① 임무 보증 ② 국내 첨단 기술 및 국방 관련 기술

방어 ③ 사이버 공간상의 테러 조직 활동 대응)

o 사이버 공격에 대한 억지력 향상(① 동맹국과의 협조와 관계 부처 연계

및 법집행기관·자위대 역량 강화를 통한 실효적 억제를 위한 대응 ②

국가 간 신뢰 구축 조치)

o 사이버공간 내 위기 상황 파악 강화(① 관계 기관의 정보수집·분석 능력

향상 ② 위협 정보 공유·연계)

③ 국제 협력·연계

o 국가 간 사이버보안 정보 공유 및 정책 조정

o 사고 대응 등에 관한 국제 연계 강화

o 개도국 사이버보안 역량 구축 지원을 통한 글로벌 안보 환경 강화


버전이 공표

• 주요기반시설 정보보안대책에 관한 4차 행동계획에서는 ▲선도적 체계 확립 하의 추진 ▲도쿄

올림픽 대비 정보공유체제 강화 ▲위기관리 기반의 대처 태세 정비 추진 등의 3가지 중점 항목을

추진 계획으로 설정

• 동 계획의 주요 시책으로는 ▲안전 기준 정비 및 확산 ▲정보 공유 체제 강화 ▲정보 공유 체제

강화 ▲장애 대응 체제 강화 ▲위기 관리 ▲보호 기반 강화 등을 추진

▶ IoT 사이버보안 액션 프로그램 2017

• 총무성은 2020년 도쿄 올림픽 개최와 IoT 인프라 확산에 대비하여, 현재 다양한 부처에서 제공되고

있는 사이버보안 시책을 통합한 ‘IoT 사이버보안 액션 프로그램 2017’을 발표

• 동 프로그램은 5대 실행 계획인 ▲사이버보안 태스크포스(TF) 회의 개최, ▲보안 인재 육성의

촉진(speed-up), ▲총리대신 표창제도 창설, 및 ▲국제 연계 강화 등으로 구성

• IoT 사이버보안 액션 프로그램 2017은 이미 일본 정부가 추진해 온 다양한 사이버보안 관련 시책의

연장선 상에서 이들을 통합한 성격

• 앞서 내각관방은 2015년 1월에 설치한 내각사이버보안센터(NISC)를 통해 이미 도쿄 지역을 중심으로

CYDER 추진을 비롯하여 다양한 사이버공격 대응 체제 활동을 수행해 옴

• 경제산업성 역시 2015년 12월에 수립한 사이버보안 경영가이드라인을 통해 기업 경영자 관점에서

사이버보안 대책 수립을 위한 지침을 제공하였음

▶ IoT 보안가이드라인

• 경제산업성은 2016년 7월 산업계가 자발적으로 준수할 수 있는 개발 지침 역할을 제공하기

위해‘IoT보안가이드라인(IoTセキュリティガイドライン)’을 발표

• 동 가이드라인은 ▲방침 ▲분석 ▲설계 ▲구축 및 접속 ▲운용 및 보수 5가지 단계별로 보안 지침을

제시

• 또한 개발 시의 4대 지침으로 ▲문의 창구가 없는 기기와 서비스 구입 이용 지양 ▲초기설정 주의

▲미사용 기기 전원 차단 ▲기기 양도 시 데이터 삭제 등을 정의

2. 담당기관

▶ 총무성

• 총무성은 국가 정보보안 능력 제고를 위해 정보통신 업계관계자들이 실질적으로 고려해야 할 단기


및 중장기적인 대책이나 사업 개선의 방향성을 포함한 효과적인 국가 정보보안 정책 수립과 추진

방향에 대한 조언을 구하기 위해 자문위원회를 구성

• 총무성 산하 정보보안 자문위원회는 2013년 2월 15일 조직되어 3월부터 공식 활동을 전개

▶ IT종합전략본부

• 일본 정부는 정보통신기술의 발전으로 인한 세계적인 사회경제 구조 변화에 발 빠르게 대응하기 위해

2001년 1월 내각 내부에 '고도 정보통신 네트워크 사회 추진 전략 본부 (IT종합전략 본부)'를 설치

• IT종합전략본부는 내각관방 정보보안센터(NISC)와 연계해 국가 차원의 정보보안 정책을 지휘

• 내각관방 정보보안센터에서는 매년 정보보안 관련 각종 조사 및 연구를 수행하여 결과물을

홈페이지에 게재

▶ CSSC(Control System Security Center)

• 일본 경제산업성을 중심으로 이메일을 통해 침투하는 지능형지속위협(APT) 및 악성코드 정보를

공유하는 협의회로서 2012년 3월 설립되었으며, Hitachi, Toyota, Toshiba, Trend Micro 등

정보보호관련 업계 내 다양한 회원사를 보유

▶ 사이버보안 전략본부

• 사이버보안기본법에서는 현재 정부의 사이버보안 전략을 담당하고 있는 ‘정보보안 정책회의’를

격상시켜 범부처를 대상으로 한 사이버보안 정책의 사령탑 역할을 수행하기 위한 조직으로써 내각

산하에 ‘사이버보안 전략본부’ 설치를 규정

• 기존에 정보보안 정책회의에서는 내각 관방 장관이 의장 역할을, 사무국 역할은 내각 관방

정보보안센터(NISC)가 각각 담당

• NISC는 총무성, 경제산업성, 국방성, 경찰청 등의 각 부처에서 파견된 인사들을 중심으로

구성되었으나, 법적 권한 제약과 전문 인력의 부족으로 인해 역할과 기능상의 한계를 노출함에 따라

사이버보안 전략본부에서는 민간 보안 전문가들을 기간제로 임용키로 결정

• 또한, 국가안전보장회의(NSC)와 IT종합전략본부의 의견을 토대로 ‘사이버보안 전략안’을 작성하고

지방자치단체들과 협력 체제를 구축

• 사이버보안 전략본부는 그동안 정보보안 정책회의가 추진해 온 보안 전략 및 정부 부처들의 보안

가이드라인 수립과 부처 내에서 발생한 보안사고 조사 등을 실시

▶ JPCERTl 조정센터(JPCERT/CC, Japan Computer Emergency Response Team Coordination Center)

• 컴퓨터 보안 정보를 수집, 사고 대응 지원 및 컴퓨터 보안 관련 정보 제공을 하는 일본의 대표적인

컴퓨터침해사고대응팀(CSIRT, Computer Security Incident Response Team)


• 1996년 임의단체로 설립됐으나, 2009년 6월 이후 일반사단법인으로 전환한 상태

• 일본 최초로 국제 조직인 FIRST(Forum for Incident Response and Security Teams)에 참여한 CSIRT로,

아태 지역 내 CSIRT 조직인 APCERT 사무국을 운영

• 주요 활동으로는, 고정지점인터넷관측시스템(ISDAS, Internet Scan Data Acquisition System) 운영,

일본 내 사고 보고 대응 및 사고 정보의 국내외 네트워크 관리자 공유 활동 등을 수행

• 또한, 해외 CSIRT에서 수집된 취약성 정보를 일본 내 소프트웨어 개발사에게 제공하는 업무도 추진

• 이외 정보처리추진기구(IPA, Information-technology Promotion Agency)와 공동으로 일본 자국 내

소프트웨어 제품의 취약성 대응 상황 공개를 위한 ‘Japan Vulnerability Notes(https://jvn.jp/)’이라는

웹사이트를 운영

▶ 개인정보보호위원회

• 2015년 9월 개인정보보호법 개정에 따라, 2016년 1월에 개인정보 악용을 감시 ․ 감독하기 위한 제3의

독립기구인 ‘개인정보보호위원회’가 설립

• 기존에는 개인정보보호는 각 부처별 감독과 민간자율 규제에 맡겨져 왔으나, 보다 강력한 권한을

갖는 위원회가 출범

• 이에 따라 익명가공정보9를 취급하는 경우 ‘익명가공정보 취급사업자’라고 여겨지고 개인정보

보호위원회 규칙으로 정하는 기준에 따라 당해 개인정보를 가공

• 또한 인정 개인정보보호단체는 개인정보보호 지침을 만들 때 소비자 등의 의견을 청취하고

개인정보보호위원회에 신고하여야 하며, 개인정보보호위원회는 그 내용을 공표


▶ JISEC (정보보안평가인증제도)

• 일본 경제산업성은 2001년부터 'ISO/IEC 15408(SC27)'을 바탕으로 '정보보안 평가인증제도(Japan

Information Technology Security Evaluation and Certification Scheme, 이하 JISEC)'를 운영 중

• 정보보안의 관점에서 보안 상품 및 시스템의 적합성을 공인하기 위한 표준으로써 CC(Common

Criteria)를 채택

• 기관 및 민간 단체의 보안 솔루션 개발 프로세스, 제공, 사후관리 등의 측면에서 CC가 제시하는 기준

규격을 준수했는지 국가 차원에서 관리하기 위함

9 특정 개인을 식별할 수 없도록 개인정보를 가공해 얻을 수 있는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것. 개인정보보호법 개정안, 2015.9


• 제 3의 민관기관에 평가 업무를 맡겨 공정성을 확보했으며 평가 이후 정보처리추진기구(IPA)가 인증을

처리

• 국제표준인 'ISO/IEC 15408'을 기준으로 하므로 'JISEC' 인증을 받은 제품은 해외에서도 기준을 통과한

제품으로써 인정받음

▶ 일본전기통신단말기기승인(JATE)

• JATE는 전기통신회선에 접속하는 단말기기가 관련 기술에 적합한지 검사해 인증하는 제 3자

인증기관으로 전기통신사업자가 정하는 기술적 조건에 단말기기가 부합하는지 확인하는 인증

• 주요 업무는 기술기준 적합 인증, 기술적 조건 적합 인증, 심사신청에 필요한 전기적 특성 등의 추정

▶ 일본공업규격 (Japan Industrial Standards, JIS)

• 일본공업표준화법에 따라 제정된 국가 임의규격으로, JIS 규격 기준 이상의 품질을 보유한 제품이나

가공품을 안정적으로 지속생산 할 수 있는 기술적 능력을 보유한 공장에 대해 일본 주무대신이 JIS

마크표시를 허가하는 제도

• 공장 전체를 하나의 시스템으로 파악하여 JIS에 적합한 제품 또는 가공품을 연속적으로 생산할 수

있는 기술적 능력을 검사해 JIS 마크 표시를 인정하는 ‘공장심사방식’을 취하고 있음

• 심사기준으로서 품질관리 및 품질보증에 관해 JIS Z 9902(ISO 9002)가 적용

▶ 일본자율안전인증(S-Mark)

• 일본의 임의 안전규격으로 전자제품 등에 대한 안전 확인을 받고자 하는 제조자, 수입자 등을 위한

인증으로 S-Mark 대상 전기용품에 대해 등록검사기관의 시험 및 공장심사를 거쳐야만 인증이

완료되며 이에 따라 제품에 S-Mark 표시를 하여 판매할 수 있음

• S-Mark 표시를 법률로 의무화한 것은 아니지만 제조업체나 수입 업체가 제3자 인증을 받아 S-Mark를

표시하는 것은 전기제품의 안전도를 객관적 기준에 의해 확인받아 이를 판매업체 및 소비자에게

공지하기 위함

▶ 클라우드 정보보안 감사 제도

• 표준적인 서비스를 다수의 고객에게 제공하는 클라우드 서비스의 특성에 입각하여 사업자가 준수해야

할 정보보안 관리의 ‘기본 요건’을 정하여, 정해진 요건에 따라 사업자의 실행 여부를 평가하고 안전성

확보 상태를 고객에게 명확하게 알려주기 위한 제도

• 감사 결과, ‘기본 요건’을 충족하고 있다고 인정된 경우 CS(Cloud Security) 마크가 부여되고 클라우드

사업자의 홈페이지 등을 통해서 이용자는 클라우드 사업자의 보안에 대한 대응 상황 확인이 가능


▶ IoT 인증 마크 제도(예정)

• 총무성이 2017년 10월 발표한 IoT 보안종합대책(IoTセキュリティ総合対策)에서는 IoT 기기의

설계ㆍ제조 단계에서는 프로세스 자체에 보안을 기본 요소로 반영하여 설계된 기기에 인증 마크를

부여할 계획을 밝힘

• 인증 마크는 관리자나 사용자가 보안 기준에 적합한 기기/서비스 이용 패턴을 유도하기 위해 설계

단계부터 이용 프로세스상의 보안을 강화할 수 있도록 ID/패스워드 설정, 펌웨어 업데이트 및 Wi-Fi

설정 사양을 설계 프로세스에 반영하도록 하며, 보안 기준을 충족한 제품에 대해 인증 마크를 부여

• 또한 IoT 기기 판매자는 기기 판매 후에도 신종 바이러스나 사이버 공격 기법 대응 현황을 정기적으로

감시 확인케 함으로써 IoT 기기 생애주기 전반에 걸친 보안 확보 방안도 함께 마련

• 총무성은 인증 마크 제도 도입을 위해 2018년 하반기 시점 업계 내 의견을 수렴 중이며 이르면 2018년

중으로 관련 제도가 시행될 것으로 예상

다. 영국


· 영국의 사이버보안 지수는 한국과 거의 비슷한 수준이며, 선도 그룹에 속함

(● 상, ● 중, ● 하)

국가명




영국 0.783 12 ● ● ● ● ● ●

대한민국 0.782 13 ● ● ● ● ● ●


· 영국의 전반적인 ICT 발전 수준은 전 세계 5% 이내의 최상위권을 유지하고 있음

지표명영국 한국

점수 순위 점수 순위ITU ICT 발전지수(IDI 2017) 8.65 5 8.85 2

접근(Access) 부문 9.15 4 8.85 7

활용(Use) 부문 8.38 7 8.71 4

기술(Skills) 부문 8.17 33 9.15 2


UN 전자정부 지수(2018) 0.899 4 0.901 3

∎ ICT 관련 주요 통계 (ITU, 2017년 말 기준)

· 영국의 유이동통신(ICT) 이용 및 보급률은 세계 최고 수준으로 우리나라와 비슷함

항목영국 한국

가입자수(천 명) 보급률(%) 가입자수(천 명) 보급률(%)유선전화 33,140 50.8 26,842 52.6

유선브로드밴드 26,015 39.3 21,195 41.5

이동통신 79,173 119.6 63,658 124.8

인터넷 이용률 92.8% 95.1%

‘17년 GDP(십억달러) 2,622.43

'17년 인구수(천명) 66,022

1. 선진 시장 - 영국


1. 보안 환경

▶ 영국은 오랜 기간 동안 아일랜드 공화국군(IRA)의 독립 무력투쟁과 테러 행위로 정보보호 산업 및

서비스의 강화 필요성에 대한 인식이 이미 정착된 국가

• 전 세계에서도 미국과 일본 다음의 제 3위의 시장 규모를 형성하고 있으며 과거 EU 내에서는 최대

정보보호 시장을 형성

• 정보보안 시장뿐 아니라 영 연방국에서 유입된 다인종으로 다문화·다언어 사회를 형성하고 있고 이에

따른 사회불안 현상 야기로 물리보안 시장에서도 절도, 테러 등의 범죄예방을 위한 CCTV 설치 대수가

과거 EU 내에서 가장 많은 국가일 정도로 보안장비 수요가 매우 큰 시장

▶ 영국 정부는 국가 사이버보안전략 발표와 함께 필수산업분야, 신산업 분야 등 각 산업분야에서도

사이버공격에 대해 보호 전략을 발표하며 사이버보안 발전을 견인함

• 2016년 발표된 국가 사이버보안전략에 따라 19억 파운드(2조7천억원)를 사이버 보안 분야에

투자하고, 국가사이버보안센터(NCSC, National Cyber Security Cemtre)와

런던사이버보안혁신센터(LORCA, London Office for Rapid Cybersecurity Advancement)를 설립하여

사이버보안 인력을 양성하고 기업을 지원

• 필수서비스 사업자는 효과적인 사이버 보안조치를 실행하여 필수 네트워크와 인프라를 안전하고

복원력 있도록 해야 하며, 미흡한 경우 새로운 벌금이 부과될 예정

• 영국 교통부는 커넥티드카와 자율주행차의 사이버 보안을 위한 가이드라인을 발표하여 제조공급망에

관련된 모든 이해관계자들에게 일관성 있게 보안정책 제공

▶ 최근에는 사이버 공간의 안전 강화를 위한 정보보안 부문 정밀 전자기기와 솔루션 등 소프트웨어에

대한 투자도 확대해 나가는 추세

• 총리실을 중심으로 정보보호 활동, 특히 사이버 정보보안 활동 강화를 위한 국가 사이버보안 시스템

구축에 적극적인 투자 전략을 추진 중

• 영국도 이슬람국가(IS)나 알카에다 등 중동의 급진 폭력세력들의 각종 테러 행위 대상국가에서

자유로운 상황이 아니므로 이들의 움직임과 불법입국 통제, 사이버 공간을 통한 영국 내 이슬람

세력과의 연대 또는 테러 사주 등 위험을 예방하기 위한 정보보안 활동 강화 불가피 상황



개요

▶ 영국의 정보통신 발전 지수(IDI, ICT Development Index)

• 영국은 2022년을 목표로 전국에 광대역 인프라 설치를 위해 10억 파운드 투자 및 1GB/S의 인터넷

속도 달성을 위해 4억 파운드 투자를 추진하는 등 정보통신 환경을 지속적으로 개선하고 있으며 ITU의

정보통신 발전지수도 2010년 10위에서 2016년에는 5위로 상승

• 최근 들어 영국 정부의 전국 초고속 브로드밴드 가설 프로젝트가 진행되면서 인터넷 다운로드 속도가

급증하고 일반인들의 정보통신 접근부문(Access)과 활용부문(Use)도 급격히 개선됨

• 그러나 정보통신 기술부문(Skills)은 2016년 기준 29위로 다른 분야보다 순위가 낮게 나타나, 이 부문을

강화하기 위한 정부의 정책적 노력이 요구됨

유선 통신

▶ 유선전화 통신망 보급률은 2010년 대비 2.69%p 감소

• IUT자료에 의하면 유선전화 보급률은 이동통신망과 인터넷 통신망 사용이 일반화되면서 2000년

이후부터 꾸준히 감소하여 2016년 50.94%에서 2017년 50.08%로 0.86%p 감소

그림 _ 영국 유선통신 가입 및 보급률 추이

(단위: 천 명, %)

[

출처] ITU Statistics DB(2018.1)


• 유선통신 주요사업자로는 British Telecom(BT), KCom, Cable & Wireless가 있음

• British Telecom(BT)은 영국에서 가장 큰 유선통신 사업자로 약 170개국에서 사업을 하며,

도매서비스에 점점 더 중점을 두며, 네트워크 기반의 IT서비스와 브로드밴드 서비스로부터 수익을

창출하고 있음

▶ 영국의 2017년 유선 브로드밴드 고속통신망 보급률은 91%에 이름

• 정책적으로 2022년도까지 10억 파운드를 투자하여 전국에서 고속 인터넷을 사용할 수 있도록 한다는

목표로 브로드밴드 고속 통신망을 가설 및 확장 추진 중

• 영국 정부는 2017년 말을 기준으로 전국의 91%에 고속통신망(30MB/s 이상의 다운로드속력)을

가설했으며, 주로 잉글랜드 지역이 중심이 되고 북아일랜드나 스코틀랜드 지역은 아직도 상대적으로

보급률이 뒤지고 있는 것으로 나타나고 있음

표 _ 영국의 브로드밴드 초고속통신망 보급률과 인터넷 속도 변화

구분고속통신망 보급률(%) 평균 인터넷 다운로드 속도(Mbit/s)

2016 2017 2016 2017全 영국 89 91 37 44잉글랜드 90 92 38 45

북아일랜드 83 85 34 39스코틀랜드 83 87 35 42

웨일즈 85 89 29 35

[출처] Ofcom, ‘Connected Nations 2017’(2017.12.15)

▶유럽 연결 프로젝트(CEF) 중 통신 분야10

• EU 집행위는 역내 단일 디지털 시장 구축을 위해서 회원국 간 발전된 네트워크가 사전 구축되어야

한다고 밝힘. 또한 회원국 간 통신 인프라 갭이 크므로 브로드밴드 통신망 구축 프로젝트 또한 함께

지원할 예정

• 통신 분야는 디지털 서비스 및 광대역 등 2개 분야로 나뉘어 진행. 두 분야는 디지털 서비스

인프라(Digital Service Infrastructure projects: DSIs), 광대역(Broadband)임. 총 예산은 10억 유로이며,

이 중 디지털 서비스에 8억7000만 유로 및 광대역에 1억5600만 유로가 할당

• 디지털 서비스 인프라를 위해 28개 회원국 간 단일 전자정부를 형성해 역내 통일된 디지털 규범을

채택하고, 기업 및 시민들의 행정업무 처리 전자화. 구체적으로 전자조달, 전자보건, 사이버보안 등

10 유럽 연결 프로젝트(CEF), EU 집행위, 유럽의회, INEA 홈페이지, KOTRA 브뤼셀 무역관


행정업무처리를 전자화하고 회원국 간 관련 정보 공유

• 브로드 밴드 인프라의 경우 CEF 통신 프로젝트의 15%(1억 5,600만 유로)만을 차지하고 있고, 나머지

85%가 디지털 서비스 인프라 구축에 할애하고 있는 만큼, 브로드밴드 구축보다는 디지털 서비스

분야에 집중돼 있는 것으로 나타남.

• 브로드밴드 인프라 구축의 경우 CEF 기금 이외에 EU 전략투자기금(European Fund for Strategic

Investments, EFSI), 브로드밴드 기금(Connecting Europe Broadband Fund) 등을 통해 지원

이동통신

▶ 이동통신 보급률

• ITU 자료에 의하면 영국은 2005년부터 이동통신 보급률이 100%를 넘어섰으며, 2017년 기준 이동통신

가입자 수는 2016년 대비 0.3%p 감소한 7917만 3,658명을 기록하며 보급률은 119.63%에 달했음

• 이러한 보급률은 유럽연합 평균보다 많으나, 아직 가입자의 성장은 소비자들이 비즈니스 지향형

디바이스와 다양한 플랫폼에서 스마트폰뿐 아니라 추가적인 심(SIM)카드를 채택하고자하는 강한

수요가 존재함

그림 _ 영국 이동통신 가입 및 보급률 추이

(단위: 천 명, %)



• `영국은 유럽에서 수익 측면이나 가입자 수 측면에서 가장 큰 이동통신 시장 중 하나에 속하며,

Orange와 T-Mobile의 합병으로 가장 큰 통신사인 Everything Everywhere(EE)가 생겼으나, BT는 이를

2016년 1월에 인수하여 분리된 사업단위로 유지하고 있음

• 영국은 심(SIM)카드 보급률이 2014년 140%를 넘어서고 2018년 148%를 예상하며, 비즈니스 목적이나

이동통신사간의 경쟁으로 인한 다른 요금제로 이익을 얻고자 제2의 디바이스로 사용하는 인구가

증가하는 것이 지속됨

• Sky는 MVNO SkyMobile을 통해 이동통신시장에 진입

• 4G 네트워크 커버리지는 2018년 인구의 약 93%로 예상

• 이동통신망사업자(MNO)들은 그들의 3G 망을 종료하고자 준비하며, 동시에 5G 기술 시도를 지속하고

있는 중으로, Vodafone은 2020년까지 유럽에서 3G 서비스를 종료하고 해당 주파수와 물리적인

자산을 LTE와 5G 서비스에 재사용할 계획

• Ofcom은 MNO 라이선스를 2017년 말까지 99%의 지리적인 음성 커버리지를 보장하는 것으로

변경하고, 정부는 지방의 모바일 커버리지를 향상하기 위해 모바일 인프라 프로젝트에 1억 5천만

파운드를 약속

• 2.6GHz와 800MHz대역에서 4G 경매는 23억 4천만 파운드로 처리되고, Ofcom은 2018년까지 5G

라이선스를 계획하며 5G를 위해 4개의 주파수대역을 확인함

• 2015년 기준, 이동통신 시장 점유율은 2개 업체 EE(29%), O2(27%)가 치열한 경쟁과 함께 시장을

주도하고 있으며, 이후 Vodafone(19%)과 H3(11%)가 뒤따르고 있으며, MVNO와 재판매업체(Tesco

Mobile, Virgin Mobile, Lycamobile, Lebara)등이 시장점유 14%를 차지

그림 _ 영국 이동통신사별 시장 점유율(2016년 기준)

통신사 비율

H3 13.7%

O2 29.7%

EE 27.9%

Vodafone 21.1%

기타 7.6%

합계 100.0%

* EE는 2010년 이후 Orange와 T-Mobile의 합병으로 생성되어 BT가 2016년 인수 후 분리된 사업단위로 유지

** O2와 Vodafone의 경우 각사가 전적으로 소유한 MVNO인 GiffGaff(O2 소유), Talkmobile(Vodafone 소유)를 포함

[출처] Buddecomm(2018.7)



1. 시장 규모

시장 개요

▶ 영국은 전통적으로 물리보안 시장을 중심으로 발전되어 온 국가

• 영국은 전통적으로 아일랜드 공화국의 폭탄 테러로 시달려 왔으며 최근에는 이슬람계 테러리스트들의

테러 공격과 흑인계 폭동을 겪었고, 지난 몇 년에 걸쳐 극우집단의 테러행위 수준이 점점 증가하고

있어 물리보안이 발전함

• 2018년 11월 영국 정부는 국가감시카메라전략의 일환으로 CCTV 운영의 표준을 CCTV 산업 전반에

적용하기 전 시범으로써 사내모니터링 지침을 발표함11

• 사내모니터링 지침은 공공 CCTV 체계를 안전하게 관리하기 위한 최소 요구 사항을 제시함

• 2013년 발표된 감시카메라 행동강령의 후속 업데이트로 2018년 감시카메라감독관은 구매자 툴킷,

공공 CCTV 시스템 이행 준수 자격증, 자체 평가, 정보보호 영향평가 등을 발표함12

▶ 영국의 국토안보 지출은 사이버공격과 테러 조직의 위협으로부터 방어, 국경보안의 필요에 할당될 예정

• 영국의 아프가니스탄, 이라크, 북아프리카에서 역할로 인해 영국은 테러에 높은 수준으로 노출되어

있으며, 또한 스페인과 지브랄타(Gibralta) 국경지역에서 스페인의 지브랄타 반환요구로 인해 국경

분쟁을 벌이고 있음

• 2018년 3월 e-borders13으로 수집된 외국인 방문자 60만명에 대한 상세 정보의 외부 유출사건

발생으로 브렉시트 이전 IT 시스템의 재정비 필요성이 강조됨

• 2018년 10월 런던 히드로 공항은 안면 인식 시스템을 도입하여 탑승객의 편의를 향상시키고, 보안을

강화함

• 영국 정부는 가까운 미래에 영국의 모든 공항에 입국 시 테러그룹에 방어하기 위해첨단 기술을

도입하여 전신 스캐너, 보딩패스 스캐너 등을 설치하고자 함

• 그러나 안면 인식 시스템의 부정확성 및 법적 관리, 감독의 부실에 대한 우려가 존재함

11 Guidance for in-house monitoring centres, 2018.1012 Surveillance camera guidance, tools and templates, 2018.1013 경찰, 보안, 출입국 관리 목록에 대해 개개인 승객의 세부사항들을 전자적으로 수집하고 체크하는 시스템


▶ 영국은 다른 국가들로부터의 사이버 공격에 크게 노출되어 있음

• 국가안보전략(National Security Strategy)은 사이버공격을 국가안보에 대한 1단계(Tier 1) 위협으로

동일시함

• 2018년 1월 영국 국가사이버보안센터(National Cyber Security Centre)에서는 사이버 공격에 대해

총체적으로 완벽한 방어가 불가능함을 인정하고, 피해의 최소화를 강조함

• 2018년 10월 영국 국가사이버보안센터는 연례 보고서에서 러시아와 중국, 북한 등 적대적인 국가의

지시나 후원을 받거나, 이들 국가가 용인한 해커들에 의한 것이라고 발표하고, 사이버 공격을 위한

도구와 서비스 비용이 감소함에 따라 사이버 공격이 늘어날 것이라고 발표함14

▶ 국가 안보 관련 산업 보호 강화15

• 영국 정부는 국가 안보와 투자(National Security and Investment) 백서를 발간하여 영국 정부에게

국가 안보를 위협할 수 있는 신규 프로젝트에 대한 사전 검토 권한을 부여할 수 있음을 발표함

• 국가 안보를 위협할 수 있는 신규 프로젝트에는 ▲인수합병 규모가 7000만 파운드 이상이거나

인수합병 이후 시장점유율이 25% 이상이 되는 경우(2018년 6월, 법령 일부개정으로 군사 기술(또는

군민양용 무기제조업) ▲컴퓨터 하드웨어 기술 및 양자 기술(Quantum technology) 분야 기업의 경우

인수합병 규모가 100만 파운드 이상일 경우에도 정부개입 가능)가 해당함

• 정부의 개입을 유발하는 트리거 이벤트(Trigger event)로 ▲기업 전체 주식 중 25% 이상 인수하게

될 경우 ▲기업에 중대한 영향력(Significant influence) 또는 지배권(Control)을 행사할 수 있는 경우

▲상기 상황 이후에 추가적으로 중대한 영향력 또는 지배권을 얻는 경우 ▲자산의 50% 이상 인수

시 ▲자산에 중대한 영향력 또는 지배권을 행사할 수 있는 경우 등이 있으며, 이에 따라 정부의 사전

검토 권한 행사가 가능함

▶ 사이버보안분야에서 화웨이의 5G 네트워크 제품 배제

• 2018년 7월 영국 화웨이사이버보안평가센터(Huawei Cyber Security Evaluation Centre)는 화웨이의

5G 네트워크 제품의 보안 문제를 지적하는 보고서를 발표함

• 영국 화웨이사이버보안평가센터의 보고서에서는 네트워크의 백도어를 통해 침투하는 사이버 공격을

제시하며, 이로 인한 화웨이 제품의 보안 문제를 지적함

• 보안 취약점 통계·분석 사이트인 CVE디테일에 따르면 2018년 6월 기준 화웨이 제품에서 드러난 보안

취약점만 152개로 이는 2017년 보안 취약점 전체(157개)와 맞먹는 수준임

14 https://www.ncsc.gov.uk/news/annual-review-201815 “영국, 국가안보 관련 산업 보호 움직임”, Kotra 해외시장 뉴스, 2018.10.11.


▶ ITU의 글로벌 사이버 보안지수에서 영국 12위

• 2017년 11월 ITU의 사이버보안지수 자료에 의하면 영국은 전 세계에서 12위 순위로 한국(13위)보다

한 순위 앞서고, 유럽지역에서는 에스토니아, 프랑스, 노르웨이에 이어 4번째 순위에 해당함

• 특히 최근 들어 사이버 공간을 통한 각종 침투공격과 테러 예방을 위해 국가 정보보호정책을 계속

강화하고 있는 추세로 관련 기기 및 솔루션, 소프트웨어 등의 수요가 계속 증가해 나갈 것으로 전망

▶ 영국의 정보보호 시장은 성장성이 큰 만큼 글로벌 기업 간 경쟁강도가 매우 높음

• 자국 내 정보보호 산업도 높은 수준이지만 수요의 상당 부분을 수입에 의존하고 있어 글로벌 정보보호

기업간 경쟁 강도가 치열

• 고가 정밀 제품은 미국산 비중이 크나 중저가 물리보안시장 제품은 가격경쟁력을 앞세운 중국산이

강세

▶ 영국 사이버보안 분야 스타트업들이 두각을 나타냄16

• 영국의 사이버 보안 스타트업은 ID와 접속 관리 분야, 정보 보안과 협력 분야에 집중되어있음

• 사이버 보안 스타트업의 진출 분야 산업 전 분야에 고르게 퍼져있다는 점에서 사이버 보안 시장의

건전성을 보여줌

• 이와 같은 영국의 사이버 보안 스타트업체의 성장은 영국 정부의 큰 관심과 함께 대학과 협정된

투자의 증가가 뒷받침됨

▶ ICT 기술이 융합된 영국의 신산업, 신제품 분야 보안의 중요성 부각 < 자율주행차, 모니터, 스마트카,

사물인터넷 >

• 자율주행차 및 스마트카에 관한 책임을 보험회사에 부과하는 자율주행전기차법(Automated and

Electric Vehicles Act) 실행17

• 영국 정부는 2021년까지 자율 주행차의 상용화를 목표로 3년간 법규 검토를 하고, 자율 주행차 관련

22개 기술 연구 프로젝트에 2200만 파운드를 투자하고, 자율 주행차와 친환경 자동차에 총 10억

파운드를 투자할 예정임

• 2018년 3월 영국 국가사이버보안센터는 사물인터넷(IoT), IP카메라 등 인터넷이 연결된 제품을

대상으로 한 가이드라인 발표함. 가이드라인에는 제품 출시할 기본 암호를 고유하게 설정도록 하는

등 보안조치를 강화하는 내용이 담겨있음. 그러나 법적 구속력이 없어서 실효성이 떨어진다는 문제점

존재함

16 2018 UK Cybersecurity Start-Up Radar, 201.11.9.17 Automated and Electric Vehicles Act 2018, 2018.7



▶ 영국 디지털문화미디어스포츠부의 자료에 따르면 영국 사이버 보안 시장은 846개 회사가 활동하고 그

매출 규모는 56억 파운드로 추정된다.18

• 영국 정부는 2016년에 새로운 5개년 전략을 발표하며 향후 5년간 사이버 보안 방위와 준비에 약

24억 달러를 투자할 예정이며, 투자 대상에는 새로운 국가 사이버보안센터(National Cybersecurity

Centre)를 포함함

• 미국 상무부의 국제무역관리 자료19에 의하면, 약 50억 달러 가치를 지니며, 유럽에서도 가장 크고

가장 집중된 시장에 해당됨

• 2017년 영국 대규모기업의 73%가 사이버 공격&침해를 경험한 것으로 나타남

• 사이버범죄로 인한 영국의 피해는 약 30억 달러로 추정됨

• EU의 개인정보보호 일반규정(General Data Protection Regulations, 이하 GDPR)은 침해 보고를

의무화하고, 심각한 데이터 손실의 경우에는 글로벌 매출의 4% 또는 2천 5백만 달러까지 무거운

벌금을 부과함에 따라 사이버보안에 대한 지출을 촉진할 것으로 전망

그림 _ 영국의 사이버 보안 시장 현황(2017)

[출처] Cyber security market size in the UK from 2010 to 2017

18 DMCS UK Cyber Sector Report, 2018.619 ‘United Kingdom – Cyber-Security‘ U. S. International Trade Administration, 2018.8


• RSM 분석에 따르면 영국의 사이버 보안 분야의 인력 규모는 31,300~40,000명 정도로 추정됨. 1인당

창출하는 매출은 181,000 파운드이고, 1인당 75,000 파운드의 부가가치를 창출함. 대다수의 회사는

네트워크보안, 정보위험평가와 관리, 사이버전문서비스 분야에 분포함.

• 보험회사인 AIG와 사이버 보안 회사인 Invicta 네트워크가 협력하여 실행한 IP주소의 유동화,

보험회사인 Lloyds of London는 사이버 보안 회사인 Tripwire의 소프트웨어를 사용하는 회사에

할인을 제공하는 등과 같이 사이버 보안 회사와 보험회사의 협력이 진행 중20

• 기존 사이버 보험 분야에 대한 선행 연구의 부족 문제가 존재함. 2016년 Frost& Sullivan는 사이버

보험을 포함한 방위와 보안 산업 분야에 대한 분석을 실행함.

그림 _ 영국의 사이버보안 하위부문 시장 현황(2017)

[출처] U. S. International Trade Administration, ‘United Kingdom – Cyber-Security’(2016.7)

▶ Homeland Security Research의 2017년 5월 자료에 의하면, 영국의 국토안보와 공공 안전부문의

2015-2020년 시장 연평균 성장률을 11.3%로 예상21

• 영국은 경제적인 문제보다 훨씬 더 넓은 범위에서 안보문제에 직면해 있으며, 극단이슬람(ISIS)의

테러위협은 감소할 조짐은 보이지 않음

• 영국 국토안보 시장연구에 의하면 2015-2020년 기간의 시장은 연평균 성장률 11.3%로 이전의

2010-2015년 기간의 연평균 성장률 2~3%보다 4배정도 크게 성장할 것으로 전망

• 이러한 시장성장은 국토안보출입국 강화 및 공공안전시장을 포함하며, 제품과 서비스는 현재와

유사한 부문에서 비즈니스 기회가 있지만 이중, 삼중으로 강화될 것으로 예상됨

20 Cyber security market size in the UK from 2010 to 201721 “UK Homeland Security & Public Safety Market – 2017-2022”, Homeland security research, May 2017.


• 예를 들어 생체인식 양상은 기존의 보안에 더하여 범죄위협, 출입국시행, 테러위협에 대해 이중, 삼중

보안책으로 사용됨

• 영국 국토안보 시장은 2015년 파리, 2016년 브뤼셀 테러 공격 등으로 인해 영국 당국이 이와 같은

테러에 대해 긴급 계획과 대응역량을 강화할 것을 촉구함으로 인해 주요한 변화를 겪고 있음

▶ HD급 CCTV의 수요가 급증하며 대세 인기품목으로 부상 중

• 주요 수요 품목은 IP CCTV, 모바일 CCTV, 자동차 번호인식, 안면 인식, 홍채 인식 등으로 신기술 제품

수요가 급증하고 있으며, 특히 CCTV 시장이 HD급 고화질 스크린 제품으로 급전환 중인 가운데

2016년 중 전체 CCTV 수요는 550만~600만 대 수준이 될 것으로 추정되었음

• 2015년 11월 파리의 불특정 다수를 향한 테러와 2016년 3월 벨기에에서 발생한 테러 등에 자극된

보안강화 영향으로 공공건물 보안, 주거용 건물의 원격감시 등 고화질 CCTV를 비롯한 물리보안 장비

및 소프트웨어 수요가 급증해 나갈 것으로 예상

• 런던 히드로 공항은 2019년부터 안면 인식 시스템을 공항 전체에 도입하는 것을 목표로 5천만

파운드(736억원)을 투자할 예정임. 기존 10년 동안의 키오스크 등의 일부 분야에서 적용했던 안면

인식 경험을 활용하여 탑승객의 편의를 향상시키고, 보안을 강화할 예정

2. 분야별 현황

물리보안 제품

▶ 영국의 물리보안시장은 전통적으로 CCTV가 주력 제품

• 2007년에 들어 영국 CCTV시장은 공공수요 외에 증가세인 민간 수요가 가세하여 한 해 동안 400만대

이상이 판매되어 절정기에 도달했음

• 2009년까지 수요가 28.2%나 감소하는 소강상태를 보인 아날로그 CCTV는 2008년 금융위기 여파로

인한 경기침체 탓으로 2010년부터 수요가 다시 회복세로 회귀

• 2011년 8월에 발생한 흑인 폭동 및 상가 약탈사태 이후 영국 경찰 및 정보기관의 반사회적 행동에

대한 감시시스템 수요가 급증했으며 2012년 런던 올림픽 개최용 특수를 맞아 제2의 호황기를 맞게

되었음

▶ 낮은 규모(low-scale)의 전자기기 보안시장은 포화상태

• 낮은 규모(low-scale) 전자기기 보안에 대한 시장은 이미 포화상태이지만, 이들 사업자들은 각각 DVR,


접근제어, 생체인식, 전통적인 CCTV 등과 같은 특화된 프로세스로 특화하는 경향을 보임

물리보안 서비스

▶ 영국의 물리보안 서비스 업체는 4,800개 내외가 되는 것으로 집계되고 있고 연간 매출 규모는 26억

달러 수준이 되는 것으로 추산

• 업체 수는 물리보안 업체와 정보보안 업체를 명확히 구분하기가 어려운 상태로 혼재되어 있는데

아직은 주력시장이 물리보안 서비스 시장

▶ 영국의 정보보호 서비스 업체들도 대부분이 소규모 업체로 구성

그림 _ 영국 정보보호 서비스 업체 규모별 비교

종류 기준 수 비율

대형회사250명

이상89개 11%

중형회사50-250

명 미만132개 16%

소형회사10-50명

미만205개 24%

영세회사10명 미

만420개 49%

합계 - 846개 100%

[출처] DMCS UK Cyber Sector Report, 2018.6

• 고용 규모가 10명 미만의 영세회사가 전체 업체의 49%, 소형회사가 24%, 중형회사가 16%를 차지하여

중소형회사가 전체의 89%를 차지함. 이에 반해 250명 이상을 고용하는 대형회사는 89개로 전체의

11%뿐임.

• 이에 반해 중소회사의 총 매출은 15억 파운드로 전체의 26%뿐이지만, 대형회사의 총매출은 42억

파운드로 전체의 74%를 차지함.

