관련 영상
- Open (new tab):
/files/Korean_Security_Escape_Velocity.pdf
PDF가 보이지 않으면 여기로 열어보세요:
/files/Korean_Security_Escape_Velocity.pdf
이 글은 성공 사례를 분석하기 위한 글이 아니다. 오히려 반복적으로 나타나는 패턴을 관찰하고, 그 공통점을 정리해보기 위한 개인적인 기록에 가깝다. 따라서 일부 해석은 단순화되어 있을 수 있으며, 특정 기업에 대한 평가는 의도된 결론이라기보다 패턴을 설명하기 위한 사례로 이해해주면 좋겠다.
공부를 잘하는 것과 일을 잘하는 것은 다르다. 마찬가지로 CTF를 잘하는 것과 취약점 분석 업무를 잘하는 것, 그리고 보안 솔루션을 잘 만드는 것은 전혀 다른 역량이다.
다양한 보안 솔루션을 검토해 왔다. 미국·이스라엘의 대규모 투자 기반 솔루션부터, 국내 교수 기반 솔루션, 그리고 소규모 스타트업까지 폭넓게 살펴봤다.
외산 솔루션은 일반적으로 강점을 보인다. 투입된 자본과 데이터의 규모 자체가 다르기 때문에, 동일한 조건에서 경쟁하기 어려운 구조적 격차가 존재한다.
국내 솔루션은 또 다른 특징을 보인다. 시장에 안착한 일부 솔루션들은 기술 자체보다 규제 대응과 납품 구조가 사업 성과에 더 큰 영향을 미치는 경우가 많다. 보안 산업은 사고가 발생했을 때 책임이 크게 작용하는 영역이고, 그 결과 공공과 규제를 중심으로 수요가 형성되는 경향이 있다. 이런 환경에서는 기술 경쟁력만으로는 부족하고, 인증, 납품 구조, 신뢰 관계가 사업 성과를 좌우하게 된다.
문제는 여기서부터다. 이 구조에 먼저 적응하기 시작하면, 제품은 자연스럽게 서비스와 프로젝트 중심으로 변형된다. 그리고 그 순간부터 글로벌 표준 도구와는 다른 길을 걷게 된다.
2000년대 IT 붐을 타고 살아남은 기업들도 있다. 스타트업으로 시작했지만 지금은 혁신도, 비전도 없이 오너의 자산 유지를 위해 현상 유지만 하고 있는 느낌이다.
반복되는 패턴
최근 취약점 분석·진단 관련 스타트업들을 보면 유사한 흐름이 반복되는 것처럼 보인다.
티오리, 스틸리언, 엔키는 출발점은 서로 달라 보인다. 티오리는 2016년 미국 오스틴에서 창업해 DEF CON CTF 8회 우승이라는 세계적 기술 인지도를 바탕으로 230억 원 규모의 투자를 유치했다. 스틸리언은 박찬암 대표의 ‘천재 해커’ 이미지를, 엔키는 화이트햇 플랫폼 개념으로 화제를 모았다. 하지만 사업 구조를 들여다보면 일정한 공통점이 드러난다.
티오리는 본사가 오스틴이지만 전체 직원 100명 중 90명이 한국에 있고 대표도 서울에 있다. 2023년 한국법인 매출 약 125억 원이 전부에 가깝고, 미국 법인은 사실상 껍데기다. “해외에서 시작했다"는 건 창업 스토리일 뿐, 무게중심은 처음부터 한국에 있었다. 그 결과는 다른 회사들과 다르지 않다. 솔루션(Xint, αprism 등)을 만들려 했을 때 처음으로 손실을 냈고, 실제 도입 검토 현장에서는 Xbow와의 비교 평가에서 탈락하고 있다는 이야기가 들린다. Xbow는 2024년 창업했지만 누적 약 3,200억 원을 조달했고, AI 기반 자율 침투 테스트로 Microsoft와 통합 계약까지 맺었다. 티오리 투자액의 14배 자본이 시장이 원하는 방향으로 집중된 결과다. 더 주목할 점은 Xbow가 한국을 APAC 첫 거점으로 삼고 한국 GM까지 선임했다는 것이다. 티오리의 안방으로 직접 들어오는 셈이다.
