[KOTRA] 인도네시아 사이버 보안 시장 현황

인도네시아 인터넷 사용시간 전 세계 1위
지리적 특성으로 지역별 인터넷 사용 환경 편차 커
전 세계 사이버 공격을 많이 받는 국가 3위

인도네시아 인터넷 환경 개요 

인도네시아 인터넷 서비스 제공자 협회(APJII)에 따르면, 2024년 인도네시아의 인터넷 보급률은 79.5%다. 인터넷 사용자 수는 우리나라 인구의 약 4배인 2억2000만 명에 달한다. 이들의 일일 평균 인터넷 접속 시간은 약 8시간이며, 특히 휴대전화를 통한 인터넷 접속 시간은 약 5시간으로 전 세계 1위다.

<인도네시아 인터넷 사용자 수>

[자료: 인도네시아 정보포탈(Indonesia baik.id)]

인도네시아는 1만7000여 개의 섬으로 이뤄진 국가로 3개의 시간대를 쓴다. 국토 한쪽 끝에서 반대쪽 끝까지 거리가 한국 인천에서 인도네시아 자카르타까지의 거리와 같을 정도로 넓은 나라이다.

이와 같은 지리적 특성으로 인해 인도네시아는 지역에 따라 인터넷 사용 환경의 편차가 크다. 인도네시아 인터넷 서비스 업계는 이런 인터넷 사용 환경의 편차를 가중했다.

인도네시아에는 인터넷 서비스 제공 업체가 1000여 개 존재하는데 이들이 무분별하게 상업성만 추구하면서 업체간 과도한 경쟁이 빚어졌고, 그 결과 인터넷 환경의 지역별 편차 문제가 더욱 심각해졌다는 것이다.

한편 2023년 12월에 발표된 스피드 테스트 글로벌 인덱스에 따르면, 인도네시아의 평균 인터넷 속도는 광대역 기준으로 29.43Mpbs(세계 181개국 중 126위)이며, 모바일 기준 25.37Mpbs(144개국 중 101위)로 다른 국가 대비 상대적으로 느린 편이다.

인도네시아 정부는 전국적인 디지털 인프라 확충을 위해 많은 노력을 기울이고 있다.

2019년 하반기 전국 광케이블 도입 사업(Palapa Ring Project)의 초기 단계가 완료돼, 일부 주요 지역에서 4G 인터넷 사용이 가능해졌다. 비상업적 지역에서의 인터넷 접근성 강화를 위한 연결망 구축 사업(Palapa Ring Integration Project)도 현재 추진 중이다.

법률로 인터넷 서비스의 상향 평준화를 강제하는 움직임도 있다. 최근 부디 아리 스티아부디 인도네시아 정보통신부 장관은 공급자가 판매할 수 있는 고정 광대역 서비스의 최소 한도를 제시하는 특별 규정을 만들 계획이라고 발표했다.

부디 장관은 인도네시아의 인터넷 속도가 필리핀, 캄보디아, 라오스 등 다른 동남아 국가보다 느리다는 사실을 언급하며 현재 5~10Mbps로 제공되고 있는 고정 광대역 서비스를 최소 수준으로 올려 100Mbps의 서비스를 제공할 것이라고 밝혔다.

<인도네시아 주요 섬 인터넷 보급률 및 사용자 비중>

* 자카르타는 JAWA섬에 위치
[자료: SURVEY INTERNET INDONESIA 2024]

인도네시아는 올해 8월 누산타라로 수도 이전을 단행하는데, 새 수도에 예정된 스페이스X의 대규모 투자도 주목할 필요가 있다.

스페이스X는 인도네시아의 새로운 수도 누산타라에서 5월 중순 네트워크 테스트를 시작했고, 연내 정상 운영을 목표로 하고 있다.

인도네시아 현지 매체 템포(Tempo)는 루훗 판자이탄 인도네시아 해양투자조정부장관이 5월 3일 ‘Jakarta Future Forum: Blue Horizons, Green Growth’ 포럼에서 인도네시아 정부와 스페이스X가 위성 기반 인터넷 시스템 운영을 위한 라이센스 계약을 체결했으며, 5월 내 인도네시아에서 스페이스X의 광대역 인터넷 서비스가 시작될 예정이라고 밝힌 사실을 보도했다.