• 고용인원별로는 20명~49명대의 고용 규모 업체가 총 고용인원이 가장 크고, 500명 이상

고용업체들은 평균 1,000명 정도를 고용하고 있는 것으로 나타나 업체별 고용인원 격차가 크게

나타나고 있음

▶ 업종별로는 물리보안 업체가 여전히 정보보안 시장의 주류를 형성


• 실제 물리보안 업체와 정보보안 업체를 명확하게 구분하기는 불가능한 실정인데 이는 대부분

중견기업 이상업체들이 물리보안과 정보보안을 병행하는 경우가 많고 또 중소기업 중에도 정보보안

서비스 전문기업으로 창업한 기업들이 속속 증가되고 있어 이를 명료하게 구분하기는 불가능하기

때문

• 그러나 Barnes Reports에 따르면, 공식 등록업체 기준으로 70% 이상이 물리보안 업체로 파악되고

정보보안 서비스 전문 업체는 10%를 약간 넘는 492개 업체로 추정되는 정도로 물리보안 업체가

중심을 이루고 있는 상태

정보보안 제품 및 서비스

▶ 영국의 정보보안 시장은 사이버공간의 각종 사고가 빈발하면서 민간 수요뿐만 아니라 국방부 등

공공부문 수요도 급증세

• 기존 국방부 중심의 정부 각 부처의 국토방위 및 국가안보 관련 정보보안 수요가 중심이 되어 오던

수요 패턴에서 인터넷과 컴퓨터 사용이 일반화되면서 사이버 공격 빈도가 급증하고 공격범위 및

영역이 확장되고 비즈니스에 심각한 타격을 받게 된 민간부문의 수요가 공공수요를 초과하여 급성장

중

• 참고로 영국정부는 국가 정보보안 역량 강화를 위한 특별 프로젝트로 2011-2015년 기간 중 사이버

보안 전문 업체인 BAE Systems를 통해 13억 달러를 투자하여 국가정보보안 프로그램(NCSP : National

Cyber Security Programme)을 추진, 국가 정보보안 능력, 특히 네트워크 운영 기관의 보안역량을

업그레이드 추진

표 _ 영국의 정보보안 시장 규모 추이

구분 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025

규모 302 322 345 368 393 420 449 479 512 546 583

성장률 - 6.6 7.1 6.7 6.8 6.9 6.9 6.7 6.9 6.6 6.8

(단위 : 백만 달러, %)

[출처] SDI, ‘The Cyber Security Market in the United Kingdom to 2025: Market Brief’(2016.3)

▶ 물리보안 시장에 비해 정보보안 시장은 상대적으로 작은 규모를 형성

• 보안 분야 전문 시장조사업체 SDI사의 분석에 따르면 영국의 정보보안시장은 2015년도의 경우 총

3억 200만 달러 규모로, 이중 인식 및 접근제어 부문이 가장 시장규모가 커 1억 3,500만 달러를

기록하였고 다음으로 네트워크 보안이 9,000만 달러, 데이터 보안은 5,000만 달러, 클라우드 보안은


2,700만 달러의 시장을 형성한 것으로 나타남

• 동사의 전망보고서에 따르면, 인식과 접근제어 분야가 연평균 6.5% 정도의 성장률을 기록하고,

2025년도에는 2억 5,300만 달러 규모의 시장으로 성장할 것으로 전망되었으며, 최근 영국 정부가

공공부문 정보보안에서 가장 신경을 쓰는 부문인 네트워크 보안시장도 연평균 7% 정도의 성장을

기록하면서 2025년도에는 1억 7,700만 달러의 시장규모를 형성할 것으로 예상

• 또한 이동통신망 사용이 활성화되면서 수요가 급증세인 데이터 관리강화를 위한 데이터 보안도

2025년도에는 9,400만 달러 규모 시장으로 성장하고 클라우드 보안 시장도 5,800만 달러 정도의

시장이 될 것으로 추산

표 _ 영국의 정보보안 시장 성장 전망

구분 2015 20252015-25년 기간 중

총 시장규모

2015-25년 기간 중 연평균

성장률(%)인식 및 접근제어 135 253 2,100 6.50

네트워크 보안 90 177 1.400 7.00

데이터 보안 50 94 774 6.50

클라우드 보안 27 58 449 8.00

합계 302 583 4,700 6.79

(단위 : 백만 달러)


사이버보안 부문별 투자 비중

▶ 2015~25년 기간 중 영국의 사이버보안 부문 지출은 인식 및 접근제어 부문이 가장 큰 비중을 차지할

전망

• 보안 시장조사업체 SDI사는 2015~25년 기간 중 영국이 ▲인식 및 접근제어 부문에 44%를 ▲그

다음으로 네트워크 보안에 30%, ▲데이터 보안에 16% 그리고 ▲클라우드 보안에는 10%를 각각

투자할 것으로 전망

▶ 네트워크 보안과 클라우드 보안 시장 성장세가 다소 커질 전망

• 그러나 최근 영국정부는 군 및 정부의 최고등급 기밀의 해킹위험이 큰 네트워크 보안강화를 위한

투자를 확대해 나가는 추세이며 이와 함께 클라우드 보안도 비중이 높아지고 있는 상태


표 _ 영국의 중기 사이버 보안시장 부문별 비중 변화 전망(단위 :백만 달러, %)

구분 2016 2017 2018 2019 2020 2025

총 계

금 액 322 345 368 393 420 583

비 중 100.0 100.0 100.0 100.0 100.0 100.0

성장률 6.6 7.1 6.7 6.8 6.9 6.8

인식 및

접근제어

금 액 144 153 163 174 185 253

비 중 45 44 44 44 44 43

성장률 6.7 6.3 6.5 6.7 6.3 6.3

네트워크 보안

금 액 96 103 110 118 126 177

비 중 30 30 30 30 30 30

성장률 6.7 7.3 6.8 7.3 6.8 7.3

데이터

보안

금 액 53 57 61 65 69 94

비 중 17 17 17 17 16 16

성장률 6.0 7.5 7.0 6.6 6.2 6.8

클라우드 보안

금 액 29 32 34 36 40 59

비 중 9 9 9 9 9 10

성장률 7.4 10.3 6.3 5.9 11.1 7.3





▶ 유통 구조 및 시장 특성

• 영국의 물리보안 시장은 관련 제품의 국내 생산도 활발하기 때문에 유통 구조도 국내생산제품과

수입제품에 따라 다소 상이한 구조

• 이에 따라 가치사슬도 약간 상이한 구조를 가지며 전문 도매 유통업체는 특정 업체 및 브랜드의 독점

판매 에이전트 역할도 하지만 일반적으로 다양한 제품 및 브랜드를 국내의 다양한 지역의 소매상

및 SI 업체들에게 공급하는 패턴을 유지

• 영국 내 제조업체중 일부가 생산제품을 직접 시공업체에 판매하는 도·소매상 기능을 하는 경우도

발견되는데, 이 경우는 대체로 생산제품의 판매와 시공에 많은 마케팅 노력과 설치 및 관리에


기술지원이 필요한 고도 기술제품을 취급하는 경우의 특별한 고객관리 케이스의 판로구조

• 최종 소비자 직전에 정보보안 컨설팅사가 개입하는 경우가 있는데, 이는 대기업, 유통업 등 다수의

매장을 운영하는 경우 및 정부 조직 등 보다 전문적인 보안제품과 시스템을 수요로 하는 경우

▶ 경쟁 강도

• 영국의 물리보안시장은 기존 가격경쟁 시장 구도에서 HD CCTV, 원격제어 감시 시스템 등 고도

기술제품으로 수요 중심이 전환되는 과정에 있으며 이를 충족시키는 미국, 일본 등 유명 브랜드

제품이 선호를 받는 추세

• 이에 따라 기존에 가격경쟁력을 기반으로 시장 점유율을 확장해 오던 중국산, 대만산, 말레이시아

등 제품의 증가율이 다소 주춤해지는 단계로 평가

• 그러나 여전히 중국산 등 저가 보안제품의 수요가 시장의 중심세력 구축 중


▶ 유통구조 및 시장 특성

• 영국 정보보안 시장의 유통 구조는 ▲국토방위 및 정보기관, ▲정부 공공기관 ▲대기업, ▲중소기업

및 일반 소비자의 4 카테고리 별로 특징이 구분되는 시장

① 영국 국방 및 정보기관 시장

• 국토방위 및 정보기관의 정보보안 수요는 공공입찰을 통한 정부조달시장을 통해 구매가 이루어지는데

사전 등록된 다국적 전문 방산제품 공급기업, 대형 컨설팅사, 다국적 HW/SW 벤더 등이 경쟁 입찰에

참가하여 공급

• 국방 및 정보기관 대상 정보보안 시장은 국가기밀을 취급하는 기관들로 관련 시장규모는 왜소하나

최고 수준의 보안기술 수준과 기밀유지를 요하는 거래로 이미 보안상태가 검증된 공급업체가 아닌

한 신참기업이 참여하기도 어려운 자격요건을 요하는 성격의 시장으로 주로 미국 등 주요 선진국

다국적 기업들이 장악하고 있는 상태

• 방위 및 정보기관 시장은 영국 국방부(MoD), 국가정보청 보안부(M15), 해외담당 정보부(M16) 등 최고

기밀을 취급하는 기관을 대상으로 하는 시장

• 시장규모는 2015년 기준 약 3억 7,600만 달러 정도로 추정되며 최근 들어 프랑스와 벨기에에서 발생한

각종 테러 사건 등으로 국가보안 등급을 상향하는 상황으로 수요가 급증할 것으로 추정되나 정확한

데이터는 기밀 사항으로 SDI사의 추정으로는 대략 2023년까지 연평균 12% 내외의 증가율을 보일

것으로 추산


표 _ 영국 국방부 정보보안 시장 추이

구분 2015 2016 2017 2018 2019 2020 2021 2022 2023 연평균증가율

금액 376 411 453 498 548 613 687 790 908 12%



• 2013년 통계를 기준으로 영국 국방 및 정보기관 정보보안 시장 중에서 가장 비중이 큰 부문은

정보보안에 가장 신경을 쓰고 있는 네트워크 보안으로 9,300만 달러 규모에 32%의 비중을

점유하였고 2023년도까지의 장기 전망으로는 시장 규모가 연간 2억 9,400만 달러에 이를 것으로 예상

표 _ 영국의 국방 및 정보기관 세부 정보보안 시장별 전망

구분 2013 2023 ‘13-’23 합계 연평균 증가율

네트워크 보안 93 294 1,900 12.3

데이터보안 80 240 1,600 11.6

인식 및 제어 70 214 1,400 11.8

클라우드 보안 50 160 1,000 12.4

합계 293 908 5,900 12.0

(단위 : 백만 달러, %)


② 정부 공공기관 수요시장은 다양한 경로를 통해 조달하는 유통 구조를 지님

• 중앙 정부부처 및 산하기관 등은 정보보안 제품을 엄격한 통제와 기밀을 요하는 국방 및 정보기관의

폐쇄적인 구매경로보다 융통성 있는 경로를 통해 가격 경쟁력을 중시하는 구매패턴을 유지

③ 영국 정부 공공 정보보안시장은 다음 세 카테고리로 구분

• 중앙정부 부처 : 노동연금부(Department for Work and Pensions), 법무부(Ministry of Justice) 등

국민의 개인정보 취급기관들은 고난도 정보보안 수준을 요구

• 경찰 : 사이버 공격과 사기 등 중대한 사이버 범죄 수사를 담당하는 중앙 사이버 범죄부서는 최고

수준의 특수보안기능을 필요로 하고 있으며, 경찰 정보보안시장에는 일반 수준의 IT 서비스

공급자들과 방위산업 벤더들 그리고 소규모 특수 보안서비스 공급업체들이 다수 활동 중

• 지방정부, 대학, 건강보험관련 조직 : 저수준의 정보보안 투자기관들

④ 민간부문 중 대기업의 정보보안 제품 구매는 전산담당 자회사 및 부서에서 담당


• 영국의 대기업 정보보안 시장은 특히 경쟁사 및 경쟁국의 해킹에 대비한 사이버보안에 집중하는

경향이 있으며, 주로 다국적 사이버 보안 컨설팅사, 전문적 ICT 서비스 사업자, 다국적 HW/SW벤더,

VAR 등이 공급업자로 참여하고 있는데 수의계약보다는 공개경쟁 입찰 방식을 선호하는 경향

• 최근에는 사이버 보안 수요가 높아지면서 이 분야에 전문화된 중소 정보보안 솔루션이나 SW

벤더들이 틈새시장 부문에서 참여기회 확장 추세

⑤ 중소기업 및 일반소비자 정보보안 시장은 다양하고 복잡한 유통 구조 형성

• 온라인 및 오프라인, 시장에 참여하고 있는 다양한 사업자간 복잡한 유통구조를 형성

• 일반적으로 소매점들이 설치 및 A/S 서비스를 전제로 유통경로의 중심에서 다양한 국가의 브랜드를

공급하고 있으며, 최근에는 정밀성을 요하는 고가제품의 수요가 급증세이나 제품의 질적 수준이나

원산국 브랜드보다는 가격경쟁력이 중심이 되는 시장

• 이 시장에 참여하는 다국적 유명 브랜드 HW/SW 벤더들은 지명도를 기반으로 하는 온라인 채널을

통해 주로 제품을 판매

▶ 경쟁 강도

• 영국의 정보보안 시장은 유럽에서 가장 규모가 큰 시장으로 다국적 사이버 보안 컨설팅사, 전문 ICT

서비스 사업자, 다국적 HW/SW 벤더, VAR 등이 얽혀 단독 혹은 컨소시엄 형태로 입찰에 참여하면서

치열한 경쟁을 하는 경쟁강도가 높은 시장

• 특히, 영국 정부의 국방 및 정보기관의 조달 수요나 공공부문 중 일부 정보보안 중심기관들은

구매제품의 가격경쟁력보다는 해당 제품 공급사 및 브랜드이 보안성 및 신뢰도를 더 높게 보는

경향이 있어 지명도가 높은 다국적 기업들이 보다 유리한 입장

주요 사업자

▶ 정보보안 사업자

① G4S plc

• 세계 최고의 보안 회사로 보안컨설팅에서부터 전자기기 제품에 이르기까지 통합된 보안솔루션을

영국, 아일랜드, 아프리카, 아시아, 중동, 라틴아메리카, 유럽, 북아메리카에서 제공

• 주요 서비스는 설계, 구축, 통합시스템 뿐 아니라 분석과 지능, 기술과 소프트웨어, 컨설팅과 리스크

관리, 모니터링과 대응을 포함한 통합된 솔루션을 제공함

• 또한 현금관리 서비스, 전체적인 현금관리 전략과 현금 사이클 효율, ATM기 관리, 등에 대해

중앙은행과 상업은행에 자문 서비스 등 현금 솔루션을 제공

• 금융기관, 정부, 항구 및 공항, 대기업, 교통 및 물류, 오일 및 가스 등 다양한 부문의 고객들에게


보안서비스를 제공

• 연락처 : Home Page - http://www.g4s.com/

Tel.- 44(0)208-770-7000

② Exclusive Networks

• 이 업체는 영국계로 유럽 전역을 대상으로 정보보안 관련 VAD(Value Added Distributor)로 사업을

벌이고 있는 업체로 20여 주요 SW 벤더들의 제품을 취급하는 업체

• 활동 국가는 영국, 오스트리아, 벨기에, 핀란드, 프랑스. 독일, 이탈리아, 네덜란드, 노르웨이, 포르투갈,

스페인, 스웨덴, 스위스 유럽국들과 아프리카 주요국

• 20여 거래업체 중 정보보안 SW 벤더는 FireEye, Fortinet, SafeNet, Aerohive, Arbor, Aruba, Bit9, Palo,

Alto 등 13개 업체

• 연락처 : e-Mail [email protected]

Home Page - www.exclusive-networks.co.uk

Tel. - 0845-521-7217, Fax - 01420-544799

③ Sophos

• 1985년에 설립된 영국의 대표적인 정보보안 업체

• 사업문야 : 통합위기관리(UTM : Unified Threat Management), 엔드 포인트, 암호화, 이메일, 웹, 모바일

보안 SW/HW 제공, 영국로컬 및 글로벌 기술 벤더로 1985년 안티바이러스와 암호화제품을

출시하면서 정보보안 시장에 진출

• Sophos는 영국과 미국계 자본주들이 연합 설립한 비상장 기업으로 영국 옥스퍼드셔와 미국

매사추세츠 두 곳에 본사를 두고 있는 기업

• 중국, 일본, 싱가포르, 인도, 인도네시아 등 12개국, 1700여 명의 직원 고용 기업

• 연락처 : Home Page - http://www.sophos.com

e-Mail : [email protected]

④ Nexor

• 1989년에 설립된 기업으로 1992년도부터 본격적으로 정보보안 시장에 참여한 기업

• 주 사업 분야는 국방 및 정보기관, 발전소와 같은 중요한 인프라 보호를 위한 정보보안 분야이며

ISODE(ISO Development Environment) 연구개발 경험을 살려 군사정보전달체계(MMHS : Military

Message Handling System)에 강점이 있는 기업

• 연락처 : Home Page - http://www.nexor.com/nexor-ukti

Tel. -44(0)115-952-0500, e-Mail : [email protected]


⑤ Intercede

• 1992년도에 ID관리시스템 개발업체로 출범한 기업으로 대표 제품인 MyID를 현재 24개국에 수출하고

있는 기업

• 본사는 영국 Lutterworth 타운에 소재, 런던 증시에 상장 기업

• 주력제품인 MyID는 미국 조달청 GSA에서 최초로 인정한 전자 개인 ID 확인제품

• 주 기업 고객은 보잉, 록히드 마틴, 부즈 앨런 해밀턴 등이 있으며 미국, 영국 등의 주요 정부기관들도

ID 시스템으로 도입 사용 중

• 주요 비즈니스 파트너로는 BT, Gemalto, HP, Microsoft, Safenet, Symantec Thales 등

• 연락처 : Home Page - http://www.intercede.com

Tel.- 44(0)1455-558-111, e-Mail – [email protected]

⑥ ECSC

• 2000년에 사이버보안 컨설팅 사업으로 설립되어 200개 이상의 고객들에게 사이버 보안 컨설팅

서비스와 보안관리서비스(Managed Security Services, MSS)를 제공하며 설립 이후 2016년까지

연평균성장률 약 20%를 보이며 강한 성장을 함

• ECSC가 제공하는 컨설팅 서비스로는 사이버보안 리뷰, 기업 및 조직들의 해킹에 대한 취약성에 대한

침투 테스팅(Penetration Testing), 지불카드산업(Payment Card Industry, PCI) 및 보안국제표준인 ISO

27001 준수 평가와 승인 등이 있음

• ECSC는 교육, 도매, 법률, 금융, 지역 당국 등 모든 부문에 사이버 보안 솔루션과 서비스 범위를

제공하며 e-commerce 스타트업부터 글로벌 조직들에게까지 고객 목록 범위를 확대하고 있으며,

FTSE 10022 기업들 중 약 10%가 고객에 해당함

• 연락처 : Home Page - https://www.ecsc.co.uk/

Tel.- 44 (0) 1274 736 223, e-Mail – [email protected]

▶ 물리보안 사업자

① Norbain

• 영국 전자보안업계에서 30년 이상 업력을 가지고 있는 영국 최대 보안장비 유통업체로서 17년 전부터

품질관리시스템인 ISO 9001.2000을 취득한 업체

• 활동지역은 전 세계 77개국에 진출하고 있으며 맨체스터에 있는 본사는 300명 이상의 인력을 고용

• 유럽 최대 유통망을 운영 중인 업체로 HID, GE, Panasonic 등 유명 브랜드 제품을 중심으로 취급하는

기술력이 우수한 제품들을 선택, 유럽시장에 공급 중인 기업으로 2012년 투자기업 Newberry

22 FTSE 100: 런던 증권거래소에 상장되어 있는 기업 중 상위 100개 기업을 일컬음


Investment Ltd.가 100% 지분을 인수

• 주요 취급 품목은 CCTV, IP 동영상 시스템, 접근 제어 통제 시스템, 침입자 감시 장비 및 시스템 등

• 연락처 : Home Page - www.norbain.co.uk

Tel. - 0118-912-5000, Fax - 0118-912-5001

② ADI-Gardiner

• 50년간 보안장비 유통업을 해 온 영국 보안장비 업체의 대표 기업

• 전 세계 200여 개의 유통망을 통해 보안장비와 低 전력소비 제품 판매

• 국내 바이오 인식 솔루션 업체인 슈프리마의 바이오 인식제품 판매 업체

• 연락처 : e-Mail - [email protected]

Home Page - https://uk-eshop.adiglobal.com.

Tel. : 01706-343-343, Fax : 44(0)207 902 7910

③ SSED Ltd. T/A Hunters Wholesalers

• 2005년에 설립된 전자 보안장비 전문 유통업체로 각종 화재경보, CCTV 보안 제어기기 등을 취급

• 다양한 벤더들의 제품을 취급하고 있는데, 예컨대 Honeywell MK, Honetwell ADE, Cooper Security,

ICS Security, Fike, Klaxon, ESP UK, Visionic, Cytech Comfort Alarms, CDV, ICS Philex, Labgear 등이

주요 브랜드를 취급

• 연락처 : Home Page - www.hunters-wholesalers.co.uk

e-Mail - [email protected]

Tel. - 01628-669124, Fax - 01629-667710

④ Bosch Security Systems Inc.

• 독일의 보안제품 공급업체로 전 세계 CCTV, 침입방지 시스템, 음성인식 시스템 등 공급

• 영국 총괄대리점은 CSS Group PL

• 연락처 : Home Page -http://cssgroupplc.com/

Tel. : 01489 566101, FAX : 01489 565375

⑤ Securitas

• 경호 보안업무가 주력이었던 Securitas는 2015년 10월 Diebold사를 인수합병하며 전자기기 보안

분야를 강화하고 보안 솔루션을 통합하였으며, 또한 2016년 4월에는 CCTV, 접근 제어 등의 기술을

가진 독일의 Draht & Schutz을 합병하여 CCTV 부문의 기술을 강화함

• Securitas는 현재 전자기기 보안, 원격 보안 등 다양한 보안 제품을 제공하며 2015년에는 영국에서


민간 보안기업으로 매출액 기준 2순위를 차지함

• 연락처 : Home Page –http://www.securitas.uk.com

e-mail: [email protected]

▶ 유망 사이버 보안 스타트업체들23

① Darktrace(2013년 설립)

• 가장 성공한 영국 사이버 범죄 예방 스타트업으로, 해당기업은 사이버 침해사고가 발생하기 전 범죄

패턴을 찾도록 인공지능기술인 기계학습 알고리즘을 사용하여 회사 네트워크 내 비정상적인 부분을

신속히 파악하는 기업면역 시스템 보유

• 이러한 변칙을 탐지하는 기술은 현재 BT에 의해 재판매되고 있으며, Mike Lynch로부터의 투자를 받아

설립된 이후 2017년 7월에 7,500만 달러 투자를 받았으며 현재 가치는 8억 2,500만 달러에 해당함

• Darktrace는 캠브리지 수학과 출신학생들과 GCHQ(Government Communication Haedquarters)

출신들이 공동 설립한 사이버 보안회사로, 영국 캠브리지와 미국 샌프란시스코에 본사를 두고 있으며,

전 세계 23개 지사가 있음

② CybSafe(2015년 설립)

• 구체적으로 사용자의 실수에 의한 위험을 줄이기 위해 인간의 행동과학을 보안 이러닝 프로그램에

적용

• 직원이 제대로 훈련을 받지 못했거나 인식을 가지지 못한다면, 회사가 큰 위험에 처해있을 때 조직이

아무리 제때 좋은 기술을 가지고 있다 하더라도 이는 중요하지 않음을 전제로 함

• 설립자 Oz Alashe에 의하면 행동과학에 기반한 플랫폼은 직원과 함께 하므로 다른 훈련프로그램과

차별성이 있다고 강조함

③ ZoneFox(2010년 설립)

• ZonFox는 네트워크 동작을 조사하고, 실행 가능한 인사이트를 제공하며 의심스러운 활동에 경고를

보내기 위해 인공지능(AI)을 사용

• 최근 Archangels로부터의 투자를 이끄는 시리즈 A 펀딩 라운드가 완료되었고, ZoneFox는 에딘버그

본사를 3배 확대, 런던에는 한 개 팀을 구성할 계획임

• 현재 고객으로는 Rockstar Games, Zenith 은행을 포함하며, 비즈니스는 금융, 약학, 게임 부문으로

확대 중

23 “The UK's 13 most promising cybersecurity startups”, Techworld, 2017.7.11.http://www.techworld.com/picture-gallery/security/uks-10-most-promising-cybersecurity-startups-2016-3634620/


④ StatusToday(2015년 설립)

• StatusToday는 ‘인공지능이 인간행동을 이해한다’는 브랜드를 사용하며, 기계학습을 사용하는

플랫폼은 직장에서 평범한 실수나 내부자의 공격 등의 인간 행동을 이해할 수 있게 함

• 2016년 2월에 Notion Capital을 포함한 벤처캐피탈 회사들로부터 seed 펀딩에서 1백만 파운드를

획득하였으며, 최근에는 영국 정보통신본부(GCHQ)의 인큐베이터 프로그램을 완료했음

⑤ Digital Shadows(2011년 설립)

• Digital Shadows는 특정회사에 대한 위협과 관련된 잡담을 수집하여 인터넷의 어두운 측면을

검색하는 데이터베이스 중심의 인식시스템에 기반을 둠

• 인식 시스템은 소셜미디어, 범죄 포럼, 깃허브(GitHub) 등을 포함하여 27개국 언어에서 1억 개에

해당하는 인터넷 소스를 검색함

• 시드 펀딩의 2차 라운드는 2011년과 2013년 총액 2백만 달러였고, 2015년 초 VC Storm Ventures에

의해 8백만 달러가 더 충원됨

⑥ CyberLytic(2013년 설립)

• BAE Systems에서 일하던 핵심 공학자 그룹에 의해 공동 설립되었으며 사이버공격에 대응하기 위한

자동화된 툴을 개발하고 있는 CyLon 인큐베이터에서 나타남

⑦ SQR Systems(2011년 설립)

• 멘토로서 런던 CyLon 엑셀레이터를 통과한 SQR은 브리스톨 대학에서 탄생했으며, 비디오, 데이터,

음성의 메시지 보안 앱을 개발

⑧ Silicon:Safe(2013년 설립)

• 하드웨어 기반 제품에 개발투자가 이루어졌다는 점에서 유일한 스타트업체라 할 수 있으며, 이 제품은

데이터가 입력되지만 결코 기기에 정보가 남지 않는 혁신적인 아키텍쳐로 자격인증을 보호함

⑨ Wandera(2013년 설립)

• Wandera는 모바일 보안을 강화하는 클라우드 서비스형 소프트웨어(Saas) 플랫폼으로 실시간으로

위협을 감지할 수 있음

⑩ SaltDNA(2015년 설립)

• Queen’s University Belfast 출신들에 의해 설립되었고, SaltDNA의 기업플랫폼은 특히 모바일

디바이스에 대해 암호화, 중앙집중식 통신이 허용됨


• 미국 벤처펀딩에서 3백만 달러를 유입하여 지금은 미국에 기반을 갖고 있으나 미국에 진출한 영국계

스타트업에 해당함

⑪ Corvid(2015년 설립)

• Corvid는 더 큰 영국 회사 Ultra Electronic사의 독립적인 spin-in으로 실시간 Security-as-a-service를

제공함

⑫ Ripjar(2015년 설립)

• Ripjar은 위협에 대한 소셜미디어의 댓글이나 반응 모니터링, 고객과 명성 관리 등 다양한 일을 위해

사용되는 데이터 지능 플랫폼임

⑬ GeoLang(2013 설립)

- 2016년 정보보안쇼(Infosecurity Show)에서 가장 혁신적인 작은 사이버보안 회사(Most Innovative

Small Cyber Security Company)상을 받은 GeoLang은 최근 부상하고 있는 요구사항에 대한 정교한

데이터 손실 방지를 개척함

▶ 글로벌 정보보안 기술 벤더 및 시스템 통합(SI) 사업자

• IBM, HP와 같은 전 세계 IT시장을 주도하는 거대 IT 벤더들과 미국 CSC와 캐나다 CGI 그룹과 같은

IT 서비스 사업자들은 IT 인프라 구축과 함께 보안사업 비즈니스를 턴키로 수주하는 강력한 대형

사업자

• CGI 그룹은 2012년 4월 영국의 정보보안 솔루션 사업자 Logica사를 17억 파운드로 인수해, 단숨에

영국 정보보안 시장 내 강력한 입지를 구축

▶ 방산 전문 업체

• 영국은 물론이고 전 세계 방위산업 시장은 특수시장으로 Thales, BAE Systems, Northrop Grumman

등 방산 전문 기업들이 참여

• 이들은 이미 영국 등 전 세계 방산 시장에 지명도가 높고 네트워킹이 구축되어 있는 기업들로 군용

SW나 솔루션만 판매하는 것이 아니고 다른 방산용 HW나 특수 목적 서비스를 담당하기도 하며,

사이버보안 분야로 사업을 확장함

① BAE Systems

• BAE Systems는 영국 런던에 기반하며 93,500명 이상의 직원을 가진 글로벌 방위 및 항공우주

시장에서 가장 큰 기업 중하나에 해당


• 상업적인 사이버 성장 전략으로 2014년 Siversky를 인수하였고, 사이버와 지능 부문에서 시장에서의

존재와 역량을 더하기 위해 2010년 Stratsec Net Pty Ltd를 인수, 사이버 보안 등의 고객서비스와

지원 영역의 사업을 성장시키기 위해 2010년 SpecTal, LLC를 인수하였음

② Thales UK

• 프랑스에 기반한 Thales는 50여 개국에서 운영되고 있으며, 방위 계약자로 방위, 보안, 항공우주,

우주시장에서 정보시스템에 특화되어, 68,000명의 직원을 고용하고 있으며, 영국 시장은 1970년대

이후부터 운영해오고 있음

• Thales는 수익의 45%를 방위부문, 23%는 보안시장으로부터 얻고 있음

• 2013년 영국에서 새로운 사이버 통합 및 혁신 센터를 공개하였으며, 센터는 주요 국가 인프라, 정부,

상업적인 조직들의 보안의 향상을 지원하기 위해 설계된 사이버-보안 전투 실험실(battle lab)에

해당함

③ Northrop Grumman UK

• 미국에 기반한 Northrop Grumman은 글로벌 보안 회사로 전세계 정부, 상업적 고객에게 혁신적인

시스템, 제품, 항공우주 분야 솔루션, 전자기기, 조선, 정보시스템, 기술서비스 등을 제공함

• 영국에서 Northrop Grumman은 사이버보안과 정보 보증 서비스를 제공하며, 2012년에는

사이버보안과 보안 이동통신제품과 서비스를 제공하는 M5 Network Security Pty Ltd.를 인수하였음

▶ 영국 보안기술 벤더

• 유명 대형 벤더 그룹으로는 Sophos가 있으나 대부분의 보안 벤더들은 중소기업들로 특수 보안 분야

틈새시장에 정통하며 특수기술을 보유하고 있는 전문 업체들이 대부분

▶ 글로벌 컨설팅 기업

• 전 세계를 대상으로 경영 및 비즈니스 컨설팅을 제공하는 KPMG와 같은 글로벌 기업들은 주요국

정부기관 및 민간기업 고객들의 요구에 의해 정보보안 컨설팅 서비스도 제공하고 있는 중 (KPMG의

경우 영국 법인 내에 200명 이상의 보안전문 컨설턴트를 보유하고 있다고 전해짐)

▶ 글로벌 정보보안기술 벤더

• Symantec과 같은 세계적인 대형 정보보안 기술 벤더뿐 아니라 규모는 작지만 전문분야의 정보보안

기술 벤더들이 영국 내 보안 솔루션 및 서비스 시장에 참여 중

• MIicrosoft, SAP, Oracle, Dell 등 세계적인 글로벌 SW 벤더들도 보안 SW 기업을 인수하면서 보안기술


벤더 그룹으로 급부상

▶ 특이한 케이스 : 주요 통신사

• 주요 통신사들도 최근 정보보안과 클라우드, 모바일 통신망간의 연계 패키지가 IT 영향력을 높일 수

있는 환경이 됨으로 보안 분야 투자에 박차를 가하는 추세

• 영국의 대표 통신사인 BT의 경우 자사의 정보보안 역량 강화 목적뿐만 아니라 직접 정보보안 시장에

뛰어들기 위해 이미 정보보안 분야에 1,800명 이상의 컨설턴트, 아키텍트 및 디자이너를 확보하고

있음


▶ 브렉시트(Brexit) 이후 EU 탈퇴 협상 기간 만료에 따른 영국 동향

• EU 탈퇴 시한인 2019년 3월이 가까워짐에 따라 영국과 EU의 협상이 없이 브렉시트(영국의 EU탈퇴)가

이루어질 경우(‘노 딜’ 브렉시트)에 대한 우려 급증함. 노 딜 브렉시트로 인해 영국의 경제 등 사회

전반에 악영향을 줄 수 있기 때문에 영국과 EU의 협정 여부와 그 내용이 매우 중요함.

• 2018년 11월 13일 테레사 메이 영국 총리는 EU와 탈퇴 합의(Withdrawal Agreement) 초안에

합의했음을 발표함. 합의문에는 ▲회원국으로서 애초 영국이 부담하기로 EU와 합의했던 분담금을

어떻게 정리할 것인지의 문제 ▲브렉시트 이후 영국 내 EU 시민과 EU 내 영국 시민들의 권리 문제

▲아일랜드섬 내 (영국 연방 소속) 북아일랜드와 (EU 회원국) 아일랜드 사이에 물리적 국경선(hard

border) 설치를 피하는 메커니즘이 담겨있음. 구체적으로 영국은 EU의 단일 시장과 관세 동맹에

잔류하고, EU의 동의없이는 탈퇴할 수 없게 되었다.24 25

• 이런 합의문에 대해 영국의 EU 탈퇴를 강력히 주장하는 브렉시트 강경파는 반발할 가능성이 크다.

내각과 의회의 강경파의 반발로 인한 사퇴가 발생할 수도 있어서 합의안의 의회 비준이 어려울

것이다.

• 이와 같은 불확실성으로 인해 영국 산업의 전망이 어려움

24 https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/756374/14_November_Draft_Agreement_on_the_Withdrawal_of_the_United_Kingdom_of_Great_Britain_and_Northern_Ireland_from_the_European_Union.pdf

25 https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/756378/14_November_Outline_Political_Declaration_on_the_Future_Relationship.pdf





▶ 정보보호법(Data Protection Act 1998)

• 영국의 민감한 개인정보 보호를 위한 기본법

• 민감한 개인정보는 인종적, 민족적 정보, 정치적 의견, 종교적 또는 다른 신념, 노조 회원, 육체적

정신적 건강상태, 성별 등에 관한 정보를 의미

• 개인정보보호법은 보호대상 개인정보 및 기타, 개인정보 관리자의 통보의무, 국가보안, 범죄 및 과세,

보건 교육 및 사회적 작업, 언론 문학 및 예술관련 개인정보보호 예외 조항, 개인정보보호 효력 등에

대해 규정

• 2016년 11월 개정령이 제정될 예정26

▶ 컴퓨터 부정사용 방지법(Computer Misuse Act 1990)

• 법 제정일 및 코드: 1990. 06. 29일, 1990 Chapter 18

수정법률 : Police and Justice Act 2006

• 주요 내용 : 승인받지 않은 자가 특정 컴퓨터 및 특정 프로그램 또는 데이터에 불법적으로 접속,

프로그램 변경, 해킹 등 부정한 방법으로 컴퓨터 악용을 방지하고 안전한 컴퓨터 사용 환경을

조성하려는 목적법

• 위반 시에는 12개월 이내 징역 및 법정 한도를 넘지 않은 범위 내의 벌금을 부과 처벌

• 승인받지 않은 자가 추가적으로 컴퓨터 시스템 및 프로그램을 공격하려 할 경우, 컴퓨터 내 자료를

변경하려 하는 경우는 형법에 정한 처벌 또는 만일 21세 미만인 자(잉글랜드 및 웨일즈는 18세)일

경우는 5년 이하의 징역 처벌 등 규정

▶ 조사권한 규제법(Regulation of Investigatory Powers Act 2000)

• 법 제정일 : 2000. 08. 01일 제정

• 주요 내용 :

26 www.legislation.gov.uk 참조


범죄수사, 분쟁예방, 공공안전, 공공의료보호, 경제적 안정유지 등 국가안보를 해치는 행위를

방지하기 위해 제정

• 범죄예방을 위해 규제기관인 공공 정보수사 조직에 대해 민간인 및 기업의 조사에 필요한 통신감청

및 모니터링 권한을 부여하는 것이 골자

• 총 5개장으로 구성되어 있고 인터넷 및 통신이용 내역, 개인고객의 암호와 같은 개인정보에 대한

수사기관의 정보요구 권한 명시

▶ 사기방지법(Fraud Act 2006)

• 법 제정일 및 코드 : 2006. 11. 08일, 2006 Chapter 35

• 주요 내용

직위 등을 사칭하거나, 정보공개 사기 행위나 직원 남용 등 관련 사기행위를 취한 자로서 약식 기소된

자는 12개월 미만의 징역형이나 법정 최고 기준 벌금형을 동시 부과하거나 선택적 처벌 조치(단,

북아일랜드는 6개월 징역), 정식 기소된 자는 10년 이하의 징역과 이에 상당하는 벌금을 병과 또는

선택적 부과

▶ 수사권법(Investigatory Powers Act 2016)

• 법 제정일 및 코드 : 2016. 11. 29일, 2016 Chapter 25

• 주요 내용

수사권법은 영국 수사기관에서 유이동통신정보 등을 수집할 수 있도록 하는 근거를 마련했다. IT

기업들은 12개월간 이용자 데이터를 저장했다가 수사기관의 요청이 있을 때 그 데이터를 제공할

의무를 규정하였기 때문에 개인정보 침해 우려가 존재한다. 이를 보완하기 위해 일반적 개인정보보호

의무 규정을 삽입하여 개인정보 문제를 일부 완화했다.27

▶ NIS 규정(The Network and Information Systems Regulations 2018)

• 법 제정일 및 코드 : 2018. 4. 19일, 2018 No. 506

• 주요 내용

2017년 2월 유럽네트워크정보보호원(ENISA, European Union Agency for Network and Information

Security)은 ‘NIS 지침’에 대한 가이드라인을 발표하고, 정보보안 사고 발생 시

디지털서비스공급자(DSP, Digital Service Providers)에게 부과된 통지 의무 조항이 EU 전역에서

효과적으로 실행될 수 있는 방안을 제시했다. 동 가이드라인은 ‘NIS 지침’의 직접적인 영향을 받는

27 http://www.legislation.gov.uk/ukpga/2016/25/contents/enacted


EU 회원국과 기업들의 의견을 토대로 작성되었으며, 지침의 실행 과정에서 임시로 활용할 수 있는

개략적인 기술적 제안(Outline Technical Proposal)의 성격을 가지고 있다.28

▶ 소비자 IoT 행동강령(Code of Practice for Consumer IoT Security)

• 법 제정일 및 코드 : 2018. 10. 14일

• 주요 내용

소비자 IoT 행동강령에는 소비재 제조업체들이 제품 제작에서 구현해야 할 13개의 지침들이 제시되어

있다.29 구체적으로 개인 데이터 안전 저장, 정기적 소프트웨어 업데이트, 데이터 삭제 용이, 디폴트

패스워드 제한 등을 규정한다. 유럽연합의 일반 정보 보호 규정(GDPR: General Data Protection

Regulation)에 따라 데이터 보호법을 준수하는 방향으로 수정됐으며, 위반 시 최대 £1700만(220억원)

혹은 매출액의 4%의 벌금이 부과될 수 있다. 소비자 IoT 행동강령은 단기적인 보안성 향상을 위해

IoT 기기의 기본 비밀번호를 삭제하고, 독특한 비밀번호 설정, 취약성 공지를 위해 문제 발생시

보고해야할 공공 연락망을 제공하고, 정기적인 소프트웨어 업데이트 및 패치(Patch)를 설치하는 것을

최우선으로 한다.


q 개 요

▶ 조직 체계

• 영국 정부는 2009년도에 정보보안체계 강화를 국가 최우선 과제로 지정하고 전략을 수립하고, 국가

방위 및 정보보안 체계를 내각부(Cabinet Office)를 중심으로 하는 전면적인 정비를 실행

• 내각부는 정보보호 정책 총괄 데스크 역할과 함께 각 정부 기관의 정보보호 활동 및 업무 조정 기능을

담당하고 산하에 사이버 및 정부 보안국(Cyber Government Security Directorate)을 두고 사이버 보안

28 https://www.legislation.gov.uk/uksi/2018/506/made29 1. 기본 암호 사용 금지2. 취약성 공개 정책 구현 3. 소프트웨어 최신성 유지 4. 크리덴셜 및 민감정보 안전한 저장5. 안전한 통신 6. 공격표면 노출 최소화 7. 소프트웨어 무결성 보장8. 개인정보보호 9. 정전에 대비한 시스템 복원력 확보 10. 원격측정 데이터 감시11. 소비자의 개인정보 삭제 편의성 12. 기기 설치 및 유지보수 용이성 13. 입력 데이터 유효성 검사


업무를 감독

• 내각 각 부처의 담당 역할은 다음과 같음

- 내무부(Home Office): 국가 주요 기반시설 보호

- 외교부(Foreign & Commonwealth Office): 해외 정보보안 정보 수집 제공

- 디지털문화미디어스포츠부(Department for Digital, Culture, Media & Sport): 문화, 미디어, 스포츠

및 디지털 분야 업무를 담당한다. 기존의 기업혁신기술부(Department for Business, Innovation &

Skills)로부터 디지털 업무를 이관 받으며 사이버 보안 업무도 맡음

- 국방부 산하 컴퓨터침해사고대응팀(Ministry of Defence, United Kingdom Computer Emergency

Response Team) : 국가 사이버 보안 사고에 긴급히 대응하는 역할을 하는 국방부 산하 기관

▶ 기본 법률체계

• 영국은 그간 EU 멤버의 일원으로 EU의 기본 정보보안법 및 개인정보보호 방침을 적극적으로 자국

국내법으로 수용하면서 EU 외에 미국 등 타 국가들의 정보보안 정책을 수용해 왔음

• 그러나 2016년 6월 23일 국민투표를 통해 브렉시트를 결정함에 따라 영국의 EU탈퇴 예정됨. 그러나

영국의 EU 탈퇴 협상이 최소한 2년 정도 소요됨에 따라 이후 영국의 대응이 중요함

• 영국 정부는 EU집행위원회가 2016년 7월 발표한 ‘NIS 지침’을 받아들이기 위한 자체 지침을 마련하여

최종 보고서 작성 및 영향평가를 통해 ‘NIS 규정’으로 ‘NIS 지침’을 법적 구속력 있게 수용함

• 2013년 Edward Snowden의 폭로사건 이후 영미권역의 사생활보호에 대한 관심이 집중되었다. 그러나

IS 등 테러사고 증가로 인해 감시체계 강화의 필요성이 제기되면서 2015년 11월 내무부는

경찰ㆍ정보보안기관의 행사 및 규정에 대한 내용을 담은 ‘수사권 법안 초안’을 발표. 프라이버시를

침해하는 법안이라는 반발이 있었으나 파리 연쇄테러 등 유럽 대륙에서 테러가 잇따르는 상황을

고려하여 수사권 법안의 필요성을 고려하여 수사권법 수정안을 추진함. 일반적 개인정보보호 의무

규정을 추가로 삽입하여 개인의 프라이버시권을 보호하는 규정을 둠으로써 수사권 법안에 대한

반발을 해결하고 수사권법으로 실행

q 주요 정책 및 전략

▶ 영국의 사이버 보안 전략

• 영국정부는 1998에 제정된 정보보호법(Data Protection Act 1998)에 의거 정보보호관련 사항을

규제해 왔으나 컴퓨터 및 인터넷 사용 일반화에 따른 사이버 범죄의 확산추세와 개인정보보호,

민간부문의 사이버범죄 대응능력 제고를 위해 2009년 6월 『사이버 보안전략』을 수립 발표한 바 있음

• 그 후 사이버 공격이 공공 및 민간 부문에 계속 증가함에 따라 보다 강력한 사이버 범죄 예방 및

퇴치를 위해 2011년 11월 新『사이버 보안전략』을 수립 발표


• 동 발표 요지는 다음과 같음

표 _ 영국의 사이버보안 전략 요지

핵심 전략 실행 과제

ㅇ 사이버 범죄 예방 및

안전한 사이버 공간 구현

- 사이버 범죄에 대한 형사처벌 강화

- 2013년까지 국립범죄수사청(National CrimeAgency)내에

사이버범죄 전담부서 설치

- 민간 국제협력기구간 협력강화 및 강력조직범죄수사청(Serious

Organised Crime Agency)의 국제 사이버범죄에 대한 수사 활동 강화

ㅇ 사이버 공격 대응 능력

강화 및 사이버 상 권익

보호 강화

- 사이버범죄에 대응하기 위해 영국내 주요 국가기반시설 관리 당국과의

협력 강화 및 국제 협력 파트너들과의 공동대응 절차 확립

- 정부의 정보통신전략에 맞춰 안전한 정부 정보통신 네트워크

구축 및 유지관리

- 사이버 공격의 성격 및 속성 식별 능력 제고 및 사이버 상의 해당

개인의 자유와 권리 보장을 위한 역량 강화

ㅇ 개방적·역동적·안정적

사이버 공간 구현

- 사이버 공간에서 허용되는 국제 행동규범 수립 및 영국 정보통신

산업과 관련된 규제 정책 검토

- ITU, 유럽의회 및 유럽보안협력기구(OSCE: Organization for

Security and Cooperation in Europe) 등 주요 국내외 기관과 협력,

사이버 범죄에 대응하기 위한 제도 구축

- 사이버 공간에서 국제인권법 규범의 적용방법을 논의할 다자간 및

양자간 채널 활용 및 사이버 이슈에 대한 공동대응을 위한 EU 및

유럽위원회와의 공조체제 강화

ㅇ 사이버 보안 관련 지식,

기술, 역량 구축

- 사이버 공간에 대한 기술 및 사회적 행동 발달을 예측할 수 있는 능력

배양

- 사이버 공간에서 영국을 향한 공격 위협과 취약점에 대한 인식제고와

자체 보호능력 함양

- 혁신적인 사이버 보안 솔루션 구축을 위한 다양한 부분 지원 및

사이버 연구 우수센터 선정 투자 조치 등

• 즉, 영국의 사이버보안 핵심 전략은 국가기관의 사이버보안 대응력 및 복원력 강화와 민간부문의

사이버범죄 퇴치, 민간기업의 사이버 보안관리 강화 및 핵심 정보공유, 사이버 보안 인식확산 및

사이버보안 전문 인력 양성, 사이버 공격에 대한 효과적 대응을 위한 국제협력 강화 등 공공 및 민간,

국가간 공조를 통해 안전한 사이버 공간 구현을 핵심 정책 목표로 설정


▶ 영국의 국가 사이버보안전략 2016-2021(National Cyber Security Strategy 2016-2021)30

• 영국은 2016년 11월 두 번째 국가사이버보안전략(National Cyber Security Strategy2016-2021)을

발표하였으며, 첫 번째 전략과 비교하여 영국을 온라인 사업을 하는 가장 안전한 곳으로 만들고

사이버보안에 대해 5년 동안 19억 파운드(약 23억 달러) 투자 계획

• 또한 방위와 보안에서 혁신적인 구매 지원을 위해 1억 6천 5백만 파운드를 방위 사이버 혁신

펀드(Defence and Cyber Innovation Fund)에 할당 계획

• 영국 정부의 8억 6천만 파운드의 국가사이버 보안 프로그램에 의해 진행되어온 2011년 발표된 국가

사이버 보안 전략은 사이버보안에서 지속가능한 향상을 했음

• 새로운 국가 사이버 보안전략의 비전은 영국이 사이버 위협에 대해 안전하고 복원력 있는 역량을

갖추고, 디지털세계에서 번영하고 자신감을 갖는 것이며, 이를 실현하기 위한 세 가지 목표는 다음과

같음

① 방어(defend): 진화하는 사이버 위협에 대해 영국을 방어하고, 사고에 효과적으로 대응하며, 영국의

네트워크, 데이터, 시스템이 보호받고 있고 복원력 있음을 확신하는 것을 의미하며, 또한 시민과 민간,

공공부문은 스스로를 방어할 수 있는 지식과 능력을 가짐

② 방지(deter): 영국은 사이버공간에서 받을 모든 형태의 공격에 대해, 반대하는 적대적인 행위를 탐지,

이해, 조사, 와해하며, 공격자들을 추적, 기소하고, 필요한 경우 사이버공간에서 보복 행동을 할 수

있는 수단을 가짐

③ 개발(develop): 영국은 세계 수준의 과학적 연구와 개발에 기반하여 혁신적이고, 성장하는 사이버

보안 산업을 가지고, 공공 및 민간부문에 걸쳐 국가적 수요를 충족할 스킬을 제공하는 인재양성체계를

구축하며, 이를 통해 영국의 첨단 분석과 전문성은 영국이 미래 위협과 도전과제를 극복할 수 있도록

할 것임

• 새로운 국가 사이버 보안 센터(National Cyber Security Centre)는 주요 사고에 빠른 대응뿐 아니라

개인과 사업을 위한 사용자 친화적인 전문성과 세계수준의 허브를 제공할 것임

▶ 영국의 민간 원자력 사이버보안 전략3132

• 2017년 2월 영국의 기업에너지산업전략부(Department for Business, Energy and Industrial Strategy,

BEIS)는 디지털 위협으로부터 민간 원자력 부문을 보호하기 위해 민간 원자력 사이버보안 전략(Civil

Nuclear Cyber Security Strategy) 발표

• 민간 원자력 부문은 가정과 기업에 중요한 전기를 생산하는 영국의 중요한 국가 인프라의 한 부문에

해당하며, 전기 공급 안보의 의미에서 중요하며, 민간원자력부문은 또한 가장 위험한 방사능물질의

30 National Cyber Security Strategy 2016-202131 Department for Business, Energy &　Industrial Strategy, Civil Nuclear Cyber Security, 2017.2.32 KISA, “영국, 민간 원자력 사이버보안 전략 발표”, 2017.3.20.