스틸리언은 총 매출 약 98억 원(2024년 기준)이지만 AppSuit 매출은 전체의 19%에 불과하고, 보안 컨설팅·취약점 진단(29%)과 기타 보안 서비스(34%) 등 인력 기반 서비스가 80% 이상이다. 1위 고객은 KISA(17%), 2위는 미래과학아카데미(13%)로 후자는 국가기관이다. 엔키는 미래과학아카데미(국가기관, 34%)와 LG유플러스(30%) 두 고객이 전체 매출의 64%를 차지하고, 매입처에 가천대·KAIST·서울대 산학협력단이 반복 등장해 연구 인력 외주 구조임을 보여준다.
세 회사 모두 국가기관 수요와 인력 기반에 무게중심이 있다. 출발점이 국내든 해외든, 결국 같은 자리에 와 있다. 그만큼 시장의 문법이 강하다.
이 패턴은 한국만의 문제일까
이 흐름은 한국에만 국한된 것은 아닌 것으로 보인다.
SEWORKS의 경우도 흥미롭다. 모바일 앱 보안 솔루션으로 시작해 샌프란시스코에서 해외 진출을 꿈꿨지만, 현재는 AI 기반 침투 테스트와 SOC 2 컴플라이언스 패키지를 함께 제공하는 구조로 변모해 있다. 외부 컴플라이언스 자동화 플랫폼인 Drata와 자사 Pentoma를 묶어 규제 대응까지 포함한 패키지 형태로 판매하고 있다. 무대만 한국에서 미국으로 바뀌었을 뿐, 실제 사업 구조는 규제와 구매가 일어나는 방향으로 재편되었다. 기술이 시장에 적응하는 방식은 국가가 달라도 비슷하게 나타난다.
다른 경로도 존재한다
물론 전혀 다른 방식으로 성장한 사례도 있다.
Metasploit, Burp Suite, Kali Linux와 같은 도구들은 특정 시장이나 규제에 맞춰 만들어진 제품이 아니라, 전 세계 보안 실무자들이 실제로 사용하는 문제를 해결하는 도구로 시작했다. 처음부터 “팔기 위한 제품"이라기보다 “쓰이기 위한 도구"로 출발했다. 특정 국가의 조달 구조나 납품 요구보다 글로벌 사용자 기반에서 먼저 채택되었고, 기술이 먼저 표준이 되었으며 그 위에 사업이 형성되는 구조가 만들어졌다.
이 경로는 앞선 사례들과 본질적으로 다르다. 앞선 사례들이 고객과 납품 구조를 중심으로 움직였다면, 이들은 사용자와 작업 흐름을 중심으로 성장했다. 차이는 기술력 그 자체보다, 어떤 시장을 겨냥했고 어떤 수준의 문제를 풀었는가에 있다.
지금은 AI에서 다시 같은 분기점이 보인다
흥미로운 것은 최근 AI 분야에서 이와 유사한 분기점이 다시 보인다는 점이다.
AI 기반 보안 도구들은 특정 시장이나 규제에 맞춰 만들어지기보다, 개발자와 보안 실무자의 실제 작업 흐름에 직접 들어가는 형태로 빠르게 확산되고 있다. Xbow가 단 1년 만에 3,200억 원을 조달하고 Microsoft와 통합 계약을 맺을 수 있었던 것도, 특정 고객의 납품 요구가 아니라 실무자의 작업 자체를 대체하는 도구로 포지셔닝했기 때문이다.
이 흐름은 Metasploit이나 Burp Suite와 같은 과거 사례와 닮아 있다. 기술이 먼저 사용자의 작업 흐름에 깊게 들어가고, 그 이후에 사업 구조가 형성되는 방식이다. 지금 AI 분야는 다시 한 번 시장이나 규제가 아니라 사용자 기반에서 표준이 만들어지는 시기일 수 있다.