해당 서비스는 새 수도 누산타라뿐 아니라 그간 지리적 요건으로 인터넷 서비스가 제공되지 못했던 지역에 우선 제공될 예정이다.

이를 통해 인도네시아의 인터넷 접근성과 지리적 편차가 대폭 개선될 것으로 기대된다.

인도네시아는 말레이시아와 필리핀에 이어 세 번째로 스타링크를 운용하는 국가로, 5월 19일부터 현재 발리의 보건센터 2곳과 동부 말루쿠주 아루섬 보건센터 1곳에서 스타링크를 통한 인터넷 접속 서비스가 가능하다.

사이버 위협에 직면한 2억1000만 명

정부의 대대적인 개혁과 해외 기업의 투자가 이어짐에 따라, 인도네시아 내 인터넷 사용 환경은 점차 개선되고 있다. 하지만 인터넷 사용자의 안전, 즉 사이버 위험과 관련된 문제점에 대해서는 아직 많은 우려가 존재한다.

2023년 인도네시아의 국가 사이버 보안 지수(NCSI)는 100점 만점에 63.64점으로 176개국 중 49위, 아세안 국가 중 5위에 해당한다.

2022년 개인정보보호법이 시행 이후, 사이버 보안 지수가 기존 38.96점에서 약 2배 가까이 상승한 것이다.

하지만 인도네시아는 여전히 사이버 위협에 노출돼 있다는 우려의 목소리가 있다. 대규모 사이버 테러가 연이어 일어났고, 최근에는 선거관리위원회 사이트에서 고정유권자명부가 해킹되는 사건이 발생했기 때문이다.

인도네시아 금융감독원은 지난 11월 인도네시아가 가장 많은 사이버 공격을 받는 국가 중 하나라고 밝혔다.

실제 인도네시아는 2022년 기준으로 러시아, 프랑스에 이어 세계에서 3번째로 사이버 공격을 많이 받은 국가이다.

인도네시아 국가사이버암호원(BSSN)에 따르면 2023년 한 해 약 3억6000건의 사이버 공격 시도가 인도네시아 전역에 걸쳐 이뤄졌다.

특히 수도인 자카르타의 경우 약 30%인 1억 건의 사이버 공격 시도를 받은 것으로 밝혀졌다. 공공행정 부문에서 가장 많은 공격을 받고 있으며, 에너지, 인사관리, 금융 부문에서도 사이버 공격 시도가 감지되고 있다. 주된 공격 방법은 악성코드(43%), 트로이 활동(35%)으로 밝혀졌다.

2022년 10월 온라인 정보를 통제하고 처리하는 기관과 기업에 방화벽 및 암호화 시스템 탑재를 요구하는 개인정보보호법이 제정됐다.

그러나 상황은 크게 달라지지 않았다. 제정 직후 인도네시아 보건부의 코로나19 추적 애플리케이션이 해킹당했을뿐 아니라, 2023년까지 금융 공기업을 포함한 약 58개의 금융기관과 기업이 사이버 공격에 노출됐다.

한편 해당 법률은 기관과 기업들이 보안 시스템을 구축하고 강화하는 데 2년의 유예기간을 부여했다.

미이행 시 행정처분 및 벌금 부과를 위해 신설하기로 한 데이터 보호 감독기관은 아직 설치되지 않은 것으로 확인된다. 즉, 아직 해당 규정 위반에 따른 별도 행정조치가 이뤄질 수 없는 상황이며, 해당 규정은 단순 가이드라인 역할만 하고 있다는 것이다.

인도네시아 사이버 보안시장 진출을 위해서는?

(1) 현지화와 적극적인 마케팅 활동이 필수적

인도네시아 ICT 비즈니스 협회(APTIKNAS) Fanky Christian 사무총장은 지난 2일 자카르타 무역관과의 인터뷰에서 “사이버 보안 기업에 인도네시아는 기회의 땅이 될 수 있다”고 말했다.

그는 “인도네시아 내 사이버 보안 솔루션 수요가 계속 증가하고 있다”며 “우수한 기술력을 바탕으로 한 한국 기업의 인도네시아 시장 진출을 위해선 ‘현지화’가 중요하다”고 강조했다.

그는 과거 자신이 추진했던 한국기업 A사의 사이버 보안 솔루션 도입 건이 무산된 이유를 밝히면서, 사용자 언어의 변환뿐 아니라 인터페이스 자체의 현지화가 필요하다고 설명했다.