일부를 저장, 처리, 수송하고 있음

• 원자력 안전과 원자력 안보는 어떤 원자력 운영에도 필수적이며, 컴퓨터 및 전자장치 제어는 설계,

성능검증, 운영 모든 민간 원자력 시설에서 역할을 하고 있음

• 동 전략은 2016년 11월에 발표된 국가사이버보안전략에 대해 구체적으로 민간원자력부문에서

사이버위협에 대한 사이버안전과 복원력을 갖기 위한 전략에 해당하며, 안전한 클린 에너지 생산,

오래된 에너지시스템의 안전관리를 지원하고자 함

• 동 전략에서는 정부, 산업, 규제당국의 역할과 책임, 원자력부문 사이버 위협, 전략적 결과 및 일정으로

구성

표 _ 정부, 산업, 규제당국의 역할과 책임

• 원자력부문 사이버위협에 대해 정부가 실시한 사이버보안 사고 설문조사에 의하면 사이버위협은 점점

증가하고 있고, 적절한 방어가 없는 경우 영국의 주요기반시설은 사이버공격을 당할 수 있으므로

대비가 필요

• 일정별 전략적 결과

Year1-2016/17: 중견간부들이 자신의 조직이 직면하고 있는 사이버보안위험에 대한 주인의식과 이해에

대한 증가와 함께 정부재정지원에 의해 훈련과 연습을 통해 능력과 역량을 지속적으로 향상

Year2-4-2017-2019/20: 정부지원을 줄이며 산업은 전체적인 사이버 보안 입장에서 적정한 상업적

사이버전문가를 이용함

Year5-2020/21: 사이버위협을 이해하고, 규제당국에 의해 승인된 솔루션을 사용하는 성숙된

주체 역할과 책임

정부

- 기업에너지산업전략부: 전략방향 및 법적 프레임워크 제시

- 국가사이버보안센터: 위협 및 취약성 정보

- 핵폐기당국(Nuclear Decommissioning Authority): 폐기시설과 부시설에 대한

사이버 보안 향상

산업

- 사이버보안 담당자: 사이버 취약성을 완화하고 관리, 공급망에 대한 확신

- 공급망: 사이버 취약성을 완화하고 관리, 취약성이나 침입에 대해 사이버보안 담당자에게

알림

규제당국

- 원자력규제국: 원자력 시설 사이버보안과 보안규제 담당

- 정보위원회: 공익성 있는 정보에 대한 권리보호

- 원자력 경찰대: 자체 사이버보안 관리, 사이버공격 탐지 및 대응 계획수립

- 사이버보안 담당부문: 사이버 자문, 교육, 역량강화 훈련 제공


접근방향을 가지는 산업

q 주요 정책 내용

▶ 영국의 초고속 인터넷망 투자 계획

• 영국은 2015년 말 기준 전국의 73% 지역에서 초고속 브로드밴드 인터넷망 사용이 가능한데 영국

정부는 동 보급률을 3단계에 걸쳐 확대 정책을 추진해 나갈 계획

• 동 추진 계획은 다음과 같은 단계로 추진

전국의 90%에 초고속 인터넷망 보급을 위해 영국 정부는 총 5억 3천만 파운드를 투자할 계획

2017년까지 전국의 95%에 초고속 인터넷망 보급을 위해 정부가 2억 5천만 파운드를 투자 계획

2단계까지 보급계획에서 누락된 지역을 대상으로 초고속 인터넷망을 지속적으로 보급할 계획

▶ Super-Connected Cities Programme 추진

• “Super-Connected Cities Programme”이란 영국정부가 2010년 6월 기준 약 300만개 기업과 가정이

최소 2Mbps속도의 인터넷망조차 이용하지 못하는 현실을 개선하기 위해 당시 1억 5천만 파운드

예산을 배정하고 주요 22개 도시에 초고속 인터넷망을 보급하기 위해 추진 중인 프로그램

• 영국은 이 사업의 추진을 위해 2011년에는 1억 파운드, 2012년도에는 5,000만 파운드의 예산을

투입하는 등 2017년까지 전국 95% 지역 이상에 초고속 인터넷 인프라망 구축을 완성하고 영국

전역에 무료 무선 인터넷을 보급하여 스마트폰, 태블릿 등 휴대용 통신기기 사용을 원활화시켜 나갈

계획

• 영국은 동 사업을 통해 무료 무선 인터넷 사용 가능지역을 28개 도시로 확대해 나가는 등 디지털

인프라 구축확대 사업을 통해 비즈니스와 관광 등 산업부문에서 국가 경쟁력을 제고 해나갈 계획

▶ 영국정부 “디지털 경제 전략 2015-18” 추진 중

• 영국기술전략위원회(Innovate UK)SMS 2018년까지 디지털 혁신전략을 추진 중

• 동 전략은 2020년까지 영국 경제의 교통, 에너지, 헬스 분야의 혁신을 위해 이용자 편의 중심 디지털

솔루션 개발, 개인정보보호 및 데이터 보안 시스템 설계 지원 등 디지털 생태계 진입을 지원 계획

• 4년간 매년 3,000만 파운드씩 총 1억 2,000만 파운드를 지원해 나가는 한편 관련한 혁신적인

비즈니스 프로젝트에 매년 1,500만 파운드씩 지원 계획

• 이외에도 런던의 Digital Catapult Centre, Open Data Institute와 Tech City UK 등의 사업에 매년

1,500만 파운드씩 지원 계획33

33 KOTRA 런던 무역관 시장동향 보고서(2015.07.07) 참조


2. 담당기관

내각부(Cabinet Office)

▶ 총리 직속 내각부에 국가정보보안 대응체제 총괄 기능 부여

• 2009년도에 정보보안을 국가 최우선 정책과제의 하나로 지정하고 기능을 강화하여 현재의 사이버

보안 대응체제를 구축

• 우리나라의 국무조정실 격인 내각부에 각 부처에 흩어져 있는 국가 정보보안 기능을 통합, 역량을

집중, 총괄 관리 권한을 부여

• 내각부 산하에 사이버 정보보안청을 두고 실무를 관장토록 조치

그림 _ 영국 각 부처별 정보보안 관련 기구

[출처] 내각부(2018)

하부 기관

▶ 사이버 및 정부 보안국(CGSD, Cyber and Government Security Directorate)34

34 https://www.gov.uk/government/groups/office-of-cyber-security-and-information-assurance

사이버

및 정부

보안국

(CGSD)


• 사이버 및 정부 보안국은 내각부 산하의 조직으로 국가사이버보안 프로그램 조정과 개인, 물리적,

정보 보안에 관한 정부와 국제적인 정책을 담당

• 사이버 및 정부 보안국의 목표로는 국가 사이버보안 전략(NCSS) 2016 - 2021 발표, 국가사이버보안

프로그램(NCSP) 2016 - 2021 5년간 운영, 국가사이버보안 센터(NCSC) 설립 지원, 정부 보안을 위한

지속적인 정책 검토와 수립이 있음

▶ 영국방송통신우정청(Ofcom)

• Ofcom(Office of Communication) : 영국의 방송, 통신 및 우편산업 관리청으로 TV 및 라디오 방송,

통신 및 우편 분야에 막강한 권한을 가진 기관으로 2003년에 설립

• TV 라디오방송법, 일반적 권한법, 통신법, 영국주파수배정규정 등에 의거 양국내 방송 통신

우정분야의 안전 및 보안 업무 총괄

▶ 정보위원회(ICO : Information Commissioner's Office)35

• 영국의 공공이익 관련 정보접근권, 공공기관의 개방성 제고 및 개인정보보호 등을 담당하는 독립기관

▶ 국가범죄수사국(NCA, National Crime Agency)

• 영국 정부는 지능화&국제화하는 중대 범죄에 대한 국가적 수사 대응력의 강화를 목표로 미국

연방수사국(FBI)과 같은 기능을 수행하는 국가범죄수사국을 2013년 10월에 창설. 국가범죄수사국은

연방수사국처럼 국가 차원의 중범죄 및 조직범죄의 수사를 담당하는 특별 수사기관임

• 조직범죄와 사이버범죄는 국가안보에 중대한 위협이 되고 있는데, 약 5,500개 이상의 조직범죄단체가

있는 것으로 파악되고 있고, 공동체를 황폐화시키고 살인을 하며, 매년 200억 파운드 이상의 피해를

입힘.

• 국가범죄수사국은 ‘중대범죄수사국’의 기능과 조직을 흡수했으며 이에 더해 경제 범죄, 국제 인신매매,

사이버 범죄 등에 대한 수사 임무도 맡음. 그러나 테러대응 수사 업무는 런던경찰청과

국내정보국(MI5)에서 계속 수행함

▶ 국가 사이버보안센터(National Cyber Security Centre)36

• 영국 산업계, 영국 정부 각 부처, 중요한 국가 인프라 및 민간중소기업 등을 대상으로 사이버 위협관련

신뢰할만하고 전문적이고 독립적인 가이드 제공

• 사이버 위협 및 취약점 심층 분석 및 사이버 보안관련 경고 발동

35 http://ico.org.uk/for-the-public36 http://www.ncsc.gov.uk


• 영국의 사이버보안사고의 피해를 경감시키기 위해 정부 각 기관의 네트워크를 관리하는

GovCertUK(정부 네트워크 정보보안 담당)와 CERT-UK(국가 주요인프라시설 및 정보보안 담당) 두

팀을 운영

▶ 정부통신본부(GCHQ, Government Communications Headquarters)

• 정부통신본부는 외무부 산하 통신정보기관으로서 전자기파, 음향, 그 밖의 설비로부터 나오는 방사물,

암호화된 물건 등과 같이 정보자료와 관계되거나 이로부터 생산되는 정보를 획득/처리함.

• 이외에 정보 수집, 암호해독, 통번역, 전산망 상의 정보해독을 위해 수집된 정보를 국방부 소속

국방정보요원 등 전문가 집단에게 제공하고, 암호관련 정책을 수립하여 지원하고 있다. 현재 산하에

전자통신 보안그룹(CESG, Communications-Electronics Security Group)을 두고 초현대식 감청시설을

보유 중

▶ 디지털문화미디어스포츠부(DCMS, Department for Digital, Culture, Media and Sport)

• 기존에 디지털 분야의 업무를 담당하며 사이버보안을 맡고 있던 주무 부처가 국가 산업 발전을 위해

정보보호 정책을 담당하는 기업혁신기술부(BIS)에서 문화미디어스포츠부(DCMS)로 변경되었다.

문화미디어스포츠부는 영국디지털전략(UK Digital Strategy)에 따라 디지털문화미디어스포츠부(DCMS)로

명칭을 변경하고 기업혁신기술부로부터 디지털 경제 정책 업무를 완전 이관 받음

• 산하에 런던사이버보안혁신센터(LORCA)를 두고 있음

▶ 런던사이버보안혁신센터(LORCA, London Office for Rapid Cybersecurity Advancement)

• 디지털문화미디어스포츠부(DCMS)가 총 1,450만 파운드를 투자해 런던 내에 신설한 기관. 국가사이버보안센터와

더불어 사이버보안의 중심 기관이다. 디지털문화미디어스포츠부는 사이버보안 분야에 19억

파운드를 투자하는 계획의 일환으로 사이버보안 관련 스타트업 지원을 위한 프로그램을 실시함

• 운영기관으로 Wayra UK37를 선정하여 2016년 11월 사이버보안 관련 스타트업 최종 선정 결과를

발표


규제

37 Wayra UK: 스페인의 대형 통신사 텔레포니카(Telefonica)가 스타트업을 지원하기 위하여 설립한 지원 기관


▶ 핵심 내용38 : 영국의 정보보호 관련 규제 내용은 EU 공동 규범을 적용 중

▶ 영국의 정보보호 규제는 하단의 EU 규제 내용을 포함

• 회원국은 네트워크 정보보안 전략 채택을 의무화하고 네트워크 정보보안관련 위험과 사고에 대응하는

기관을 설립하고 적절한 자금과 인력을 제공할 것

• 회원국은 유럽 각 위원회 간 네트워크 정보보안 관련 위험과 사고를 대비하여 조기경보 공유 시스템을

구축할 것

• 금융, 수송, 전력, 건강보험 등 기간산업 사업자, 앱스토어, 전자 상거래 플랫폼, 온라인 결제, 클라우드

컴퓨팅, 검색엔진, 소셜 네트워크 등 정보보안 서비스 제공업자 및 행정기관은 위기관리제도를 도입하고

핵심서비스의 보안 사고에 대한 보고를 의무적으로 이행해야 함

▶ EU가 선정한 사이버 보안 5대 우선 과제

• 사이버 복원력(Cyber Resilience) 제고

• 사이버 범죄의 최소화 노력

• 사이버 국가안보정책의 추진 및 공동의 정보보안 정책 실현

• 사이버 보안관련 산업 및 기술자원의 개발

• EU의 핵심가치를 추진하는 포괄적 사이버 공간 정책의 수립

인증제도

q 공공 인증기관

▶ 담당 기관 : 국가사이버보안센터(NCSC : National Cyber Security Centre)

• 영국 정부기관 중 보안제품의 공식 인증업무는 국가정보보안업무를 담당하기 위해 2015년 11월에

내각부 산하에 설치한 국가사이버 보안센터에서 담당

▶ 주요 담당 기능

• 상업용제품보증제도(CPA: Commercial Product Assurance)운영 : 동 제도는 상업용 제품 및 동 제품

개발자 등이 공지된 보안 및 개발 표준을 준수했는지 여부를 평가하고 인증기준인 상업용 보안규정을

준수한 제품인지 여부를 설명하는 평가등급(Foundation Grade)조건들을 충족하는 지를 평가하고

38 EU, Cybersecurity Strategy of European Union, 2013


보증해주는 제도

·CPA 보안특징은 벤더가 평가기준을 제대로 인지하고 있는가, 데이터 소지자는 해당 제품이 NCSC

표준에 의거 시험을 거쳐 인증됨을 신뢰할 수 있는가, CPA제도는 동 제도 관련 서류들을 포함하고

있는 지 등을 시험하는 점

·상업용 보안규정제품은 상업용제품보증제도(CPA)와 국제적인 공통기준(CC: Common Criteria)

인증을 통해 평가 등급(또한 평가 등급은 양호한 상업적 보안기준 평가등급(Foundation Grade)

보증을 받을 수 있으며, 여기서 말하는 평가등급이란 양호한 상업적 보안기준을 충족하는 보안제품을

설명하는 방법의 하나를 뜻함

• 공통기준(CC)과 영국의 인증제도 관계 : 공통기준은 보안요구제품의 보증을 위해 사용하는 국제적

표준제도로 제품개발자의 요구에 의거 해당 제품의 안전 상태에 대해서 평가하고 공식적 방법으로

공인된 기준에 의거 독자적 시험을 거쳐 공식적 인증을 제공하기 위한 기준 의미

·동 공통기준은 안전요건의 충족여부를 공식적으로 보증받기를 요구하는 정부 최종 소비자들의

요구를 충족하기 위한 것인데 암호를 가지고 있는 제품을 사용하는 경우는 별도로 NCSC가 운영하는

별도의 상업적 평가기구(CLEF: Commercial Evaluation Facility)의 암호평가를 받고 NCSC의 검증과

인증서를 받아야 함

·모든 영국에서의 공통기준(CC) 평가는 NCSC 산하 인증기구(CD: Certification Body)의 인증을

받아야 하는데, 영국의 인증은 전 세계 대다수 국가에서 인정을 하고 있음

• 참고로 상업적 제품의 인증을 위한 보안 평가는 NCSC 산하 독립 기구인 상업적평가기구(CLEF)가

별도로 수행하며 평가결과는 공동인증(CC)* 협정에 가입한 미국, 유럽 4개국, 캐나다 등의 6개국

시장에서는 유효하게 사용

* CC제도 세부 내용은 다음 페이지의 CC 부분 참조

q 비영리 민간기관39

▶ 기관명 : 정보보안전문가연구원(IISP : Institute of Information Security Professionals)

• 영국의 공공 및 민간업계에 정보보안관련 전문적 표준을 제시하고 개별 정보보안 기술개발을 지도

및 지원하기 위한 네트워크를 제공하기 위해 설립된 비영리 민간기관

• IISP는 민간 및 정부부문에서 2,500여 개별 회원과 31개 기관회원 및 17개 학술 회원 보유

▶ 주요 기능

• IISP는 영국의 인증전문가기관을 이끄는 기구로 정보보안 및 인증업무 선도 기관

39 www.cybersecurityconference.co.uk/partner/institute-information-security-professionals


• IISP 기능의 핵심은 정보보안 전문가 역량 측정 표준으로 인정된 IISP 기술 프레임워크(IISP Skills

Framework)

• 영국 정부의 외교부 산하 국가정보보안기술청(CESG: National Technical Authority for Information

Assurance)40 역시 정보시스템보안을 설계하고, 인증하는 공공부문 전문가들에게 요구되는 전문가적

역량을 키우기 위해 동 프레임 워크를 채택

q 6개국 간 공동 인증(CC : Common Criteria) 제도

▶ 미국, 유럽 4개국(영국, 프랑스, 독일, 네덜란드), 캐나다 등 6개국이 공동으로 개발한 정보보안제품

평가 기준

▶ 주요 내용

• 상기 6개국은 미국은 1985년 제정 TCSEC(Trusted Computer Security Evaluation Center), 유럽

4개국은 1992년 제정 ITSEC(Information Technology Security Evaluation Criteria), 캐나다는 1993년

제정 CTCPEC(Canadian Trusted Product Evaluation Criteria)를 각각 자국의 정보보안제품

평가기준으로 채택

• 이들 국가간 이미 한 국가에서 자국 평가기준에 의거 보안평가를 받았음에도 타국에 수출하려면

해당국 기준에 의거 재평가를 받아야 하는 번거로움과 시간 및 비용 낭비요소를 제거하고자 미국을

비롯한 주요 국가간 국제공동평가기준(CC: Common Criteria) 제정하기로 합의

• 평가결과의 상호 인증을 목표로 단일화시킨 공동평가기준인 CC를 제정, 공동 적용함으로써 번거로운

절차와 낭비요소를 제거하고 신속한 평가 시스템으로 신제품 개발의 가속화 효과를 거양

• 보안보증 요건으로 보증등급 EAL1 ∼ EAL7과 개별 보증등급을 구성하는 보증 컴포넌트, 보호 프로파일,

보안목표 명세서 등의 기준을 설정하여 공동 기준으로 수용

40 www.cesg.gov.uk


표 _ CC 인증을 받을 수 있는 제품군 분류

분류 해당 장비류

네트워크 정보보안

제품군

- 라우터, 게이트웨이, 무선 랜, 이동통신보안, 침입차단 및 방지 및 탑지 시스템,

보안망 관리시스템, 암호화장치(전화, 위성, ATM), 트래픽 관리장치,

원격접근제어, 가상 사설망

정보보호 기반제품

- 바이오 인식(지문, 얼굴, 홍채, 정맥), 스마트카드(칩, 운영체계, 판독기, 응용

제품), 안티바이러스, 취약성 점검기구, 불건전 정보 차단기구, 통신보안관리,

위험분석기구, PKI 장비

컴퓨터

정보보호 제품- 서버보안(리눅스, 유닉스, 윈도우 등), DB보안, 메일 보안, 웹서버 보안

[출처] TTA 공동평가기준(CC) 시험인증제도 분석


▶ 영국 정부는 최소사이버보안기준(Minimum Cyber Security Standard)을 발표(2018년 7월)

• 영국 정부는 공공 기관 및 조직들을 위한 최소한의 사이버보안표준을 설정하기 위한 시도를 추진하고

있는 것으로 나타났는데, 이러한 첫 결과물이 최소사이버보안기준으로, 향후 정부 내 사이버 기능

표준에 통합될 것으로 예상됨

• 최소사이버보안기준은 정부 산하기관 및 군 관계기구와 유관 계약자들을 포함하는 모든 당사자들에게

적용되며, 당사자는 최소사이버보안기준을 준수하고 이를 초과할 정도의 보안수준을 유지해야 함.

정부부처 및 조직들은 정부와 국가사이버보안센터가 함께 개발한 ‘최소한’의 기준을 반드시 충족하고,

가능한 그 기준을 넘어야함. 시간이 흐름에 따라 보안 표준이 업데이트되면 대상자들의 사이버

준비수준도 동시에 지속적으로 높아져야함. 또한 향후 계속하여 새롭게 나타나는 위협과

사이버취약계층을 보호하고, 신규 ‘적극적 사이버 방어’ 정책을 사용할 수 있도록 최소사이버보안기준

정책은 계속해서 강화될 것

• 최소사이버보안기준에는 ▲확인 ▲보호 ▲탐지 ▲대응 ▲복구의 총 5가지 범주의 10가지 분야가

명명되어 있으며, 각 분야의 책임자를 기술하기 위해 기준 제정자들은 폭넓은 안건을 채택했다. 또한

당사자들이 보안기준을 준수하고 이를 달성하기 위한 방식은 자율적으로 수행할 수 있도록 허용함

▶ 영국 국립사이버보안센터는 기관을 위한 단계별 사이버보안 지침을 발표(2018년 5월)41

• 국립사이버보안센터는 사이버위협 증가에 대응하여 기관 자체적으로 시스템을 보호할 수 있도록


단계별 보안지침을 발표함. 단계별 사이버보안 지침은 즉시 조치사항, 수 주 내 조치사항, 사건발생시

조치사항으로 구분되어 대규모 기관에 적용됨

• 일반 내용으로는

1. 기관임무 : 사이버보안을 담당하는 공공 및 민간 부문과 협력

2. 주요목적 : 사이버위협에 대비를 위한 사전 예방에 관한 지침 제공

3. 주요내용 : 사이버공격 위협에 대응 보안단계 설명

4. 적용대상 : 대규모 조직이 주 대상, 모든 규모의 조직에 적용 가능

5. 지침구성 : 3단계(즉시, 수 주 내, 사건 발생 시)로 구분

6. 기대효과 : 사이버공격의 피해 예방 및 복구 등이 있음

• 즉시 조치사항(Steps to take now)으로는

1. 준비점검

2. 서비스거부(DoS) 공격 대응 점검

3. 사이버 정보공유 협력체계(CiSP) 가입 등이 있음

• 수주 내 조치사항(Steps to take in the coming weeks)으로는

1. 방어 개선

2. 탐지 역량 향상

3. 대응 역량 향상

• 사고 발생시 조치사항(If an incident occurs)으로는

1. 중대한 데이터 손실, 시스템 가용성 손상, 시스템 통제 상실

2. 접근권한이 없는 사용자의 IT시스템 무단 접근, IT시스템에 악성 소프트웨어 삽입 등이 있음

* 상기 상황 발생 시 NCSC 24/7 사고관리팀에 보고

▶ 영국 디지털문화미디어스포츠부(DCMS)는 소비자 IoT 제품의 사이버보안 개선을 위한 설계보안

보고서(Secure by Design: Improving the cyber security of consumer Internet of Things Report)를

발표(2018년 3월)42

• 디지털문화미디어스포츠부(DCMS)는 소비자 IoT 제품의 보안성 보장을 위한 IoT 기회와 위협, 13개의

실천 강령(Code of Practice), 정부 및 산업계 실행방안, 국제적 공감대 형성 방안 등을 제시함

• 소비자 IoT에 대한 산업계 실천강령(13 지침)(Code of Practice for Industry on Consumer IoT)에는

1. 기본 암호 사용 금지

2. 취약성 공개 정책 구현

3. 소프트웨어 최신성 유지

41 국가사이버보안센터(NCSC), ‘Increased Cyber Threats: Security steps to take’, 2018.5.1642 디지털문화미디어스포츠부(DCMS)


4. 크리덴셜 및 민감정보 안전한 저장

5. 안전한 통신

6. 공격표면 노출 최소화

7. 소프트웨어 무결성 보장

8. 개인정보보호

9. 정전에 대비한 시스템 복원력 확보

10. 원격측정 데이터 감시

11. 소비자의 개인정보 삭제 편의성

12. 기기 설치 및 유지보수 용이성

13. 입력 데이터 유효성 검사 등이 있음

▶ 영국 정부는 기업들을 대상으로 조사한 ‘사이버 위생 체크(Cyber health check)’보고서를 발간(2017년

8월)43

• 보고서에 의하면 영국의 가장 큰 350개 기업들 중 이사회의 2/3가 사이버사고를 대처하는 훈련을

받지 않았으며(68%), 1/2이상은 사이버 위협이 그들의 사업에 큰 리스크였다고 함(54%)

• FTSE 350(런던 증권거래소 상위 350개 기업) 10곳 중 1곳은 사이버사고에 대해 대응계획 없이

운영되고 있고(10%), 이사회 1/3 이하가 포괄적인 사이버 리스크 정보를 받고 있다고 함(31%)

• 2017년은 전년에 비해 진전이 있는 부문도 있는데, 기업 이사회의 절반 이상이 사이버 리스크에 대해

접근방식을 제시하고 있고(33%에서 53%), 사업의 절반 이상이 사이버 공격의 영향을 명확하게

이해하고 있음(49%에서 57%)

• 또한, 자선기관들도 사업만큼 사이버 공격을 받기 쉽고, 많은 직원들은 해당 주제와 인식과 지식에

대해 잘 알지 못하고 있음

• 사이버공격의 중요성을 인식하고 있는 자선기관들은 종종 기부자와 서비스 사용자에 대한 개인정보를

보유하고 있기 때문이거나 해당 이슈에 대해 민간부문에서 경험을 가진 직원들이 있기 때문임

• 동 보고서에서는 영국 정부가 새로운 데이터보호법안(Data Protection Bill)을 의회에 곧 소개하여,

2018년 5월에 효력을 갖고 GDPR을 실행하게 될 것이라고 처음으로 소개함

• 새로운 데이터보호법은 개인의 권리를 강화하고, 개인들이 자신들의 개인적인 데이터가 어떻게

사용되는지에 대해 좀 더 많이 관리할 수 있게 될 것임

• 또한 동 보고서는 다음의 사항들을 포함

· 거의 모든 회사(97%)가 새로운 규제에 대해 알고 있을 정도로 GDPR에 대한 인식은 좋음

· 완전히 준비되었다는 6%의 회사들과 함께, 1/3의 회사들이(71%) GDPR의 요구사항을 충족시키기

43 Department for Digital, Culture, Media & Sport and The Rt Hon Matt Hancock MP, “Two in three bosses at Britain’s biggest businesses not trained to deal with a cyber attack”, 2017.8.21.


위해 다소 준비 중에 있음

· 단지 13%는 GDPR이 그들의 이사회에 의해 정기적으로 고려되고 있다고 함

· 이사회의 45%는 개인데이터삭제에 개인의 권한을 연결하는 GDPR 요구사항을 충족시키는 것을

최우선으로 고려하고 있다고 함

▶ 사이버보안이 미흡한 필수 서비스 운영자에게 새로운 벌금 부과 예정(2017년 8월)44

• 영국은 필수 네트워크와 인프라를 미래 사이버 공격의 위험에 대해 안전하고 복원력 있도록 만들려는

계획의 일부로서 제안된 내용은 필수서비스를 보호하기 위함

• 효과적인 사이버 보안 조치 실행에 실패한 필수서비스 사업자에 대한 벌금은 글로벌 매출의 4% 또는

1,700만 파운드 정도가 될 것임

• 이번 계획은 2018년 5월부터 네트워크 및 정보시스템 보호(Network and Information system Security,

NIS) 지침을 실행하는 방법을 결정하기 위해 디지털문화미디어스포츠부(Department for Digital,

Culture, Media and Sport)에 의해 열린 자문의 일부에서 고려됨

• 네트워크 및 정보시스템 보호(NIS) 지침은 GDPR 하에서 데이터의 손실보다는 서비스 손실과

관련되며, 동 지침은 영국이 비즈니스를 온라인으로 하고 생활하기에 가장 안전한 곳으로 만드는데

도움을 줄 것임

• 동 지침은 국가 사이버 보안전략의 중요한 부분을 구성할 것이며, 필수 서비스 사업자들이 그들의

IT시스템을 보호하기 위해 필요한 행동을 하도록 할 것임

• 동 지침은 전기, 교통, 물, 에너지, 헬스, 디지털 인프라 등의 분야 사업자들이 증가하는 사이버위협에

대해 잘 대응하도록 준비하는데 도움이 될 것이며, 또한 정전, 하드웨어 고장, 환경적 위험 등과 같이

IT에 영향을 주는 다른 위협들도 커버할 것임

• 사업자들은 리스크를 이해하고 관리하기 위해 전략과 정책을 개발할 것이 요구되며, 아래의 내용이

포함됨

· 공격을 감지하고, 보안 모니터링을 개발하고, 직원들의 인식과 훈련을 높이고, 사이버공격이

발생하면 즉시 사건을 보고하도록 조치하는 것을 포함하여, 시스템 실패나 공격을 예방하기 위한

보안 조치를 실행하는 것

· 어떤 사건 이후, 시스템을 복구하고 대응할 수 있는 역량과 함께 재빨리 회복될 수 있도록 확신할

수 있는 시스템을 갖는 것

▶ 영국 정부 스마트카의 사이버 보안 가이드라인 발표(2017년 8월)45

44 Department for Digital, Culture, Media & Sport and The Rt Hon Matt Hancock MP, “New fines for essential service operators with poor cyber security”, 2017.8.7.

45 Department for Transport, “The key principles of vehicle cyber security for connected and automated vehicles”,


• 영국 교통부(Department for Transport)는 인터넷으로 연결된 커넥티드카와 자율주행차의

사이버보안을 위한 8대 원칙을 담은 가이드라인 발표

• 스마트카와 같은 글로벌 산업을 지원하기 위해 영국 교통부는 국가 주요기반시설 보호센터(Centre

for the Protection of National Infrastructure, CPNI)와 함께 제조 공급망에 포함된 모든

이해관계자들에게 일관성 있는 가이드라인을 제공하고자 함

① 조직의 보안은 이사회 차원에서 소유, 관리, 승격됨

② 보안 위험은 공급망에 구체적인 것을 포함하여 적절하고 균형있게 평가되고 관리됨

③ 조직은 시스템이 시스템수명에 걸쳐 안전하다는 것을 확신하기 위해 제품의 판매 후 관리와

사고 대응이 필요함

④ 하청업체, 공급업체, 잠재적인 제3의 업체들을 포함한 모든 조직들은 시스템의 보안을

향상시키기 위해 함께 협력해야함

⑤ 시스템은 심층방어접근방법을 사용하여 설계됨

⑥ 모든 소프트웨어의 보안은 소프트웨어의 수명동안 관리됨

⑦ 데이터 스토리지와 전송은 안전하고 제어될 수 있음

⑧ 시스템은 공격에 대해 회복될 수 있고, 방어나 센서가 작동하지 않을 때 적절히 대처할 수 있도록

설계되어야 함

▶ 국방장관은 록히드마틴사의 3백만 파운드 규모의 일자리를 창출하는 사이버 보안 센터 개소식에

방문(2017년 7월)46

• 새로 개소한 글로스터(Gloucester)의 사이버워크(Cyber Works)센터는 영국이 직면한 복잡한 사이버

위협에 대처하기 위해 설계되었으며, 지역사회에서 90개의 첨단기술 일자리를 창출할 것으로 기대됨

• 록히드 마틴(Lockheed Martin)사가 지식 공유, 연구, 최첨단 역량 전달을 위해 영국 파트너와 긴밀히

일할 수 있도록 할 것임

• 또한, 동 회사는 젊은이들이 사이버보안과 인텔리전스의 역할을 지원하고 고취시킴으로써 영국의

스킬을 활성화할 정부의 CyberFisrt 계획에도 사인함

• 영국정부는 5년 동안 사이버전략에 19억 파운드를 투자하기로 하였고, 산업계와의 파트너십은 이번

사이버전략의 주요부분에 해당함

• 1천 파운드는 스타트업을 활성화시키기 위해 새로운 사이버 혁신펀드에 투자

• 650만 파운드는 최신연구 지원, 사이버공간에서 영국보안을 위해 산업, 정부, 학계의 커뮤니티를

형성하는 것임

2017.8.6.46 Ministry of Defence and Harriett Baldwin MP, “Defence Minister opens £3M Cyber Security Centre in Gloucester”,

2017.7.13.


• 사이버공간을 모든 군사작전에서 통합할 수 있게 해주는 National Offensive Cyber Planning을 통해,

방위는 영국의 사이버 보안전략에서 중요한 역할을 함

• 방위부문에서 8억 파운드 혁신 이니셔티브는 인공지능과 자동화된 시스템을 개발하기 위해 수백만

파운드에 대한 경쟁과 함께 이미 연구와 사업에 투자를 활성화를 하고 있음

• 또한 2018년 1월에 국방부(MOD)는 쉬리븐햄(Shrivenham)에 최신 방위 사이버 학교를 열어, 모든

군인들이 한 곳에서 사이버 훈련에 참여할 수 있게 될 것임

▶ 금융감독청, 2017년 이후 사이버 보안 환경과 대응에 대해 발표(2017년 4월)47

• 금융감독청(Finantial Conduct Authority, FCA)의 Nausicaa Delfas 상임이사(executive director)는

2017년과 그 이후 사이버 보안에 대해 다음과 같이 발표함

• 위협 상황은 랜섬웨어 같은 예전의 위협이 재등장하는 것과 함께 진화하여 스마트 TV, 냉장고, 라우터,

카메라 등을 활용하는 사물인터넷(IoT)의 출현으로 인해 야기될 수 있는 전례 없는 가장 큰 DDoS

공격이 활성화 될 수 있는 거대한 네트워크와 관련되어 발생할 수 있음

• 범죄의 능력 및 의도 그리고 조직들이 방어할 수 있는 능력간의 넓혀진 차이를 해소하기 위해 앞으로

전진해야 할 시기임

• 이러한 위협을 관리하기 위해 현 시점에는 다음과 같은 대응이 필요함

· 기본에 충실한 것만으로 사이버 침해의 85% 예방이 가능: 금융기관들이 효과적인 리스크 관리

시스템을 구축하고, 사용자 교육을 통해 보안 의식을 고취하도록 하며, 또한 자사 시스템에 대해

종합적인 DDoS 공격 리스크 평가를 수행할 것을 촉구

· 직원들로 하여금 마음가짐을 변화시킬 수 있도록 보안 문화를 형성하고, 보안문화를 측정하도록 함

· 사이버 보안에 대한 정보를 공유할 것

· 사이버 보안에 대한 능력 향상 도모: 예를 들어 영국 정부는 이를 위해 13개의 우수 인재 역량센터를

설립하여 사이버보안 연구, 혁신, 개발 등 전문성 육성을 지원함

▶ EU의 개인정보보호법 개정 주요 내용(2016년 5월)48

• 신법에 따르면 모든 가업들은 수집한 개인정보를 당사자 동의 없이는 공개할 수 없으며 소비자들의

사전 동의 받아야 개인정보를 사용할 수 있게 규정

• 해당 기업은 개인정보보호 사건이 발생하면 72시간 내에 신고하고 전문가의 조사를 받아야 하며,

조사결과 위법 사실이 발견되면 해당 기업은 전 세계 연 매출액의 4%까지 벌금 부과

• 또한, 개인정보보호법 의거 2018년 5월 25일부터는 잊힐 권리가 추가되어 이 시점부터 해당기업은

47 Financial Conduct Authority news, “Expect the unexpected: cyber security in 2017 and beyond”, 2017.4.2748 http://ec.europa.eu/justice/data-protection/ 및 KOTRA 런던무역관 시장동향 보고서(2016.05.16.)참조


고객의 요구에 따라 개인정보를 삭제해야하며 신규 고개정보 수집할 경우는 정보의 삭제절차와

과정에 대한 사전고지를 해야 할 의무

• 개인정보보호의 책임주체는 해당 기업으로 해당기업은 해킹 및 악성 코드 삽입 등 사이버 범죄 방어

및 암호화 등 자체 정보보호 시스템을 구축하고 개인정보보호책임자(Data Protection Officer)를

두어야 하며, EU 역내에 서버를 두거나 영리 활동을 하지 않는 외국기업일지라도 인터넷을 통해 EU

시민의 개인정보를 취급하는 경우 자동적으로 이법의 적용대상으로 간주

• 이에 따라 개인정보를 수집하는 모든 기업들은 서비스 장비 및 소프트웨어 구매 외에도

정보보호책임자를 의무적으로 고용해야 함으로 인건비 부담도 증가할 전망

▶ 영국의 IT 정책 5G 이동통신망, 공공 빅 데이터, 무인차 개발에 집중 전망

• 영국 정부는 2016/17 회계 연도 기간 중에 차세대 이동통신망 구축, 통계청을 시범 케이스로

국가공공데이터 완전개방 가능성 실험, 무인자동차 산업 육성 등에 집중 예정

• 영국 정부는 국가인프라 위원회(NIC ; National Infrastructure Commission)를 통해 5G 통신망을

2017년도까지 도입하는 것을 목표로 보급전략과 추진방법 강구 중

• 영국정부는 그간 추진해온 공공정보의 가치창출 정책기조에 의거 세계 최대 규모의 방대한

공공기록물을 빅 데이터 자원개발을 통해 빅 데이터의 일상적 활용이 가능한 생태계 조성을 위한

빅 데이터 허브(Hub) 구축 프로젝트 추진 중

• 또한 IT 기술과 접목된 자동차간 상호 통신 및 도로와 자동차간 통신원활화 관련 개발 프로젝트를

추진 중으로, 영국의 자율주행 자동차 기술이 급격히 발전할 것으로 전망

라. 프랑스


· 프랑스는 지난 조사에서 9위를 차지했으나 2017년 GCI 조사에서는 1단계 상승

(● 상, ● 중, ● 하)

국가명




프랑스 0.819 8 ● ● ● ● ● ●

대한민국 0.782 13 ● ● ● ● ● ●


· 프랑스의 ICT 발전지수는 세계 15위로 전반적으로 높은 ICT 발전 수준을 보임

지표명프랑스 한국


ITU ICT 발전지수(IDI 2017) 8.24 15 8.85 2

접근(Access) 부문 8.64 11 8.85 7

활용(Use) 부문 7.93 17 8.71 4

기술(Skills) 부문 8.06 39 9.15 2


UN 전자정부 지수(2018) 0.879 9 0.901 3


· 프랑스의 유이동통신(ICT) 이용 및 보급률은 세계 최고 수준으로 우리나라와 비슷

항목프랑스 한국


유선전화 38,687 59.5 26,842 52.6

유선브로드밴드 28,429 43.7 21,195 41.5

이동통신 69,017 106.2 63,658 124.8

인터넷 이용률 80.50% 95.1%

‘17년 GDP(십억달러) 2,582.50

'17년 인구수(천명) 67,118

1. 선진 시장 - 프랑스


1. 보안 환경

▶ 프랑스 대상 사이버공격의 횟수, 효력, 복잡성이 더욱 강력해지는 등 정보보안 문제가 전 사회적으로

대두되고 있음49

• PwC에 따르면 비즈니스 환경에서 매일 11건의 사이버 보안 사건이 발생, 각 기업마다 평균 150만

유로의 금전적 손해를 끼쳤으며 프랑스 기업의 59%가 2017년 사이버 보안 관련 지출을 늘린 것으로

나타남

• 그러나 Orange Cyberdéfense의 조사 결과에 따르면 근로자 250명 이하 기업의 약 20%가 사이버

보안 문제에 ‘전혀’ 준비되어 있지 않다고 응답하여 아직도 보안에 대한 인식 제고가 충분히 이뤄지지

않은 상황

▶ 정보시스템보안청(Agence nationale de la sécurité des systèmes d’information, 이하 ANSSI)은

정보시스템 사보타주 및 교란, 스파이, 사기행각, 시스템 마비 등 해커들의 활동이 그 어느 때 보다

기승을 부렸던 2016년에 3,235건의 사이버보안 관련 신고가 접수되었고 2017년에는 2,435건이

접수되어 감소세를 보임 50

▶ 프랑스 내무부가 발표한 자료에 의하면 사이버공격, 해킹, 정보 유출과 같은 전통적인 사이버 위협

유형이 크립토재킹(cryptojacking), 타이포스쿼팅(typosquatting) 등의 새로운 형태로 진화하면서

2017년 프랑스 헌병대에서 접수한 사이버범죄 신고 건수만 해도 63,500건에 달해 2016년 대비 32%나

증가함51

▶ ITU 2017 ‘Global Cybersecurity Index(GCI)’에 따르면 프랑스의 글로벌 사이버보안 지수는 0.81로

글로벌 9위, EU 국가 중 2위를 차지

• 법적·기술적·조직적 대응 및 역량강화, 국제협력 등 5개 부문 중 법적 대응(0.94), 기술적 대응(0.96),

역량 강화(1)에서 높은 평가를 기록(1점 만점)

49 www.slate.fr, ‘Cybersécurité : la France, bonne élève?(2017.04.21.) 50 ANSSI, ‘Rapport annuel : ANSSI 2017’51 Ministere de l'interieur, 'Etat de la menace liee au numerique en 2018',(2018.5)


표 _ 유럽 상위 3위 국가 사이버 보안 지수 비교

구분 법적 기술적 조직적 역량강화 협력 종합지수 역내순위

에스토니아 0.99 0.82 0.85 0.94 0.64 0.84 1

프랑스 0.94 0.96 0.6 1 0.61 0.81 2

노르웨이 0.96 0.89 0.64 80.8 0.57 0.78 3

[출처] ITU,‘Global Cybersecurity Index & Cyberwellness Profiles(GCI)’(2017)

▶ 2015년 1월 파리 신문사 샤를리 엡도(Charlie Hebdo) 테러에 이어 같은 해 11월 동시 다발적으로 일어난

파리 테러, 2016년 7월 니스 테러 등 유럽 각지에서 일어난 크고 작은 테러들로 인해 치안이 강화되고

있음

• 또한 공공부문에서 세관과 공항 등의 공공보안 강화를 위해 8,500명의 경찰과 보안 요원들이

충원되었으며 민간기업 부문에서도 경비 및 보안업체와의 계약이 급증함

• 2015년 파리 연속테러사건 이후 6번의 연장을 거듭한 국가비상사태가 719일로 종료되며 1955년

국가비상사태 제도 도입 이후 최장기간을 기록했으며 2년 여 동안 4천 건이 넘는 수색영장이

발부되었으며 600여 건의 가택 수색 명령이 내려졌고 11개가 넘는 예배당이 폐쇄되었으며 현재

가택연금자도 40여 명에 달함


프랑스의 ICT 시장 개요

▶ 프랑스 기업총국(Direction generale des entreprises)이 2017년 12월 발표한 자료에 따르면 OECD의

ICT분야 정의를 기준으로 2015년 프랑스에는 총 108,683개 ICT 기업이 있으며 그 중 서비스업이 100,

366개로 가장 큰 비중을 차지함52

• 프랑스 ICT분야는 2015년 781억 1,300만 유로의 부가가치를 창출했으며 그 중 제조업은 전체의 6.6%,

정보통신장비 도매업은 5.9%, 서비스업은 683억 300만 유로로 87.4%를 차지함

52 Direction generale des entreprises, 'Chiffres cles du numerique-edition 2017'


표 _ 2015 프랑스 ICT 분야별 통계

분류 기업 수 부가가치(백만 유로) 비중(%)

제조업 1,695 5,194 (6.6)

전자 부품 및 전자 회로 899 3,015 (3.9)

통신장비 283 1,558 (2.0)

컴퓨터 및 주변 기기 226 483 (0.6)

소비자전자제품 277 138 (0.2)

자기 및 광학 매체 10 -

정보통신장비 도매업 6,622 4,616 (5.9)

서비스업 100,366 68,303 (87.4)

프로그래밍, 컨설팅 및 기타 정보 관련 사업 71,818 29,832 (38.2)

컴퓨터, 통신장비 수리 9,136 1,609 (2.1)

데이터 처리, 호스팅 및 관련 사업-인터넷 포털 9,291 3,281 (4.2)

통신 3,554 26,944 (34.5)

소프트웨어 개발 6,567 6,638 (8.5)

총계 108,683 78,113

[출처] Direction generale des entreprises, 'Chiffres cles du numerique-edition 2017'(2017.12)

▶ 프랑스는 유럽에서 세 번째로 큰 통신 시장을 가지고 있으며, 유럽, 중동 및 아프리카 전역의 시장에서

영향력이 큰 Orange Group 등 통신대기업이 있음53

• 프랑스의 통신시장은 2000년 이후 GDP의 약 2.3%를 차지하고 있으며 비용에 민감한 통신 사업자들의

특성으로 인해 통신 분야 종사자 수는 1998년 156,000명에서 2006년 122,000명으로, 2015년에는

118,400명으로 꾸준히 감소

• 유선 통신 부문은 VoIP, 모바일 전용 솔루션으로 사용자들이 빠져나가고 가격 경쟁이 치열해지면서

사업자들이 고전을 면치 못해 시장 수익성이 최근 수년간 꾸준히 감소해왔지만 유선브로드밴드

부문의 호재가 이러한 하락세를 일부 상쇄

▶ ITU가 평가한 프랑스의 ICT 발전지수(IDI)도 상위 그룹에 위치

• 유럽의 트로이카 국가 영국, 독일 및 프랑스 중에서 가장 낮은 순위(15위)에 위치하고 있으나 전국

브로드밴드 정보통신망 가설 프로젝트(Plan France Très Haut Débit)가 종료되면 순위가 더욱 상승할

수 있을 것으로 기대

53 BuddeComm Telecoms Research(2018.5)


표 _ 세계 주요 선진국의 ICT 발전 순위 및 지수

구분종합 접근 활용 기술

2017 2010 2017 2010 2017 2010 2017 2010세계평균 5.11 (4.14) 5.59 (4.83) 4.26 (2.21) 5.85 (6.61)

한국 2(8.85)

1(8.64)

7(8.85)

10(8.64)

4(8.71)

1(8.02)

2(9.15)

2(9.87)

영국 5(8.65)

10(7.62)

4(9.15)

8(8.75)

7(8.38)

12(5.99)

33(8.17)

31(8.65)

일본 10(8.43)

9(7.73)

9(8.80)

15(8.03)

11(8.15)

7(7.02)

30(8.22)

34(8.57)

독일 12(8.39)

17(7.28)

6(8.93)

7(8.77)

18(7.77)

21(5.34)

17(8.54)

50(8.17)

미국 16(8.18)

16(7.30)

17(8.27)

25(7.59)

20(7.67)

14(5.90)

3(9.05)

5(9.52)

프랑스 15(8.24)

18(7.22)

11(8.64)

14(8.15)

17(7.93)

17(5.66)

39(8.06)

37(8.50)

주) ( )안은 득점 지수

[출처] ITU, ‘Measuring the Information Society Report 2017’(2017.06)

유선 통신

▶ 프랑스의 유선통신망은 가입자 수가 점진적으로 감소하는 추세

• ITU가 분석한 데이터에 따르면 프랑스는 인구 100명당 유선전화 가입자 수가 2010년 64.5%에서

2017년 59.5%로 감소한 것으로 나타남

• 이는 사용자들이 이동통신을 선호하면서 생긴 전 세계적 추세지만 유선브로드밴드 통신 수요가

확대되면서 감소폭도 줄어들 것으로 예상됨

표 _ 주요 선진국의 유선 통신망 가입자 수 변화 비교(2017)

구분

인구100명당

유선전화 가입자수

인구100명당

유선브로드밴드 가입자수2010 2017 2010 2017

프랑스 64.5 59.5 33.9 43.8

독일 65.4 54.0 32.3 40.5

영국 52.8 50.1 30.3 39.3

한국 57.6 52.7 34.7 41.6

일본 51.1 50.2 26.5 31.7

미국 48.5 36.6 27.4 33.9



이동 통신

▶ 프랑스 이동통신 시장에서는 최근 몇 년간 요금 규제 압력, 선불카드에서 계약제로의 이동, 가상

이동통신망 사업자(MVNO)의 증가, 무제한 요금제(음성 및 데이터 통합) 확대, 스마트폰의 대중화, LTE

네트워크 확대, 모바일 브로드밴드의 폭발적 증가 등이 눈에 띄게 나타남

▶ 수년 동안 프랑스는 저가 MVNO 부문의 성장에도 불구하고 유럽에서 가장 비싼 모바일 요금을 유지했음

• 2012년 Free Mobile이라는 신규 사업자가 진입한 직후인 2012년 이동통신 서비스 분야 가격지수가

11.5% 하락했으며 이후 2013년 26.6%. 2014년 10.6%, 2015년 5.5%씩 지속적으로 하락54

▶ 프랑스의 모바일 보급률은 EU 평균보다 낮으므로 추가 성장 가능성이 많은 시장임

• 프랑스 시장은 Orange, SFR, Bouygues Telecom, Free Mobile이 장악하고 있으며

가상이동통신망사업자(MVNO)의 시장 점유율도 증가 추세에 있음 (2016년 9월, 10.8%)

표 _ 주요 선진국의 모바일 통신망 보급현황 비교

구분

인구100명당

이동통신 가입자수

인구100명당

모바일브로드밴드 가입자수2010 2017 2010 2014

프랑스 91.7 106.2 36.2 66.2독일 109.3 129.1 25.5 63.6

영국 121.2 119.6 43,2 98.7

한국 102.5 124.9 97.7 108.6

일본 95.9 133.5 87.6 121.4

미국 92.4 122.0 60.1 97.9


▶ 프랑스 통신우정규제청(ARCEP)은 2018년 7월 5G 이동통신 도입을 위한 로드맵 발표55

• 동 로드맵에 따르면 올해 전국 주요 지역에서 5G 테스트 및 파일럿 프로젝트를 발주하고 2019년에는

점진적 5G 주파수 자유화 및 단말기 상용화, 2020년에는 주파수 할당 및 허가 관련 의무사항을

정립하고 1개 이상의 도시에 5G 상용화, 2025년 5G 인프라 구축을 목표로 하고 있음

54 미디어스, ‘프랑스·영국,‘경쟁 활성화’로 ‘가계 통신비’ 잡았다(2017.02.21.) (글꼴 통일 부탁드립니다.)55 ARCEP, '5G, une feuille de route ambitieuse pour la France'(2018.07.16)


컴퓨터 및 인터넷 보급

▶ 가구당 프랑스의 컴퓨터 보급률 및 인터넷 보급률은 다른 선진국에 비해 낮은 수준이나 한국과

마찬가지로 이동통신의 발달에 기인한 것으로 해석됨

표 _ 주요 선진국의 컴퓨터 및 인터넷 보급수준 비교

구분컴퓨터보유

가정(%)인터넷사용

가정(%)1인당 국제인터넷

대역폭(Bit/초)

2015 2016 2015 2016 2015 2016프랑스 81.5 81.8 82.6 85.9 84‘255 97‘653

독일 91 91.4 90.3 90.8 91‘443 107‘489

영국 89.9 89.8 91.3 91.3 374‘554 449‘137

한국 77.1 75.3 98.8 99.2 46‘894 54‘252

일본 79.7 81 97.2 97.2 64‘180 83‘010

미국 86.8 87 81.5 84 99‘011 126‘545

[출처] ITU, ‘Measuring the Information Society Report 2017’(2017.11)

브로드밴드 통신망

▶ 프랑스는 유럽에서 세 번째로 큰 유선 브로드밴드 가입자 기반을 가지고 있으며 서비스 가격도 매우

저렴한 편

• 거의 모든 유선 브로드밴드 가입자가 최소 하나의 전화 서비스와 번들상품에 가입되어 있으며 69%는

트리플 플레이 서비스(TPS)나 쿼드러플 플레이 서비스(QPS)에 가입되어 있음

▶ 프랑스의 인터넷 시장은 민간 기업이 주도하고 있지만 투자가 잘 이루어지지 않는 지역에는 정부가

개입함

• 지방 당국은 국유 은행인 Caisse des Dépôts et Consignations의 지원을 받아 독립 사업자 또는

사용자의 요구를 충족하는 인프라를 구축할 수 있으며 적당한 민간 사업자가 없는 경우 지역 내

네트워크를 운영하는 등 큰 권한을 갖고 있음

▶ 브로드밴드 연결 건수는 2016년 9월까지 3.3% 증가하여 2,740만 건에 달했고 초고속 인터넷 가입자

수는 120만 명 증가하여 510만 명에 달함

• 초고속 인터넷 시장은 보급률이 높아짐에도 불구하고 견고한 성장세를 유지하고 있으며 향후 몇 년간

광섬유로 전환하는 고객들로 인해 DSL(Digital Subscriber Line) 가입자 수는 줄어들겠지만 전체

케이블 부문의 성장세는 안정적으로 유지될 것으로 전망


▶ 프랑스 정부는 2013년도에 2022년도까지 전국에 100Mbps 속도의 초고속 브로드밴드 통신망을

가설하는 것을 목표로 하는 국가브로드밴드플랜(Plan France Très Haut Débit; The National Broadband

Plan)을 수립·추진

• 동 정책은 경제산업디지털부 감독 하에 브로드밴드 통신망 가설을 담당하는 디지털청(Agence

Numérique)과 프랑스의 브로드밴드 통신망 네트워크의 확장관련 규제와 통제조치를 담당하는

전자통신우정청(Autorité de Régulation des Communications Électroniques et des Postes, Arcep)을

두고 추진 중

• 프랑스 정부는 전국 브로드밴드 통신망 가설 플랜의 완성을 위해서는 약 200억 유로에 달하는 공공

및 민간부문 투자 참여가 필요할 것으로 보고 디지털 소사이어티 펀드를 조성하고 공공부문 차입과

함께 소요자금을 지원하고 있음

• 전자통신우정청(Arcep)은 2018년 1사분기 FTTH 가입자 수는 390만 명으로 1년만에 130만명

증가하면서 프랑스 내 초고속 인터넷 접속의 절반을 차지했다고 발표함

표 _ 프랑스의 유선브로드밴드 통신망 보급 현황

구분 2012 2013 2014 2015 2016 2017

프랑스23,980

(37.51)

24,940

(38.79)

25,969

(40.17)

26,867

(41.34)

27,664

(42.35)

28,429

(43.75)

한국18,253

(37.25)

18,738

(38.04)

19,199

(38.78)

20,024

(40.25)

20,556

(41.13)

21,196

(41.58)

일본36,132

(28.39)

36,724

(28.88)

37,789

(29.76)

38,663

(30.49)

39,806

(31.16)

40,391

(31.68)

영국21,686

(34.54)

23,040

(36.49)

23,730

(37.38)

24,084

(37.72)

25,190

(38.29)

26,016

(39.31)

미국92,514

(29.14)

96,031

(30.06)

97,810

(30.32)

102,516

(31.53)

106,327

(33.00)

109,838

(33.85)

독일27,957

(33.76)

28,642

(34.62)

29,573

(35.78)

30,707

(37.19)

32,000

(39.07)

33,217

(40.45)

(단위 : 천명, %)




1. 시장 규모

시장 개요

q 정보보호 시장 개요

▶ 프랑스 정보보호 시장 규모는 2015년부터 극렬해진 중동 IS 계열 테러분자들의 테러활동으로 인한

사회불안과 사이버 공격 심화로 인해 수요가 증가되는 추세에 있음

• Technavio사의 조사에 따르면, 2014년 프랑스 정보보호시장 규모는 정보보안 15억 4,000만 달러,

물리보안이 13억 8,000만 달러로 총 29억 2,000만 달러 규모인 것으로 알려져 있으며, 특히 정보보안

시장이 급성장하는 추세56

• 이는 미국과 비교하면 1/10 규모에도 못 미치는 규모이나 유럽 국가 중에는 영국 다음의 시장 규모임

▶ 정보보안 분야의 주요 고객은 지금까지 대기업이었지만 사이버 공격, 사생활 보호, 은행거래 및

사물인터넷이나 커넥티드 카의 보안이라는 새로운 수요에 직면한 중소기업 및 개인 고객층까지

확대되는 추세

▶ 디지털신뢰연합(Alliance pour la confiance numérique, ACN)이 2017년 7월 발표한 디지털

신뢰(Confiance Numérique) 보고서57는 정보 보호 분야 중에서도 디지털 제품 및 서비스만을 대상으로

하고 있는데, ▲ 사이버보안 (정보시스템, 데이터, 애플리케이션 및 네트워크 보안서비스 제품,

소프트웨어)과 ▲ 디지털보안 (바이오인식, 액세스 관리, 탐지 등의 디지털 시스템 도입을 통해 신뢰를

구축하는 설비, 장치 및 솔루션) 두 가지 분야로 나누어 다룸

• 디지털 신뢰 분야는 프랑스 정부가 프랑스 신산업 정책(Nouvelle France Industrielle)에서 정의된 9대

핵심 육성 분야 중 하나로 향후 성장 가능성이 큰 시장임

• 디지털 신뢰 분야 기업 수는 2013년 700여 개에서 2016년 850여 개로 증가했으며 약 90억 유로의

매출을 올리는 등(디지털보안 45억, 사이버보안 43억), 서비스 부문(개발, 설치, 운영)의 수요 급증으로

2014년 이후 연평균 12%의 높은 성장률을 보이고 있음

• 디지털 신뢰 기업 10개 중 9개가 500만 유로 이하의 매출액을 올리고 8개가 50명 이하의 종업원을

56 투자기관 UBS사는 프랑스의 정보보안시장 아웃소싱 규모를 43억 유로로 추정하기도 함57 ACN, ‘Observatoire ACN 2017 de la filière de la Confiance Numérique en France’(2017.07.26.)