결론
CTF를 잘하는 것, 업무를 잘하는 것, 사업을 잘하는 것은 서로 다른 문제다. 그리고 그보다 더 중요한 것은 무엇을 만들었는가가 아니라, 어떤 시장을 겨냥하고 어떤 수준의 문제를 해결하려고 했는가다.
고객과 계약을 기준으로 설계하면 서비스와 납품 구조로 이어지고, 사용자와 반복적인 작업 흐름을 기준으로 설계하면 제품과 표준으로 이어진다. 한국 시장의 규제와 납품 구조를 먼저 기준으로 삼는 순간, 글로벌 표준 도구로 갈 가능성은 급격히 낮아진다.
다만 이 선택은 단순한 전략 문제가 아니다. 대부분의 회사에게는 생존과 직결된 현실적인 제약이기도 하다. 첫 고객, 첫 매출, 첫 요구사항이 한국 시장에서 나오면 그 문법에 적응하는 것은 자연스러운 일이다. 그래서 이 글은 누군가를 비판하기 위한 글이 아니라, 왜 비슷한 패턴이 반복되는지를 이해해보기 위한 기록에 가깝다.
명확한 해답은 없다. 다만 적어도 하나는 분명해 보인다. 시장 선택과 문제 정의가 결국 제품의 운명을 결정한다.
참조 자료
1. 한국 보안 시장 규모 및 구조
| 자료 | 출처 | 주요 내용 |
|---|---|---|
| 2025 정보보호산업 실태조사 | 과기정통부·KISIA | 국내 정보보호 산업 매출 18조 5,945억 원, 수출 1조 8,722억 원(약 10%). 내수 의존 구조 수치로 방증 |
| 초라한 K보안…안랩 시총 0.6조 vs 美 팰로앨토 93조 | 한국경제 (2023) | 국내 보안 기업 90% 이상 비상장 중소기업, 매출 1,000억 초과 기업 6곳뿐 |
2. 규제 중심 시장 구조
| 자료 | 출처 | 주요 내용 |
|---|---|---|
| 글로벌 진출 5개의 장벽 ② 보안 규제의 벽 | 브런치 (2025) | 전자금융감독규정 등 특정 기술을 명시하는 규제 중심 시장 구조 분석. “갈라파고스 현상” 명시 |
| 이제 K-보안이다 | ZDNet Korea (2025) | 미국 시장에서 확실한 성공 사례 부재. “성공모델 부재"가 해외 진출 부진의 핵심 원인 |
| 세계로 도전하는 대한민국 사이버 보안 기업들 | 컴퓨터월드 (2024) | 정부의 2027년 30조 목표에 업계 냉소적. “내수 위주 시장이 30조가 되려면 공공기관 구매를 대폭 늘려야 한다” |
| 저평가 보안주…상장사 절반 이상 지난 1년새 하락 | ZDNet Korea (2026) | 해킹 사고 증가에도 국내 업체 투자 기대감 낮음. 글로벌 제품 대비 완성도 낮다는 전문가 진단 |
3. 기업별 데이터
| 기업 | 자료 출처 | 주요 수치 |
|---|---|---|
| 스틸리언 | 이크레더블 기업신용정보 (2024년 기준) | 총 매출 98억 원. AppSuit 19%, 컨설팅·서비스 80% 이상. 1위 고객 KISA(17%), 2위 미래과학아카데미(13%) |
| 엔키 | 이크레더블 기업신용정보 (2025년 상반기 기준) | 상위 2개 고객(미래과학아카데미 34% + LG유플러스 30%) = 전체 매출 64% |
| 티오리 | 박세준 대표 인터뷰 | 한국법인 2023년 매출 125억 원. 직원 100명 중 한국 90명. 솔루션 전환 시점 첫 손실 |
| SEWORKS | se.works 공식 웹사이트 | 모바일 앱 보안에서 Pentoma(AI 침투 테스트) + SOC 2 컴플라이언스 패키지로 사업 구조 전환 |
| Xbow | 공식 발표 자료 (2024~2025) | 2024년 창업. 누적 2억 3,700만 달러(약 3,200억 원) 조달. Microsoft Security Copilot·Sentinel 통합. 한국 GM 선임 |