고용하고 있는 것으로 나타났으며 매출 5,000억 이상 20여 개의 대기업이 전체 디지털 신뢰 매출액의

55%를 차지

• 주요 고객은 공업, 공공부문 (행정, 치안 당국, safe city(대도시 치안), 지자체), 금융업계로 전체 고객의

절반에서 2/3정도를 차지하며 두 번째 고객층은 운송, 네트워크, 통신, 보건 분야로 18~26%, 개인

고객의 경우는 비중이 미미함

q 물리보안 시장 개요

▶ 프랑스의 물리보안 서비스 산업 현황

• 프랑스의 물리보안 서비스 산업은 2018년 기준으로 총 고용규모는 약 2만 300명, 업체 수는 5,800여

개, 매출액은 26억 7,000만 유로 정도로 추산됨

표 _ 프랑스의 물리보안 서비스 산업 현황(2018)

구분 카테고리 기업수(개) 총매출액(백만 달러) 총 고용인원(명)

보안시스템 서비스 Major1 4,324 2,008.5 20,370

도난 경보 유지 보수 및 모니터링 Minor2 646 994.0 4,212

화재 경보 유지 보수 및 모니터링 ,, 148 70.9 785

보호 및 보안 장비 ,, 638 139.4 2,676

감금 감시 시스템 ,, 143 79.2 602

[출처] Barnes Reports, ‘2018 Worldwide Security Systems service Industry’(2018.08)

▶ 보안 시스템 서비스를 포함한 물리 보안 서비스 시장을 대상으로 한 Barnes사의 분석 보고서에 따르면

프랑스 물리 보안 서비스 시장 규모는 2017년 29억 9,700만 달러에서 2018년 26억 7,200만 달러 규모로

10.8% 감소세를 보일 것으로 예상되나 2019년에는 다시 29억 1,100 달러 대를 회복할 것으로 전망됨58

• 업체 수는 2017년 기준 5,625개사로 잠정 집계되고 있는데 2016년에 비해 4.8%가 증가된 것으로

2015~2016년 증가율 4.0%보다 다소 높은 수준

• 고용 규모는 2017년 기준 2만 7,000명 정도로, 고용자 1명 당 매출은 약 10만 9,000달러 규모로 집계됨

• 기업 당 평균 매출액은 매년 4%대의 증가율을 보이고 있는데 2017년 기준 약 53만 달러 수준으로

집계됨

58 Barnes Report, ‘2018 Worldwide Security Systems Services Industry’(2018.08)


표 _ 프랑스의 물리 보안 서비스 기업 현황

구분 단위 2015 2016 2017 2018 2019

기업 수 개(증감율)

5,160(-)

5,367(4.0%)

5,625(4.8%)

5,883(4.6%)

6,195(5.3%)

매출액 백만 달러(증감율)

2,816(-)

2,900(3.0%)

2,997(3.3%)

2,672(-10.8%)

2,911(9.0%)

매출액 백만 유로(증감율)

2,352(-)

2,422(3.0%)

2,502(3.3%)

2,231(-10.8%)

2,431(9.0%)

고용 명(증감율)

25,061(-)

26,067(4.0%)

27,321(4.8%)

28,574(4.6%)

30,086(5.3%)

[출처] Barnes Reports, ‘2018 Worldwide Security Systems Services Industry’(2018.08)

▶ 프랑스 물리보안 서비스 업체의 주류는 고용 규모가 50명 미만의 소기업군

• 프랑스 물리보안 업계에는 500명 이상을 고용하고 있는 대형 기업은 4개사 정도이고, 고용인원이

250명~499명인 중견기업도 6개사에 불과해 대부분 고용인원이 50명 미만의 소규모 업체들 중심으로

운영이 되고 있는 것으로 파악됨

• 기업 고용 규모별 매출액을 보면 100~249명 규모 기업의 매출액이 5억 3,800만 달러 규모로 가장

크게 나타남

• 가장 고용이 활발하게 나타난 기업군은 20~49명 규모 기업군으로 2017년 기준 4,908 명을 고용한

것으로 나타남

표 _ 프랑스의 보안 시스템 서비스 기업 규모 분석

연도

고용인원 규모별 기업수(개)

1-4명 5-9 10-19

20-49

50-99

100-249

250-499

500이상 미분류 계

2017 782 273 220 163 58 29 6 4 4,091 5,6252018 818 285 230 171 60 31 7 4 4,278 5,8832019 861 301 242 180 63 32 7 4 4,504 6,195

기업별 평균 매출규모(백만 달러)

2017 138 127 257 505 392 538 389 497 153 2,9972018 124 114 230 452 350 481 348 436 137 2,6722019 135 124 252 494 383 526 381 467 149 2,911

기업규모별 고용 인원(명)2017 1,955 1,583 2,991 4,908 3,418 3,696 1,832 2,848 4,091 27,3212018 2,045 1,656 3,128 5,133 3,574 3,866 1,916 2,978 4,278 28,5742019 2,153 1,743 3,294 5,405 3,764 4,070 2,017 3,136 4,504 30,086

[출처] Barnes Reports, ‘2018 Worldwide Security Systems Services Industry’(2018.08)


q 정보보안 시장 개요

▶ 프랑스의 정보보안 시장은 앞으로 급성장할 것으로 전망

• 2014년 기준 시장 규모는 물리보안 시장보다 큰 15억 4,00만 달러를 기록

• 높은 정보통신 인프라 보급률과 이에 따른 클라우드, 데이터 보안, 모바일 통신 분야 등에서 정보보안

수요가 급증세

• 특히 인근 유럽국에 비해 중동계 이민자가 가장 많은 국가인데다 2015년 11월의 테러 행위여파로

항상 이들의 중동 IS세력이나 마그레브 지역 알카에다 세력과 연계된 테러와 치안 불안 등

사회불안요인 야기 위험도가 높아지고 있는 상황으로 상시적 정보보안 수요가 급등세

• 정보보안 시장에서는 플랫폼 소프트웨어 업체와 네트워크 설비업체 등이 보안 시장에 대한 투자를

지속적으로 확대하고 있는 추세이며, 네트워크 보안과 데이터 보안의 비중이 높은 상황



▶ 프랑스의 비디오 감시 시장은 2018년 13억 8,000만 달러에서 2023년 23억 7,000만 달러로 약 11.5%

증가할 것으로 예상59

• 프랑스에서는 테러리즘, 불법 이민 및 마약 밀매의 위험이 높아 비디오 감시에 대한 수요가 증가하고

있음

• 세계관광기구(UNWTO) 자료에 따르면, 프랑스 내 관광업 경기가 활성화되면서 레스토랑, 카지노, 클럽

및 바의 수가 증가함에 따른 비디오 감시 시스템에 대한 수요도 증가

• 프랑스 정부는 범죄율 억제를 위해 2016년부터 모든 경찰관들이 카메라를 착용하도록 장려하고 있음

59 Markets and markets, Video Surveillance Market Global Forecast to 2023


표 _ 2017~2023 유럽 비디오 감시 시장 규모

(단위 : 십억 달러)

국가 2017 2018 2019 2021 2023예상성장률

(2018~2023)

영국 1.92 2.18 2.45 3.04 3.71 11.2%

독일 1.39 1.59 1.81 2.29 2.86 12.4%

프랑스 1.21 1.38 1.55 1.93 2.37 11.5%

이탈리아 0.50 0.56 0.63 0.77 0.92 10.5%

[출처] Markets and markets, Video Surveillance Market Global Forecast to 2023(2018.05)

▶ 그 중에서도 상업용 비디오 감시 시장은 2018년 3억 9,540만 달러에서 2023년 7억 3,820만 달러로

13.3%, 인프라 비디오 감시 시장은 2018년 3억 170만 달러에서 2023년 5억 4,460만 달러로 12.5%,

군사 및 국방 2018년 2억 2,530만 달러에서 2023년 3억 7,000만 달러로 10.4% 증가할 것으로 보임

표 _ 2017~2023년 프랑스 용도별 비디오 감시 시장 규모 및 예상 성장률


구분 2017 2018 2019 2021 2023예상 성장률

(2018~2023)

상업용 342.3 395.4 452.4 581.2 738.2 13.3%

인프라 262.2 301.7 343.7 436.1 544.6 12.5%

군사 및 국방 199.9 225.3 251.5 307.0 370.0 10.4%


▶ 프랑스의 홈 시큐리티 부문은 유럽 전체 시장의 9.88%를 차지하고 있는데 2018년 9억3,000만 달러

규모에서 2023년 14억 3,000만 달러로 8.85% 증가할 것으로 전망됨


표 _ 2017~2023 유럽 홈 시큐리티 시장 규모 및 예상 성장률 (단위 : 십억 달러)

국가 2017 2018 2019 2021 2023예상성장률

(2018~2023)

독일 3.80 4.21 4.63 5.54 6.46 8.93%

영국 0.73 0.83 0.95 1.21 1.50 12.52%

프랑스 0.84 0.93 1.03 1.23 1.43 8.85%


▶ 프랑스의 출입제어 시스템 시장 규모는 2017년 3억 2,190만 달러에서 2023년 4억 2,980만 달러로

성장해 4.94%의 증가율을 보일 것으로 전망

• 2015년 1월 파리 신문사 샤를리 엡도(Charlie Hebdo) 테러에 이어 같은 해 11월 바타클란 콘서트홀

테러, 2016년 6월 경찰관 살해 사건, 7월 니스 테러 등으로 인한 치안 강화와 세계 6위 경제대국을

이끄는 산업 플랜트시설에서의 사용으로 카드 리더기, 바이오메트릭 리더기, 전자락(lock) 등의 출입

제어 시스템의 수요가 증가

• 지멘스 프랑스는 기존 건물의 플랜트 보안 강화를 위해 카드 출입 제어 시스템을 도입하고 민감

지대의 보안을 강화

표 _ 2016~2023 유럽 출입 제어 시스템 시장 규모 및 예상 성장률



▶ 프랑스 모바일 비디오 감시 시장은 2018년 7,800만 달러에서 2023년 1억 1,410만 달러 규모로 7.94%

성장 전망

• 특히 기업용 LAN에 꽂기만 하면 원격 뷰/제어 사이트에 연결할 수 있어 상업부문에서의 IP카메라

수요가 많음

국가 2016 2017 2019 2021 2023예상성장률(

2017~2023)

영국 567.9 605.1 680.5 756.3 826.2 5.33%

독일 409.2 428.6 465.8 499.8 526.8 3.50%

프랑스 303.3 321.9 359.3 396.3 429.8 4.94%


표 _ 2016~2023 유럽 모바일 비디오 감시 시장 규모 및 예상 성장률



▶ 프랑스 스마트 락(smart lock) 시장은 2017년 6,250만 달러에서 2023년 1억 2,200만 달러 규모로 11.78%

성장 전망

• 2016년 유럽 스마트 락 시장의 19.73%를 차지한 프랑스는 가정용 스마트락의 수요 증가로 성장이

견인되고 있으며 무선 휴대용 가전 제품 사용 증가와 함께 인터넷 기반 홈 보안 솔루션에 대한

인지도가 높아져 프랑스 시장의 성장이 가속화되고 있는 상황

• 프랑스에서 스마트 락 장치를 필수 요소로 포함하는 스마트 홈 솔루션 설치 건수가 늘어남에 따라

스마트 락을 비롯한 가정용 보안 시스템에 대한 수요가 증가할 것으로 예상됨

표 _ 2016~2023 유럽 스마트 락 시장 규모 및 예상 성장률



▶ 가정용 스마트 락의 전체 시장 비중이 2016년 56.35%를 차지해 가장 큰 시장 점유율을 기록했으며

2017~2023년 사이 성장률은 13.48%, 상업용 스마트락 시장은 10.33%, 기관 및 정부는 8.83%,

산업용으로는 6.93% 성장할 것으로 전망

국가 2016 2017 2018 2020 2022 2023

예상성장

률(2017~2

023)

영국 96.7 103.8 111.3 127.7 146.0 155.9 7.02%

독일 89.4 97.8 106.9 127.4 151.4 164.9 9.10%

프랑스 66.6 72.1 78.0 91.0 105.8 114.1 7.94%

국가 2016 2017 2019 2021 2023예상성장률(

2017~2023)

영국 100.0 120.3 165.4 211.8 254.0 13.27%

독일 70.2 82.5 108.4 132.6 151.8 10.69%

프랑스 52.7 62.5 83.8 104.5 122.0 11.78%


표 _ 2017~2023 프랑스 용도별 스마트 락 시장 규모 및 예상 성장률


구분 2017 2019 2021 2023예상 성장률

(2017~2023)

상업용 14.5 19.0 23.1 26.2 10.33%

가정용 35.8 49.4 63.5 76.4 13.48%

기관 및 정부 6.5 8.2 9.7 10.8 8.83%

산업용 5.7 7.1 8.2 8.6 6.93%

총 계 62.5 83.8 104.5 122.0 11.78%


▶프랑스의 경보 감시 시장은 2017년 유럽 시장의 19.1%를 차지했으며, 2018년 27억 1,000만 달러에서

2023년 33억 8,000만 달러로 4.5% 성장률을 보일 것으로 전망

표 _ 2017~2023 유럽 경보 감시 시장 규모 및 예상 성장률

(단위 : 억만 달러)

국가 2017 2018 2019 2021 2023예상성장률(

2018~2023)독일 4.91 5.15 5.38 5.83 6.23 3.9%

영국 4.01 4.26 4.50 4.99 5.46 5.1%

프랑스 2.57 2.71 2.86 3.13 3.38 4.5%



▶ 2017 프랑스의 정보보안 시장은 25억 유로 이상의 매출을 올리면서 전체 전문 IT시장의 5.2%를 차지함60

• 보안 서비스 제공은 2017년 전체 시장 매출의 64%로 가장 큰 비중을 차지했으며 소프트웨어는 19%,

어플라이언스가 13%, SaaS 액세스가 4%를 차지

• 정보 보안 서비스 및 솔루션 매출은 2021년까지 연간 평균 8.3% 성장해 매출액 36억 유로에 달할

것으로 전망됨

60https://www.lemondeinformatique.fr/actualites/lire-le-marche-de-la-securite-francais-a-atteint-2-5-mdeteuro-en-2017-70515.html


• 2017년 정보시스템보안에 가장 큰 투자를 한 분야는 제조업(27%)이었으며 금융(19%), 공공부문(17%),

서비스업(15%), 상업(10%)이 그 뒤를 이음

q 프랑스의 사이버 보안시장

▶ Xerfi사의 연구에 따르면 프랑스 사이버 보안 시장은 2017년 약 10%의 성장률을 보인 뒤 2020년까지

연간 비슷한 수준(10%대)의 성장률을 보이며 글로벌 시장의 연간 성장률(9.5%)을 웃돌 것으로 전망됨61

• 사이버 보안 기업의 매출이 가장 많은 부문은 금융, 유통, 에너지, 국방, 통신 및 제조 부문이며 특히

제조부문은 IoT, 생산 라인 로봇화, 제조사와 하청업체간 정보시스템의 상호연결성 강화로 성장

잠재력이 매우 클 것으로 전망됨

• 프랑스 사이버 보안 기업들도 보안 및 디지털 신뢰(confiance numerique) 분야의 혁신 기술을 다수

보유하고 있고, 대기업과 혁신중소기업 간의 상생과 미국, 이스라엘 등과 함께 스타트업 생태계가

가장 활발한 국가 중 하나인데다가, 2017년 12월 Thales의 Gemalto 인수로 인한 대형 주자의

출현으로 기대가 증폭되고 있음

표 _ 프랑스의 사이버 보안 시장 부문별 규모 및 전망

구분 2015 20252015-2015년

기간중 시장규모

2015-2025년 기간중

평균성장율

인증 및 접근통제 87 172 1,400 7.05

네트워크 보안 57 120 936 7.73

데이터 보안 30 64 502 7.87

클라우드 보안 15 40 285 10.31

합계 189 396 3,100 7.68

(단위: 백만 달러, %)

[출처] SDI, ‘The Cyber Security Market in the France to 2025_Market Brief’(2016.3)

▶ 프랑스의 사이버 보안시장을 연도별로 전망해보면 2016년에는 2억 1,200만 달러로 2015년 1억 8,900만

달러 대비 12.2%가 성장할 것으로 추계되었으며 2022년도부터는 연간 3억 달러 대 시장을 형성할

것으로 전망

61 Xerfi, 'Le marché de la cybersécurité à l'horizon 2020'


표 _ 프랑스의 사이버 보안 시장 성장 전망

구분 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025

시장규모 189 212 227 242 267 271 293 314 335 358 396



▶ 2025년도까지 프랑스의 사이버 보안시장 구조를 세분화해보면 다음 표와 같은 구조를 보일 것으로

전망하고 있음

표 _ 프랑스의 연도별 분야별 사이버보안 시장 비중 변화 전망

(단위: %)

구분 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025

인증/접근통제 46 45 45 45 44 44 45 45 44 44 43

네트워크보안 30 30 30 30 30 30 30 30 30 30 30

데이터보안 16 16 16 16 16 16 16 16 16 16 16

클라우드보안 8 9 9 9 10 10 9 9 10 10 11


▶ 프랑스의 사이버 보안 시장은 인식과 접근통제 부문이 계속 주도할 전망

• 지문 인식, 홍채 인식, 안면 인식 등 첨단기술을 활용한 바이오인식 기기와 접근통제를 위한 CCTV나

원격지 적외선 또는 레이저 감시 장비 등 수요가 계속 시장을 장악해 나갈 것으로 예상

• 인증 및 접근 보안 부문은 2015년에는 8,700만 달러의 시장규모로 집계되었으나 최근의 연이은 테러

사태 등에 자극이 되어 매년 7.05%의 성장세를 보이며 2025년도에는 1억 7,200만 달러 규모가 될

것으로 추정되며 이로 인해 프랑스의 지출 규모는 14억 달러가 될 것으로 추정

• 장래 프랑스에서는 개인인식의 정확성을 위한 첨단 바이오인식 기기, 모든 정보의 디지털화 및 보안

솔루션, 첨단 기법 활용을 통해 정보보안활동을 업그레이드시켜 나갈 전망이며, 프랑스 기업으로

Thales 그룹이 국방부 등 공공부문 수요를 공급할 것으로 관측됨

• 향후 인증 및 감시 시장의 성장 예측 데이터는 다음 표와 같음


표 _ 프랑스의 인증 및 감시 시장 발전전망

구 분 단위 2015 2020 2025

총 사이버보안 시장 규모 : A 백만 달러 189 271 396

인증 및 접근 보안시장 : B ,, 90.72 119.24 170.28

시장점유율(B/A) % 46 44 43


▶ 프랑스의 네트워크 보안시장은 향후 10년간 2025년까지 연평균 7.73%씩 성장 전망

• 2015년도에는 불과 5,670만 달러 규모였으나 2025년도에는 1억 1,880만 달러로 증가될 것으로 전망

• 그러나 앞으로 민간부문의 인터넷 및 모바일 정보네트워크 이용이 활성화되고 프랑스 정부가 군용

외에 다른 공공부문의 방첩 및 사이버 공격을 차단해 나가기 위해 네트워크 부문에 지속적으로 투자를

해 나갈 것으로 예상되어 네트워크 보안시장은 더욱 확대될 가능성이 큰 시장

• SDI사 분석에 따르면 프랑스의 네트워크 부문 정보보안 수요 변화는 다음 표와 같이 예측되고 있음

표 _ 프랑스의 네트워크 보안 시장 발전전망

구분 단위 2015 2020 2025

총 사이버보안시장 규모 : A 백만 달러 189 271 396

네트워크 보안시장 : B ,, 56.7 81.3 118.8

시장점유율(B/A) % 30 30 30


▶ 프랑스의 데이터보안과 클라우드 보안 시장도 빠르게 성장 전망

• 프랑스의 데이터 보안시장은 빅데이터 가공 등 컴퓨터 정보 기술이 급속히 발전하면서 이를 해킹이나

멀웨어 등 외부세력의 공격에서 지켜내기 위한 정보보안관리가 과제가 되고 있음

• 이에 따라 프랑스의 데이터 보안 산업도 2015년에 3,034만 달러의 비교적 왜소한 시장 규모를

기록했으나 2025년도에는 최소한 배 이상이 증가한 6,400만 달러 이상으로 성장할 것이 기대되고

있음

• 그러나 데이터 가공 및 모바일을 통한 데이터 검색활용 둥 데이터 이용 산업이 본격적으로 활성화되어

나갈 경우 네트워크 노드와 연결된 컴퓨터들 간의 데이터 기밀유지를 위한 정보보안의 지속적인

업그레이드 수요가 늘어날 것으로 예상되어 10년 후의 동 시장 규모는 최소 1억 달러대 이상 시장으로

성장할 수 있을 것으로 내다보고 있음


표 _ 프랑스의 데이터 및 클라우드 보안 시장 발전전망

구분 단위 2015 2020 2025

총 사이버보안시장 규모 : A 백만 달러 189 271 396

데이터

보안시장

시장 규모 백만 달러 30.24 43.36 63.36

시장점유율(B/A) % 16 16 16

클라우드

보안시장

시장규모(C) 백만 달러 15.12 27.1 43.56

시장점유율(C/A) % 8 10 11


▶ 프랑스의 빅데이터 보안 시장은 유럽 내 선도적 위치를 점하고 있는데, 빅 데이터 보안 솔루션의 대규모

도입 추세가 계속되고 있음62

• 2017년 3월 르노(Renault)사의 여러 제조공장에 대한 랜섬웨어 공격으로 생산이 중단되는 등 데이터

유출, 사이버공격 등이 증가하면서 빅데이터 보안 솔루션 제공 업체의 성장이 기대됨

• 유럽 내 빅데이터 보안 시장은 2017년 매출액 35억 700만 달러에서 2022년 73억 1,300만 달러로

15.8% 성장할 것으로 전망

2. 분야별 현황

물리보안 제품 및 서비스

▶ 보안전문지 ‘En Toute Securite'의 연간 보고서에 따르면 프랑스의 전체 사설보안 시장은 2014년

1.9%에서 2015년 4.3%, 2016년 4.8%, 2017년 5.2% 성장했으며 전자보안제품 시장은 2015년 이후 약

6%대 성장률을 보이면서 정체되고 있는 상황

62 Markets and Markets, 'Big data security market-Global Forecast to 2022'


그림 _ 프랑스 사설 보안 및 전자 보안 시장 성장률

7.10%

4.30%

3.50%

4.90%

5.90% 6% 6%

0%

1%

2%

3%

4%

5%

6%

7%

8%

2011 2012 2013 2014 2015 2016 2017

프랑스 GDP성장률

전체 사설보안 시장

성장률전자보안 시장 성장률

[출처] Atlas 2017 d’En Toute Sécurité(2017.11)

표 _ 2015~2017년 프랑스 전자보안제품별 성장률

구분 2015 2016 2017

침입 경보 6.6% 6% 6%

출입 제어 7.3% 7% 7%

비디오 감시 3.5% 4.5% 5%

사업장 원격 감시 2.5% 2% 2%

주거지 원격 감시 8.8% 9% 8.5%

[출처] Atlas 2017 d’En Toute Sécurité(2017.11), 전자보안업협회(GPMSE) 편집

표 _ 2015~2016 물리보안 매출액 변화 추이

사업영역 2016년 매출액(백만 유로) 2015년 대비 증감율

경비 3,695 +5.1%

원격 감시 332 -1.0%

경보 출동 194 +0.3%

근접 경호 37 +10.1%

보안 교육 431 +1.5%

현금 수송 714 0%

공항 및 항구 안전 460 +1.7%

[출처] Atlas 2017 d’En Toute Sécurité(2017.11), 전자보안업협회(GPMSE) 편집


▶ 프랑스 내 주요 대도시들이 ‘safe city’가 되겠다는 계획으로 CCTV 확충, 각종 스마트 기기 구비 등 보안

장비 및 설비 강화에 나섬

• 특히 파리 및 파리를 둘러싼 일드프랑스 지역은 프랑스 인구의 10%가 집중되어 있는 만큼 범죄율도

높아 전국에서 발생하는 경범죄의 18%가 이 지역에서 발생하고 있으며 수많은 집회 및 시위가

집결되는 지역이기도 함

• 이에 따라 비디오 감시 장치 네트워크 구축, 디지털화, 응급전화 관리 플랫폼 단일화 사업을 진행

중에 있음

• 니스市도 지난 7월 ENGIE Ineo라는 기업과 실시간 원격 모니터링 시스템 구축사업 관련 MOU를

맺었으며 높은 범죄율로 골머리를 앓고 있는 마르세유市 역시 2020년까지 CCTV 수를 2,000개까지

늘리고, 도시 감시 관제센터 설립, 빅데이터 활용, 이미지 분석 소프트웨어 도입 등을 2016년부터

추진 중


▶ 프랑스의 정보보호 시장은 제품과 서비스 구분에 있어 업체들이 혼재되어 있는 상황

• 일반적으로 정보보호 업체들을 물리보안과 정보보안으로 명료하게 구분하는 것은 사실상 불가능

• 프랑스의 경우도 정보보호 산업 업체들 중 규모가 중규모 이상 업체는 물리보안과 정보보안을

병행하는 경우가 대부분이고, 단지 최근 들어서 디지털 공간에서 이루어지는 정보교류, 금융거래,

매매거래, 행정업무 및 서류 수교 등이 빈번화되고 이를 악용하는 가상공간에서의 각종 범죄가

늘어나면서 사이버 보안문제가 현안으로 부상하게 되자 사이버보안 전문업체가 생겨나는 단계로

파악

• 단지 간접적인 정보로는 2015년 기준 프랑스의 보안 산업 4,568개 업체 중 478개 업체가 감시 장비와

기술을 가지고 정보보안 등 사이버 보안시스템 서비스를 하고 있으며 이들 업체의 연간 매출액은

8억 500만 달러이고 총 고용인원은 3,381명으로 집계

• 한편 다른 정보소스는 프랑스의 2014년 중 조기경보 및 감시 감보, 공항 및 정부 중요시설 보안장비류

등의 아웃소싱 규모가 43억 유로에 달한 것으로 추정하나 통계분류의 정확성 여부를 확인할 방법이

없어, 대략 프랑스의 물리보안 및 정보보안 관련 각종 기기 및 소프트웨어류 수입규모가 서비스시장

규모 26억 달러를 제외하면 대략 16억 달러 내외 시장 규모로 추정할 수 있는 정도임

사이버보안관련 솔루션과 소프트웨어 산업 현황

▶ 프랑스 사이버 보안 시장은 지역 산업 전문가의 전문성과 역량 측면에서 매우 앞서있는 선진 시장


• 게다가 기업 수준의 사이버 공격 및 국제 사이버 공격과 같은 최근의 사건들로 사이버 보안 위협에

대한 인식을 높이고 사이버 보안 제품에 대한 수요를 강화함

▶ 강화된 보안 솔루션에 대한 수요는 비즈니스 분석, 모바일 컴퓨팅, 클라우드 컴퓨팅 및 소셜 미디어,

산업시스템과 차세대 전자 결제 분야를 포함한 광범위한 정보 기술 부문에서도 매우 크게 나타나고

있으며 특히 IoT 보급이 급속도로 이뤄짐에 따른 해킹 위험으로 인한 수요도 증가 추세

• 2017년 실시한 설문조사63에 따르면 52%의 프랑스인이 스마트폰을 제외하고 최소 1개의 커넥티드

디바이스를 소지하고 있다고 응답했으며 2020년에는 평균 3개를 소지하면서 총 20억 개의

디바이스가 판매될 것이라고 전망함

• 프랑스의 IoT 시장은 100억 유로 규모로 추정되고 있으며 2019년에는 2배가 될 것으로 전망되며

이에 따른 보안 솔루션의 수요 또한 증가할 것으로 전망됨

▶ 사이버보안 관련 소프트웨어나 솔루션 등 개발 산업은 물리보안장비 생산업보다는 개발능력이 뒤지고

있는 상태

• 시설보안, 각종 보안 장비 운용을 위한 소프트웨어, 다양한 인식장비 등에 사용할 소프트웨어류의

개발 및 생산은 비교적 활발한 것으로 평가되나, 프랑스의 정보보안 역량 강화에 필수적인 데이터

보안과 앱 보안관련 소프트웨어나 솔루션 개발능력은 아직 충분하지 못해 상당부분 수입에 의존하는

경향

• 사이버보안관련 서비스 상품도 아직 다양성과 능률성, 기능성 등은 부족한 편으로 평가되며 프랑스

정부가 정보보안 역량 강화 차원에서 정책적으로 육성을 하려고 하는 부문으로 단기간 내 급성장이

기대되는 산업분야 64

63 Deuxieme barometre des objets connectes OpinionWay a l’occasion du salon Distree#Connect 201764 Pipame:Analyse du marché et des acteurs de la filière indutrielle farnçase de securité, pp20-23


표 _ 프랑스의 사이버보안 서비스 관련 솔루션과 서비스 유형

구분 생산액(백만 유로) 2013-2020년간 연평균 성장 전망(%)

보안관리 19.5 14.0%

인식 및 접근통제 102.0 6.0

데이터보안 45.0 9.0

앱 보안 23.0 12.0

인프라 보안 406.0 4,0

보안제품 및 장비보안 379.0 7.0

사이버 솔루션제품 계 974.5 6.1

보안감시, 기획, 컨설팅 서비스 433.0 14.0

보안 실무 811.0 10.0

보안관리 및 운영서비스 855.0 13.0

교육훈련 42.0 8.0

사이버 서비스 상품 2,171.0 12.1

사이버 상품 및 서비스 계 3,145.5 10.4

[출처] 프랑스 경제산업고용부, L'Industrie Francaise de Sécurité(2015.11)



▶ 프랑스는 영국, 미국과 함께 물리보안 분야의 수출 강대국으로 인식되고 있는데, 방위산업 기술의 발전과

주요 기업의 선전으로 드론, 통신, 사이버, 야간 투시, 광역 관찰 등의 군사 및 민간 물리보안 시장의

발달에 영향을 미쳤고 이와 함께 액세스 관리, 바이오인식, 경보, 화재 방지 등의 제품 시장도 발달하게

됨

▶ 프랑스는 제품 생산량의 50%를 수출하고 있으며 수출뿐 아니라 유럽 및 전 세계(그 중에서도 특히

미국)에 설립된 현지 법인을 통한 대기업들의 매출도 상당히 높은 수준

• 특히, 바이오인식 기기 및 대규모 바이오인식 시스템, 강력한 인증, 안전 거래, 전문적 이동통신과

같은 첨단기술 전자시스템과 가장 전통적인 물리보안제품(보호복 및 장비, 헬리콥터 등)이 이러한

경우에 속함


▶ 중소기업 및 중견기업들도 디지털 보안, 사기행각 방지, 통신, 사물인터넷, 비디오 감시, 탐지, 보호장비,

소방차, 방탄차 등 특수 차량과 같은 분야에서 세계적으로 인정받고 있으며 이들 기업의 전체

매출액에서 수출 비중은 50%에 달함

주요 사업자

▶ 각종 데이터를 분석해보면, 프랑스의 총 정보보호 사업자 수는 4,500여개~10,000개 업체로 파편화된

상태이나 신빙성이 있는 4,500여개 업체를 대상으로 분석

• 이들 업체 중 사이버 보안 중심 업체는 최소 470개사에서 최대 600여 개 사로 추정되고 있어, 이외

대부분인 전통적 물리보안 업체 수는 3,900~4,000개사 내외가 될 것으로 추정

• 프랑스의 대표적 정보보호 사업자들의 영업실적과 시장점유율을 분석해 보면 다음 표와 같음65

표 _ 프랑스 주요 정보보호 사업자의 영업실적 및 시장점유율 비교

사업자명 구분2015매출액

(백만 유로)시장점유율(%) 현장 활동

Securitas 공공 625 15 x

Groupe Samsic 민간 230 5 O

Seris ,, 220 5 OFiducial Private Security ,, 200 5 O

Groupe ONET ,, 190 4 O

[출처] UBS, ‘European Security Services - UBS Evidence Lab: Secure in the digital era?’(2016.8.30)

▶ 주요 사업자 및 사업 영역66

① Securitas France

• 스웨덴계 글로벌 종합 보안 회사 Securitas AB의 프랑스 법인

• 보안훈련, 경호서비스, 경보음 장치관리, 공항 보안, 전문 모니터링 서비스, 주거 시설모니터링 서비스

등

• 웹사이트 : www.securitas.fr

• Tel : +33 01 41 33 84 00

65 European Security Services (2016.08.30.) pp4366 U.S. Commercial Service, Safty and Security Resource Guide와 프랑스 자료 종합


② Groupe Samsic

• 프랑스 Samsic 그룹의 자회사로 Samsic Sécurité 사가 보안비즈니스 담당

• 화재예방, 통신보안, 원격 모니터링, 정보보안 등

• 웹사이트 : www.samsic.fr

• Tel: +33 02 99 86 92 90

③ Groupe Seris

• Securitas France의 IT보안 비즈니스 담당 자회사

• 비즈니스 솔루션, 대인모니터링 및 인식, 모바일 보안, 전자보안, 원격 모니터링 등

• 웹사이트 : www.seris-group.com

④ Fiducial Private Security

• 프랑스 보안전문회사로 500개 사업 장소에서 5,000여 명이 정보보안 사업을 수행하고 있음

• 글로벌 보안 솔루션, 모바일 보안 점검, 각종 영업장소 보안관리, 국방보안관리, 주거용 시설 보안관리

등

• 웹사이트 : www.fiducial.fr/fr/

⑤ Groupe ONET

• ONET 그룹은 Office nouveau du nettoyage의 약어로 프랑스의 청소 전문회사 그룹으로 그룹 내

기존 업무와 융합된 정보보안 업체를 설립운영 중

• 핵 및 화학오염물질 제거, 석면제거, 오염물질 제거, 원격조정 감시 시스템, 대인보안, 이벤트 보안,

전자원격 감시서비스 등 전자보안 등

• 웹사이트 : https://en.groupeonet.com/

• 전화번호 : 33 1 41 30 30 00

⑥ Thales Communications & Security(FR)

• 프랑스 우주항공 및 방산그룹 Thales Group의 자회사로 1995년에 설립되었으며 프랑스 내에 10개

지점을 두고 있으며 약 7000여명이 근무 중

• 반테러, 정보보안, 수송보안, 프랑스 국방부와 협력 기업, 스마트카드, 인식장비, 출입관리시스템,

사이버보안 등 생산 전문

• 웹사이트 : www.thalesgroup.com

⑦ IDEMIA


• 프랑스 다국적 기업 Safran 그룹 소속

• 대테러, 접근통제, 네트워크 보안 전문, 바이오 인식, 디지털 인식 등

• 2017년 9월 OT Morpho는 사명을 IDEMIA로 변경

• 웹사이트 : https://www.idemia.com/

⑧ Gemalto

• 네덜란드 암스테르담에 본사를 두고 있는 다국적 보안기업으로 47개 국가에서 14,000명 고용 기업

• 반테러, 접근제어통제, 솔루션류, 네트워크 보안 등 디지털 보안 일체

• 2017년 12월 Thales Group에 인수됨

• 웹사이트 : www.gemalto.com

⑨ Vinci

• 전 세계 100여개 국가에서 28만 개 프로젝트에 참여하며 18만 5천여 명을 고용하고 있는 글로벌

건설업체 빈치 그룹의 정보보안 전문 프랑스 자회사

• 침입방지 경보시스템, 반테러, 접근 제어 통제, 경호서비스, 화재보안, 경비 시스템류, 비디오 감시

서비스 등

• 웹사이트 : www.vinci.com

• 전화번호 : 33 1 47 16 35 00

⑩ Spie(FR)

• 다국적 기업 Spie 그룹의 프랑스 내 자회사

• 침입방지경보, 접근제어통제, 화재보안, 비디오 감시, 데이터 및 통신보안 등

• 웹사이트 : www.spie.com

⑪ Brink's France

• 미국 Brink's Incorporated사의 프랑스 법인

• 현금수송, 경호서비스, 공항보안, 전문 모니터링 서비스, 주거시설 모니터링 서비스

• 웹사이트 : www.brinks.fr

⑫ Honeywell Safety Products France

• Honeywell Security 프랑스 법인

• 대테러, 개인보호장비 전문

• 웹사이트 : http://www.honeywellsafety.com/FR

http://www.honeywellsafety.com/FR


• 이메일 : [email protected]

• 전화번호 : 33 01 49 90 79 79

⑬ UTC Fire & Security France

• 벨기에 브뤼셀소재 United Technology사의 프랑스 법인

• 침입방지 경보, 반테러, 접근제어통제, 보안교육, 화재안전 및 경보음 서비스, 네트워크 보안 전문

모니터링 서비스, 주거시설 모니터링 서비스, 원격지원 서비스 등

• 웹사이트 : https://fr.firesecurityproducts.com/fr/home

• 전화번호 : 33 01 49 44 89 00

⑭ Capgemini

• 전 세계 40개국 이상에서 18만 명 이상을 고용하고 있고 연간 매출액이 119억 유로에 달하는 대형

그룹으로 기술자문 및 아웃소싱 서비스를 제공하고 있는 다국적 기업

• 디지털 플랫폼, 전자정부 서비스, 전자지갑 서비스, 사물인터넷(IoT), 가상 쇼케이스 사업 등

• 웹사이트 : www.capgemini.com

⑮ Panasonic France

• 일본 파나소닉의 프랑스 현지법인

• 비디오 감시장치, 비디오 카메라 전문 생산 업체

• 웹사이트 : https://www.panasonic.com/fr/

• 전화번호 : 33 01 70 48 91 73

⑯ ADI Global Distribution

• 1973년에 창업한 기업으로 전기자재, 태양열자재, 출입통제시스템, 비디오 감시 장비 등에 관심

• 웹사이트 : https://www.france-eshop.adiglobal.com/


• 전화번호 및 담당 : 33 01 58 02 02 02

⑰ Gerard et Peysson

• 1930년에 창업한 프랑스 기업으로 출입통제 시스템에 관심

• 웹사이트 : www.gerardetpeysson.fr


• 전화번호 : 33 04 76 33 31 89, Mr. Oliver Peysson


⑱ Legrand

• 1860년 프랑스 Limoges에 설립된 프랑스 대표기업으로 건물 전기 및 디지털 인프라 전문기업으로

2017년 12월 기준 37,356명을 고용하고 있음

• 홈 네트워크, 보안 카메라, 홈 자동화 솔루션 등을 포함 주거, 상업, 산업용 전자, 오디오/비디오,

네트워크 및 통신 기기 제조

• 웹사이트 : https://www.legrand.com/en

• 전화번호 : 33 05 55 06 87 87


▶ 전 세계적 추세와 마찬가지로 프랑스에서도 ICT 기업들이 신성장 동력을 얻기 위해 정보보안 업체들을

합병하는 추세

• 2016년 4월 프랑스 통신사 Orange는 리스크 분석 및 탐지, 대응 능력을 강화하고 유럽에서 사이버

보안 분야의 리더로 자리매김하기 위해 사이버보안 업체인 Lexsi를 합병함

• 1999년 설립된 Lexsi는 연매출 2,300백만 유로, 170명의 전문가를 고용하고 있는 탄탄한 기업

• 2016년 3월 보안 전문기업 Thales 역시 데이터 보호 솔루션 전문 업체 Vormetric을 합병하고, 2017년

12월에는 인증 전문업체 Gemalto를 인수해 금융, 군사 등 높은 보안 수준을 필요로 하는 분야에서

세계 최고 수준 보안 기업으로 탈바꿈을 시도

▶ 세계적인 바이오 신원 확인 기술 기업인 OT-Morpho는 시민, 소비자의 안전한 상호작용, 지불, 연결,

여행 등을 위한 ‘증강 신원확인 서비스’의 리더가 되겠다는 포부로 2017년 9월 사명을

아이데미아(IDEMIA)로 변경함

• 아이데미아는 연간 30억 달러에 달하는 매출을 기록하고 있으며 전세계 14,000 여 명의 직원을

고용하고 있음

▶ 물리보안 분야에서도 여러 건의 인수 합병이 이루어짐

• Fiducial은 5,000명의 보안 요원, 22개 지점, 2016년 매출액 650만 유로 규모의 대형 사설보안업체로

2017년 5월 알람, 침입 경보, 비디오 감시업체인 Partenaire Securite를 인수해 산업, 은행, 기업 서비스

등에서의 경쟁력을 강화

• 미국의 Honeywell Security Group은 2016년 프랑스의 비디오 침입 감지 시스템 업체인 RSI Video

Technologies를 1억 2,300만 달러에 인수




관련 법령 및 규제67

▶ 정보, 전자파일 및 개인의 자유에 관한 법률(Loi relative à l'Informatique aux Fichiers et aux Libertés,

78-17)

• 1978년 1월에 제정된 프랑스 최초의 정보보호관련 법률이며 보완법률로 1979년 7월에 행정정보 접근

자유에 관한 법률(La Liberté d'Accés aux Documents Administratifs, 78-753)이 제정됨

• 정보, 전자파일 및 개인의 자유에 관한 법률은 2004년 8월에 개인정보 처리 시 정보주체 개인보호에

관한 법률(La Protection des Personnes Physiques à l'égard des Traitements de données à Caractère

Personnel, 2004-801)로 확대 개정되어 제정된 법률

▶ 전자상거래 관련 정보보호법

• EU 공통 전자상거래 지침(Directive 2000/31/EC)과 개인 사생활과 전기통신에 관한 지침 (Directive

2002/58/EC) 등을 반영해 2004년도에 제정된 디지털 경제의 상호신뢰에 관한 법(Law No. 2004-575;

Reinforcing trust in the digital economy(2004. 06.21)이 근거법이 되고 있음

▶ 사이버 범죄 관련법

• 1998년도에 제정된 정보통신부정행위법(Law No. 1998-19, Lutte contre la Fraude Informatique aux

TIC (1998. 01. 05)과 2004년도에 제정된 사이버범죄에 관한 사법기관의 대응법 (Law No. 2004-204,

Portant Adaptation de la Justice aux évolutions de la criminalité) 등이 있음

▶ 통신의 제 3자 수신관련 법

• 프랑스 정부는 2014년 5월 테러예방 정책 수단의 하나로 용의자 조사에 대한 허가 범위와 이용 기술

등을 규정한 “통신의 제 3자 수신 법안”을 제정

• 동 법은 테러행위가 의심되는 대상인물에 대한 신변조사 기법으로 사용되던 도청 및 감청, 감시

카메라 설치, 통신기록 입수 등 수단에 국제교신을 포함한 통신상의 교신을 제 3자가 수신하는 것으로

포함하여 통신 내용이 테러 행위와 관련 된 것 이라 판단될 경우 교신차단도 가능토록 허용

67 www.ssi.gouv.fr


• 통신의 제3자 수신에 관한 타당성 판단은 국가통신방수기술이용위원회(CNCTR) 라는 새로운 조직을

창설 전담조치

▶ 전자상거래법

• 근거 법령은 2004년도에 제정된 Loi de Commerce Electronique no. 2004-575 (2004. 06. 21) 및

2016년도에 개정된 법률(ECPX 0200175L, 2016. 09. 28)

• 2004년도에 전자상거래에 관한 기본을 제정했다가 전자상거래가 다기 다양한 기법으로 본격화되자

이를 관리하기 위한 법령으로 2016년에 다시 통합 버전 법령으로 개정 공포함

• EU내 전자상거래 공통규범을 충족시키고 전자상거래의 안전성을 제고시키기 위한 정보보안조치

강화와 위반 시 행정적 제재와 형사 처분관련 근거조항 강화

▶ 민감정보보호법

• Recommendation no. 901(1994 3월)를 근거로 민감정보를 다루는 국가기관의 국가정보시스템(PSSIE

: La Politique de Securité des Systemes D'information de l'Etat) 보안을 위한 근거법령

• 기밀데이터의 해킹, 절취, 사용자의 개인정보보호 침해 및 정보시스템 파괴 위협 등 사이버 공격 예방

및 대처하기 위한 총리실 제정 행정명령

▶ 전자정부법

• 전자정부 추진 법적 근거는 일명 원격서비스법이라고 하는 2004년 12월 9일에 제정 된

법적단순화법(Legal Simplification Law)으로 2005년 12월 8일부터 채택한 ‘Teleservices ordinance’에

의거 정부 및 공공 기관, 공공서비스 사용자간 상호 전자적 수단을 통해 상호 교류 및 업무처리를

원활화시키기 위해 추진

• 기본 목적은 정부당국과 시민들간 쉽고 안전한 전자적 교류 환경 창출을 통한 전자정부로 전환하기

위한 포괄적 법적 프레임워크를 구축하고자 하는 정책으로 일차로 2008년까지 구축을 한 후 계속

시스템의 현대화 및 첨단화를 위해 보안 업무 추진

• 정부와 시민, 중앙정부와 지방정부 및 공공서비스 수행을 위임받은 민간기구들간 전자서류, 이메일

또는 디지털 대화 등의 교류를 포함하여 동 시스템을 통해 수수되는 서류의 전통적인 인쇄물 서류와

만찬가지로 법적 효력을 갖도록 한다는 법적 근거 마련

• 전자서명의 사용도 공공기관에서 인증해 줄 수 있도록 법적 근거

▶ 전자통신법(e-Communications Legislation)

• 2009년 12월 18일 공포된 우편 및 전자통신법(Postal and Electronic Communications Code)이

근거법으로 휴대폰과 인터넷을 통한 통신관련 규제법68


▶ 데이터 보호 및 개인정보 보호법

• 프랑스는 유럽 국가 중에는 가장 선구적인 데이터 보호정책을 펴 온 국가로 1978년 1월 6일 제정한

정보 및 자유법(Loi d'informatique et des Libertes; Law on Informatics and Liberty)에 의거 법적근거

마련

• 공공부문 및 민간부문 기관의 개인정보 데이터의 데이터베이스화 및 가공과정을 거친 데이터 사용을

위해서는 엄격한 법적 제도권 내 통제를 받도록 하는 규정

• 데이터 관련 정보보안을 담당하는 전담기관으로 정보보호청(CNIL)을 설립하고 데이터 관련 제 법규의

준수 및 이행여부를 통제하고 공공부문의 행정 데이터 시스템의 운영 기획을 자문토록 조치

▶ 사이버범죄법

• 프랑스는 1978년 유럽국가 최초로 구체적인 사이버 범죄를 정보기술 및 자유법(Loi d'informatique

et des Libertes: Information Technology and liberty Act)을 통해 법제화

• 1988년 1월 5일에 제정된 소위 골드프레인법(Goldfrain Act ; Loi Goldfrain)을 통해 형사법 상에

정보시스템 침입관련 처벌조항을 업데이트하여 보완조치(형법 323-1/323-7)

• 2004년 6월 21일에는 디지털 경제신뢰강화법(Loi du 21 Juin 2004 pour la Confiance dans l'Economie

Numérique)을 통해 수정

• 이외 일부 조항들 예컨대 사이버 사기, 아동포르노 사진 유통, 스팸 메일 등 상거래 목적 통신, 개인

통신내용 감청 등 전자기술의 발전에 따라 발생하는 다양한 범죄유형에 대한 처벌 조항을 형사법

수정 조문에 반영

▶ 군사계획법 제22조

• 2013년 12월에 공표된 2014~2019 군사계획법(Loi de programmation militaire, LPM)69에 따라

ANSSI의 권한 강화

• 군사계획법 제22조는 주요 기관(Opérateur d'importance vitale, OIV)70의 보안 강화 방안 채택을

명시하고, 동 조항에 따라 ANSSI가 총리 명의로 주요 기관(OIV)에 주요 정보시스템 보안 및 통제 방안

마련을 강제할 수 있는 새로운 특권 보유


68 www.legifrance.gouv.fr69 2014-2019 군사계획법 No. 2013-1168(’13.12.18.)70 국가의 존속에 필수적인 200개 이상의 주요 공공 및 민간 기관으로, 해당 리스트는 국가 보안상 기밀사항


▶ 프랑스 정부의 정보보안 전략 및 정책은 2015년에 발표한 마누엘 발스 총리령으로 발표된 국가정보보안

전략(Stratégie Nationale pour la Sécurité du Nuérique)이 근간인 바 요지는 다음과 같음

• 국가 정보시스템 및 중요 정보자산, 인프라, 중대한 사이버보안 위기의 방어 및 보안조치

• 사이버 공간 디지털 정보의 신뢰, 사생활보호, 개인정보관리, 사이버 범죄 퇴치를 위한 기술적 및 법적

지원

• 사이버보안 관련 훈련의 개시 및 지속적 교육 및 인식제고

• 프랑스의 디지털 기술 비즈니스 환경 조성, 산업정책, 수출 및 프랑스 기업의 국제화 지원

• 유럽의 디지털 전략적 자율화 및 사이버공간의 안정성 구축 기여

▶ 프랑스의 정보보호관련 주무기관은 정보시스템보안청(ANSSI)과 데이터보호청(CNIL)이 있는데 전자는

네트워크보안, 후자는 이름 그대로 데이터 보안에 주력

• 정보보안청은 사실상 핵심 보안 기관으로서 사이버 공격에 대한 조기 대응, 정부 및 민간 사업자,

중요한 국가 인프라 시설 보호에 주력

• 데이터보호청은 개인정보 처리 관련 불만사항처리, 사업자 감시, 시장 감시 등 정보보호법에 따른

정보보안 규정 위반에 대한 규제업무를 담당하면서 국가 정보보안 전략을 수행

▶ 프랑스 개인정보 보호 정책의 핵심은 1978년에 제정된 정보기술, 저작권 및 개인의 자유에 관한 법률과

1979년에 제정된 행정정보 접근 자유에 관한 법률 등에 기초를 두고 시행 중

▶ 전자상거래관련 2000년도 에 제정한 전자상거래 지침과 2004년도에 제정된 개인정보 및 사생활보호를

위한 디지털경제의 상호신뢰에 관한 법이 정보보호관련 정책의 근간을 형성

▶ 최근의 테러 행위와 사이버 범죄의 확산에 대비하여 정보위원회의 승인을 전제로 필요한 경우

정보보안기관에 각종 사이버 통신수단에 대한 도·감청을 허용하여 국가정보보안과 각종 사이버 범죄

예방 및 퇴치정책을 강력하게 추진 중

▶ 사이버 테러에 대비한 국가정보보안 기능 강화에 역점 부여

• 2008년도에 컴퓨터침해사고대응팀(CERT-FR)을 창설한 데 이어 2011년에는 정보 시스템에 국방 및

보안전략(Defence and Security Strategy)을 채택71하고 국가정보보안청(ANSSI)을 강화하면서

정보보안 기능을 강화

71 www.legifrance.gouv.fr(2011.11.30.)


• 또한 2008년부터 프랑스 국내외 주변상황의 변화에 능동적으로 대응해 나가기 위한 방안을 모색하기

위해 국방 및 국가보안정책에 관한 백서(Livre Blanc)를 발간했으며 2013년에도 개정, 발간했음

• 동 백서에서 이미 프랑스의 국가보안기구 임무 중 가장 중요한 임무는 사이버 공격에 대한 예방 및

퇴치로 설정했으며 사이버공격의 예방조치에 높은 비중을 부여하며 정보보안 시스템 강화를 위해

군 당국과 함께 사이버 보안조직의 통합운영을 통해 사이버 보안 기구를 확대 발전시켜 나갈 계획을

수립 추진

• 이 사이버 방어 작전 플랫폼은 방어적임과 동시에 공격적인 성격을 가지도록 설계되어 있어 프랑스의

정보보안 능력을 급격히 제고시키는 효과

▶ 프랑스 정부는 민간부문의 정보보안 활동에 간섭은 안 하되 위기발생시 협력 강화

• 프랑스의 산업통제시스템(ICS: Industrial Control System)상 산업정보보안 관련 기준들은 ISO 27000

표준과 ANSSI 지침 IGI 1300(Instruction Générale Interministérielle No. 1300)72에 기반

• 프랑스 정부는 민간부문의 정보보안에 보안기술과 관리기법 등을 지원하고 국가 중요 기반시설을

관리하거나 관리 등에 참여하는 기업들 외의 민간 기업에 대해서는 간섭을 하지는 않으나 관리

태만으로 국가적인 보안사고가 발생했을 경우는 발생경위 보고와 퇴치관련 책임을 엄격히 추궁하는

자세

▶ 프랑스의 산업정보보안은 다음과 같이 3개 카테고리로 구분 시행

• Class 1: 사이버 공격의 피해 또는 영향이 낮은 경우에는 관련 필요조치를 완전 자율적으로 조치하나

국가정보보안청이 제시한 건전한 네트워크 가이드(Healthy Network Guide)상 지침에 의거한 조치가

필요

• Class 2: 사이버 공격 피해 또는 영향이 상당한 경우에는 산업통제시스템 전반에 걸쳐 국가 통제조치는

없으나, 심각한 사이버 공격을 당한 책임 있는 기업 및 단체는 사이버공격 퇴치를 위해 적절한 조치를

취했음을 입증하는 증빙자료를 국가정보보안청에 제출할 필요

• Class 3: 사이버 공격의 피해 또는 영향이 심각한 경우에는 해당 기업을 엄중히 추궁하며, 정부당국

또는 위임받은 기관이 산업통제시스템의 적정 작동여부 검증 조치

▶ 프랑스 내무부는 2017년 1월부터 기존의 보안산업 담당국장에게 사이버 위협 대응 권한을 부여해

디도스 공격, 해킹 등의 사이버 위협에 대한 대응을 진두지휘하게 함

• 보안산업 및 사이버위협 대응 담당국장(DMISC)직에 같은 해 2월 임명된 Thierry Delville은 ‘프랑스

내 디지털 관련 위협 현황 보고서’를 발표

72 ANSSI가 2011.11.30일에 제시한 국가보안 기밀정보 보호관련 지침


2. 담당기관

정부 정책 담당 기관

▶ 국가방위안보사무국(SGDSN : Secrétariat Général de la Défense et de La Sécurité Nationale)

• 국토 방위 및 안보문제를 다루는 최고위 위원회로 국토방위 및 보안업무 외에 최근에 문제가 되고

있는 대테러정책 및 정보보안 정책에 대해 심의 및 결정하는 프랑스 최고위 국가 안보 및 보안정책

의사결정기구

▶ 정보 네트워크 보안청 (ANSSI : Agence Nationale de la Sécurité des Systèmes d' Information - French

Networks and Information Security Agency)

• 근거법령 Decree no. 2009-834(2009. 01.01)에 의거 기존 정보보안시스템국(DCSSI: Direction centrale

de la sécurité des systèmes d'information)의 기능을 확대개편 및 강화하는 형태로 2009년 7월 8일에

창설

• 총리실 직속기관으로 설립되어 사이버 공격에 대한 조기대응 및 차단, 강력한 사이버공격 대응센터

창설, 정부 부처 및 공공기관 내 정보 네트워크 보안을 위해 24시간 상시 지속적 감시임무 수행,

정부기관 및 민간 사업자의 중요한 인프라 시설 보호에 관한 자문 기능 등 수행

• 프랑스 기업과 정부의 신뢰도가 높은 IT제품 및 서비스 개발을 지원하기 위해 외부로 부터의 위협

예방 및 차단, 자문을 제공하는 업무

• 컴퓨터침해사고대응팀(CERT)을 운영하며 컴퓨터 네트워크 및 정보시스템상 사이버 공격예방 및 퇴치

업무 담당

• 컴퓨터 정보기기에 대한 보안 인증 업무

• 타국가의 유사기관 및 CERT와의 국제협력체제 유지 등 수행

• 웹사이트 : http://www.ssi,gouv.fr

▶ 데이터보호청(CNIL : Commission Nationale de l'informatique et des Libertes)

• 1978년에 창설된 프랑스의 데이터보안 담당기관이며 이며 2014년 3월 데이터 통신보안을 강화하기

위해 새로운 프랑스의 소비자법에 의거 데이터보호청이 국가 정보 보안상 필요하다고 판단되면

온라인상에서 서류의 검열, 검토 및 도청 등의 수사행위를 할 수 있는 권한 부여

• 개인정보 보호관련 불만처리, 사업자 감시, 시장 감시등 정보보호법에 의거한 정보보안 규제 실무

수행을 위해 매년 특정 영역을 선정 정보보호의 침해여부를 집중 조사 수행

• 주요 조사 영역은 스마트폰, 전자통신 서비스 사업자의 보안정보 유출여부에 대한 통보 의무, 감시


카메라, 건강기록 등 대상

• 스마트폰은 애플리케이션 사업자 및 통신사들의 스마트폰 판매 시 발생되는 고객정보 처리에 대해

조사

• 전자통신사업자의 보안정보 유출에 대한 통보의무 : 2012. 03. 30일 공포된 법령 2012-436호에 의거

전자통신 사업자들에게 자사의 통화 및 인터넷 접속서비스와 관련된 개인정보의 침해 사실이

발생했을 경우 즉시 상세한 내용과 대책을 데이터 보호청에 보고하도록 의무화

• 통신사업자가 개인정보 보호대상자에게 직접 침해발생 사실을 통보해야할 의무는 없으나, 데이터

보호청의 판단 아래 개인정보 침해에 따른 당사자의 피해 또는 위험도가 큰 경우 또는 사업자의

대책이 충분하지 않을 경우 해당 개인에 대해서도 통보의무 부여

• 건강기록에 대해서는 전자기록을 중심으로 사업자들이 의료분쟁 재판에서 활용하는 개인의 의료기록

및 정보처리에 대해 감시 강화

• 감시 카메라 : 중요 데이터 생산 및 보관 기관 대상 CCTV 카메라를 통한 원격 모니터링 실시

• 웹사이트 : http://www.cnil.fr

▶ 국가사이버침해사고대응센터(CERT-FR : Centre Governemental de Veille d'Alerte et de Résponse aux

Attaques Informatiques)

• ANSSI 산하 사이버보안 실무기구로 정부기관, 지방자치단체 및 공공기관의 인터넷 네트워크에 대한

이부 조직범죄단의 사이버 공격의 예방 및 공격발생시 즉각 대응 조치 수행임무 담당

• 유관 사법경찰의 정보통신기술관련 사이버 범죄 수사단(SDLC/OCLCTIC), 파리경찰청 정보기술 사이버

사기수사단(BEFTI), 국가방첩단(ISB), 국방부 디지털범죄수사단 헌병대(C3N) 등 정부 부천 및 군 당국

유관기관과 협력 사이버 범죄 수사 및 대응

• 웹사이트 : http://www.cert.fr

▶ 전자통신우정청(ARCEP: Autorité de Régulation des Communications Életroniques et des Postes)

• 전자통신우정청은 프랑스의 EU 공통 통신규범 틀 내에서 정보통신을 관리하는 기구로

정보통신부문의 EU 전자통신 지침의 프랑스 관련 산업에 적용하기 위한 법적 프레임워크를

수립·적용하는 임무 담당

• 웹사이트 : http://www.cnil.fr

▶ 정보통신범죄수사국(OCLCTIC : Office Central de Lutte contre la Criminalite liee aux Technologies

de l'information et de la Communication)

• 정보통신범죄수사국은 2000년 5월에 설립된 기관으로 사이버범죄에 대한 수사 및 기술검증 등

임무를 수행해 오고 있으며, 핵심임무는 경찰의 사이버범죄 수사 활동 원활화 및 조정 역할


• 동 수사국은 사이버범죄관련 국제협력 접촉 포인트 기관

• 동 수사국은 경찰, 군 헌병단, 경쟁·소비자 및 사기예방총국의 사법적 활동을 지원하고 수사 활동을

수행하는 한편 지역 및 지방 경찰의 IT 범죄수사관련 필요사항 등을 지원하고 있는 기관

• 웹사이트 : www.pointdecontact.net

▶ 인터넷사무국(DUI : Délégation aux Usages de l'internet)

• 인터넷 사무국은 프랑스의 디지털환경 개선을 위한 모든 업무를 담당하는 기관으로 인터넷의 공적

접속 포인트 개설, 인터넷 대체 접속기술 촉진, 미성년자 보호 등 인터넷의 공공 안정성, ICT 교육훈련

및 지원 등 역할 수행

• 웹사이트 : http://www.delegation.internet.gouv.fr

▶ 미디어개발국(DDM : Direction du Développement des Médias)

• 미디어개발국은 문화부(Ministère de la Culture) 소속. 미디어·정보사회에서 공공정책을 수행하는

역할을 맡고 있고, Signal Spam Initiative를 수립하는 임무도 담당

• 웹사이트 : http://www.ddm.gouv.fr www.signal-spam.fr

▶ 국가현대화총국(DGME : Direction générale de la Modernisation de l'Etat)

• 2005년에 재무부 소속으로 창설된 국가행정 현대화 담당 조직으로 각료들을 대상으로 국가정보화

전략의 수행을 지원하고, 전자정부 수행 가능성을 검증하는 한편 국가전략 수행관련 자문을 제공하는

역할을 담당

• 웹사이트 : www.modernisation.gouv,fr

▶ 경제재정부(Ministère de l'Économie, des Finances, de l'Action et des Comptes publics)

• 프랑스 산업정책을 수립 추진하는 부처로서 정보보안 산업의 보호 및 육성을 통해 수출산업화 정책을

수행

• 또한 산하에 브로드밴드 통신망 가설을 담당하는 디지털청(Agence Numérique)과 프랑스의

브로드밴드 네트워크의 확장관련 규제와 통제조치를 담당하는 전자통신우정청(Autorité de

Régulation des Communications Électroniques et des Postes)을 두고 정보보안관련 업무 추진

• 웹사이트 : www.economie.gouv.fr

▶ 내무부(Ministère de l'interieur)

• 정보보안담당 경찰과 헌병단을 통한 이민자 인적사항조사 및 감시 및 사이버 범죄 수사담당을 하기

위해 2014년 특별 수사팀 창설 운영 중


• 웹사이트 : www.inyerieur.gour.fr

▶ 외교부 (MAEDI : Ministere des Affaires Etrangeres et du Developpement Internacional)

• 사이버 범죄관련 외국과의 양자협상 및 협력, NATO, UN, OECD, EU 당국 및 관련국제기구 등과의

국제협력 및 협상 창구역할 담당

• 이를 위해 2011년 사이버 범죄관련 외국과의 협상 및 협력 업무를 전담하는 특임대사직을 신설하고

프랑스의 사이버보안정책 수립에 참여

사이버 긴급사태 대응팀

▶ 정보시스템 및 보안담당센터(COSSI : Centre Opérational pour les Systèmes et Sécuritè de

l'Information)

• COSSI는 ANSSI 산하 기구로 프랑스의 사이버방위센터로 정부 관계부처의 사이버공격 퇴치 및 예방과

사이버 위기에 대한 정부 측 입장 조정 등 담당

• COSSI는 자체 기술조직으로 프랑스정부 사이버긴급대응팀(CERT)을 운영

• 웹사이트 : http://www.ssi.gouv.fr

▶ 컴퓨터 긴급사태대응팀(CERT-Renater)

• 1995년에 설립된 기구로 국가통신망 운영관련 정보보안, 특히 보안보호, 위협퇴치 및 해결, 기술개발,

교육 연구 등 담당

• 가장 중요한 임무는 사이버 범죄 발생 시 지원 또는 지원팀 구성 요청을 위한 접촉 포인트라는 점

• 웹사이트 : http://www.renater.fr

▶ 이외 다음과 같은 민간기구가 컴퓨터침해사고대응팀에 참여 중

• APOGEE SecWatch(Devoteam): 정보시스템 인프라 전문 기업으로 유럽의 정보시스템의 엔지니어링

및 자문 역할 담당 기업

웹사이트 : www.devoteam.com

• 민간 침해사고대응팀(CERT-IST: Computer Emergency Response Team): 1998년도에 4개 민간 기업이

컨소시엄으로 컴퓨터관련 공격 및 범죄 예방 및 퇴치를 위해 창업한 비영리 기업

웹사이트 : http://www.cert-ist.com



규제

▶ 정보통신사업자들은 정보보안 마스터플랜 제출 의무화

• 2006년도에 제정된 법에 의거 경제산업고용부(Ministry of Economy, Industry and Employment내

HFDS : Haut Fonctionnaire de Défense et de Sécurité)에 자체 정보보안 마스터플랜을 제출토록 규제

• 경제산업고용부는 동 플랜을 검토 심사한 후 보완을 요청할 수 있으며, 매년 적절히 마스터플랜대로

이행하고 있는 지 여부를 점검하고 검증해주는 역할을 수행

• 해당 사업자들에게는 서류작업과 함께 매년 까다로운 조사과정을 거쳐야 하는 점이 규제의 하나로

간주

인증

▶ 최고등급보안인증(Certification de Sécurité de Premier Niveau, CSPN)

• 비용과 시간이 많이 드는 공동 기준(Critères Communs)73 평가의 대안으로 ANSSI가 2008년 시행한

인증제도로서, IT제품을 대상으로 ANSSI가 인정한 IT보안평가센터(CESTI)에 의한 평가를 성공적으로

통과했을 때 ANSSI가 발급

▶ CNIL 허가(autorisation de la CNIL)

• 프랑스에서 개인데이터를 취급할 권한을 갖고자 할 때, 취급하는 데이터 또는 기관 특성에 따라

국가정보처리자유위원회(Commission Nationale de l'Information et des Libertés, CNIL)에

▲신고(déclaration), ▲권한 요청(demande d'autorisation) 또는 ▲통지 요청(demande d'avis)

• 민감 또는 위험 파일의 경우, 신고(déclaration)가 아닌 허가(autorisation) 절차를 거쳐야

함(정보처리자유법 개정본 제25, 54, 64조)

• 공공 기관 또는 공공 서비스를 운영하는 민간 기관이 특정 데이터를 처리하는 경우 CNIL에 통지(avis)

요청 절차를 거쳐야 함(정보처리자유법 개정본 제26, 27조)

▶ CNIL 인증(Labels CNIL)

• 정보처리자유법(Loi Informatique et Libertés)의 규정에 부합하는 개인정보보호 관련 제품 및 절차에

대해 CNIL이 발급하는 인증으로서, ▲ 직업연수 인증, ▲ 정보보호 감사 인증, ▲ 디지털 금고 인증,

▲ 정보보호 거버넌스 및 자유 인증으로 나뉘어 있음

73 정보처리 시스템 및 소프트웨어의 보안을 평가하는 대표적인 국제 기준으로, 캐나다, 미국, 유럽의 여러 국가에서 인정하고 있는 보안 평가 기준


(1) 직업연수 인증(Label Formations) : 온·오프라인 개인정보보호 관련 연수(사내 연수 포함)에 대해

발급되는 인증

(2) 정보보호 감사 인증(Label Audit de traitements) : 개인정보보호 감사절차는 개인정보보호의

처리가 정보처리자유법의 규정에 부합하는지 확인하기 위한 절차로서, 감사수행기관 및 감사관,

감사를 위한 각 단계 등에 대한 요구기준에 적합한 정보보호 감사절차를 인증하는 제도

(3) 디지털 금고 인증(Label Coffre-fort numérique) : 개인 또는 전문가가 저장한 데이터의

무결성(integrity), 가용성 및 기밀성을 존중하는 양질의 서비스를 인증하는 제도

* ‘디지털 금고’는 서류, 메타데이터 등을 비롯한 저장된 정보를 담당자 혹은 위임자만이 접근할

수 있다는 점에서 일반 데이터 웨어하우스(data warehouse)와 다름

(4) 정보보호 거버넌스 및 자유 인증(Label governance informatique et libertés) : 개인정보보호

책임자(correspondant Informatique et Libertés)를 지정한 모든 기업 및 공공기관이 신청 가능

▶ SecNumCloud 인증

• 2014년 시범 도입되었던 Secure Cloud를 대체하는 인증으로 ISO27001을 기반으로 ANSSI가 2016년

5월 도입한 인증으로서 다음과 같은 2단계로 나뉘어 있음

(1) 1단계(기본 단계) : 보안 사고 발생 시 고객에게 미치는 영향이 적은 데이터의 저장 및 처리가

가능한 보안 수준을 가진 업체에게 발급

(2) 2단계(고급 단계) : 보안 사고 발생 시 고객에게 큰 영향을 미치거나 영속성까지 위협할 수 있는

데이터의 처리 및 저장이 가능한 보안 수준을 가진 업체에게 발급

▶ ANSSI label SecNumedu 도입

• 학사(licence), 직업학사(licence pro), 석사, 기술자격 혹은 전문석사 등을 수여하는 디지털보안

고등직업교육에 대한 인증

▶ France Cybersecurity 인증

• 2015년 도입된 France Cybersecurity 인증은 국가기관 심사단, 업계 심사단, 사용자 심사단이 인증의

거버넌스 및 요구사항을 정의하며 각 심사단에서 대표 두 명씩을 선발해 구성한 발급위원회에서 인증

여부 결정

(1) 국가기관 심사단: 프랑스 정부방위조달청(DGA), 경제부 산하 기업총국(DGE), ANSSI 대표로

구성된 국가 기관 심사단

(2) 업계 심사단: 디지털신뢰연합(ACN), 사이버안보 및 디지털신뢰협회(Hexatrust) 대표로 구성

(3) 사용자 심사단: 대기업네트워크(CIGREF), 민간정보보안기술전문가단체(GITSIS), 정보보안 및

디지털 전문가집단(CESIN), 프랑스정보보안클럽(CLUSIF) 대표로 구성



▶ ANSSI는 대통령, 총리, 장관 등 고위급 사무실에 ‘국방 기밀’급 통신 보안을 위한 보안유선전화솔루션인

OSIRIS를 도입

• 2017년 5월부터 10개 부처에 384개의 단말기를 설치했으며 Teorem, Rimbaud 등 기타 통신 보안

솔루션과의 호환성 개선작업을 진행 중

▶ 2018년 10월부터 전자거래를 위한 신뢰서비스 및 전자 본인 확인 관련 시행령 실시

• 2016년 10월 7일 제정된 ‘디지털공화국법(Loi Republique numerique)’에 의거한 행정명령으로 EU의

eIDAS 규정(제910/2014호, 2016년 7월 1일 발효)을 반영한 국내법 도입

• 은행, 행정 절차, 상거래, 온라인 서비스 이용 등을 위한 전자 신원 확인 절차의 보안 강화를 위해

지정 당국이 인증하는 것을 골자로 함

• 2018년 10월 1일부터 시행되는 동 시행령에 따라 세후 25,000 유로 이상의 공공계약 체결 시 절차를

전면 디지털화해야 하며 기존 RGS 기준의 전자서명에서 eIDAS 기준에 맞는 전자서명으로 전환해야

함

▶ 프랑스 내무부는 2018년 1월 사이버 위협에 대한 대응 전담팀을 경찰 및 헌병대 내에 설치, 800명을

우선 배치하고 임기 내 인원을 10,000명까지 확대하겠다고 발표함

▶ 관광업이 GDP의 7.4%를 차지하는 프랑스는 2015년 테러 이후 해외 관광객이 2016년 8.1%나

감소했다가 최근 테러 사건 이전 수준을 회복함

• 따라서 2016년 당시 관광객 대상 소매치기, 절도, 강도 및 경범죄 단속 및 테러 방지 차원에서

비상대책자금 1,550만 유로를 투자해 공공장소 내 CCTV 및 안전 검사대를 설치, 확충한다는 계획을

발표하고 국경 및 주요 거점도시에 대테러 인력 9,000여명을 추가 배치한 바 있음

• 여전히 존재하는 테러에 대한 관광객들의 우려를 잠재우기 위해 파리 경찰청은 2017년 7월부터

안전요원 고용, CCTV 구비 등 우수한 보안 수준을 가진 파리 시내 관광지의 상점, 호텔, 박물관 등을

대상으로 Sécuri-Site라는 인증을 발급키로 했으며 파리 외 지역의 주요 관광 도시에도 확대 적용될

방침

- 이 밖에도 파리 경찰청은 7개 관광명소를 지정, 2017년 7월~9월 성수기동안 순찰대를 늘리고 동

구역의 기존 216대 CCTV에 추가로 131대를 설치하고 원격 감시 및 CCTV 관제센터를 신설한다는

계획을 발표함


▶ 프랑스 정부는 2017년 5월 30일, 사이버 공격으로 피해를 입은 모든 개인, 기업, 기관들을 대상으로

하는 Cybermalveillance.gouv.fr 이라는 플랫폼을 출시

- 피해자와 등록된 서비스사업자, 컴퓨터기술기업(예를 들면 컴퓨터 바이러스 치료)을 연결해주는

플랫폼으로서 프랑스 북부 지방을 대상으로 시범 운영되었다가 전국 단위로 확대됨

- 이 플랫폼은 신고 접수 당국을 대신하는 것이 아니라 피해자가 사이트에 제출한 상세한 사고

경위서에 따라 그 문제를 해결하는 데 도움을 줄 수 있는 전문가들의 리스트를 제공하여 사후처리를

돕는 기능만을 수행함

- 100만 유로의 초기 예산에 ANSSI의 추가 지원으로 2019년까지 250만 유로 규모의 예산으로 운영될

것이며 그 중 75%는 보안 환경 구성에 대한 반사이익을 얻을 수 있는 민간부문(인터넷 액세스

공급업체, 다양한 관련 종사자 조합, 소프트웨어 개발 회사 등)으로부터 기금을 모집할 예정

▶ 프랑스 정부가 2016년부터 실시한 헌병과 경찰에게 치안업무용 특수 안드로이드 OS가 탑재된

스마트폰과 태블릿PC를 제공하는 ‘NÉOgend’과 ‘NÉOpol’사업으로 현재 80,000개의 단말기가 사용되고

있음

• 2018년 6월 프랑스 하원과 상원은 공공 치안 당국의 이동형 카메라 사용 관련법안을 채택해 6월

4일로 종료된 이동형 카메라 시범 사용을 정식으로 허용하고, 법에서 정한 조건을 충족하는 경우

구급대원도 그들의 처치를 녹화할 수 있도록 확대 적용키로 함




관련 법령 및 규제74

▶ 정보, 전자파일 및 개인의 자유에 관한 법률(Loi relative à l'Informatique aux Fichers et aux Libertés,

78-17)

• 1978년 1월에 제정된 프랑스 최초의 정보보호관련 법률이며 보완법률로 1979년 7월에 행정정보 접근

자유에 관한 법률(La Liberté d'Accés au Documents Administratifs, 78-753)이 제정됨

• 정보, 전자파일 및 개인의 자유에 관한 법률은 2004년 8월에 개인정보 처리 시 정보주체 개인보호에

관한 법률(La Protection des Personnes Physiques à l'égard des Traitements de données a Caractère

Personnel, 2004-801)로 확대 개정되어 제정된 법률

▶ 전자상거래 관련 정보보호법

• EU 공통 전자상거래 지침(Directive 2000/31/EC)과 개인 사생활과 전기통신에 관한 지침 (Directive

2002/58/EC) 등을 반영해 2004년도에 제정된 디지털 경제의 상호신뢰에 관한 법(Law No. 2004-575;

Reinforcing trust in the digital economy(2004. 06.21)이 근거법이 되고 있음

▶ 사이버 범죄 관련법

• 1998년도에 제정된 정보통신부정행위법(Law No. 1998-19, Lutte contre la Fraude Informatique aux

TIC (1998. 01. 05)과 2004년도에 제정된 사이버범죄에 관한 사법기관의 대응법 (Law No. 2004-204,

Portant Adaptation de la Justice aux évolutions de la ceiminalité) 등이 있음

▶ 저작권법

• 2009년 6월 13일에 공포된 인터넷상의 콘텐츠 및 창조활동 보호법(HADOPI ; Haute Autorité pour

la diffusion des oevres et la protection del droits sur internet)

• 인터넷 콘텐츠의 저작권 보호를 목적으로 온라인 불법 다운로드 규제단체인 ‘HADOPI’를 설립하고

동 기관에 불법행위를 하는 사업자에 경고 및 사법처리에 따라 서비스 중단을 시킬 수 있는 권한

74 www.ssi.gouv.fr


부여

• 2010년 9월 법률시행 이후 HADOPI를 통해 지속적인 인터넷 서비스 사업 중단 경고 메일이

발송되었으나 실제 서비스가 중단된 건은 단 1건으로 실효성이 없었음

• 이에 따라 2013년 5월 프랑스 유료 TV 사업업체 전 대표를 단장으로 하는 연구회에서 디지털시대의

문화진흥시책에 관한 보고서를 제출하면서 인터넷 서비스 중단조치 폐지, 처벌 경감 및 HADOPI 폐지,

인터넷상 저작권보호관련 조직을 시청각 고등평의회(CSA)로의 이관 등을 제안

• 2013년 7월 8일 “온라인 접속 서비스 중단 처분금지 및 저작권법 제 331-21조상의 정보 전송법에

관한 선언“에 의거 인터넷 서비스 중단조치가 폐지되고 불법행위를 하는 사업자에게 2회 경고 시

서비스 중단조치를 취하도록 했던 건을 약식재판에 따르는 것으로 수정

▶ 지적재산권법

• 2014년 10월 프랑스 정부는 기존 지식재산권법(Code de la propiete intellectuelle)과

문화유산법(Code du patrimoine)을 저작권법 보호기간, 저작권자 미상인 저작물 보호, 문화유산의

반환 건 등 3건에 관한 EU의 지침을 반영하기 위한 개정안 제정

• 저작권 실연자의 관련 권리 및 음반에 관한 저작권 보호기간 연장 내용 반영

• 저작권 보호기간은 기존 법령과 같이 최초의 연주 또는 음반이나 영상에 실연이 탑재된 이후 다음해

1월 1일부터 50년간으로 동일하나 첫 보호기간 중에 음반 또는 음반에 대한 실연 보정이 합법적으로

발표되었거나 합법적으로 청중에 전달되었을 경우에는 보호기간이 70년으로 연장되도록 허용

▶ 통신의 제 3자 수신관련 법

• 프랑스 정부는 2014년 5월 테러예방 정책 수단의 하나로 용의자 조사에 대한 허가 범위와 이용 기술

등을 규정한 “통신의 제 3자 수신 법안”을 제정

• 동 법은 테러행위가 의심되는 대상인물에 대한 신변조사 기법으로 사용되던 도청 및 감청, 감시

카메라 설치, 통신기록 입수 등 수단에 국제교신을 포함한 통신상의 교신을 제 3자가 수신하는 것으로

포함하여 통신 내용이 테러 행위와 관련 된 것 이라 판단될 경우 교신차단도 가능토록 허용

• 통신의 제3자 수신에 관한 타당성 판단은 국가통신방수기술이용위원회(CNCTR) 라는 새로운 조직을

창설 전담조치

▶ 전자상거래법

• 근거 법령은 2004년도에 제정된 Loi de Commercie Electronique no. 2004-575 (2004. 06. 21) 및

2016년도에 개정된 법률(ECPX 0200175L, 2016. 09. 28)

• 2004년도에 전자상거래에 관한 기본을 제정했다가 전자상거래가 다기 다양한 기법으로 본격화되자

이를 관리하기 위한 법령으로 2016년에 다시 통합 버전 법령으로 개정 공포함


• EU내 전자상거래 공통규범을 충족시키고 전자상거래의 안전성을 제고시키기 위한 정보보안조치

강화와 위반 시 행정적 제재와 형사 처분관련 근거조항 강화

▶ 민감정보보호법

• Recommendation no. 901(1994 3월)를 근거로 민감정보를 다루는 국가기관의 국가정보시스템(PSSIE

: La Politique de Securité des Systemes D'information de l'Etat) 보안을 위한 근거법령

• 기밀데이터의 해킹, 절취, 사용자의 개인정보보호 침해 및 정보시스템 파괴 위협 등 사이버 공격 예방

및 대처하기 위한 총리실 제정 행정명령

▶ 전자정부법

• 전자정부 추진 법적 근거는 일명 원격서비스법이라고 하는 2004년 12월 9일에 제정 된

법적단순화법(Legal Simplication Law)으로 2005년 12월 8일부터 채택한 ‘Teleservices ordinance’에

의거 정부 및 공공 기관, 공공서비스 사용자간 상호 전자적 수단을 통해 상호 교류 및 업무처리를

원활화시키기 위해 추진

• 기본 목적은 정부당국과 시민들간 쉽고 안전한 전자적 교류 환경 창출을 통한 전자정부로 전환하기

위한 포괄적 법적 프레임워크를 구축하고자 하는 정책으로 일차로 2008년까지 구축을 한 후 계속

시스템의 현대화 및 첨단화를 위해 보안 업무 추진

• 정부와 시민, 중앙정부와 지방정부 및 공공서비스 수행을 위임받은 민간기구들간 전자서류, 이메일

또는 디지털 대화 등의 교류를 포함하여 동 시스템을 통해 수수되는 서류의 전통적인 인쇄물 서류와

만찬가지로 법적 효력을 갖도록 한다는 법적 근거 마련

• 전자서명의 사용도 공공기관에서 인증해 줄 수 있도록 법적 근거

▶ 전자통신법(e-Communications Legislation)

• 2009년 12월 18일 공포된 우편 및 전자통신법(Postal and Electronic Communications Code)이

근거법으로 휴대폰과 인터넷을 통한 통신관련 규제법75

▶ 데이터 보호 및 개인정보 보호법

• 프랑스는 유럽 국가 중에는 가장 선구적인 데이터 보호정책을 펴 온 국가로 1978년 1월 6일 제정한

정보 및 자유법(Loi d'informatique et des Libertes; Law on Informatics and Liberty)에 의거 법적근거

마련

• 공공부문 및 민간부문 기관의 개인정보 데이터의 데이터베이스화 및 가공과정을 거친 데이터 사용을

75 www.legifrance.gouv.fr


위해서는 엄격한 법적 제도권 내 통제를 받도록 하는 규정

• 데이터 관련 정보보안을 담당하는 전담기관으로 정보보호청(CNIL)을 설립하고 데이터 관련 제 법규의

준수 및 이행여부를 통제하고 공공부문의 행정 데이터 시스템의 운영 기획을 자문토록 조치

▶ 사이버범죄법

• 프랑스는 1978년 유럽국가 최초로 구체적인 사이버 범죄를 정보기술 및 자유법(Loi d'informatique

et des Libertes: Information Technology and liberty Act)을 통해 법제화

• 1988년 1월 5일에 제정된 소위 골드프레인법(Goldfrain Act ; Loi Goldfrain)을 통해 형사법 상에

정보시스템 침입관련 처벌조항을 업데이트하여 보완조치(형법 323-1/323-7)

• 2004년 6월 21일에는 디지털 경제신뢰강화법(Loi du 21 Juin 2004 pour la Confiance dans l'Economie

Numérique)을 통해 수정

• 이외 일부 조항들 예컨대 사이버 사기, 아동포르노 사진 유통, 스팸 메일 등 상거래 목적 통신, 개인

통신내용 감청 등 전자기술의 발전에 따라 발생하는 다양한 범죄유형에 대한 처벌 조항을 형사법

수정 조문에 반영

▶ 군사계획법 제22조

• 2013년 12월에 공표된 2014~2019 군사계획법(Loi de programmation militaire, LPM)76에 따라

ANSSI의 권한 강화

• 군사계획법 제22조는 주요 기관(Opérateur d'importance vitale, OIV)77의 보안 강화 방안 채택을

명시하고, 동 조항에 따라 ANSSI가 총리 명의로 주요 기관(OIV)에 주요 정보시스템 보안 및 통제 방안

마련을 강제할 수 있는 새로운 특권 보유


▶ 프랑스 정부의 정보보안 전략 및 정책은 2015년에 발표한 마누엘 발스 총리령으로 발표된 국가정보보안

전략(Stratégie Nationale pour la Sécurité du Nuérique)이 근간인 바 요지는 다음과 같음

• 국가 정보시스템 및 중요 정보자산, 인프라, 중대한 사이버보안 위기의 방어 및 보안조치

• 사이버 공간 디지털 정보의 신뢰, 사생활보호, 개인정보관리, 사이버 범죄 퇴치를 위한 기술적 및 법적

지원

• 사이버보안 관련 훈련의 개시 및 지속적 교육 및 인식제고

76 2014-2019 군사계획법 No. 2013-1168(’13.12.18.)77 국가의 존속에 필수적인 200개 이상의 주요 공공 및 민간 기관으로, 해당 리스트는 국가 보안상 기밀사항


• 프랑스의 디지털 기술 비즈니스 환경 조성, 산업정책, 수출 및 프랑스 기업의 국제화 지원

• 유럽의 디지털 전략적 자율화 및 사이버공간의 안정성 구축 기여

▶ 프랑스의 정보보호관련 주무기관은 정보시스템보안청(ANSSI)과 데이터보호청(CNIL)이 있는데 전자는

네트워크보안, 후자는 이름 그대로 데이터 보안에 주력

• 정보보안청은 사실상 핵심 보안 기관으로서 사이버 공격에 대한 조기 대응, 정부 및 민간 사업자,

중요한 국가 인프라 시설 보호에 주력

• 데이터보호청은 개인정보 처리 관련 불만사항처리, 사업자 감시, 시장 감시 등 정보보호법에 따른

정보보안 규정 위반에 대한 규제업무를 담당하면서 국가 정보보안 전략을 수행

▶ 프랑스 개인정보 보호 정책의 핵심은 1978년에 제정된 정보기술, 저작권 및 개인의 자유에 관한 법률과

1979년에 제정된 행정정보 접근 자유에 관한 법률 등에 기초를 두고 시행 중

▶ 전자상거래관련 2000년도 에 제정한 전자상거래 지침과 2004년도에 제정된 개인정보 및 사생활보호를

위한 디지털경제의 상호신뢰에 관한 법이 정보보호관련 정책의 근간을 형성

▶ 최근의 테러 행위와 사이버 범죄의 확산에 대비하여 정보위원회의 승인을 전제로 필요한 경우

정보보안기관에 각종 사이버 통신수단에 대한 도·감청을 허용하여 국가정보보안과 각종 사이버 범죄

예방 및 퇴치정책을 강력하게 추진 중

▶ 사이버 테러에 대비한 국가정보보안 기능 강화에 역점 부여

• 2008년도에 컴퓨터침해사고대응팀(CERT-FR)을 창설한 데 이어 2011년에는 정보 시스템에 국방 및

보안전략(Defence and Security Strategy)을 채택78하고 국가정보보안청(ANSSI)을 강화하면서

정보보안 기능을 강화

• 또한 2008년부터 프랑스 국내외 주변상황의 변화에 능동적으로 대응해 나가기 위한 방안을 모색하기

위해 국방 및 국가보안정책에 관한 백서(Livre Blanc)를 발간했으며 2013년에도 개정, 발간했음

• 동 백서에서 이미 프랑스의 국가보안기구 임무 중 가장 중요한 임무는 사이버 공격에 대한 예방 및

퇴치로 설정했으며 사이버공격의 예방조치에 높은 비중을 부여하며 정보보안 시스템 강화를 위해

군 당국과 함께 사이버 보안조직의 통합운영을 통해 사이버 보안 기구를 확대 발전시켜 나갈 계획을

수립 추진

• 이 사이버 방어 작전 플랫폼은 방어적임과 동시에 공격적인 성격을 가지도록 설계되어 있어 프랑스의

78 www.legifrance.gouv.fr(2011.11.30.)