5. 글로벌 제품 성장 모델 — Product-Led Growth (PLG)
| 자료 | 출처 | 주요 내용 |
|---|---|---|
| Product-Led Growth: What It Is and Why It’s Here to Stay | OpenView Partners | PLG 개념 정립. “판매 → 채택"이 아니라 “채택 → 판매” 순서로 뒤집힌 모델. 개발자는 영업 접촉 없이 먼저 제품을 써본다 |
| 10 Product-Led Growth Principles | Bessemer Venture Partners | PLG의 핵심은 제품 자체가 배포 채널이 되는 것. Atlassian은 창업 후 10년간 영업팀 없이 성장. HashiCorp는 개발자 커뮤니티 우선 전략으로 엔터프라이즈 시장 진입 |
| Product-Led Growth for Developer Tools | draft.dev | 개발자 도구의 채택 구조: “Product → Adoption → Payment → Sales(maybe)”. 개발자는 영업을 거부하고, 도구는 써보고 결정한다 |
| PLG companies grow faster post-$10M ARR | OpenView 2022 SaaS Report | PLG 기업은 ARR 1천만 달러 이후 비PLG 기업보다 2배 이상 빠르게 성장. IPO 후 48% 높은 매출 배수 기록 |
글과의 연결: Metasploit, Burp Suite, Kali Linux가 표준이 된 경로는 PLG의 보안 버전이다. 규제 납품이 아니라 실무자의 작업 흐름에 먼저 들어간 것이 핵심이다.
6. 오픈소스 → 상업화 경로 (보안 도구 사례)
| 자료 | 출처 | 주요 내용 |
|---|---|---|
| Rapid7 Acquires Metasploit | Redmond Magazine (2009) | Metasploit은 H.D. Moore가 2003년 개인 도구로 시작. 글로벌 실무자 채택 후 Rapid7이 인수해 상업화. “무료는 유지, 커뮤니티는 보존"이 원칙 |
| Burp Suite — Wikipedia | PortSwigger | 2003~2006년 Dafydd Stuttard가 자신의 테스트 자동화를 위해 개발 시작. 특정 고객 요구가 아닌 실무자 본인의 문제를 해결하며 시작 |
| Metasploit Framework 오픈소스 유지 | Rapid7 공식 | 커뮤니티 버전 무료 유지 + Pro 상업 버전 병행. 기술이 표준이 된 후 사업이 형성되는 구조 |
글과의 연결: 세 도구 모두 “팔기 위한 제품"이 아니라 “자신이 쓰기 위한 도구"로 시작했다. 표준이 먼저 되고 사업이 나중에 형성된 경로는 납품 계약이 먼저인 한국 보안 기업들과 본질적으로 다르다.
4. 산업 구조 분석 참고
| 자료 | 출처 | 주요 내용 |
|---|---|---|
| 체크리스트가 보안을 망친다? 형식만 남은 보안 위험 관리 | 삼성SDS 인사이트리포트 | 규제 준수 중심 문화가 보안 담당자를 관리자로 고착화. “사람을 관리자로 분류하면 제품도 관리 도구가 된다” |
| Does Korean Cybersecurity Stand a Fighting Chance? | LinkedIn (David Sehyeon Baek) | 한국 vs 이스라엘 보안 산업 비교. 문제 정의의 범위가 글로벌 성패를 갈랐다는 분석 |
| 한국 보안 솔루션의 글로벌 부진: 정리 내용 검증 및 추가 연구 방향 | 개인 연구 문서 | 국내 보안 시장의 컴플라이언스 의존 구조, 직무 분류 문제, 이스라엘 사례 비교 분석 |