정보보안 능력을 급격히 제고시키는 효과

▶ 프랑스 정부는 민간부문의 정보보안 활동에 간섭은 안 하되 위기발생시 협력 강화

• 프랑스의 산업통제시스템(ICS: Industrial Control System)상 산업정보보안 관련 기준들은 ISO 27000

표준과 ANSSI 지침 IGI 1300(Instruction Générale Interministérielle No. 1300)79에 기반

• 프랑스 정부는 민간부문의 정보보안에 보안기술과 관리기법 등을 지원하고 국가 중요 기반시설을

관리하거나 관리 등에 참여하는 기업들 외의 민간 기업에 대해서는 간섭을 하지는 않으나 관리

태만으로 국가적인 보안사고가 발생했을 경우는 발생경위 보고와 퇴치관련 책임을 엄격히 추궁하는

자세

▶ 프랑스의 산업정보보안은 다음과 같이 3개 카테고리로 구분 시행

• Class 1: 사이버 공격의 피해 또는 영향이 낮은 경우에는 관련 필요조치를 완전 자율적으로 조치하나

국가정보보안청이 제시한 건전한 네트워크 가이드(Healthy Network Guide)상 지침에 의거한 조치가

필요

• Class 2: 사이버 공격 피해 또는 영향이 상당한 경우에는 산업통제시스템 전반에 걸쳐 국가 통제조치는

없으나, 심각한 사이버 공격을 당한 책임 있는 기업 및 단체는 사이버공격 퇴치를 위해 적절한 조치를

취했음을 입증하는 증빙자료를 국가정보보안청에 제출할 필요

• Class 3: 사이버 공격의 피해 또는 영향이 심각한 경우에는 해당 기업을 엄중히 추궁하며, 정부당국

또는 위임받은 기관이 산업통제시스템의 적정 작동여부 검증 조치

▶ 또한 최근에는 온라인상의 아동 음란물 상거래에 대해 강력하게 단속 및 처벌을 하고 있으며,

온·오프라인의 저작권법 위반 사범 및 기업에 대한 단속을 강화하는 한편 Google 등 다국적 정보 서비스

업체들의 비즈니스 관행에 대해서 엄격한 기준을 들이대며 규제와 과세기준을 강화하는 정책 추진 중

▶ 프랑스 정부는 2013년도에 2022년도까지 전국에 100Mbps 속도의 초고속 브로드밴드 통신망을

가설하는 것을 목표로 하는 국가브로드밴드플랜(Plan France Très Haut Débit; The National Broadband

Plan)을 수립·추진

• 동 정책은 경제산업디지털부(Ministère de l'Économie de l'Industrie et du Numérique)가 산하에

브로드밴드 통신망 가설을 담당하는 디지털청(Agence Numérique)과 프랑스의 브로드밴드 통신망

네트워크의 확장관련 규제와 통제조치를 담당하는 전자통신우정청(Autorité de Régulation des

Communications Électroniques et des Postes)을 두고 추진 중

79 ANSSI가 2011.11.30일에 제시한 국가보안 기밀정보 보호관련 지침


• 프랑스 정부는 전국 브로드밴드 통신망 가설 플랜의 완성을 위해서는 약 200억 유로에 달하는 공공

및 민간부문 투자 참여가 필요할 것으로 보고 디지털 소사이어티 펀드를 조성하고 공공부문 차입과

함께 소요자금을 지원하고 있음

• 그러나 2017년 7월 엠마뉴엘 마크롱 대통령이 이 계획의 종료 시점을 2022년에서 2020년으로

앞당기고자 한다고 발표함

• 당초 계획은 프랑스 전역에 광케이블망으로 영토의 80%를 커버하고 나머지 20%는 동축케이블이나

구리선로 DSL과 같은 대안책을 사용하는 것이었으나 마크롱 대통령은 2022년까지 전 국토에 광케이블망을

설치하는 것이 ‘지킬 수 없는’ 약속이라는 생각인데다가 사업자들 또한 인구밀도가 높지 않아

수익성이 떨어지는 지역에 광케이블망을 가설하기를 망설이는 실정임

• 따라서 광케이블과 4G를 적절히 혼용하여 프랑스 전역에 고속 및 초고속 인터넷망을 구축한다는

새로운 목표를 제시한 상태이나 후속 논의 및 조치에 대한 발표는 아직 이뤄지지 않은 상태임

2. 담당기관

정부 정책 담당 기관

▶ 국가방위안보사무국(SGDSN : Secrétariat Général de la Défense et de La Sécurité Nationale)

• 국토 방위 및 안보문제를 다루는 최고위 위원회로 국토방위 및 보안업무 외에 최근에 문제가 되고

있는 대테러정책 및 정보보안 정책에 대해 심의 및 결정하는 프랑스 최고위 국가 안보 및 보안정책

의사결정기구

▶ 정보 네트워크 보안청 (ANSSI : Agence Nationale de la Sécurité des Systèmes d' Information - French

Networks and Information Security Agency)

• 근거법령 Decree no. 2009-834(2009. 01.01)에 의거 기존 정보보안시스템국(ADCSSI: Central

Directorate for Information System Security)의 기능을 확대개편 및 강화하는 형태로 2009년 7월

8일에 창설

• 총리실 직속기관으로 설립되어 사이버 공격에 대한 조기대응 및 차단, 강력한 사이버공격 대응센터

창설, 정부 부처 및 공공기관 내 정보 네트워크 보안을 위해 24시간 상시 지속적 감시임무 수행,

정부기관 및 민간 사업자의 중요한 인프라 시설 보호에 관한 자문 기능 등 수행

• 프랑스 기업과 정부의 신뢰도가 높은 IT제품 및 서비스 개발을 지원하기 위해 외부로 부터의 위협

예방 및 차단, 자문을 제공하는 업무


• 컴퓨터침해사고대응팀(CERT)을 운영하며 컴퓨터 네트워크 및 정보시스템상 사이버 공격예방 및 퇴치

업무 담당

• 컴퓨터 정보기기에 대한 보안 인증 업무

• 타국가의 유사기관 및 CERT와의 국제협력체제 유지 등 수행

• 연락처 : http://www.ssi,gouv.fr

▶ 데이터보호청(CNIL : Commission Nationale de l'informatique et des Libertes)

• 1978년에 창설된 프랑스의 데이터보안 담당기관이며 이며 2014년 3월 데이터 통신보안을 강화하기

위해 새로운 프랑스의 소비자법에 의거 데이터보호청이 국가 정보보안상 필요하다고 판단되면

온라인상에서 서류의 검열, 검토 및 도청 등의 수사행위를 할 수 있는 권한 부여

• 개인정보 보호관련 불만처리, 사업자 감시, 시장 감시등 정보보호법에 의거한 정보보안 규제 실무

수행을 위해 매년 특정 영역을 선정 정보보호의 침해여부를 집중 조사 수행

• 주요 조사 영역은 스마트폰, 전자통신 서비스 사업자의 보안정보 유출여부에 대한 통보 의무, 감시

카메라, 건강기록 등 대상

• 스마트폰은 애플리케이션 사업자 및 통신사들의 스마트폰 판매 시 발생되는 고객정보 처리에 대해

조사

• 전자통신사업자의 보안정보 유출에 대한 통보의무 : 2012. 03. 30일 공포된 법령 2012-436호에 의거

전자통신 사업자들에게 자사의 통화 및 인터넷 접속서비스와 관련된 개인정보의 침해 사실이

발생했을 경우 즉시 상세한 내용과 대책을 데이터 보호청에 보고하도록 의무화

• 통신사업자가 개인정보 보호대상자에게 직접 침해발생 사실을 통보해야할 의무는 없으나,

데이터보호청의 판단 아래 개인정보 침해에 따른 당사자의 피해 또는 위험도가 큰 경우 또는 사업자의

대책이 충분하지 않을 경우 해당 개인에 대해서도 통보의무 부여

• 건강기록에 대해서는 전자기록을 중심으로 사업자들이 의료분쟁 재판에서 활용하는 개인의 의료기록

및 정보처리에 대해 감시 강화

• 감시 카메라 : 중요 데이터 생산 및 보관 기관 대상 CCTV 카메라를 통한 원격 모니터링 실시

• 2013년 3월부터 프랑스 재무부는 개인정보를 수집하는 Google, Facebook, Amazon 등 다국적 인터넷

기업을 대상으로 정보사용료 명목의 내국세금 부과를 추진 중

• 즉 만일 개인정보를 수집하는 사업자가 인터넷 이용자들에게 정보사용 내역을 공지하지 않고

개인정보를 수집, 임의로 사용하는 경우는 과세를 하겠다는 내용

• 프랑스 등 유럽 선진국들은 자국에서 막대한 이익을 내고 있는 다국적 인터넷 기업들에게 과세를

하고자 추진해 왔으나, 세법상 본사가 있는 타국 소재 기업에 대해서는 과세권이 없다는 점으로

고심하다 자국 내 영업활동에 대한 법인세 부과기준을 개정, 부과하겠다는 방침

• 연락처 : http://www.cnil.fr


▶ 국가사이버침해사고대응센터(CERT-FR : Centre Governemental de Veille d'Alerte et de Résponse aux

Attaques Informatiques)

• ANSSI 산하 사이버보안 실무기구로 정부기관, 지방자치단체 및 공공기관의 인터넷 네트워크에 대한

이부 조직범죄단의 사이버 공격의 예방 및 공격발생시 즉각 대응 조치 수행임무 담당

• 유관 사법경찰의 정보통신기술관련 사이버 범죄 수사단(SDLC/OCLCTIC), 파리경찰청 정보기술 사이버

사기수사단(BEFTI), 국가방첩단(ISB), 국방부 디지털범죄수사단 헌병대(C3N) 등 정부 부천 및 군 당국

유관기관과 협력 사이버 범죄 수사 및 대응

• 연락처 : http://www.cert.fr

▶ 전자통신우정청(ARCEP: Autorité de Régulation des Communications Életroniques et des Postes)

• 전자통신우정청은 프랑스의 EU 공통 통신규범 틀 내에서 정보통신을 관리하는 기구로

정보통신부문의 EU 전자통신 지침의 프랑스 관련 산업에 적용하기 위한 법적 프레임워크를

수립·적용하는 임무 담당

• 연락처 : http://www.cnil.fr

▶ 정보통신범죄수사국(OCLCTIC : Office Central de Lutte contre la Criminalite liee aux Technologies

de l'information et de la Communication)

• 정보통신범죄수사국은 2000년 5월에 설립된 기관으로 사이버범죄에 대한 수사 및 기술검증 등

임무를 수행해 오고 있으며, 핵심임무는 경찰의 사이버범죄 수사 활동 원활화 및 조정 역할

• 동 수사국은 사이버범죄관련 국제협력 접촉 포인트 기관

• 동 수사국은 경찰, 군 헌병단, 경쟁·소비자 및 사기예방총국의 사법적 활동을 지원하고 수사 활동을

수행하는 한편 지역 및 지방 경찰의 IT 범죄수사관련 필요사항 등을 지원하고 있는 기관

• 연락처 : www.pointdecontact.net

▶ 인터넷사무국(DUI : Délégation aux Usages de l'internet)

• 인터넷 사무국은 프랑스의 디지털환경 개선을 위한 모든 업무를 담당하는 기관으로 인터넷의 공적

접속 포인트 개설, 인터넷 대체 접속기술 촉진, 미성년자 보호 등 인터넷의 공공 안정성, ICT 교육훈련

및 지원 등 역할 수행

• 연락처 : http://www.delegation.internet.gouv.gr

▶ 미디어개발국(DDM : Direction du Développement des Médias)

• 미디어개발국은 문화부(Ministère de la Culture) 소속으로 미디어 및 정보사회에서 공공정책을


수행하는 역할 담당하고 있고, Signal Spam Initiative를 수립하는 임무도 담당

• 연락처 : http://www.ddm.gouv.fr www.signal-spam.fr

▶ 국가현대화총국(DGME : Direction générale de la Modernization de l'Etat)

• 2005년에 재무부 소속으로 창설된 국가행정 현대화 담당 조직으로 각료들을 대상으로 국가정보화

전략의 수행을 지원하고, 전자정부 수행 가능성을 검증하는 한편 국가전략 수행관련 자문을 제공하는

역할을 담당

• 연락처 : www.modernisation.gour,gr

▶ 경제산업고용부(Ministère de l'Economie, Industrie et de l'emploi)

• 프랑스 산업정책을 수립 추진하는 부처로서 정보보안 산업의 보호 및 육성을 통해 수출산업화 정책을

수행

• 또한 산하에 브로드밴드 통신망 가설을 담당하는 디지털청(Agence Numérique)과 프랑스의

브로드밴드 네트워크의 확장관련 규제와 통제조치를 담당하는 전자통신우정청(Autorité de

Régulation des Communications Électroniques et des Postes)을 두고 정보보안관련 업무 추진

• 연락처 : www.economie.gouv.fr

▶ 내무부(Ministère de l'interieur)

• 정보보안담당 경찰과 헌병단을 통한 이민자 인적사항조사 및 감시 및 사이버 범죄 수사담당을 하기

위해 2014년 특별 수사팀 창설 운영 중

• 연락처 ; www.inyerieur.gour.fr

▶ 외교부 (MAEDI : Ministere des Affaires Etrangeres et du Developpement Internacional)

• 사이버 범죄관련 외국과의 양자협상 및 협력, NATO, UN, OECD, EU 당국 및 관련국제기구 등과의

국제협력 및 협상 창구역할 담당

• 이를 위해 2011년 사이버 범죄관련 외국과의 협상 및 협력 업무를 전담하는 특임대사직을 신설하고

프랑스의 사이버보안정책 수립에 참여

사이버 긴급사태 대응팀

▶ 정보시스템 및 보안담당센터(COSSI : Centre Opérational pour les Systèmes et Sécuritè de

l'Information)


• COSSI는 ANSSI 산하 기구로 프랑스의 사이버방위센터로 정부 관계부처의 사이버공격 퇴치 및 예방과

사이버 위기에 대한 정부 측 입장 조정 등 담당

• COSSI는 자체 기술조직으로 프랑스정부 사이버긴급대응팀(CERTA)을 운영

• 연락처 : http://www.ssi.gouv.fr www.cerca.ssi.gouv.fr

▶ 컴퓨터 긴급사태대응팀(CERT-Renater)

• 1995년에 설립된 기구로 국가통신망 운영관련 정보보안, 특히 보안보호, 위협퇴치 및 해결, 기술개발,

교육 연구 등 담당

• 가장 중요한 임무는 사이버 범죄 발생 시 지원 또는 지원팀 구성 요청을 위한 접촉 포인트라는 점

• 연락처 : http://www.renater,fr

▶ 이외 다음과 같은 민간기구가 컴퓨터침해사고대응팀에 참여 중

• APOGEE SecWatch(Devoteam): 정보시스템 인프라 전문 기업으로 유럽의 정보시스템의 엔지니어링

및 자문 역할 담당 기업

웹사이트 : www.devoteam.com

• 민간 침해사고대응팀(CERT-IST: Computer Emergency Response Team): 1998년도에 4개 민간 기업이

컨소시엄으로 컴퓨터관련 공격 및 범죄 예방 및 퇴치를 위해 창업한 비영리 기업

웹사이트 : http://www.cert-ist.com


규제

▶ 정보통신사업자들은 정보보안 마스터플랜 제출 의무화

• 2006년도에 제정된 법에 의거 경제산업고용부(Ministry of Economy, Industry and Employment내

HFDS : Haut Fonctionnaire de Défense et de Sécurité)에 자체 정보보안 마스터플랜을 제출토록 규제

• 경제산업고용부는 동 플랜을 검토 심사한 후 보완을 요청할 수 있으며, 매년 적절히 마스터플랜대로

이행하고 있는 지 여부를 점검하고 검증해주는 역할을 수행

• 해당 사업자들에게는 서류작업과 함께 매년 까다로운 조사과정을 거쳐야 하는 점이 규제의 하나로

간주


인 증

▶ 최고등급보안인증(Certification de Sécurité de Premier Niveau, CSPN)

• 비용과 시간이 많이 드는 공동 기준(Critères Communs)80 평가의 대안으로 ANSSI가 2008년 시행한

인증제도로서, IT제품을 대상으로 ANSSI가 인정한 IT보안평가센터(CESTI)에 의한 평가를 성공적으로

통과했을 때 ANSSI가 발급

▶ CNIL 허가(authorisation de la CNIL)

• 프랑스에서 개인데이터를 취급할 권한을 갖고자 할 때, 취급하는 데이터 또는 기관 특성에 따라

국가정보처리자유위원회(Commission Nationale de l'Information et des Libertés, CNIL)에

▲신고(déclaration), ▲권한 요청(demande d'authorisation) 또는 ▲통지 요청(demande d'avis)

• 민감 또는 위험 파일의 경우, 신고(déclaration)가 아닌 허가(authorisation) 절차를 거쳐야

함(정보처리자유법 개정본 제25, 54, 64조)

• 공공 기관 또는 공공 서비스를 운영하는 민간 기관이 특정 데이터를 처리하는 경우 CNIL에 통지(avis)

요청 절차를 거쳐야 함(정보처리자유법 개정본 제26, 27조)

▶ CNIL 인증(Labels CNIL)

• 정보처리자유법(Loi Informatique et Libertés)의 규정에 부합하는 개인정보보호 관련 제품 및 절차에

대해 CNIL이 발급하는 인증으로서, ▲ 직업연수 인증, ▲ 정보보호 감사 인증, ▲ 디지털 금고 인증,

▲ 정보보호 거버넌스 및 자유 인증으로 나뉘어 있음

(1) 직업연수 인증(Label Formations) : 온·오프라인 개인정보보호 관련 연수(사내 연수 포함)에 대해

발급되는 인증

(2) 정보보호 감사 인증(Label Audit de traitements) : 개인정보보호 감사절차는 개인정보보호의

처리가 정보처리자유법의 규정에 부합하는지 확인하기 위한 절차로서, 감사수행기관 및 감사관,

감사를 위한 각 단계 등에 대한 요구기준에 적합한 정보보호 감사절차를 인증하는 제도

(3) 디지털 금고 인증(Label Coffre-fort numérique) : 개인 또는 전문가가 저장한 데이터의

무결성(intergrity), 가용성 및 기밀성을 존중하는 양질의 서비스를 인증하는 제도

* ‘디지털 금고’는 서류, 메타데이터 등을 비롯한 저장된 정보를 담당자 혹은 위임자만이 접근할

수 있다는 점에서 일반 데이터 웨어하우스(data warehouse)와 다름

(4) 정보보호 거버넌스 및 자유 인증(Label governance informatique et libertés) : 개인정보보호

책임자(correspondant Informatique et Libertés)를 지정한 모든 기업 및 공공기관이 신청 가능

80 정보처리 시스템 및 소프트웨어의 보안을 평가하는 대표적인 국제 기준으로, 캐나다, 미국, 유럽의 여러 국가에서 인정하고 있는 보안 평가 기준


▶ SecNumCloud 인증

• 2014년 시범 도입되었던 Secure Cloud를 대체하는 인증으로 ISO27001을 기반으로 ANSSI가 2016년

5월 도입한 인증으로서 다음과 같은 2단계로 나뉘어 있음

(1) 1단계(기본 단계) : 보안 사고 발생 시 고객에게 미치는 영향이 적은 데이터의 저장 및 처리가

가능한 보안 수준을 가진 업체에게 발급

(2) 2단계(고급 단계) : 보안 사고 발생 시 고객에게 큰 영향을 미치거나 영속성까지 위협할 수 있는

데이터의 처리 및 저장이 가능한 보안 수준을 가진 업체에게 발급

▶ ANSSI label SecNumedu 도입

• 학사(licence), 직업학사(licence pro), 석사, 기술자격 혹은 전문석사 등을 수여하는 디지털보안

고등직업교육에 대한 인증

▶ France Cybersecurity 인증

• 2015년 도입된 France Cybersecurity 인증은 국가기관 심사단, 업계 심사단, 사용자 심사단이 인증의

거버넌스 및 요구사항을 정의하며 각 심사단에서 대표 두 명씩을 선발해 구성한 발급위원회에서 인증

여부 결정

(1) 국가기관 심사단: 프랑스 정부방위조달청(DGA), 경제부 산하 기업총국(DGE), ANSSI 대표로

구성된 국가 기관 심사단

(2) 업계 심사단: 디지털신뢰연합(ACN), 사이버안보 및 디지털신뢰협회(Hexatrust) 대표로 구성

(3) 사용자 심사단: 대기업네트워크(CIGREF), 민간정보보안기술전문가단체(GITSIS), 정보보안 및

디지털 전문가집단(CESIN), 프랑스정보보안클럽(CLUSIF) 대표로 구성



▶ 관광업이 GDP의 7.4%를 차지하는 프랑스는 2015년 테러 이후 해외 관광객이 2016년 8.1%나

감소했다가 최근 테러 사건 이전 수준을 회복함

• 따라서 2016년 당시 관광객 대상 소매치기, 절도, 강도 및 경범죄 단속 및 테러 방지 차원에서

비상대책자금 1,550만 유로를 투자해 공공장소 내 CCTV 및 안전 검사대를 설치, 확충한다는 계획을

발표하고 국경 및 주요 거점도시에 대테러 인력 9,000여명을 추가 배치한 바 있음

• 여전히 존재하는 테러에 대한 관광객들의 우려를 잠재우기 위해 파리 경찰청은 2017년 7월부터

안전요원 고용, CCTV 구비 등 우수한 보안 수준을 가진 파리 시내 관광지의 상점, 호텔, 박물관 등을

대상으로 Sécuri-Site라는 인증을 발급키로 했으며 파리 외 지역의 주요 관광 도시에도 확대 적용될

방침

• 이 밖에도 파리 경찰청은 7개 관광명소를 지정, 7월~9월 성수기동안 순찰대를 늘리고 동 구역의 기존

216대 CCTV에 추가로 131대를 설치하고 원격 감시 및 CCTV 관제센터를 신설한다는 계획을 발표함

▶ 프랑스 정부는 2017년 5월 30일, 사이버 공격으로 피해를 입은 모든 개인, 기업, 기관들을 대상으로

하는 Cybermalveillance.gouv.fr 이라는 플랫폼을 출시

• 피해자와 등록된 서비스사업자, 컴퓨터기술기업(예를 들면 컴퓨터 바이러스 치료)을 연결해주는

플랫폼으로서 현재는 프랑스 북부지역에만 국한되어 있지만 차차 프랑스 전역으로 확대할 방침

• 이 플랫폼은 신고 접수 당국을 대신하는 것이 아니라 피해자가 사이트에 제출한 상세한 사고 경위서에

따라 그 문제를 해결하는 데 도움을 줄 수 있는 전문가들의 리스트를 제공하여 사후처리를 돕는

기능만을 수행함

• 100만 유로의 초기 예산에 ANSSI의 추가 지원으로 2019년까지 250만 유로 규모의 예산으로 운영될

것이며 그 중 75%는 보안 환경 구성에 대한 반사이익을 얻을 수 있는 민간부문(인터넷 액세스

공급업체, 다양한 관련 종사자 조합, 소프트웨어 개발 회사 등)으로부터 기금을 모집할 예정

▶ 프랑스 정부가 2015년부터 5,000유로를 투자해 기존 10,000명의 헌병과 경찰에게 치안업무용 특수

안드로이드 OS가 탑재된 스마트폰과 태블릿PC를 제공한 ‘NÉOgend’과 ‘NÉOpol’시범사업을

60,000명의 헌병 및 경찰관에 확대 적용

▶ 프랑스 내 주요 대도시들이 ‘safe city’가 되겠다는 계획으로 CCTV 확충, 각종 스마트 기기 구비 등 보안

장비 및 설비 강화에 나섬

• 특히 파리 및 파리를 둘러싼 일드프랑스 지역은 프랑스 인구의 10%가 집중되어 있는 만큼 범죄율도


높아 전국에서 발생하는 경범죄의 18%가 이 지역에서 발생하고 있으며 수많은 집회 및 시위가

집결되는 지역이기도 함

• 이에 따라 비디오 감시 장치 네트워크 구축, 디지털화, 응급전화 관리 플랫폼 단일화 사업을 진행

중에 있음

• 니스市도 지난 7월 ENGIE Ineo라는 기업과 실시간 원격 모니터링 시스템 구축사업 관련 MOU를

맺었으며 높은 범죄율로 골머리를 앓고 있는 마르세유市 역시 2020년까지 CCTV 수를 2,000개까지

늘리고, 도시 감시 관제센터 설립, 빅데이터 활용, 이미지 분석 소프트웨어 도입 등을 2016년부터

추진 중

마. 독일


· 독일의 사이버보안 지수는 세계 24위로, 우리나라 대비 법제와 역량 부문이 약함

(● 상, ● 중, ● 하)

국가명




독일 0.679 24 ● ● ● ● ● ●

대한민국 0.782 13 ● ● ● ● ● ●


· 독일의 전반적인 ICT 발전 수준은 ITU 조사국 175개국 중 상위권을 유지하고 있음

지표명독일 한국


ITU ICT 발전지수(IDI 2017) 8.39 12 8.85 2

접근(Access) 부문 8.93 6 8.85 7

활용(Use) 부문 7.77 18 8.71 4

기술(Skills) 부문 8.54 17 9.15 2


UN 전자정부 지수(2018) 0.876 12 0.901 3


· 독일은 통신 및 인터넷 지표 항목 전반에 걸쳐 높은 보급률을 보이고 있는 가운데 인터넷

이용률은 85%에 다소 미치지 못하는 수준

항목독일 한국


유선전화 44,400 54.0 26,842 52.6

유선브로드밴드 33,217 40.4 21,195 41.5

이동통신 106,000 129.0 63,658 124.8

인터넷 이용률 76.18% 95.1%

‘17년 GDP(십억달러) 3,677.4

'17년 인구수(천명) 82,695

1. 선진 시장 - 독일


1. 보안 환경

정보보안 환경

▶ ITU가 2017년 4월 발표한 글로벌 사이버보안 지수(GCI) 2017에 따르면 독일의 사이버보안 지수*는

0.679로 글로벌 순위는 24위를 기록

* 해당 지수는 법적·기술적·조직적 대응 및 역량강화, 국제협력 등 5개 부문의 지수를 종합한 것으로,

같은 기간 한국의 사이버보안 지수는 0.782로서 글로벌 13위를 기록

▶ 독일 정부기관 및 산업은 지속적으로 사이버 공격의 대상이 되어 왔으며, 이러한 위협에 대해 독일은

2015년 ‘IT보안 법안’ 및 ‘신 ICT보안 연구개발 프로그램’을 추진함으로써 보안 분야 경쟁력 강화를 위해

노력하는 계기를 마련함

• 2016년 9월 독일 보안 전문가에 따르면, 2016년 8월 독일의 고위 정치인들은 이들의 데이터 유출을

노리는 사이버 공격을 당했으며 메일은 NATO에서 발신된 것으로 위장, 수신 메일을 클릭할 경우

컴퓨터가 스파이웨어에 감염되는 것으로 밝혀짐

• 2015년 6월, 독일 연방 의회의 컴퓨터 네트워크가 대규모 사이버 공격을 당하여 의회에 있는 약 2만

대의 컴퓨터를 해커가 자유롭게 조작할 수 있는 상태가 됨

• 조사에 따르면 적어도 5명의 의원용 컴퓨터로부터 데이터가 유출된 사실이 확인되었으며, 보안

당국은 이번 공격이 러시아 정부 소행이라고 발표

• 2013년 2월 독일 시사주간지 Spiegel에 따르면, 중국이 서방 국가를 상대로 한 인터넷 첩보 활동을

강화하면서 독일 연방정부의 외교부와 경제부처, 총리실 등을 대상으로 한 해킹이 2012년에만

1,100여 건을 넘어선 것으로 파악됨

• 2010년에는 산업 자동화 시스템을 겨냥한 공격이 많았는데 독일의 대표 기업 중 하나인 Siemens

역시 피해를 받았으며 산업시설 공격용으로 배포된 슈퍼 웜 'Stuxnet'은 특히 독일 Siemens의 자동화

제어 시스템(PCS7)을 공격 목표로 제작된 것으로 알려짐

▶ 독일은 2015년부터 2020년까지 국민·경제·국가를 위한 안전하고 혁신적인 ICT솔루션의 개발을 촉진하기

위해 범부처 차원의 ‘신 ICT 보안 연구개발 기본 프로그램’을 마련

• 독일 연방교육연구부는 2015년 3월 각료회의 의결을 거쳐 2015년부터 2020년까지 총 1.8억


유로(원화 약 2,320 억 원)를 투자하는 신 ICT 보안 연구개발 기본 프로그램’개발 프로젝트를 발표

• 이 프로그램은 첨단 ICT 보안기술, 안전하고 신뢰할 수 있는 정보·통신 시스템, 응용 분야 ICT 보안,

개인정보보호를 중점 연구 분야로 선정

▶ 2017년 6월 30일 로이터통신은 독일의 최고위급 사이버보안 담당관이 함부르크에서 열리는 G20회의에

대해 예상되는 해커단체 또는 외국정부와 연계된 해커조직에 의한 공격에 대비하고 있다고 발표

• 독일연방정보보안청(BSI)을 이끌고 있는 Arne Schönbohm 청장은 행사기간 동안 Anonymous나

LulzSec과 같은 해커집단에 의한 컴퓨터 네트워크에 대한 공격에 대비하기 위하여 특별지휘본부를

24시간 상시 운영할 계획이며, 함부르크 주변에서 예상되는 시위에 대비하기 위해 약 2만 명의 경찰을

배치할 것으로 언급

• 또한 BSI는 이메일을 이용한 새로운 스피어 피싱 공격에도 대비하고 있으며, 독일의 선거에 영향을

주는 사이버공격 행위를 방어하기 위해 Vote-Meter 프로그램을 실행할 계획

물리보안 환경

▶ 독일 및 노르딕 지역은 유럽 난민 위기로 가장 영향 받는 지역 중 하나로 최근 2~3년 내 보안 시장이

강한 성장세를 보였고 2017년에도 지속 성장이 예측됨

• 보안전문 기업인 Securitas는 지리정치적인 사건이 독일 보안시장의 2016년 상반기 성장에 절반

정도의 영향력을 가진 것으로 기술함

• 독일 정부 데이터에 따르면, 테러 공격 및 난민 수용 및 관리에 따른 모니터링 수요로 2015년 10월

보안 시장은 28.5%의 급격한 성장세를 보였으며 2016년 1월에는 30.5%의 매출 증가세를 보여 시장

성장은 당분간 지속될 전망임

▶ 난민 사태에 따른 사회적 불만 및 불안정 요인에 의한 테러 등으로 인해 보안 카메라 설치에 대해

긍정적인 공감대가 형성되고 있는데, 이러한 배경에는 쾰른 기차역 공격사건과 뮌헨 쇼핑몰 총기사고

같은 테러로 인해 2016년에만 22명이 사망하는 등 사회불안 증가가 주요한 원인으로 지목되고 있음

• 2016년 2월 27일 하노버에서 ISIS를 추종하는 10대 소녀에게 공격당해 여성경찰관 1명이 부상함

• 2016년 4월 15일, 에센지역의 시크교 사원에서 폭발사고가 발생함에 따라 독일 태생의 3명의 이슬람

청년이 체포

• 2016년 7월 18일, ISIS의 추종자로 알려진 청년이 뷔르츠부르크 외곽 기차역에서 통근자를 도끼로

공격하는 사건이 발생해서 5명이 부상

• 2016년 7월 22일, 뮌헨지역의 맥도날드에서 독일 태생의 이란계 청년이 총기를 난사하여 9명이

사망하고 35명이 부상하는 사건이 발생


• 2016년 7월 24일, 로트링겐 지역에서 45세의 폴란드인 여성과 관광객이 시리아 난민에 의해

살해당하는 사건이 발생했으며, 같은 날 독일 남부 안스바흐에서도 시리아 난민에 의한 폭발물테러로

인해 15명이 부상

• 2016년 12월 19일, 베를린 크리스마스 시장에서 트럭을 이용한 테러로 인해 12명이 사망하고 48명이

부상하는 사고가 발생

▶ 2018년에는 터키-쿠르드족 갈등이 악화되면서 쿠르드 극단주의자들이 독일내 터키인들을 대상으로 한

방화사건이 4회 발생

▶ CCTV는 기본적으로 공적 업무 수행, 건물의 불가침권 보호를 목적으로 개인의 사생활을 침해하지 않을

경우에만 설치할 수 있음

• 독일은 기본적으로 개인의 사생활을 침해할 경우 CCTV를 설치할 수 없다고 분명하게 규정하고 있음

• 특히 아동과 청소년들을 위한 보육실이나 운동장, 수업 공간 등 모든 아동과 청소년이 지속적으로

머무르는 교육 장소에는 CCTV 설치가 금지됨

• 또한 특정한 개인이 감독해야 할 의무가 있는 공간에도 CCTV를 설치할 수 없음

• 그러나 은행과 카지노 입구, 원자력 발전소 등의 특정 산업공간과 같이 보안이 중요한 장소는 CCTV

설치가 법으로 허용


▶ 2014년, 연방정부는 독일 내 IT 인프라 개선을 위한 디지털 어젠다를 발표

• 연방 교통디지털부는 2018년까지 50Mbps급 초고속인터넷을 전국에 보급한다는 계획을 수립하고

관련분야 기업협회와 컨소시엄을 통해 약 200억 유로를 투자하기로 함

▶ 2016년 2/4분기에 ARD/ZDF 통신위원회가 실시한 독일 내 인터넷 사용 특성에 관한 조사에 따르면,

독일 인터넷 사용자들을 접속빈도와 온라인 접속시간 모두 2015년에 비해 상승한 것으로 나타남

• 2016년 5월을 기준으로 14세 이상의 독일어 사용지역에 거주하는 인구의 약 84%에 해당하는 5,800만

명이 적어도 종종 인터넷에 접속하고 있다고 응답

• 60대 이상을 제외한 대부분의 연령대 응답자 중 89%가 인터넷을 이용하고 있다고 응답하였고, 60대

이상의 응답자 중에서도 56.6%가 인터넷을 이용하고 있다고 응답

• 매일 인터넷에 사용한다고 답한 응답자의 비율은 꾸준히 증가하고 있는 추세이며, 2016년에는

2015년보다 약 2% 증가한 65.1%의 응답자가 인터넷을 ‘매일 사용하고 있다’고 응답


• 하루 평균 온라인에 접속하는 시간은 모든 연령대에 걸쳐서 증가한 것으로 나타남. 남성은 2016년에는

평균 153분을 온라인에서 소비하는 것으로 조사되었는데, 이것은 2015년 127분에 비해서 26분

증가한 수치임

• 마찬가지로 여성응답자들도 2015년에 비해서 더 많은 시간을 온라인에서 소비하는 하는 것으로

나타났으나 소비시간의 증가분은 남성에 비해 낮게 나타났는데, 인터넷 사용자중 여성은 2016년에는

평균 104분을 온라인에서 소비하는 것으로 조사되었으며 2015년에는 91분이었음

• 해당 조사를 통해, 인터넷에 접속하는 수단으로 스마트폰을 포함한 휴대전화가 가장 많이 이용되고

있음이 처음으로 밝혀졌는데, 온라인에 접속하기 위한 수단으로서 조사 대상자의 57%가 노트북을,

44%는 데스크톱 컴퓨터를 사용한다고 응답한 반면, 응답자의 66%는 온라인에서 휴대전화를 적어도

가끔씩 사용하는 것으로 조사

• 또한 모바일 인터넷 사용은 14세에서 29세 사이의 응답자들이 가장 빈번한 것으로 조사되었는데,

해당 연령대의 응답자 중 86%는 스마트 폰 또는 피처 폰을 사용하여 웹에 액세스하는 것으로 조사

• 해당 항목에 대해서, 30세에서 49세 연령대의 성인 응답자 중에서는 65%, 50세에서 69세 연령대의

성인 응답자 중에서도 31%는 휴대전화를 사용하여 인터넷에 접속하고 있는 것으로 조사

• 외부에서 모바일 인터넷을 사용한다고 대답한 응답자의 68%는 종종 모바일 인터넷을 이용한다고

응답했지만, 응답자의 33% 만이 매일같이 모바일 인터넷을 사용하는 것으로 조사

• 해당 조사에 따르면, 구글과 같은 검색 엔진을 사용하는 것이 가장 일반적인 온라인 활동으로 나타남

• 응답자의 83%는 적어도 1주일에 한번 이상은 검색작업을 수행한다고 응답했으며, 81%는 매주

이메일을 교환하는 것으로 나타났으며, 또한 68%는 인스턴트 메시징을 사용한다고 응답

• 또한 2015년에 비해 비디오 시청비율이 급증한 것으로 조사되었는데, 응답자의 약 67%가 1 주일에

적어도 1회 이상 온라인에서 비디오를 시청한다고 응답함

• 또한 독일어를 사용하는 인터넷 사용자의 40%는 적어도 매주 소셜네트워크를 이용하고 있으며,

26%는 매일 소셜미디어에 접속하는 것으로 조사

그림 _ 독일 성별 인터넷 사용현황조사 2016

[출처] ARD / ZDF Medienkommission


그림 _ 독일 연령별 인터넷 사용현황조사 2016

[출처] ARD / ZDF Medienkommission

▶ 2015년 8월, 독일의 시장조사기관 TNS Emnid가 발표한 설문조사 결과에 따르면, 독일 인터넷 이용자

가운데 28%는 Netflix, Maxdome, Amazon Prime 등의 유료 VOD 서비스를 이용하고 있는 것으로

나타남

• 해당 조사는 1,049명의 인터넷 이용자를 대상으로 실시한 것으로, 25-34세 인터넷 이용자 중 47%,

16-24세 이용자 중 42%가 유료 동영상 스트리밍 서비스를 이용하는 것으로 조사됨

• 69%의 이용자는 유료 서비스는 이용하지 않으나, 56%의 이용자들은 YouTube나 MyVideo같은 무료

동영상 스트리밍 서비스를 이용한다고 응답

▶ 온라인 통계기관 Statista 자료에 따르면, 2015년 6월 기준 독일인들의 월 평균 인터넷 이용 시간은

25.6시간으로 조사됨

• 독일 인터넷 이용자들의 SNS 서비스 월 평균 이용시간은 약 5시간인 것으로 집계, 독일 인터넷

이용자가 다른 주요국들에 비해 SNS 이용에 가장 많은 인터넷 이용시간을 할애하고 있는 것으로

나타남

• 한편, 독일 인터넷 이용자가 가장 많이 방문한 웹페이지는 쇼핑 웹사이트이며, 약 77%의 독일 인터넷

이용자들이 쇼핑 웹사이트를 방문한 것으로 기록됨

• 이와 함께 라이프스타일 (66.7%), 게임 (50%), 뉴스 (46%), 은행 (42%), 스포츠 (36%), 날씨 (33.4%)

등이 쇼핑 웹사이트 뒤를 잇고 있음

▶ 글로벌 경영컨설팅 전문업체인 AT Kearney사가 발표한 연구결과를 인용해 2015년 4월 보도한 Spiegel

online에 의하면, 독일은 세계에서 다섯 번째로 주목받고 있는 온라인 시장으로 밝혀짐


• 30개 국가의 세계 전자상거래 지수(Global Retail E-commerce Index)를 보여준 이번 연구결과에

의하면 미국, 중국, 영국, 그리고 일본이 독일보다 더 큰 온라인 시장으로 나타났으나, 독일은 전년도와

비교해 가장 큰 성장을 보인 국가로 지목되면서 한국보다 앞서는 결과를 나타냄

▶ 유선통신

표 _ 독일 유선전화 가입회선 수 및 전화밀도

• 모바일, VoIP, OTT의 이용률이 늘어나면서 독일 유선전화 가입률은 감소 중

• 2017년 예상 유선전화 이용자 4,280만 명, 전화밀도 52.8%

표 _ 독일 인터넷 이용자 수 및 보급률


그림 _ 독일 인터넷 이용자 수 및 보급률 그래프

• 2017년 예상 인터넷 이용자 7,250만 명, 보급률은 89.9%

• 유선인터넷 가정집의 70%는 브로드밴드 이용

• DSL 기업 수는 100개를 넘어가며 각 지역에 맞는 인터넷 서비스 제공 중

표 _ 독일 유선 브로드밴드 보급률


표 _ 독일 유선 브로드밴드 예상 가입자 수

• 2017년 유선 브로드밴드 가입자 수는 3,321만 명에 보급률 39.7%81로, 이는 전년도 3,200만 명에

비하여 120만 명이 늘어난 수치

• 온라인 음악, e-Book, 비디오 컨텐츠 등 디지털 미디어 수요가 증가하면서 빠른 인터넷을 원하는

소비자들이 증가

• 독일은 2년에 걸쳐 기존 DSL선을 광케이블로 교체하는 작업을 진행하고 있으며, 이는 유선

브로드밴드 가입자 수를 점진적으로 증가시킬 것으로 전망

그림 _ 독일 유선 브로드밴드 가입자 수, 사업자 시장 점유율

81 Buddecomm, “Germany Fixed Broadband Market – Statistics and Analyses”(2017)


▶ 이동통신

표 _ 독일 모바일 이용자 수 및 보급률

그림 _ 독일 모바일 이용자 수 및 보급률 그래프

• 독일은 유럽에서 제일 많은 모바일 가입자 수를 보유하고 있음

• 시장이 포화되면서 성장세는 완만해짐

• 2017년 예상 모바일 가입자 1억1,660만 명, 보급률 123%

• 2014년 모바일 이용자수 감소는 모바일 사업자들이 휴면 SIM카드를 데이터베이스에서 제외했기 때문

• 2017년 M2M을 포함한 SIM카드는 1억3,500만개로 추정되며, 이는 한 명당 1.63개의 SIM카드를

소유한 것

• 선불폰 이용자 수가 절반 수준으로, 통신사업자들은 소비자들을 후불제로 유치하기 위하여 경쟁 중


표 _ 독일 모바일 브로드밴드 가입자 및 보급률

그림 _ 독일 모바일 브로드밴드 가입자 및 보급률 그래프

• 통신사업자들이 음성 서비스보다 모바일 데이터 서비스에 주력하면서 모바일 브로드밴드 시장은

꾸준히 성장 중

• 그러나 통신사업자들 간의 가격 경쟁으로 인하여 총 매출액은 감소

• 2017년 모바일 시장 총 매출액은 전년 대비 1.9% 감소(267억 유로 → 262억 유로)

• 2017년 예상 모바일 브로드밴드 가입자 수 7,870만 명, 보급률은 88.7%


그림 _ 2017년 모바일 통신 사업자, 시장 점유율

• Telekom Deutschland(TD) 31.3%

• Vodafone 34.6%

• O2 34.1%

• 2014년 E-Plus를 O2가 인수하면서 3개의 통신사업자가 비슷한 시장 점유율을 유지하면서 경쟁 중

▶ 5G 서비스는 2020년에 시행 예정



1. 시장 규모

시장 개요

▶ 독일 정보통신협회 BITKOM에 따르면, 2015년 독일 IT 보안시장 매출은 약 37억 유로로 2014년 매출

35억 유로 대비 약 6.5% 증가한 것으로 나타남

• 독일 IT 보안시장 매출 중 78%는 컨설팅, 구현 및 유지 보수 등 서비스 분야의 매출이며, 나머지가

액세스 관리, 종단 보안(Access security), 네트워크 보안 등 특수 애플리케이션 매출임

• 독일의 정보보호 시장은 인터넷 뱅킹, e-Commerce 등의 서비스 이용 증가와 기업의 정보보호 시스템

및 인프라의 수요 증가, 독일 정부의 전자정부정책 등으로 인해 지속적으로 성장하고 있음

• 2013년 BITKOM에 의해 전문가 및 산업계 종사자를 대상으로 한 설문조사에서는 약 33%의 응답자가

IT보안을 중요 테마로 꼽았으나, 2014년에 실시한 조사에서는 대폭 증가한 57%가 중요 테마로 선정

▶ 2014년 이후, 독일 연방정부가 추진 중인 독일 내 IT 인프라 개선 프로젝트와 IT 보안법의 시행 등으로

인해 독일의 IT 보안 분야의 지속적인 성장이 예상

• IT 보안법은 IT 산업뿐만 아니라 전력공급이나 식품산업 등 기본 산업 전반에 걸친 IT 보안 플랫폼의

질적 향상을 목적으로 함

• 독일연방정보통신협회(BITKOM)는 이번 법안으로 주요 시설 운영자들은 각자의 IT 보안 프로그램을

항상 최신 상태(state-of-the-art)로 유지해야 하며 IT 보안법이 적용되는 독일 내 기업은 2,000여 개를

웃돌며, 보안기술에 대한 독일 기업들의 투자규모는 연간 11억 유로에 달할 것으로 관측함

• 이번 IT 보안법에 포함되지 않은 일반기업 중 40% 이상이 향후 7년 안에 자사 내 IT 보안서비스 도입을

희망하거나 긍정적으로 검토하고 있다고 답변해 향후 독일 IT 보안시장 전망을 밝게 함


그림 _ 정보보안 서비스의 자사 도입에 대한 독일 기업 관계자 설문결과

* 응답 기업 수=172개사

[출처] BITKOM, ‘Studie Security as a Service’(2011.10)

▶ 독일의 정보보호 산업은 지난 2011-2015년 연평균 성장률(CAGR) 9.5%로 지속적으로 성장해왔으며,

독일 연방정부는 2015~2020년까지 ‘신 ICT보안 연구개발 프로그램’을 추진하고 있어 정보보호에 관한

기술수준은 더욱 향상될 전망

• 동 프로그램은 독일 연방정부가 최초로 범부처 차원에서 ICT 보안 연구 개발을 한데 묶은 것으로

국민․경제․국가를 위한 안전하고 혁신적인 ICT 솔루션의 개발 촉진을 목적으로 하고 있음

• 독일 ICT 보안 산업은 전체 ICT 부분의 약 10%를 차지하는 중소기업의 주요 사업 분야로서 정부는

2007년부터 ‘중소기업 혁신’(KMU-innovativ)이란 육성 프로그램을 제공하고 있음

▶ 2016년 5월, 독일연방정보통신협회(BITKOM)는 504개의 제조 기업을 조사한 발표에 따르면, 독일기업의

약 절반 정도가 보안을 이유로 외부 IT서비스 제공자와 함께 일하고 있음

• 외부 서비스를 이용하는 기업 중 1/4이 해당 서비스를 기업 전체의 IT 보안을 위해 사용하고 있으며,

56%의 기업은 보안에 대해 IT부서가 자체적으로 관리함

• 외부 파트너와의 협력은 기업 크기와 상관관계가 있지 않은 것으로 나타났으며, 직원 10-99명의

소기업의 46%, 직원 500여명 이상 대기업의 42%가 보안을 위해 IT 서비스 제공자와 함께 일하고

있음


▶ 시장조사기관 MarketLine에 따르면, 독일 보안서비스 시장은 지난 몇 년간 지속적으로 성장해왔으며


이러한 성장은 IT 보안 소비 증가에 기인함

• 독일 보안 서비스는 2015년 243억 6천만 달러에 달했으며 지난 2011-2015 사이 연평균

성장률(CAGR)은 9.5%를 나타냄

• 이와 비교하여 미국과 영국의 연평균 성장률은 9.9%와 3.1%로 2015년 770억 달러와 108억 6천만

달러에 달함

• 독일에서 보안 서비스 산업은 주로 IT 보안 기술에 초점이 맞추어짐

• 독일 보안 경호(Security Guard) 시장의 2011-2015년 연평균 성장률은 0.2% 하락했으며 2015년 경호

시장 종사자 수는 167,300명에 달함

• 산업규모는 2020년 고용 규모가 166,200명으로 다소 감소할 전망으로 2015-2020년 연평균 성장률은

0.1% 줄어들 것으로 예상됨

그림 _ 2011~2015년 독일 보안 서비스 시장 규모 및 성장률 전망

[출처] MarketLine, ‘Security Services in Germany’(2015.11)

▶ 시장조사기관 MarketLine에 따르면, 독일 보안 서비스 시장 규모는 2015년 이후 32.9% 성장하여 2020년

323억 6천만 달러에 달할 전망

• 2015-2020년 정보보호 서비스 시장은 5.8% 성장이 예상됨


그림 _ 2015~2020년 독일 보안 서비스 시장 규모 및 성장률 전망


▶ 온라인 통계업체 Statista의 2016년 자료에 의하면, 2008년에 20억 유로 규모에 그치던 독일 IT

보안시장은 2015년에만 37억 유로 이상을 기록하며 매년 최소 6% 이상씩 성장을 거듭하고 있음

• IT 보안관련 제품 및 서비스 분야가 전체 보안 분야의 78%를 차지하고 있으며, ID 및 액세스 관리는

2015년에 전년대비 약 10% 성장하며 가장 빠른 성장세를 기록 중

• 2015년 TNS의 설문에 따르면, 유럽집행위의 데이터 보호와 관련한 정책에 대해 ‘충분히 신뢰하지

않는다’고 답한 응답자가 전체의 46%나 되는 것으로 나타나 IT 보안에 대한 강한 시장 수요를 엿볼

수 있음

그림 _ 독일 IT 보안 시장 규모

[출처] Statista(2016)


▶ 스위스의 글로벌 금융서비스 기업 UBS에 따르면, 독일 물리보안 시장은 68억 달러 규모로 2017년까지

4% 성장을 기록했으며, 장기적으로는 3~4%의 성장을 보일 전망임

• 물리보안 시장은 대기업 및 중소기업이 혼합되어 분화되어 있는 시장으로 시장의 선두주자는

Securitas, Kotter 및 VSG 등임

• 동 보고서는 2015년 유럽 난민의 영향으로 보안 종사자가 증가한 것으로 보고함

• 물리보안 분야의 수요가 높으며, 보안에 대한 정책적 중요도가 높아지고 있어 지속적 성장 예상

그림 _ 미국 및 유럽 주요국 물리 보안 시장 규모 (2015년 기준)

(단위: 십억 달러)

[출처] UBS, ‘European Security Services’(2016.8.30.)

그림 _ 1995-2015 독일 보안 시장 성장 추이

[출처] UBS, European Security Services(2016.8.30.)


그림 _ 2006-2015 독일 보안 산업 종사자 증감 추이

[출처] UBS, European Security Services(2016.8.30)

▶ 미국 상무부의 글로벌 보안시장 보고서에 따르면, 독일 보안 기술 및 서비스는 2015년 313억 유로

규모로 산정됨

• 분야별로 IT보안이 34%로 106억 유로, 도난방지 30%로 95억 2천만 유로 규모로 가장 큰 시장을

형성하고 있으며 여타 신원확인, 민간보안장비, 포렌식 등은 10% 미만의 시장이 형성되어 있음

• 미국 상무부는 2011년 독일 보안시장이 110억 4천만 유로 규모, 분야별로는 보안/방어 서비스 48억

6천만 유로, 기계장비 20억 8천만 유로, 전자장비 35억 유로, 여타 보안장비 6억 유로로 조사

그림 _ 2015년 독일 정보보호 시장 분야별 규모

(단위: 백만 유로)

[출처] US DoC, ‘Global Safety and Security Resource Guide’(2013-14 edition)(2013.2)


▶ 2015년, 위험물 탐지서비스 시장은 12억 유로 규모임

• 분야별로 사람/수하물 검사서비스가 6억 9천만 유로 규모로 1위를 차지

그림 _ 2007-2015 ‘위험물 탐지’ 분야 시장 규모



▶ 2015년 ‘신원 확인 및 인증’분야는 17억 2천만 유로 규모임

• 분야별로 위조 탐지/감시 시스템이 10억 6천만 유로 규모로 1위 차지

그림 _ 2007-2015 ‘신원 확인 및 인증’ 분야 시장 규모




▶ 2015년 ‘IT보안’분야는 106억 4천만 유로 규모임

• 분야별로 기술이 51억 6천만 유로, 서비스가 54억 8천으로 규모에서 우위

그림 _ 2007-2015 ‘IT 보안’ 분야 시장 규모



▶ 2015년 ‘화재/가스/연기’분야는 18억 5천 유로 규모임

• 분야별로 설치 및 이동형 화재 제어 시스템이 83억 유로로 1위 차지

그림 _ 2007-2015 ‘화재/가스/연기’ 분야 시장 규모




▶ 2015년 ‘도난/강도/절도’분야는 18억 7천만 유로 규모임

• 분야별로 경보시스템이 8억 1천만 유로, 전자적 도난방지가 6억 5천만 유로로 2위

그림 _ 2007-2015 ‘도난/강도/절도’ 분야 시장 규모



▶ 2015년 ‘정보 및 통신’분야는 10억 2천만 유로 규모임

• 분야별로 상호통신시스템이 5억 5천만 유로로 1위

그림 _ 2007-2015 ‘정보 및 통신’ 분야 시장 규모




▶ 2015년 ‘시민 안전 장비’분야는 28억 6천만 유로 규모임

• 분야별로 안전복이 15억 6천만 유로로 1위

그림 _ 2007-2015 ‘시민 안전 장비’ 분야 시장 규모



▶ 2015년 ‘민간 조사 및 포렌식’분야는 9억 2천만 유로 규모임

• 분야별로 포렌식 종합조사 서비스가 7억 7천만 유로로 1위

그림 _ 2007-2015 ‘민간 조사 및 포렌식’ 분야 시장 규모




2. 분야별 현황


▶ 독일 물리보안 시장은 기업이 크게 분화되어 있고 경쟁적이지만 이러한 상황이 더 악화될 것으로

보이지는 않으며 일정 부분 개선되는 부분도 있음

• 상위기업 905개가 시장의 80%를 장악하고 있으며 3천여 개의 중소업체가 난립한 상황임

• 스위스 글로벌 금융기업 UBS에 따르면, 독일의 2000~2014년 물리보안시장은 연평균 성장률 4%를

기록했으며 장기적으로 이 수준을 유지할 전망임

• 독일 무역협회 자료에 따르면, 독일 민간보안 분야는 2015년 60억 유로 규모로 민간 보안 분야는

무역규제 조항 Art.34a 아래에서 매우 낮은 수준의 규제를 준수하면 되었음

• 고용주는 보안 경호 자격증을 80시간 교육 이수로 취득하고 피고용인은 40시간 교육으로 보안 분야

근무 가능

• 이러한 규제는 시장이 심하게 분열되는 상황을 야기함

▶ Securitas는 14% 시장점유율로 1위 사업자 자리에 올라 있으며, 2위인 Kotter에 비해 2배 이상의 시장을

차지하고 있음

• 현재 3천개 이상의 기업이 난립하고 있음에도 불구하고 물리보안 서비스 기업은 지속적으로 증가해

왔으며 최근에 와서 다소 안정화되고 있음

그림 _ 1996-2014 독일 물리 보안서비스 기업 현황



▶ 리서치기관 MarketLine 보고서에 따르면, 독일의 2015년 민간 경비 산업 규모는 45억 7,000만 달러

규모로 추산됨

▶ 시장조사기관 IHS Markit에 따르면, 2016년 80만개의 새로운 CCTV가 독일에서 설치되어 2016년 말까지

공공 및 민간에서 전체적으로 520만대에 달할 전망임

• 시민의 프라이버시에 관한 독일의 공공 및 정부에 대한 높은 관심은 독일에 설치된 카메라가 영국,

미국, 중국 및 여타 국가에 비해 뒤처지게 되는 원인이 됨

• 하지만, 최근 이러한 카메라 설치에 대해 공공의 공감대가 변화하고 있는데 이러한 배경에는

쾰른기차역 공격 및 뮌헨 몰 총기 사고 등은 더 많은 카메라의 필요에 대한 논쟁을 증가시킴

▶ 2016년 8월, 독일의 새로운 시민방어계획 발표 전, 독일 내부 장관은 모든 기차역과 공항에 얼굴 인식

기술을 도입하고 구축된 데이터베이스를 통해 용의자를 구별하는 시스템 도입을 고려 중

• 얼굴 인식 기술은 이미 뮌헨 공항 및 다른 시설에 도입되었으며, 보다 큰 규모의 집중화된 시스템이

독일 보안 감시 기술에서의 획기적인 전환점을 마련하는 기술이 될 전망임

• 전통적인 비디오 감시 시스템의 변화에 덧붙여 독일에서는 바디캠에 대한 요구가 증가하고 있으며

지금까지 2016년에 시험도입이 연방 및 주 경찰국을 위해 발표됨

• 수송 네트워크를 위한 다른 보안계층으로 Deutsche Bahn 철도기업은 보안 요원에 바디캠 도입을

할 것으로 발표함

• 몇몇 상용비디오 감시 운영자들은 보완된 독일의 연방 데이터 보호 법안을 고려하여 직장에서

피고용인의 프라이버시를 보호하는 방안을 고려하고 있음

▶ 2017년 독일 CCTV 시장에서 네트워크 타입이 아날로그 타입을 넘어설 것으로 예상

• 2015년 독일에는 여전히 네트워크 카메라보다는 상당한 숫자의 아날로그 카메라가 있으나 2017년에

네트워크 카메라는 처음으로 아날로그 카메라를 넘어설 전망임

• 그러나 카메라는 비디오 보안시스템의 하나로 이를 실현하기 위해서는 백엔드 시스템 및 관계

당국과의 연동 등에 많은 투자가 필요함

• 만일 독일 내부 장관의 제안 실현된다면 독일의 바이오 감시시스템에 폭넓은 변화가 필요할 것임

▶ 독일 보안제품 생산업체의 디지털 도어록 시장은 독일의 현관문 구조 특성상 아직 B2C보다는 B2B에서의

수요가 많은 상황

• 독일에서 디지털 도어록 가격은 평균 300~500 유로로서 보통 월세에 거주하는 독일인들이 디지털

도어록을 추가로 설치하기에는 상당히 비싼 수준

• 높은 보안과 안전을 중요하게 생각하는 기업 및 은행과 기타 공장에서 제한적으로 수요가 발생하므로


B2C가 아닌 B2B 진입이 효과적

• 그 외 열쇠를 주로 사용하는 독일 특성상 열쇠고리 및 액세서리에 대한 꾸준한 수요가 발생하고

있으며, 가격과 디자인으로 차별성을 둔 제품 개발이 필요함

• 한국의 아파트와 주택에서 많이 사용하는 디지털 도어록은 독일의 일반 공공기관 및 철저한

보안유지가 필요한 은행 또는 사무실을 제외하고는 찾아보기 어려움

• 시장조사기관 IFD에서 2012년 일반인을 대상으로 실시한 설문조사에 따르면, 디지털 도어록에 관심이

있는 소비자의 수가 2009년 2,228만 명으로 최고점을 기록한 이후 꾸준히 감소하면서 2012년에는

약 1,988만 명이 디지털 도어록에 관심이 있는 상황


▶ 모바일, 인터넷, 전자상거래 등 온라인 분야와 민간기업, 공공기관 등 IT산업 전 분야에서 높은 수요

존재

▶ 시장조사기관 MarketLine에 따르면, 2015년 독일 정보보호 시장 규모는 244억 달러에 달함

• IT보안은 전체 독일 보안시장의 141억 달러로 57.8%를 차지하며 보안 경비서비스는 103억 달러로

42.2%에 달함

그림 _ 2015년 보안 시장 품목 분류에 따른 시장점유율



그림 _ 2015~2016 독일 보안 시장의 매출 성장률





▶ TeleTrust는 독일 IT보안기업의 네트워크로 산업, 정부, 컨설팅 및 리서치 기관의 모든 산업 멤버를

포함한 기관임

• TeleTrust는 IT보안 관련 기술, 정치, 법적 이슈에 대해 의견을 개진하고 보안 이벤트 및 컨퍼런스

등을 조직함

• TeleTrust는 유럽통신표준화 단체인 European Telecommunications Standards Institute (ETSI)의

멤버임

▶ 독일은 세계적인 보안랩 시험기관인 AV-TEST와 안티바이러스 제품을 공급하는 Avira, 세계적인

스마트카드 기업인 Giesecke & Devrient 등 기술력이 강한 기업을 다수 보유하고 있음

• 이러한 이유로 독일의 보안시스템 통합서비스 기업 및 설치 기업은 무명의 제품보다는 독일

브랜드사의 OEM 제품을 선호하는 편이며 최종 소비자도 독일 브랜드 제품을 선호하기 때문에 독일

시장 진출에는 많은 시간이 소요


▶ 독일 정보보안 분야는 미국, 일본, 이스라엘 업체들이 시장을 장악하고 있음

• 주요기업으로는 Cisco Systems, IBM, Northrop Grumman, CSC, Symantec 등의 글로벌 보안 기업이

활약 중임

• 저가 보안기기 시장은 중국업체들이 강세를 보임

▶ 독일 정보보안 유통 시장은 보안제품 전문벤더, 전문 유통업체와 리셀러(Reseller)로 큰 흐름이 전개됨

• 전문 유통업체는 독일 기반의 유통 기업과 영국 등 유럽에 기반을 둔 전문 유통 기업이 중심이 되어

시장을 좌우

• 보안전문 벤더는 전문 유통업체를 통한 공급 외에도 공급채널 다원화 차원에서 직접적으로 파트너

기업을 선정해 최종 이용자에게 제품을 판매하는 공급 루트를 구성하기도 함

• 파트너와 리셀러의 구별이 모호한 측면이 있으나 파트너의 경우 시스템 공급/제공 상의 기술력을

갖춘 경우가 많으며, 리셀러는 지역 기반의 유통 채널을 보유하고 있는 경우가 많음

그림 _ 독일 정보보안 시장 유통 구조

[출처] KISA, ‘2013 글로벌 정보보호산업 동향조사 보고서’(2013.12)


▶ 독일시장은 Bosch, MOBOTIX, Honeywell 등 글로벌 기업의 제품과 Sanyo 및 Panasonic 등의 일본

기업도 시장에서 인기가 높음

• 또한, 독일기업은 유럽으로 수출이 많으며 특히 오스트리아 보안장비 시장에서의 점유율은 45.3%에

이름


▶ 독일 소비자는 고품질의 내구성 있는 제품뿐만 아니라 고객의 요구사항에 적극적으로 응할 수 있는

A/S를 선호하므로 해외 법인 진출 시 일정 기간 OEM 제품 납품 경력이 있는 기업과의 협업을 고려해야

함

• 현지 진출을 하지 않는 경우 물류기지 및 A/S를 제공할 수 있는 지사가 없고 인지도가 낮은 제품을

직접 판매하기는 쉽지 않으나, 독일 내에서도 지역 서비스 망을 갖추고 있는 제조업체를 경유하는

OEM이 우선적으로 가장 바람직한 수출 경로임

▶ 독일 CCTV 유통 채널은 47% 정도가 직접 판매이며, 나머지 53% 중 35%가 파트너 또는 협력업체를

통한 공급, 24%가 도매상에 판매됨

▶ 제조업체들은 대체로 간접적으로 공급 채널을 이용하여 시스템과 제품을 판매

• 독일 자산 보호 및 등록 계약자 협회(VdS)는 필요 설비를 직접 생산자로부터 구매하거나 도매상을

통해 구입하고, 설치의 대부분은 직접 실행한다. 이런 간접 배급은 CCTV 시장에서 많이 사용되는

방식임

▶ 고품질의 CCTV는 철저한 계획, 디자인, 설치 서비스를 요구하기 때문에, 공급 채널의 숫자는 한정되어

있음

• 지역 서비스 망을 갖추고 있는 극소수의 제조업체만이 최종 소비자에게 직접 판매를 하며 대규모

프로젝트의 경우 제조업체는 자회사 또는 독립적인 시스템 엔지니어링 업체를 참여시키는 등 좋은

협력관계를 유지하고 있음

▶ 물류 기지 및 A/S를 제공할 수 있는 지사가 독일에 설립되어 있지 않을 경우에는 인지도가 낮은 제품의

직접 판매가 쉽지 않음

• 독일 대표 CCTV 제조업체에 의뢰해서 OEM 납품을 시도하는 것은 좋은 시장 진출 기회가 될 수 있음

▶ 2015년 북미 및 서유럽은 바디캠 시장에서 글로벌 선적물량 135,000대의 79%를 차지

• 독일은 미국, 베네룩스, 프랑스 등과 함께 바디캠 시장이 비중이 증가될 시장으로 기대되고 있음

주요 사업자


▶ Avira

• Avira는 1986년 독일 남부 테트낭(Tettnang)에서 창립된 보안 전문 기업으로서 Avira는 특히 유럽에서


사용자들의 절대적인 지지를 얻으면서 높은 성장세를 구가 중으로 2010년 한국 시장에도 진출한 바

있음

• 현재 전 세계 1억 명 이상의 고객을 확보하고 있으며, 가정용 및 비즈니스용 최첨단 악성 코드 보호

기능을 제공

• 미국의 보안 툴 업체 OPSWAT가 2013년 10월 발행한 보고서에 따르면, Avira는 전 세계 보안시장

점유율 6.8%를 기록해 전 세계 6위 벤더 자리를 차지하고 있음

• Avira는 독일, 영국, 프랑스 등 유럽지역에서 20년 동안 활동해 왔으며 2009년부터는 중국, 일본,

싱가포르 등 아태지역에 지사를 설립하고 한국에 7번째 지사를 세움

• ABI 선정 제품 중 하나인 'Avira Antivirus Engine'은 매주 25,000개 샘플 업데이트와 3,500~7,000개에

달하는 악성 웹사이트 차단 DB를 보유하고 있음

• Avira는 안티피싱과 개인정보 보호기능을 채용한 iOS용 Avira Mobile Security 2016년 버전을 발표

▶ Ashampoo GmbH & Co. KG

• 한국의 이스트소프트와 유사한 업체로 백신 프로그램을 비롯한 다양한 유틸리티 도구를 제공

• 보안 분야에서는 방화벽(Firewall)과 안티바이러스 프로그램을 제공하고 있음

• Ashampoo Anti-Virus 제품은 1년 기준 $39.99의 유료 패키지로 판매되며, 기존에는 한글을 지원하지

않았으나 최신 버전에서 한글을 지원하기 시작

• Anti-Virus 제품은 한국 안랩의 V3백신과 유사한 성능을 보임

▶ AV-TEST

• 독일 전문 보안연구 단체이자 안티바이러스 솔루션 성능 테스트기관으로 글로벌 보안 백신 및 솔루션

기업 대부분이 AV-TEST에서 제품 인증을 취득하고 있어 해당 인증은 곧 제품의 품질 인증으로 통함

• AV-TEST는 독일 시장에서 이용할 수 있는 인터넷 보안 제품을 단기는 물론 장기간에 걸쳐(22개월

테스트 진행) 3가지 항목에 걸쳐 시험하여 결과를 발표하는 등 엄격한 시험을 거치므로 시험결과의

신뢰도가 매우 높음

• AV-TEST의 인증을 취득한 업체에는 AV-TEST 인증 마크가 수여됨

• 안랩 등 국내 다수의 보안 기업이 AV-TEST를 거의 필수로 취득하고 있음


그림 _ AV-TEST 인증 마크

[출처] www.av-test.org/en

▶ Giesecke & Devrient

• 다국적 테크놀로지 기업으로 약 1만 명의 직원을 고용하고 있으며 2008 회계 연도에 17억 유로의

매출을 달성

• 1852년에 설립된 G&D는 지폐 및 지폐 용지 생산 및 가공, 통신 및 전자 지불을 위한 스마트카드

솔루션, 보안 문서 및 신원확인 시스템에 있어서 선도적인 위치에 있음

• 전 세계 스마트카드 시장의 약 80% 이상을 차지하고 있는 것으로 추정되는 유럽계 메이저 4개

업체(Gemalto, G&D, Oberthur, Morpho) 중 하나

• 30개 이상의 나라에 49개 자회사 및 합작회사를 통해서 전 세계에서 사업을 전개 중(www.gi-de.com)

• 현재는 데이터 보안(스마트카드 도용 및 오용 방지)을 강화하기 위해 스마트카드 내장정보의 정확성과

안전성을 테스트할 수 있는 프로그램을 개발 중

• KT와 2008년 와이브로 사업에서 협력했으며, KT와 첨단 부가가능을 가진 범용 가입자 식별카드(UICC,

Universal Integrated Circuit Card) 공동개발 협약을 체결한 바 있음

• G&D의 자회사인 G+D Mobile Security는 은행, 모바일네트워크, 자동차 및 모바일장치제조사, 기업,

운송당국, 건강보험네트워크에서 일상적으로 이용되는 디지털 ID를 관리하고 보호할 수 있는 보안

솔루션을 제공

▶ G Data Software AG

• 개인용 보안 제품‘G Data AntiVirus'를 비롯해 매년 상반기 무렵에 차후 연도의 버전을 가장 빠르게

출시하는 업체로 알려짐

• 국내 사용자가 많지는 않지만 다중 엔진을 사용한 바이러스 탐지 성능이 높아 인지도는 높은 편

• 전 세계 약 50개 국가에 제품을 공급하는 글로벌 보안 선도기업 중 하나로 Android 백신 등 모바일

보안 제품도 보유


▶ Gate Protect

• 네트워크 보안 전문 기업으로 국내 네트워크 보안 솔루션 공급업체 테크타이탄 코리아를 통해 차세대

방화벽 어플라이언스 제품을 2012년 8월 국내에 출시했으며 VPN 등 다른 IT 솔루션도 공급 중

• Gate Protect의 차세대 방화벽은 전 세계에서 유일하게 ISO-9241 표준을 준수한 인간 공학적 관리

기술 eGUI를 적용함으로써 시스템 운영의 효율성과 보안성을 향상시킨 것이 특징

• 테크타이탄코리아 외에 한국데이터네트웍스 등을 국내 파트너로 보유 중


▶ Bosch Sicherheitssysteme

• 세계 45개에 진출해 있는 독일의 대표적인 보안기업으로 특히 중국 12개 도시에 진출해

전자보안장비를 생산·제공하는 등 아시아 시장에서 영향력을 확대 중

• 주요 취급 품목은 CCTV를 비롯한 전자보안장비 및 시스템임

• 한국에서는 지사를 운영한지 10년이 지났으며 2016년 보쉬코리아는 코오롱그룹의 IT서비스

전문기업인 코오롱베니트가 비디오 시큐리티 사업 총판 파트너십을 체결함

• Bosch는 시장 다각화를 위한 다른 방법으로 그동안 펴왔던 풀 클로즈드(Full Closed) 정책에서 벗어나

솔루션 제공업체와 동반 성장의 길을 모색하는 오픈 정책을 도입함

• Bosch는 제품 다양화 측면에서도 하이엔드에서 저가 시장으로 확대하는 정책을, 마케팅 대상도

공공에서 민간 소비자 대상으로 확대하면서 전반적 시장 마케팅 전략을 변경하고 있음

• IFA2017에서 Bosch는 아마존 Alexa와 호환가능한 실내외용 360도 회전카메라를 발표

▶ Siemens Building Technologies & Co. oHG

• 글로벌 보안기업으로 매출의 36%를 미국에서, 유럽 및 중권에서 58%, 그 외 아시아/호주에서 매출의

6%를 창출하고 있음

• 전자보안장비 및 시스템, 대형건물 자동화 제어시스템, 냉난방 설치 및 관리 등 종합 보안 기업

• 특히 빌딩 내 화재부터 보안까지 모든 통합 솔루션 시스템을 제공하고 있는 Siemens는

IBS((Intelligence Building System)와 관련해 다양한 레퍼런스와 기술력을 보유하고 있음

• Siemens의 TBS에 포함되는 솔루션 영역은 설비자동제어, 전력, 조명, 객실제어, 화재 탐지와 화재

예방, 보안 솔루션(Access Control, CCTV), 에너지 관리임

• 주요 실적은 시카고의 오하라 국제공항, 타이베이 101빌딩 등이 있으며 대부분 대규모의 인프라 시설

및 초고층 빌딩에 적용됨

• 2017년 9월 Siemens는 그리스 내에 소재한 Fraport Group이 운영하고 있는 14개 지역공항 중 13개

공항의 수하물취급의 신뢰성과 보안성을 향상하기 위한 수하물처리 시스템 업그레이드계약을 체결


▶ Securiton

• 스위스 Securitas 그룹의 전자보안장비분야 계열사인 Securiton AG의 독일법인

• 출입관리 시스템, 3D 비디오 트랙킹 센서, 아날로그 및 디지털 하이브리드 영상기술 등 제공

그림 _ Securiton의 보안 제품 및 서비스

[출처] www.securiton.de

▶ Dallmeier electronic & Co. KG

• 프랑스, 스페인, 스위스, 미국, 중국 등 총 10개국에 진출하여 30개국에 영업 파트너를 보유

• 전자보안장비 분야 전반, 카메라, 레코더, 센서, 스토리지 등 특히 CCTV/IP 솔루션에 특화

그림 _ Dallmeier의 보안 제품 및 서비스

[출처] www.dallmeier-electronic.com

▶ Honeywell Security Deutschland GmbH

• 미국의 Honeywell 그룹은 2005년 독일 Novar GmbH를 인수합병하면서 Esser 브랜드를 내세워

화재경보기 등 물리 보안 시장에서 본격적으로 인지도를 확보

• Honeywell은 세계 100여 개국에 진출해 있고 한국에서도 CCTV, DVR 제품에서 강세를 보이며 일본

시장 진출의 교두보 역할을 하고 있음


그림 _ Honeywell Security Deutschland GmbH의 보안 제품 및 서비스

[출처] https://www.security.honeywell.de/

▶ MOBOTIX AG

• MOBOTIX는 보안용 CCTV를 전문으로 생산하며 OEM 또는 독일생산 비중이 높으며 미국과 스위스에

판매지점이 있음

• Mobotix는 디지털 센서를 탑재해 제품크기를 대폭 축소하고, 편리한 기능과 비용절감으로 CCTV

시장에 일대 혁신을 일으킴

• 전략적으로 CCTV 부분에 역량을 집중, 차별화된 기술력으로 2010년 기준 유럽 2위, 세계 4위 기업으로

부상함

그림 _ MOBOTIX의 제품 현황: H.264 ONVIF G series

[출처] https://www.mobotix.com/



▶ 사이버 공격으로 500억 달러 상당의 피해를 입은 독일 제조업 2018.982

• 세계 최고의 수출 국가 중 하나이자 제조업이 발달한 독일은 해커들로부터 사이버 공격에 시달려왔음

• Bitkom의 조사에 따르면 독일 제조업계 중 3분의 2는 사이버 공격을 겪은 적이 있고, 19%는 IT 및

생산 시스템이 손상당한 적이 있으며, 11%는 통신 시스템이 도청되었음

• 제조업계의 3분의 1은 모바일 데이터가 도난당했으며, 이중 4분의 1의 기업들은 민감한 데이터를

도난 당했다고 인정함

• 사이버 공격으로 인하여 독일 제조업이 받은 누적 피해액은 500억 달러에 이를 것으로 추산됨

▶ 해킹당한 독일 행정부 인터넷 2018.383

• 2017년 12월, 독일 정부는 정부 전자 시스템에 멀웨어를 발견, 해킹 사실을 인지함

• 이 사이버 공격은 1년 넘게 이어졌을 가능성이 있으며, 독일 보안 당국과 정보기관들은 사태를 분석

중

• 범인은 러시아 해킹그룹 APT28로 의심되며, 외교부와 국방부 서버에 멀웨어를 설치하여 정보를 빼낸

것으로 추정됨

• APT28은 Fancy Bear로도 알려져 있고, 러시아 첩보기관 GRU의 지원을 받는 그룹으로 추정되며,

2015년 독일 의회 해킹사건의 범인으로도 의심 받은바 있음

▶ 사이버 보안 협력을 하는 이스라엘, 독일 기업 2017.484

• 2017년 4월, 독일 사이버보안위원회는 이스라엘에 첫 국제 지부를 사이버 보안 기업 Checkmarx와

함께 설립

• Checkmarx는 SAP와 Samsung 같은 기업들의 애플리케이션 보안 검사를 제공하는 기업

• 독일, 이스라엘 사이버보안 기업들의 교류가 확대될 전망

82 TechRepubilc, “German manufacturers lose $50B to cyber attacks, SMBs at greatest risk”, 2018.9.14.

83 BBC news, “Cyber-attack on German government IT network ‘ongoing’”, 2018.3.1.Bloomberg, “Germany Scrambles to Contain Cyber Attack on Government Systems”, 2018.3.1.

84 CISO Economic Times, “German and Israeli companies to collaborate on cybersecurity”, 2017.4.12.





▶ 2015년 6월과 7월에, 독일 연방의회와 연방참의원을 통과한 ‘IT 보안법’이 2016년 5월에 발효됨에 따라,

일정 규모 이상의 주요 인프라 운영자는 최대 2년 이내에 동 법안이 요구하는 사항을 의무적으로

준수하도록 명문화함

• IT보안법은 날로 증가하는 사이버 공격 위협에 대한 강력한 방어 조치로, 사회 주요 기반시설의 경영자,

주주, 실무진, 고객 등의 전방위적인 노력을 요구함

• IT보안법의 발효에 따라, 독일의 주요 기반시설(Critical Infrastructure) 운영자에 2년 안에 1) 시스템

효용성, 비밀보장성, 보전성과 관련한 독일연방정보보안청(BSI)이 요구하는 기준을 충족해야 하며, 2)

보안관련 이슈가 발생했을 때에는 즉각 보고하고 3) 매 2년 마다 규정의 준수여부를 BSI에 입증하는

의무를 부담하는 것과 위반시 최대 10만 유로의 범칙금을 부과하는 것을 주요내용으로 하고 있음

• IT 보안법은 인프라 운영자의 구성, 형태, 국적에 관계없이 독일 내에 설립된 외국 기업도 포함됨은

물론, 독일 외부에서 운영되는 기업이라도 독일을 상대로 위와 같은 필수적인 서비스를 제공하는

기업도 포함하고. 동 법의 적용을 받는 주요 인프라운영자는 다음과 같이 규정하고 있음

[에너지 분야] 1) 연간 3,700 Gwh 이상의 전력 또는 2) 연간 25만 가구 이상에 난방용 에너지를

공급하고 있는 에너지 관련 시설의 운영자

[상하수도 분야] 1) 처리용량이 인구 50만명 이상인 하수도설비 2) 연간 처리량이 22백만 m3

이상인 수처리설비, 3) 공급용량이 연간 22백만 m3 이상인 상수도설비를 운영하는 상하수도 관련

시설의 운영자

[식량 분야] 1) 연간 434,500 톤의 식량 또는 2) 연간 3억 5천만 리터 이상의 식음료를 취급하는

시설의 운영자

[정보통신 분야 ] 1) 10만명 이상에게 서비스되는 통신망 2) 연간 5Mw상의 출력을 제공하는

데이터센터, 3) 연평균 실행인스턴스가 25,000회 이상인 서버(호스팅), 4) 연간 75,000 테라바이트

이상의 컨텐츠를 제공하는 네트워크설비의 운영자(호스팅)

▶ 데이터 보존법안(Data Retention Act) 시행 잠정보류

• 2015년 독일 연방정부가 개인 통신 데이터를 활용한 테러리즘 및 강력범죄를 예방하기 위해 도입되어

2017년 7월 1일부터 발효될 예정이었던 새로운 데이터 보존법안(Data Retention Act)의 시행이


유예됨

• 새로운 데이터 보존 법안은 사용자의 ‘메타데이터’, 즉 사용자의 전화번호, 통화기록이나 통화시간,

IP 주소 등을 장기간 보관해 사법당국이 테러방지 목적으로 해당 정보의 사용을 원할 경우 법원의

승인아래 사용가능하도록 하는 것을 주요 내용으로 하고 있음

• 그러나 2017년 6월 22일 임시법원이 새로운 데이터 보존법안이 유럽연합법을 위반하였는지 여부에

대한 North Rhine-Westphalia 고등행정법원의 최종판결 전까지 동 법안의 시행을 전면 보류하도록

명령함에 따라 독일전기통신규제당국 (Bundesnetzagentur, BNetzA)은 모든 통신서비스 공급자에

대해서 해당 법안의 시행에 따른 의무를 부과하지 않는다고 공식 확인함85

▶ 2018년 5월 25일 독일 연방 데이터 보호법(German Federal Data Protection Act) 발효

• 2016년 9월에 법안의 1차안, EU의 개인정보보호 규정(GDPR)과 합치하지 않는다는 지적에 따른

2016년 11월 22일 법안의 2차안 발표

• 2018년 5월 25일 EU의 개인정보보호 규정(GDPR)과 동시에 발효됨

• 독일 연방 데이터 보호법은 GDPR의 이행과 관련된 내용을 주로 담고 있음

• GDPR 37조 4항에 명시된 ‘데이터 보호 관리자(DPO; Data Protection Officer)’에 관한 내용보다 더

까다로운 조항이 있음(개인정보를 처리하는 기업이 10명 이상의 직원을 정규 고용할 경우 데이터

보호 관리자를 의무적으로 배치할 것)86

• GDPR에 적용되지 않는 특수한 조건(소비자 대출 관련 정보 업무)의 벌금 부과, 최대 5만 유로

• 비금전적인 손해(정신적 고통)도 명시하여 데이터 사고로 인한 피해자가 손해 배상 청구를 할 수 있게

됨

▶ 독일 정부의 카메라 설치 법안

• 독일 정부는 CCTV 카메라와 출입통제시스템 설치를 법으로 규제하고 있어 보안장비를 전문적으로

판매, 설치를 담당하는 유통업체를 통하여 시장에 진입하는 것이 바람직

· Art. 2 Abs. 1 (개인정보보호)과 Art.14 GG(사유재산보호)

· §22, §23 KunstUrhG (지적재산권)

· BDSG (연방정보보호법)

· BetrVG(경영체규칙법) PersVG(직원대표법)


85 Library of Congress, “Online Privacy Law: Germany”(2017)

86 EU GDPR Academy, “EU GDPR vs. German Bundesdatenschutzgesetz – Similarities and Differences”


▶ 독일 정부는 연방 16개주 특성에 맞는 클러스터 중점 지원

• EU에서 가장 큰 보안시장을 형성한 독일은 연방정부의 첨단기술전략(Hightech Strategy), e정부 2.0

사업 등을 추진하며 프라운호퍼, 막스플랑크, 라이프니치, 헬름홀츠 등 대표적 연구소와 기업들의

연구개발 지원을 위해 2009년에만 40억 유로를 투입

• 독일 연방정부는 특히 보안 분야 육성을 위해 연방 16개주의 특성에 맞는 클러스터를 중점 지원하고

있음

• 보안기술 분야는 베를린 주와 브란덴부르크 주를 중심으로, IT보안 분야는 뒤셀도르프를 둘러싼

노르트라인 베스트팔렌 주를 중심으로 집중 연구·개발 중

• 독일 연방정부와 보안업계는 보안기술 시장이 향후 100억 유로 시장으로 성장할 것으로 전망

• 보안관련 장비, 시스템, 서비스 시장에 대한 연구개발 진흥을 위해 독일 연방 교육연구부가 5년간

1억 유로, EU가 7년간 14억 유로를 지난 2007년부터 지원하고 있음

▶ 독일 연방정부는 ‘Homeland Security’ 프로젝트를 추진하고 있음

• 독일 연방정부는 각종 테러위험과 지구온난화로 인해 발생할 수 있는 재난방지 등을 위해

독일전기전자산업협회(ZVEI, Zentralverband Elektrotechnik und Elektronikindustrie)의 지원을 받아

‘Homeland Security’ 프로젝트를 추진하고 있음

• ‘Homeland Security’ 프로젝트는 민간 보안산업 분야가 80%, 국방 보안산업 분야가 20%를 차지하고

있어 전체 전자보안장비의 개발과 수요가 지속적으로 증가할 전망

• ‘Homeland Security’ 프로젝트의 주요 보안장비개발 분야는 ▲폭발물 및 독가스 탐지기 ▲비디오감시

네트워크 시스템(CCTV, DVR) ▲비디오영상 자동 범죄자분석 시스템 ▲바이오인식인증시스템

▲RFID 스마트카드 유무선 시스템 ▲물류이동 인식감지 센서 시스템

▶ 독일연방정보보안청(BSI)은 2011년부터 클라우드 컴퓨팅과 스마트그리드/스마트미터 (Smart

Grid/Meter)를 정보보안에 주의해야 할 신규 기술로 선정해 투자를 강화하고 있음

• 최근 BSI는 휴대전화, 스마트폰, 태블릿 PC가 사이버범죄의 주요 타깃으로 부상하면서 관련 모바일

보안에 초점을 두고 있음

▶ 독일 연방정부는 CCTV 설치에 대해 장소에 따라 허용함

• 1983년 제정된 독일 헌법에 따르면 ‘국민은 개인 정보의 유출 여부를 스스로 결정할 수 있다’고

규정되어 있으나 일반적으로 범죄의 위험이 노출된 지하 주차장이나 슈퍼마켓 계산대에서는 CCTV

설치가 허용됨

• CCTV를 통해 저장된 개인정보는 꼭 필요한 경우에만 사용이 가능하며 정보의 저장은 일반적으로

며칠 또는 최대 4주까지 허용됨


• CCTV에 수집된 정보는 반드시 적합한 사용 목적에만 사용돼야 하며 정확한 법적 사용 기한은 없음

▶ 독일 연방정부는 중고 전자제품 폐기법으로 환경 규제

• EU의 전자 및 전기제품 폐기법 지침과 전기·전기제품에 포함되어 있는 위험물질 사용 제한 지침이

2003년 2월 발효

• 전기·전가제품의 판매, 수거, 환경 친화적인 폐기에 대한 법은 2005년 3월 23일 연방관보에

발표되었고, 3월 24일 발효

• 생산자는 생산한 제품에 대한 책임을 부과하기 위한 해당 법은 전기·전자제품 폐기물을 줄이고, 재생과

수집, 처리, 리사이클링 관련 수치를 규정함으로써 폐품의 양을 줄이는 것이 목적

• 2005년 11월 24일부터 독일에서 전기, 전자제품을 판매하는 모든 생산자는 담당관청인 전기 중고제품

등록 기구에 등록되어 있어야 함

• 가정용으로 생산된 제품의 경우 생산자는 추가로 지불 불능 상태로부터 안전한 보증서를 제출해야

하는데, 여기에는 자회사 제품의 반환 및 폐기처분 시 생겨나는 재정적 부담을 책임진다는 내용이

포함

• 독일 도매상 연합에 따르면 중고 전자제품 폐기법은 어떠한 예외도 허용하지 않으며, 등록의무를

이행하지 않은 업체의 경우 5만 유로까지의 벌금이 부과됨

▶ 독일의 사이버보안 전략 2016

• 2016년 11월 9일 연방 내무장관은 기존 ‘사이버보안 전략’(Cyber-Sicherheitsstr

ategie)의 개선안인 ‘독일 2016 사이버보안 전략’(Cyber-Sicherheitsstrategie für Deutschland

2016)을 채택하여 추진중

• 개선안에는 사이버보안을 위한 IT 보안 등급공표(Sicherheitsgütesiegels)의 도입, 국가와 사업 간의

협력의 확대, 현장 지원을 위한 "모바일 태스크 포스"의 창설을 포함한 30 가지 이상의 전략적 목표와

수단이 포함되어 있음


표 _ 독일의 사이버보안 전략

[출처] Federal Ministry of the Interior, Building and Community, “Cyber-Sicherheitsstrategie fur Deutschland 2016”

2. 담당기관

▶ 정보보호 관련 규제 및 지원은 연방 내무부(BMI)와 연방 정보보안청(BSI)이 담당

• 독일 내무부(BMI, Bundesministerium des Innern)는 전자정부 정책을 포함해 국가의 전반적인

정보화를 담당하며 정보관리 책임자인 CIO(Chief Information Officer)가 IT 관련 정책 및 정보보호를

관할

• 독일연방 정보보안청(BSI, Federal Office for Information Security)은 인터넷상의 잠재적인

위험으로부터 컴퓨터 보안을 지키기 위해 설립된 기관으로서 총 5개의 부서로 구성되어 있으며, 부서

내에 관리부를 제외하고 각각 2개의 팀으로 나뉨

행동영역 방법

<제 1 분야>

디지털 환경에서

안전하고 독립적인

행동 보장

모든 이용자들의 디지털 능력 향상

디지털 부주의에 대응

안전한 전자 통신 및 보안 웹 사이트를 위한 조건 생성

안전한 전자 신원

인증 및 승인 강화 - IT 보안을 위한 품질 보증 등급 공표

디지털화 보안

IT 보안 연구 추진

<제 2 분야>

국가와 기업의 공동

사명

주요 기반시설 보안 확보

독일의 기업 보호

독일 IT 경제 강화

공급자와 공동 작업

IT 보안 서비스 제공 업체 포함

정보 교환 신뢰 플랫폼 구축

<제 3 분야>

효율적이고 지속

가능한 사이버

보안 아키텍처

전국 사이버 방어 센터 개발

지역 분석 및 대응 능력 강화

사이버 공간에서 법 집행 강화

사이버 스파이와 사이버 사보타주

사이버 공격에 대한 조기 경보 시스템

보안 지역 중앙 정보국 (ZITiS) 설립

사이버 보안의 국방 측면 강화

독일의 Computer Emergency Response Teams (CERTs)구조 강화

연방 정부의 안전 확보

연방 정부와 주정부 간의 긴밀히 협력

자원 활용, 직원 모집 및 개발

<제 4 분야>

유럽 및 국제 사이버

보안 정책에서의

독일의 적극적 위치

확립

효과적인 유럽 사이버 보안 정책의 적극적 형성 방안

NATO의 사이버 방위 정책 개발

사이버 보안 국제 행동 역량

사이버 역량 구축을 위한 국제기구 간 및 지역별 지원 및 협력 (사이버 역량 강화)

국제법 집행 강화


• 독일은 정보보호 및 정보보안에 대한 중요성을 깨닫고 1991년에 BSI를 창설한 이후 꾸준히 예산 증대

및 인력투자를 진행

• 독일은 정보보안을 통해 정보통신기술의 신뢰를 조성하고 정보사회의 기회를 최대한 이용하기 위해

독일 자체의 정보보안 가이드라인(IT-Grundschutz-die Basis für IT-Sicherheit)을 제정하여 시행하고

있음

• BSI는 2011년부터 클라우드 컴퓨팅과 스마트 그리드/스마트미터(Smart Grid/Meter)를 정보보안에

주의해야 할 신규 기술로 선정해 투자를 강화하고 있음

그림 _ 연방정보보안청(BSI) 조직도

[출처] 연방정보보안청(BSI) 홈페이지

▶ 연방통신청(Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen,

Bundesnetzagentur)

• 독일연방통신청은 독일 정보통신(ICT) 분야 독립 규제기관으로, 정보보안 업무를 수행하는 부서

등으로 조직됨

• 동 기관은 IT 솔루션 개발, 전파 정책 연구, 정보보호 관련 업무를 수행함


그림 _ 연방통신청(BBundesnetzagentur) 조직도

[출처] 연방통신청(Bundesnetzagentur) 홈페이지

▶ 독일 사이버보안위원회(National Cyber Security Councile, NCSC)

• 2012년 8월에 설립된 독일 사이버보안위원회는 정보보안 관련 전략 수립과 정책의 자문을 담당하며

독일 연방정보기술위원(Federal Government Commissioner for Information Technology, BfIT) 소속

기관임

• 상기 기관의 멤버는 외교청, 국방부, 교육 기술부, 법무부, 재무부, 교육부 등의 각 관련 정부기관

대표들로 구성됨

▶ DFN-CERT(Digital Freedom Network Computer Emergency Response Team)는 정보통신 기반 사고

대응을 위한 침해사고대응팀으로서 사이버사고 처리, 사건 처리에 필요한 기술적 지원, 관련 정보의

수집․제공, 취약성 분석 등의 업무를 수행

• CERT는 침해사고예방 및 대응 기능을 수행하며 예방 측면에서 IT보안에 대한 질문에 답하고 제품에

대한 취약성을 경고하고 보안과 관련된 사건에 대해 정보를 제공

▶ 독일 사이버 연방군(Cyber and Information Domain Service, Cyber- und Informations raum)

• 2017년 4월에 창설된 독일 연방군내 사이버 부대로 군부대 사이버 보안, 군사 정보, 군사 작전 등을

담당

• 기존 사이버보안, IT, 군사 지리 정보부대들을 모두 지휘하게 되며 2021년부터 본격적으로 운영될

예정



▶ 전자제품은 독일 제품안전법 (GSG) 관련 인증을 취득해야 함

• 국가에서 인정하는 특별 검사기구에는 집중적인 검사를 거친 후 GS 인증을 발급

• 증명 마크 외에 검사를 담당한 기구의 이름이 제품에 명시

• 1968년 제정된 독일제품안전법은 생산자와 수입자가 일반적으로 인정받은 기술 안전에 관련된

규칙에 상응하는 제품을 생산하고 판매하도록 규정하며, 정부의 무역감독 기구가 법 준수를 관리

• GS 마크는 필수는 아니나 대부분의 독일 소비자들이 GS 증명에 큰 의미를 부여하여, 구매결정 시

안전마크 부착여부를 가장 중요한 요소로 평가하기 때문에 독일 시장에 진출할 때 GS 인증의 획득은

큰 장점으로 작용

• 한편, 독일 유통업체들은 독일보험조합연합의 VdS 인증, 독일사업장 안전과 건강을 위한 직업연맹의

BG-PRÜFZERT 인증을 보유한 제품을 선호하고 있어 유통기업들이 요구하는 인증을 획득하는 것이

독일 시장진입에 매우 유리할 전망

▶ 독일 보험조합연합(GDV, Gesamtverbands der Deutschen Versicherungswirtschaft)의 VdS 인증

• VdS 인증은 중앙통제시스템 등 각 제품별로 인증서가 발급되며 발급기한은 제품에 따라 약

4~6개월이 소요되고, 이 인증을 필하기 위해서는 제품이 아래사항을 충족하여야 함

· 품질이 뛰어난 제품이어야 하며 ISO 9001 인증을 취득한 기업의 제품

· 독일 전자보안장비 설치 인가자가 장비를 이해하고 설치할 수 있어야 함

· 보안장비의 사용과 정비를 위한 기계적 전자적 서비스가 명확하게 지원되어야 함

▶ 유럽 인증서인 CE 인증을 획득할 경우에도 독일에서 인정을 받음

• CE마크는 고객에게 제공되는 제품, 서비스 체계가 규정된 요구사항을 만족하고 지속적으로 유지,

관리되고 있음을 인증해주는 제도로 유럽 진출 시 필수적으로 요구되는 인증 중 하나임


▶ 미국식 사이버보안기구를 설립하는 독일 2018.887

• 독일 내무장관 호르스트 제호퍼(Horst Seehofer)는 “여태까지 독일은 자국의 사이버 보호를 제3국

사이버 보안 기업의 제품들에 의존하였으나, 이제는 핵심 기술을 우리가 보유하고 확장해나가야

87 Politico, “Germany to launch US-style agency to develop cyberdefense”, 2018.8.29.Handelsblatt, “German military to get new cybersecurity agency”, 2018.8.22.DW, “Germany creates DARPA-like cybersecurity agency”, 2018.8.29.Reuters, “Germany, seeking independence from U.S. pushes cyber security research”, 2018.8.29.


한다”고 발표

• 5년간 2억 유로를 투자하여 자력으로 사이버 보안 방어가 가능한 사이버 보안 기구를 만드는 것이

목표

• 미국 펜타곤 산하의 연구개발 조직 DARPA를 모델삼았으며, 2018년 말에 본격적으로 설립

• 독일 국방부와 내무부 산하에 설치되는 보안기구는 중국, 북한, 러시아발 사이버공격을 역으로

공격하는 기술에 주력할 예정

▶ 독일 연방군 소속 사이버부대 창설 2017.488

• 독일 연방군은 2017년 4월 사이버부대를 창설하였으며 7월까지 13,500명 규모로 늘릴 것이라 발표

• 2017년 1분기에만 284,000번의 사이버 공격을 받은 독일 연방군

• 러시아발 해킹에 맞서 싸우는 것이 목적이며, 독일 의회와 사이버보안업계는 환영하는 분위기

• 2017년이 끝나기 전까지 1,000명의 군인과 800명의 IT 관리자를 새로 모집해야하는데,

사이버보안업계에 비하여 열배 차이나는 낮은 임금이 극복해야할 난관 중 하나

▶ 독일 사이버보안법 개정안 2017.689

• 2017년 6월 4일, 서비스 제공 기업이 혐오발언, 폭력 선동, 명예훼손 등의 범죄행위가 포함된 콘텐츠를

24시간 내로 삭제하지 않을 경우, 최대 5,000만 유로의 벌금이 부과되는 법안이 상정됨

• 미국에 위치한 Facebook, Twitter 같은 소셜네트워크 기업들은 대게 미국식 표현의 자유를

표방하지만, 이는 홀로코스트 부정, 인종차별 등을 금지하는 독일의 법안과 충돌하여왔음

• 2015년 8월부터 지속된 독일 난민문제로 인터넷 상 인종차별이 심화되고 이에 따른 소셜 미디어

불법 컨텐츠 확산

• 독일 법무장관 하이코 마스(Heiko Maas)는 사용자가 신고한 불법 컨텐츠를 서비스 제공 기업이

삭제하는 비율이 Twitter는 1%, Facebook은 39%에 불과하며, 혐오발언 및 가짜뉴스에 맞서기 위해선

유럽 전체가 행동을 취해야 한다고 발표

▶ 독일 수사기관의 새 감시법안 2017.790

• 독일을 겨냥한 극단주의 테러와 사이버 공격 등이 지속적으로 발생

• 2017년 9월 24일 수사기관의 권한을 확대하는 내용이 담긴 감시 법안이 독일 연방 의회를 통과함

88 Euractiv, “Germany rolls out new cyber defence team”, 2017.4.6.

89 CNBC, “Germany approves bill curbing online hate crime, fake news”, 2017.4.6.Forbes, “Germany To Social Media Sites: Remove Hate Speech In 24 Hours Or Face $57 Million Fines”, 2017.6.30.

90 Opendemocracy, “Why you should know about Germany's new surveillance law ”, 2017.10.30.DW, “New surveillance law: German police allowed to hack smartphones”, 2017.6.22.Handelsblatt, “German states give police more surveillance powers”, 2017.4.17.


• 연방 의회에 법이 통과되면서 2018년 4월 바이에른, 바덴뷔르템베르크, 노르트라인베스트팔렌, 헤센

주 또한 수사기관의 권한을 확대하는 감시 법안을 통과시킴

• 경찰은 조사를 위하여 용의자의 스마트폰, 태블릿, 컴퓨터 등에 멀웨어를 설치할 수 있으며, 개인

정보를 조사하는데 법원의 동의를 받을 필요가 없음

• 이에 따라 수사기관의 권한이 너무 확대되어 시민들의 사생활 침해와 권력 남용이 우려된다는 비판이

제기됨

바. 호주


· 호주는 국가 사이버 보안 전략과 국제 협력 부문에서 사이버 보안 역량이 높다

(● 상, ● 중, ● 하)

국가명




호주 0.824 7 ● ● ● ● ● ●

대한민국 0.782 13 ● ● ● ● ● ●


· 전반적인 ICT 발전 상황은 전 세계 상위권 그룹에 속하는 것으로 나타남

지표명호주 한국

점수 순위 점수 순위ITU ICT 발전지수(IDI 2017) 8.24 14 8.85 2

접근(Access) 부문 8.00 26 8.85 7활용(Use) 부문 7.97 16 8.71 4기술(Skills) 부문 9.28 1 9.15 2

ITU 글로벌 사이버보안 지수(GCI 2017) 0.824 7 0.782 13UN 전자정부 지수(2018) 0.905 2 0.901 3


· 유선통신 기반과 비교하여, 이동통신 보급률은 상당히 높은 것으로 조사됨

항목호주 한국

가입자수(천 명) 보급률(%) 가입자수(천 명) 보급률(%)유선전화 8,460 34.6 26,842 52.6유선브로드밴드 7,923 32.4 21,195 41.5이동통신 27,553 112.6 63,658 124.8인터넷 이용률 86.5% 95.1%

‘17년 GDP(십억달러) 13,23.4

'17년 인구수(천명) 24,598

1. 선진 시장 - 호주


1. 보안 환경

정보보안 환경

▶ ITU가 2017년 4월 발표한 글로벌 사이버보안(GCI) 2017에 따르면 호주의 사이버보안 지수는 0.824로

글로벌 순위는 167개국 중 중위권인 7위로 나타났으며, 아시아·태평양 권역에서는 3위를 기록하였으며,

호주는 1993년 설립된 아시아·태평양 지역에서 가장 오래된 CERT 중 하나인 AusCERT가 있는 나라임

• 해당 지수는 법적·기술적·조직적 대응 및 역량강화, 국제협력 등 5개 부문의 지수를 종합한 것으로,

기술적 측면에서 가장 높은 지수인 0.96을 받은 반면, 국제협력 면에서는 가장 낮은 지수인 0.44를

받음

• 높은 평가를 받은 기술적 측면은 등록된 윤리적 보안 테스터 위원회(Council of Registered Ethical

Security Testers, CREST)가 제공하는 정보 보안 기술 인증 프로그램이 있고, 이 위원회는 호주와

뉴질랜드의 개인 및 법인체를 위한 사이버 및 정보보안에 대한 평가, 심의, 인증, 교육, 훈련을

제공하는 것이 높이 평가됨

▶ 2018년 8월 감사원에 의해 발표된 서부 호주 정부의 보안 감사 결과에 의하면 공무원의 26%가 취약한

공통 암호를 갖고 있는 것으로 나타남91

• 17개 정부 기관에서 234,000개 단어 중 ‘password’를 포함한 것이 5,000개 이상으로 나타남

• 1,464명은 ‘Password123’을, 813명은 ‘password1’을 사용하고 있었으며, 약 200명은 단순히

‘password’를 암호로 사용하고 있었으며, 이들은 아마도 처음 암호를 변경하지 않았을 것임

• 약 13,000명은 날짜와 계절의 변형을 사용했으며, 약 7,000명은 ‘123’버전을 사용한 것으로 나타남

• 감사결과에 의하면 이러한 계정 중 대다수가 중요한 정보 및 정부 시스템을 접속하는데 사용되며,

일부는 추가적인 인증이나 검사 없이 원격으로 수행할 수 있음

• 감사관은 전체 시스템의 관리자 권한으로 추측한 암호 ‘Summer123’으로 한 기관의 네트워크에

접속할 수 있었음

• 대부분의 기관은 직원들이 정보를 안전하고 확실하게 저장하는데 도움을 주지 않고 있으며, 일부

직원들은 그들의 비밀번호를 워드 문서나 스프레드시트에 암호를 저장함

• 이를 개선하기 위해, 정부는 보안 게임을 강화하기로 합의했으며, 직원들이 비밀번호를 좀 더 안전하게

91 'Password123' used by over 1000 Australian government officials, stuff, 2018.8.23.


저장하는 방법을 개발하고, 새로운 디지털 정부 사무소는 정부차원의 보안 관행 개선에 전념한 사이버

보안 팀을 조직할 예정임

▶ 호주 사이버 보안 센터의 자료92에 의하면, 2017년 민간부문의 경우 손상된 시스템에 대한 사이버

사건유형이, 정부 부문에서 스피어 피싱*에 대한 사이버 사건유형이 가장 많이 신고되었으며 정부부문과

민간부문의 사이버 사건유형이 다르게 나타남

* 스피어피싱(Spear phishing): 특정 개인 및 회사를 대상으로 개인정보를 캐내거나 특정 정보 탈취

목적으로 하는 피싱 공격 (자료: 경찰청 사이버 안전국)

• 민간부문의 사이버 범죄 신고 유형 상위 6개 부문은 손상된 시스템(56%), 악성 이메일(22%), 데이터

노출, 도난, 유출(5%), 서비스 거부(5%), 스캐닝 또는 무차별적인 힘(2%) 순으로 나타났으며, 그 외

기타 항목이 10%에 해당함

• 정부부문의 사이버 범죄 신고 유형 상위 6개 부문은 스피어피싱(47%), 웹서버 손상(13%), 도난된

인증서(12%), 데이터 침해/데이터 유출(10%), 인프라 활성화(9%), 분산서비스 거부(9%) 순으로 나타남

그림 _ 호주 민간부문 및 정부부문 사이버범죄 신고유형

호주 민간부문 사이버범죄 신고유형(상위6개) 호주 정부부문 사이버범죄 신고유형(상위6개)

[출처] Australian Cyber Security Centre, “2017 Threat Report”, pp. 20-21.

• 호주 사이버 보안 센터의 사이버 범죄에 대한 피해자별 사건 대응 순위는 산업 부문이 56%로 가장

높고, 그 다음은 연방정부기관이 20%로 나타남

92 Australian Cyber Security Centre, “2017 Threat Report”, pp. 20-21.


그림 _ 사이버 범죄 피해자별 호주 사이버 보안 센터의 사건대응

[출처] Australian Cyber Security Centre, “2017 Threat Report”, p. 22.

• 2016년 7월 1일~2017년 6월 30일 기간 동안 호주 사이버 보안 센터내에 CERT 호주는 국익 및 중요

인프라 공급업체의 민간 부문 시스템에 영향을 미치는 734개의 사이버 사건에 대응하였으며,

자동화된 탐지 및 알림 프로세스를 통해 산업계에게 6,456건의 자동화된 응답을 제공했음93

• 또한 같은 기간 동안 호주 사이버 보안 센터는 정부에 영향을 미치는 사건에 대해 671건의 사이버

보안 사고에 대응함94

▶ 호주 사이버 범죄 일반적인 동향95

• 일부 사이버 범죄자는 점점 더 정교해지고 야심차게 인터넷 연결 소프트웨어를 통해 접속하여

비즈니스를 직접적으로 목표로 함

• ACSC는 2017년 5월 대응하여 WanaCry 감염은 호주에 대한 영향은 제한적이었지만 여전히 여러

중소기업에게 영향을 미쳤으며, 14개 기관들이 제한적으로 영향을 받았음

• 사이버 범죄자들은 전 세계적으로 금융 기관에 심각한 위협을 가했으나 아직은 호주의 금융기관에

심각한 영향을 미치지 않았음

• 호주 대학들의 네트워크 타겟팅은 지속적으로 증가하고 있으며, 대학은 다양한 분야 연구와 이로

인한 지적 재산에 대해 매력적인 표적이며, 또한 사이버 범죄자들은 신뢰도가 높고 다양한 트래픽으로

대학 네트워크를 인프라로 사용할 수 있음

▶ 호주의 민간 부문은 웹사이트 파괴에서부터 귀중한 지적 재산 손실을 초래하는 영향력 있는 침입에

93 Australian Cyber Security Centre, “2017 Threat Report”, pp. 55-56.94 Australian Cyber Security Centre, “2017 Threat Report”, p. 54.95 Australian Cyber Security Centre, “2017 Threat Report”, pp. 46-59.


이르기까지 악의적인 활동의 목표가 되고 있음96

• 특히 사이버범죄의 목표 범위가 확대되어 비 전통적인 부문(자동차, 숙박, 서비스 등)이 FY15/16 대비

FY16/17에는 11% 증가하였음

• 사이버 첩보활동과 사이버 범죄는 호주의 민간 부문에 주요 위협으로 호주의 경쟁우위에 영향을

미치며 특히 전문적이고 수익성 있는 연구개발 분야에 영향을 미침

• 특히 사이버 첩보활동은 가장 발전된 위협을 제기하며 일반적으로는 지적재산 도용과 관련이 있지만,

회사 협상전략이나 사업 계획과 같은 상업적으로 민감한 기타 정보 도용을 포함 할 수 있음

• 호주 민간 부문에 영향을 미치는 보고된 사이버 사건의 대다수는 일반적으로 재정적 이익을 위해

동기를 부여 받고 있으며, 악성 이메일은 계속해서 민간부문 네트워크를 손상시키는 요소임

그림 _ 호주 부문별 민간 부문 사이버 사건 대응 비교

주석: 기타*: CERT 호주에 숙박, 자동차, 서비스 분야와 같이 전통적으로 목표되지 않은 분야의 보고가 증가하였고, 이것은 사이버

범죄의 목표 범위가 확대 된 것을 보여줌

[출처] Australian Cyber Security Centre, “2017 Threat Report”, p. 56.

96 Australian Cyber Security Centre, “2017 Threat Report”, pp. 55-56.



유선통신

• ITU에 의하면 2017년 말 기준, 유선통신 가입회선 수는 846만 회선을 기록, 2016년 818만 회선 대비

3.4% 증가함

• 유선통신 가입회선 수는 2009년 이후부터 지속적으로 감소하는 추세를 보이고 있으며 2017년은 전년

대비 증가하였음

그림 _ 호주 유선통신 가입 회선 및 보급률 추이

(단위: 천 회선, %)

[출처] ITU Statistics DB (2018.6)

이동통신

• ITU의 자료에 의하면 2017년 기준 이동통신 가입자 수는 2016년 대비 약 3.77% 증가한 2,755만

3,000명을 기록하며, 보급률은 2007년 이후 100%를 넘어 2017년에는 112.69%이며, 2011년부터

2017년까지 연평균 성장률(CAGR)은 2.5%를 보임97

• 호주 이동통신 시장은 주요 3개 사업자인 Telstra, Optus, Vodafone(VHA)가 시장을 지배하고 있으며,

이들 3개사의 LTE 네트워크는 모바일 브로드밴드 서비스에 대한 고객요구를 충족시킬 수 있는

97 ITU, "Mobile-cellular subscriptions"


인프라를 제공하기 위해 지난 3년 동안 급속하게 발전함

• 또한 가상이동망통신사(MVNO)들은 2016년 초 이후 도매기반으로 LTE서비스를 제공

• 2017년 9월 기준, 이동통신 시장은 3대 업체 Telstra(37.9%), Optus(24.2%), Vodafone(15.7%)이 전체

이동통신 시장의 77.8%를 차지하여 압도적으로 점유하고 있으며, Amaysim/Vaya(5.2%), Virgin(4.0%)

등의 MVNO 업체들이 따르고 있음98

그림 _ 호주 이동통신 가입 및 보급률 추이

(단위: 천 명, %)


그림 _ 호주 이동통신사별 시장 점유율(2017년 9월 기준)

통신사 비율

Telstra 37.9%

Optus 24.2%

Vodafone 15.7%

Amaysim/Vaya 5.2%

Virgin 4.0%

Aldi 2.7%

TPG/iinet 2.2%

Boost 0.7%

그 외 MVNO 7.5%

[출처] ZDNet, “Vodafone gains market share at expense of Telstra and Optus: Kantar”, 2017.11.16.

98 ZDNet, “Vodafone gains market share at expense of Telstra and Optus: Kantar”, 2017.11.16.



1. 시장 규모

시장 개요

▶ 호주 사이버 보안 성장 네트워크에서 2017년에 발표한 자료에 의하면99, 호주의 사이버 보안 산업의

규모가 현재 20억 호주 달러 이상의 매출에서 2026년에는 60억 호주달러 규모로 급증할 것으로 전망

• 향후 10년간 호주의 사이버 보안 산업 규모가 거의 3배에 이르는 잠재력을 지닌 것으로 전망

• 이는 사이버 범죄에 대한 사이버 보안의 수요가 증가해지고, 또한 호주 정부는 사이버 보안을

전국적인 중요한 문제로 제시간 국가 사이버 보안 전략을 시작했으며 약 2억 3천만 호주달러의

자금을 지원함


▶ Gartner에 따르면100 2018년 기준 호주의 사이버보안 시장 규모는 약 38억 달러에 이를 것으로 예상하며,

이는 2017년 대비 6.5% 증가한 수치임

• 사이버보안 시장에 대한 이러한 지출은 규제, 구매자의 사고방식 변화, 새로운 위협에 대한 인식,

디지털 비즈니스 전략의 진화에 의해 주도될 것으로 예측함

• 전 세계의 조직에 영향을 미치는 WannaCry, NotPetya와 같은 사이버 공격과 Equifax 침해와 같은

더 높은 수준의 사이버 공격과 데이터 침해로 인해, 조직의 보안 침해에 대한 대응은 전반적으로

보안 지출에 직접적으로 영향을 미침

▶ 시장조사기관 Barnes Reports는 2017년도 호주의 보안 시스템 서비스 산업 시장 규모가 약 19억 5,300만

달러에 이르며, 14년부터 매년 4.5% 이상 성장해온 것으로 조사

• 보안 시스템의 세부 항목으로는 보안 시스템 서비스, 도둑 경보 관리 및 모니터링, 화재 경보 관리

및 모니터링 관련, 보호 장치와 보안, 감시 시스템 등이 포함됨

• 2018년에는 보안 시스템 서비스 산업 시장 규모가 전년 대비 5.4% 증가하여 약 21억 3,700만 달러에

99 Australian Cyber Security Growth Network, “Cyber Security Sector Competitiveness Plan”, 2017.4. p. 1.100 Connecting the Australian Channel, “Australian cybersecurity spending to reach $3.8 billion in 2018: Gartner”,

2017.12.8.


이를 것으로 전망

• 2017년 보안 시스템 서비스 산업 내 총 1,953개 기업이 설립되어 약 10,952명을 고용하고, 2018년에는

9.4% 증가하여 총 설립된 기업수가 2,137개에 이르고, 고용증가는 5.4% 증가하여 총 고용수는 약

11,545명으로 예상

▶ 글로벌 국방 산업 조사 기관 SDI에 따르면 호주의 2016년도 국토안보 지출(Homeland Security

spending) 금액이 16억 2,482만 달러로 조사되었으며, 2025년까지 매년 평균 4.04% 증가하여 23억

2,000만 달러에 도달할 것으로 예상

그림 _ 호주 국토안보 지출 추이 전망(2016-2025)

[출처] SDI(2016)

▶ 2018년 호주에서는 사이버 보안 투자에 참여하는 벤처캐피털 펀드의 수가 증가함101

• 최근 빅토리아 정부는 사이버 보안 액셀러레이터인 CyRise를 지원하기 위해 450,000달러를 약속함

• 빅토리아주는 아시아 태평양 지역에서 사이버 보안 산업의 최고의 위치로 급속히 알려지고 있음

2. 분야별 현황


101 smartcompany, “Nine Australian cyber security startups raising money and kicking goals”, 2018.7.13.


▶ 보안 전시 & 컨퍼런스 2017에서 발표된 ‘Australian Security Market Review 2017’에 의하면, 사이버

및 정보 보안 제품의 연간 성장에 대한 기대는 15%에 해당함

• 발표된 보고서는 보안 전시 & 컨퍼런스 2017에 참여한 기업들을 대상으로 2017년 5월~6월 기간

동안 조사에 기반함

• 지금까지 가장 널리 보급된 제품과 서비스는 출입 통제 및 빌딩 관리, CCTV/감시로 응답자의 50%가

답변하였고, 경보 & 경계 보호 솔루션(Perimeter Protection solutions)도 39%가 답변하였음

그림 _ 보안업체의 제공되는 제품 유형들

[출처] Australian Security Market Review 2017, p. 6.

• CCTV & 감시, 출입 통제 &　빌딩관리, 경보 & 경계보호에 해당하는 세 가지 제품 유형이 표본의

연간 매출액의 53%로 절반이상을 차지하였으나 수요 및 추세에 따라 가장 낮은 성장 잠재력을 보여줌


그림 _ 보안업체의 연간 총 매출액 대비 제품 영역별 비중


• 그러나, 전통적인 감시 및 보안 제어 서비스는 지금까지는 인기 있는 매출 품목이었으나 미래성장은

연결된 기술(connected technologies)에서 비롯될 것으로 전망함

• 해킹, 데이터 유출, 개인정보보호 문제에 대한 위협이 증가하고 널리 알려지면서 사이버 및 정보 보안

솔루션에 대한 수요가 증가하며 지난해에는 15% 성장률을 보였고, 향후 1년 동안에도 15%의

성장률을 보일 것으로 예상되며, 또한 정보통신 기술과 IP 보안 솔루션도 강한 성장 궤도에 있음

• 그러나 이와 같이 높은 성장을 보이는 세 가지 제품 유형은 현재 제품별 연간 매출의 13%만을

차지하고 있어, 업계 전반에 걸쳐 큰 변화가 일어나지는 않을 것으로 예측됨

• 주택자동화도 10% 성장하였고 향후 1년 동안 8% 성장할 것으로 예측되며 소비자와 언론의 관심도

높지만 현재 전체 제품 매출의 2%만 차지함

• 생체 인식, 얼굴 인식, 가상 순찰 등과 같은 틈새 상품도 잠재적인 미래성장 기회로 전망됨


그림 _ 제품 유형별 수요 (이전 12개월 vs. 향후 12개월)


• 응답자의 96%는 IP & Cloud가 향후 3년간 보안업계에 영향을 미칠 것이라고 응답하였고, 또한

응답자의 73%는 중대한 영향을 미칠 것으로 응답하였음

• 이러한 응답은 클라우드 기반, 인터넷 가능한 솔루션은 인터넷 바이러스를 통한 악성코드 전파

위협으로부터 가상 순찰, 온라인 비디오 감시 및 원격 모바일 관리 솔루션에 이르기까지 업계의 모든

측면에 스며들어 있는 사실에 기반함

• 향후 12개월 동안 인터넷 연결된 장치(IoT)의 확산 증가, 사이버 보안 제품에 대한 수요 증가, 안면인식

및 비디오 검증과 같은 생체인식 기술의 발전이 예상되며, 웨어러블 보안 장치처럼 하드웨어가 더

가볍고 작아지고, 더 저렴해질 것이라는 기대도 있음

• 향후 3년간에는 대부분의 시장은 오늘날 보다 전반적이지만 연결된 기술(connected technologies)로

더욱더 통합된 제품으로 나타나며, 이로 인해 소비자는 더 많은 선택권을 갖게 될 것이며, 새로운

진입자들이 경쟁을 늘리고 잠재적으로 가격을 낮추게 될 것임


▶ IDC에 따르면 2017년 기준 호주의 보안 지출 규모는 약 29억 호주 달러에 해당하며, 연 평균 성장률

17.6%를 보이며 2021년에는 56억 호주달러에 이르며, 이러한 성장을 이끄는 주된 분야는 보안 서비스

분야로 예측함

• 2017년 보안 지출은 소프트웨어 33%, 관리형보안서비스 29%, 컨설팅 서비스 15%, 하드웨어 14%,

통합서비스 7%, 교육 및 훈련 2%로 구성되며, 보안 서비스 분야 지출이 50% 이상에 해당됨

• IDC에 따르면 2018년 IT 서비스 관련 조사에서 조사 대상이 된 102개 조직들은 2018년에 개선해야

할 가장 중요한 운영 및 인프라 기능으로 보안이 1순위로 꼽았음


• 비즈니스 혁신을 위해 IT에 대한 의존도가 더 높아지고, 더 엄격해진 규제 요구사항을 충족시키기

위해 통합된 운영환경을 구축하고 이를 안전하게 하는 것은 모든 조직에게 도전과제가 됨

• 특히 호주는 아시아 태평양 지역에서 가장 높은 클라우드 보급을 보이고 있으며, 이러한 시장은 보안

투자의 합리화와 클라우드 보안 채택 증가의 일환으로 보안을 서비스로 적극적으로 고려할 것임

• 또한 인공지능(AI)/기계학습(ML)등과 같은 신기술을 활용하여 핵심 플랫폼에서 자동화를 향상시키고

있음




▶ IDC에 따르면 2017년 조사된 100개의 호주 기업 중 54%는 관리형 보안 서비스(Managed Security

Services, MSS), 23%는 사고 대응 서비스를 사용하고 있는 것으로 나타남

• 사용하고 있는 관리형 보안 서비스(MSS)는 주로 Cisco, IBM, Symantec, Trend Micro, Microsoft,

Telstra 등의 글로벌 기업들의 제품임

• Cisco는 네트워크 인프라에서의 지배력을 활용하여 보안 설계의 일부로 제품을 공급하고 있으며,

IBM은 대기업 및 공공부문의 주요 IT 인프라 및 서비스 제공업체로서 호주에 현지 법인을 두고 MSS를

제공하고 있으며, 보안 작업의 실행을 돕기 위해 인지 플랫폼인 왓슨(Watson)을 보안 제품에

적극적으로 탑재함

• Symantec은 오랜 역사를 가진 사이버 보안 업체로서 통합된 사이버 방어 기능을 제공하며, Trend

Micro는 호주 공공부문에서 강력한 입지를 확보하며 보안 경계를 높이고 보안 대응을 용이하게 하는

솔루션을 제공하며, Microsoft는 호주의 중소기업부문에서 공급을 확대하고 있으며, Telstra는 현지

통신사로서 자사의 네트워크망을 이용하는 고객을 기반으로 보안 서비스를 확대함


▶ 호주 하드웨어저널의 산업보고서에 따르면, 2017년 말까지 호주 스마트 도어락 시장 규모가 10억

달러까지 성장할 것으로 전망102

• 호주 보안시장에서 보안 카메라에 이어 두 번째로 높은 점유율을 보이는 도어락 시장이 주목 받는

것으로 나타남

102 KOTRA 해외시장 뉴스, “서서히 열리는 호주 스마트 도어락 시장”, 2017.9.6.


• 시드니, 멜버른 등의 지역에서 아파트, 상업용 빌딩 건설로 인해 도어락 수요 증가가 예상되며, 스마트

도어락은 번호, 지문, 스마트폰 앱 사용 등의 사용방식에 대한 관심 증가

• 호주 스마트 도어락 시장에서 스웨덴의 ASSA ABLOY, 한국의 삼성, 미국의 Allegion, 호주의 Carbine

등의 활약이 두드러지며 상업용 빌딩, 아파트의 경우 건설업체와 공급 파트너로 계약을 맺음

m 주요 사업자


▶ Nuix

• Nuix는 2000년에 컴퓨터 과학자팀에 의해 설립된 사이버보안회사로 대용량의 디지털 데이터를 수집,

처리, 분석하기 위한 강력한 포렌식 소프트웨어를 개발하였음

• 개발된 소프트웨어 플랫폼을 통해 숨겨진 알려지지 않은 위험한 데이터를 처리하는데 도움을 주며,

사이버 범죄를 탐지 및 대응, 내부위협 관리, 빠른 증거를 찾는데 도움을 줌

• Nuix는 시드니에 본사를 두고 미국, 영국, 아일랜드, 독일, 아일랜드, 두바이, 일본 등에 지사를 갖고

있음

• 연락처 : Home Page : www.nuix.com


Tel. : +61 2 9280 0699

▶ Airlock Digital

• Airlock Digital은 2013년에 설립되었고 응용 프로그램 허용 목록인 화이트 리스트를 작성하여 조직의

네트워크에서 사이버 침입자를 막음

• 화이트 리스트의 목표는 잠재적으로 유해한 응용 프로그램으로부터 컴퓨터와 네트워크를 보호하는

것이며, Airlock Digital은 적은 비용으로 성공적인 수행을 위해 필요한 자원이 적게 드는

애플리케이션 호스팅 목록 솔루션을 제공함

• 연락처 : Home Page : www.airlockdigital.com


Tel. : +1300 798 925

▶ Aura Information Security

• Aura Information Security는 사이버 공격 테스트, 방어적 보안 서비스, 보안 보장, 보안 설계, 교육

및 훈련, 관리형 보안 서비스를 공급함

• Aura Information Security는 2006년 설립되었으며, 호주와 뉴질랜드에 정부, 기업, 중소사업자에게


폭넓은 서비스를 제공하며, 윤리적 보안 테스터 위원회(CREST)에 등록된 테스터(CREST CRT)에

해당하며, 호주와 뉴질랜드에 사무소가 있음

• 연락처 : Home Page : www.aurainfosec.com

Tel. : +61 2 9856 2600

▶ Cog Systems

• 호주의 로컬 사이버 보안 스타트업인 Cog System의 제품은 사물을 사용할 수 있는 장치의 인터넷

수와 사이버 공격에 대한 보호 수준이 낮다는 것에 대한 우려가 커지는 것으로 인해 제품이 개발됨

• 일련의 사물인터넷 스타일 장치에 대한 기본 수준의 보안 솔루션을 제공함과 동시에 제조업체들이

그들의 제품에 사이버 탄력성을 구축하는데 도움이 되도록 제조업체와 긴밀히 협력함

• Cog Systems는 미 육국 및 미 국방부와 같은 미국 정부기관과 함께 칩셋 제조업체인 ARM, 퀄컴,

시스코를 비롯한 유명 고객과 협력해 옴

• Cog Systems는 2017년 12월에 시리즈 A 기금으로 350만 달러를 모금하였고, 호주에 본사, 미국에

사무실을 두고 있음

• 연락처 : Home Page : cog.systems

e-mail : [email protected]

Tel. : +61 2 9018 1077


▶ Guardian Security Group

• Guardian Security Group는 1990년대 초에 설립되었으며, 24시간 모니터링 센터 및 경보를 감시하는

보안 장비를 지원하고 있으며, 경보 설치, 기존 시스템 관리 및 업그레이드, CCTV 설치, 원격 서비스

등의 제품 및 서비스 제공함

• 연락처 : Home Page : www.guardiansecurity.com.au


Tel. : +61 3 9848 7999

▶ Mobotix

• Mobotix는 보안 및 접근 제어 시장에서 실내 및 실외 보안을 위한 다양한 비디오 감시 카메라

제품들을 제공하고 있으며, 관련된 카메라 제품들의 렌즈, 줌, 속도, 센서 등에서 고성능의 기능을

갖고 있고, 요구사항에 맞게 제품을 구성하고, 관련 소프트웨어를 제공함

• Mobotix는 산업체, 교육 및 과학, 헬스, 교통 및 차량, 물류, 선적, 호텔, 지방정부기관, 등 다양한


기관에게 그들의 제품과 서비스를 공급하고 있으며, 독일에 본사가 위치하며 호주를 포함한 전 세계

여러 국가에 사무실이 위치함

• 연락처 : Home Page : www.mobotix.com


Tel. : +61 2 8507 2000

▶ nexgen

• nexgen은 지문 판독기 및 망막 스캐너등과 같은 생체 인식, HD 카메라, 경고 모니터링 등의 제품을

공급하고 있으며, 뉴사우스 웨일즈, 퀸즐랜드, 빅토리아 등에 사무실을 두고 있으며, 유통업체임

• 연락처 : Home Page : nexgen.com.au


Tel. : 1300 020 402


▶ PwC의 최근 발표에 의하면 호주 기업 중 거의 절반이 사이버 범죄로 타격을 입음(2018.7)103

• 호주의 기업들은 조직화된 범죄에 의해 뒷받침되는 다크웹(dark web)을 이용하여 고객, 공급업체,

사이버 해커들에 의해 고통 받고 있으며, 호주에서 경제 범죄의 60%가 직원, 고객, 공급자를 가장한

사람들에 의해 행해짐

• PwC는 지난 2년간 설문조사에서 45%의 기업이 공격을 받았으며, 고객 사기가 호주에서 경제 범죄의

1위에 해당하며, 호주는 조사된 123개국 중 사이버 범죄가 점차 커지고 있는 18개국 중 하나에 해당함

• 글로벌 경제 범죄 조사에서 다크웹(dark web)을 사용하는 조직된 범죄 조직들이 더욱 정교해지고

있으며, 이제는 문서와 ID를 위조하여 조직에 침입하여 훔치는 새로운 기술을 사용한다고 경고함

▶ Lloyd’s 사가 최근 발표한 도시 위험 지수(City Risk Index)*에 의하면 극한 사이버 공격이 어떤 잠재적인

자연재해 보다 호주의 경제에 더 큰 위협이 된다고 밝힘(2018.6.)104

* 로이드의 도시 위험 지수는 캠브리지 위험연구센터와 공동으로 개발되었으며, 전 세계 279개

도시에서 22건의 개별 위협으로 인한 GDP 위험을 측정함

103 ABC.News, “Nearly half of Australian companies hit by cyber crime, PwC global survey reveals”, 2018.7.24.104 Business Insider Australia, “Market crashes and cyber-attacks are bigger threats to Australia's economy than natural

disasters”, 2018.6.7.


• 호주 경제가 확장되고 디지털 인프라가 더욱 복잡해지면서 시장 추락이나 주요 사이버 공격에 대한

위협이 커지고 있음

• 사이버 공격 위험은 시장추락에 이어 호주의 GDP에 대한 두 번째로 큰 위협으로 호주 GDP의 13억

달러의 위험에 처해 있으며, 이는 자연재해인 홍수 위협은 잠재적으로 6억 6천만 달러 수준임

• 로이드의 지수는 캠브리지 위험연구센터와 공동으로 개발되었으며, 전 세계 279개 도시에서 22건의

개별 위협으로 인한 GDP 위험을 측정함

▶ 2017년 6백만 명의 호주인이 사이버 범죄의 희생자가 됨(2018.2.)105

• 호주 성인 3명 중 1명이 작년에 사이버 범죄를 겪었으며 23억 달러의 비용이 듦

• 시만텍의 사이버 보안 인사이트 보고서에 의해 노턴(Norton)의 연구에 따르면 600만 명 이상이 도난,

신용 사기를 식별하지 못하거나 암호가 유출된 것으로 나타남

• 평균적으로 사이버 범죄는 각각의 희생자에게 약 195달러와 16.2 시간의 비용을 요구하며, 해마다

사이버 범죄율은 13% 증가함

• 언론에서 사이버 범죄가 꾸준히 보고되고 있음에도 호주 인들이 스스로를 보호하기 위한 기본적인

예방 조치를 취하지 않고 있으며, 사이버 보안을 심각하게 생각하지 않고 있음

• 특히, 고령의 호주인을 대상으로 한 사이버 사기의 대부분은 가짜 IT 지원, 가짜 웹 사이트와 이메일,

사기꾼들이 온라인으로 관심을 주는 것으로 가장하는 전화가 포함

105 nine.com.au. “Six million Australians fell victim to cybercrime in 2017”, 2018.2.19.





▶ 2012년 8월 22일 호주 상원은 유럽의 사이버범죄 조약을 수용하여 개정안 사이버범죄법(AU Cybercrime

Act of 2011)을 승인함

• 이 법안에는 사생활 보호와 외국 수사기관의 범죄수사 협조에 대한 사항이 포함되어 있으며,

사이버범죄 조약에서 규정하는 컴퓨터를 이용한 위조, 사기, 아동 포르노, 저작권 위방 등의

사이버범죄에 해당법이 적용됨

• 정부기관이나 연방경찰이 사이버범죄 수사를 위해 외국 기관에 요청할 경우, 인터넷 서비스 제공

사업자에게도 정보를 요청할 수 있으며, 사업자는 통신정보를 보존하고 제공해야 함

▶ 개인정보보호를 강화하는 개인정보보호법 개정사항 발효(2014년 3월)106

• 개인정보보호법(Privacy Act 1988)의 개정사항에는 민간 부문 조직체 및 호주 정부기관이 어떻게

개인정보를 취급해야 하는지를 명시한 신규 호주개인정보원칙(Australian Privacy Principles, APP)이

포함됨

• 또한, 신용정보의 수집 및 이용방법에 대한 변경, 개인정보보호 불만 제기 및 조사의 해결을 위한

호주정보청(Australian Information Commissioner, OAIC)의 새로운 권한이 포함됨

• 개정된 내용에는 기관이 개인 정보를 공개적이며 투명한 방식으로 관리하도록 더 큰 책임을 명시하며,

기관과 상호작용 업무 시 은행 계좌 계설과 같은 부적절한 경우가 아니면 익명이나 가명으로 상대할

수 있음

• 기관이 상품이나 서비스를 소비자와 직거래 마케팅을 하는 경우 소비자의 사전 동의 없이 직거래

마케팅에 이용할 수 없으며, 소비자가 중단을 요청하면 기관은 중단해야하며, 요청하면 기관은 정보를

습득한 출처를 알려줘야 함

• 사람들은 기관에 기록된 자신의 개인정보가 포함된 기록을 열람하고 수정할 수 있는 더 큰 권리를

가짐

▶ 개인 정보를 보호하기 위해 1988년 개인정보보호법(Privacy Act 1998)에 따라 이미 의무가 있는 기관과

106 “Australian Privacy Principles”, Australian Government, Office of the Australian Information Commissioner, 2014.1.


조직(단체)은 신고의무가 있는 데이터 유출(Notifiable Data Breaches, NDB) 계획을 준수해야 함 (2017년

12월)107

• 여기에는 연매출액이 3백만 달러 이상인 호주 정부 기관, 기업, 비영리 조직과 민간 부문 보건 서비스

공급업체, 신용 보고 기관, 신용 공급자, 개인 정보 및 세금 파일 번호(tax file number, TFN) 수령인과

거래하는 단체가 포함됨

• 예를 들어 세금 파일 번호 정보를 보장할 것을 요구받는 소기업과 같이 특정 유형의 정보와 관련된

개인정보보호법의 보안 의무를 지닌 단체는 개인정보보호법 하에 그들의 의무 범위를 넘어서 다른

유형의 정보에 영향을 미치는 데이터 유출에 대해 통보할 필요가 없음


▶ 호주의 사이버보안 전략(Australia’s Cyber Strategy)

• 2016년에 발표된 전략으로 호주 정부는 호주의 사이버 보안 역량을 향상시키고 새로운 계획을

실행하기 위해 4년 동안 2억 3천만 달러 이상을 투자할 것임

• 이는 2016년 방위 백서에 강조된 사이버 보안 역량을 강화하기 위해 향후 10년에 걸쳐 최대 4억

달러까지 투자하는 것을 보완하는 것임

• 동 전략은 2020년까지 향후 4년에 걸쳐 호주의 사이버 보안을 위해 다음과 같은 다섯 개의 주제에서

실행을 수립함

표 _ 호주 사이버보안 전략

107 “Entities covered by the NDB scheme” Australian Government, Office of the Australian Information Commissioner, 2017.12.

주제 내용 우선순위 실행 내용

전국의

사이버 협력

정부, 비즈니스, 연

구 공동체는 함께

호주의 사이버 보안

을 발전시킴

§ 공동리더십: 총리가 비즈니스 리더와 함께 연간 사이버 보안 회의를

개최하여 공동 설계된 국가 사이버 보안 초기 계획들을 정부와

비즈니스 리더가 주도함

§ 더 강력한 협력 구축: 정부는 책임을 이끄는 것을 명백히 하고, 호주

사이버 보안 센터를 재배치하여 비즈니스에 좀 더 효율적으로

참여함

§ 비용 및 효과 이해: 정부는 경제에 악의적인 사이버 활동의 비용을

더 잘 이해하기 위한 조사를 후원함

강한 사이버 호주의 네트워크와 § 우선 순위 실행 탐지, 차단 및 대응: 공동 운영되는 사이버 위협 공유


2. 담당기관

▶ 호주 사이버 보안 센터 ACSC(Australian Cyber Security Centre)108109

주제 내용 우선순위 실행 내용

방위

시스템은 손상되기

어렵게 하고 사이버

공격에 복원력 강화

센터 및 온라인 사이버 위협 공유 포털을 개방하고, 향상된 정보,

분석, 대응 역량으로 사이버 위협에 대처함

§ 기준 올리기: 자발적인 사이버 보안 거버넌스 ‘건강 검진’과 국가

우수 사례 가이드라인을 공동 설계하고, 공동 운동가들과 수행하고

호주를 사이버 위협에 대해 더 어려운 타깃으로 만들기 위해 선진

기술을 개발하고 활용함. 정부 기관의 사이버 보안 평가를 수행함

글로벌

책임과 영향

호주는 개방적이고,

자유롭고, 안전한

사이버 공간을

적극적으로 장려함

§ 공개적이고 자유롭고 안전한 인터넷의 챔피언: 인도-태평양 지역 및

세계적으로 개방적이고 안전한 인터넷을 유지할 것을 지지함

§ 안전한 피난처를 폐쇄: 안전한 피난처를 차단하고 사이버 범죄 및

다른 악의적인 사이버 활동을 방지하기 위해 국제적으로 협력

§ 역량 구축: 악의적인 사이버 활동에 대응하기 위해 우리 지역과

세계적으로 역량 구축

성장과 혁신

호주 기업은

사이버보안 혁신을

통해 성장하고

번영함

§ 사이버보안 혁신 활성화: 사이버 보안 성장 센터(Cyber Security

Growth Centre)와 사이버 방어 강화, 경제 성장 및 일자리 창출을

위한 혁신 네트워크를 통해 사이버 보안 혁신에서 투자를 촉진함

§ 사이버 보안 비즈니스의 개발 및 확장의 활성화 : 새로운 비즈니스를

지원하고 호주 사이버 보안 제품과 서비스의 수출을 증진함

§ 사이버 보안 연구 개발 활성화: 사이버 보안 연구개발이 도전에

대응할 수 있도록 보장함

사이버

스마트 국가

호 주 국 민 이

디 지 털 시 대 에

번창할 수 있도록

사이버 보안 스킬과

지식을 갖춤

§ 알맞은 기술과 전문성 개발: 고도의 숙련된 사이버 보안 인력을

양성하기 위해 사이버 보안의 우수한 학문적 중심에서 시작하고

다양성을 확산하여 사이버 보안 기술의 부족을 극복

§ 전국적인 사이버 보안 인식 제고: 지속가능한 공동 공공-민간 국가

인식을 높이는 노력을 통해 모든 호주인의 사이버 위험과 혜택의

인식을 높임


• 호주 사이버 보안센터는 사이버 보안을 개선하기 위해 호주 정부의 노력을 이끌고 있으며, 역할은

호주를 온라인 연결의 가장 안전한 곳으로 만들고자 함

• 호주 사이버 보안 센터는 2014년 운영을 시작했으며, 그 후 2017년 독립적인 정보 검토(Independent

Intelligence Review)의 부분으로 호주 정부는 향상된 사이버 보안 역량과 사이버 보안에 관한 조언과

지원의 단일한 기구에서 제공해야 할 필요성을 확인하게 되었음

• 이 후 2018년 7월 1일 호주 사이버 보안 센터가 확대되어 공식적으로 호주신호국(ACS)의 일부가

되었으며, CERT Australia와 디지털 전환기관(Digital Transformation Agency)로부터 호주 정부의

사이버 보안 전문지식을 호주 사이버 보안 센터(ACSC)로 통합하게 됨

• 호주 사이버 보안 센터는 국가 자산, 연방 정부, 주정부, 지방정부, 중소기업, 학계, 비영리기관, 호주

커뮤니티 등의 중요한 인프라와 시스템을 포함한 경제 전체의 사이버 복원력을 이끌며, 사이버보안

위협을 방지하고 대처하며, 모든 호주인에게 피해를 최소화하기 위해 민간 및 공공 부문 협력과 정보

공유를 위한 허브에 해당함

• 호주 사이버 보안 센터는 구체적으로 ▲호주의 CERT로써 사이버 보안 위협과 사건에 대응하고,

▲위협에 대한 정보를 공유하고 복원력을 증가하기 위해 민간 및 공공부문과 협력하며, ▲사이버 보안

인식을 증가하기 위해 정부, 산업, 커뮤니티와 일하며, ▲ 모든 호주인에게 정보, 조언, 지원을 제공함

• 호주 사이버 보안 센터에는 호주 형사 정보 위원회, 호주 연방 경찰, 호주 보안 정보 기구, 호주 신호국,

국방 정보 기구로 부터의 직원을 포함하며, 내무부의 사이버 보안 정책부서 직원은 더 나은 정부 정책

조언을 제공하기 위해 호주 사이버 보안 센터 직원과 공동 배치됨

• 호주 사이버 보안 센터는 캔버라에 기반을 두고 있으나 협력 사이버 보안 센터 프로그램의 일환으로

국가 전역에 사무실을 둠

▶ 호주 정보국 OAIC(Office of the Australian Information Commissioner110

• 호주 정보국 OAIC는 법무장관의 지위하에 속한 독립적인 법무기관으로 다음과 같은 세 가지 주요

기능을 가짐

• (1) 개인정보 보호법 1988(Privacy Act) 및 기타 법률에 의해 부여된 개인 정보보호 기능, (2)

정보기능의 자유 특히 1982년 정보자유법(Freedom of Act 1982)의 운영에 대한 감시 및 해당 법에

따른 정부 및 장관의 결정에 대한 검토 (3) 정부 정보 정책 기능, 호주 정보위원법 2010(Australian

Information Commissioner Act)에 따라 호주 정보 위원에게 수여됨

• 호주 정보국(OAIC)의 책임은 (1)조사 실시, (2)정보 자유법에 의거한 결정 검토, (3)불만사항 처리,

(3)모니터링 기관 관리, (4)대중, 정부 기관 및 기업에게 자문 제공 등임

108 https://cyber.gov.au/109 www.asd.gov.au/infosec/acsc110 https://www.oaic.gov.au/about-us/



▶ 윤리적 보안 테스터 위원회(Council of Registered Ethical Security Testers, CREST)가 제공하는 정보보안

기술 인증 프로그램이 있음

• 비영리 회사인 CREST Australia New Zealand Ltd.는 회원사를 대신하여 윤리적 보안 테스터

위원회(CREST)를 운영함

• 이 위원회는 호주와 뉴질랜드의 개인 및 법인체를 위한 사이버 및 정보 보안에 대한 평가, 심의, 인증,

교육, 훈련을 제공하며 고품질의 모범 사례 정보 보안 서비스를 제공함

• CREST 계획은 회사 인증과 개별 테스터 인증의 2가지 트랙으로 구성됨


▶ 최근 스마트폰 콘텐츠에 대한 경찰의 더 큰 접근성을 주기 위해 새로운 사이버 법안이 제출됨(2018.8)111

• 새로 발표된 초안 법안은 정부가 스파이 및 법 집행기관 밖에서 암호화된 서비스를 사용하여 호주인을

단속하는 권한에 해당함

• 구글, 애플, 페이스북, Telstra와 같은 통신사업자는 호주 당국에게 민감한 데이터를 넘겨주거나

시스템에 접근할 수 있는 권한을 부여해야 하며, 그렇지 않은 경우 최대 1,000만 달러의 벌금을 내야함

• 연방 의회의 승인을 받아야 할 새로운 법안은 통신 서비스 및 장치 제조업체를 대상으로 하며, 전화,

컴퓨터, 소셜미디어 플랫폼과 같은 장치에 암호화된 정보를 공개하도록 하는 권한을 포함함

111 news.com.au. “Australia’s proposed new cyber legislation to give police greater access to content on smartphones”, 2018.8.14.

II. 글로벌 정보보호 산업 국가별 현황 - KISAII. 글로벌 정보보호 산업 국가별...

Documents

Transcript of II. 글로벌 정보보호 산업 국가별 현황 - KISAII. 글로벌 정보보호 산업 국가별...