즉, 단순히 한국어에서 영어나 인도네시아어로의 변화를 넘어 현지 사용자에게 적합한 메뉴 구성, 디자인, 사용법 등으로 솔루션을 변화시킬 필요가 있다는 것이다.

인도네시아 내 진출한 국내 금융사의 온라인 뱅킹시스템을 살펴보면 이를 더욱 직관적으로 확인할 수 있다.

H 금융사는 한국과 인도네시아에서 모두 모바일·온라인 뱅킹 서비스를 제공하지만 금융 상품 구성뿐 아니라, 애플리케이션 디자인, 웹사이트 디자인, 메뉴 구성 등 인터페이스 일체를 차별화해 운영하고 있다.

또한 Fanky Christian 사무총장은 “인도네시아에서 보안 솔루션을 선택하는 중요한 기준 중 하나가 브랜드의 인지도”라고 말했다.

특히 현재 어떤 기관과 기업들이 해당 서비스를 활용하고 있는지 알리는 것이 중요하며, 사이버 보안업 종사자들을 대상으로 하는 마케팅 활동이 병행돼야 함을 강조했다.

인도네시아 기관, 금융기관 등 사이버 보안 솔루션을 운영하는 회사들은 직원들에게 매년 특정 강의를 수강하거나 세미나를 의무적으로 참석하게 하고 이를 인사고과 등에 반영하고 있다.

이는 해당 강의나 세미나를 제공하는 협회·기관·단체들을 통한 마케팅 활동을 보다 적극적으로 활용할 필요가 있다는 것이다.

실제 인도네시아 ICT 비즈니스 협회는 최소 월 1회 사이버 보안과 관련된 웨비나를 진행하고 있으며, 특정 기업들의 후원을 받아 기업들의 솔루션을 홍보하는 역할도 수행하고 있다.

한편 그는 “하드웨어와 소프트웨어를 수입하는 기업과 이를 마케팅하고 유통하는 업체의 역할이 명백히 구분돼야 한다”고 강조했다.

즉, 한국기업의 지사가 현지에서 해당 솔루션을 수입하고 관리하는 주체가 되더라도, 이를 위한 마케팅이나 유통 활동을 하는 별도의 인도네시아 파트너가 필요하다는 것이다. 실제로 인도네시아에 진출한 다양한 외국 기업들 사이에서 수입과 관련된 행정 처리는 해외 법인 이름으로 하면서, 마케팅과 유통은 현지 기업의 이름으로 진행하는 사례를 쉽게 찾아볼 수 있다.

<인도네시아 사이버 보안 업체 TOP 5>

연번 회사명 홈페이지 참고사항(주요고객)
1 PINDAD https://pindad.com/  경찰청, 국방부, 국가사이버암호원 등
2 CYBERTECH SOLUSINDO https://cts.co.id/  금융기업, 석유공사, 국방부 등
3 APLIKAS SERVIS PESONA https://aplikas.com/  BCA, MANDIRI 등 대형 은행 및 TELKOMSEL, INDOSAT 등 IT 기업
4 LINTASARTA SECURITY https://www.lintasarta.net/  데이터 센터, Cloud Infra를 보유하고 있으며, 약 400개의 도시에 광섬유 네트워크를 구축
5 CLOUDMATIKA https://cloudmatika.co.id/  데이터 보관·보호 전문업체, Web Application Firewall, Disaster Recovery 서비스 등 제공

[자료: 기업 홈페이지 및 KOTRA 자카르타 무역관 자체정리]

(2) 개인정보보호법 유예기간 종료에 주목해야

2022년 발효된 개인정보보호법의 유예기간이 올해 10월에 종료되는 것도 주목해야 한다. 당초 해당 법률은 인도네시아 각 기관 및 기업에게 보안 시스템의 구축 및 강화를 강제하며 유예기간 2년을 부여했다.

특히 해당 법률의 요구사항을 지키지 못하면 처하는 구체적인 행정처분이 법률에 포함됐으나, 이를 시행 및 감독할 기관이 아직 설립되지 않았다는 문제점이 존재했다.

인도네시아 현지 매체 Antara에 따르면 인도네시아 정보통신부는 지난해 3분기부터 업계 전문가들에게 해당 법률의 시행과 관련해 다양한 의견을 수렴해 왔다.

또한, 개인 정보 감독기관 설립을 위한 규정은 이미 초안이 마련됐으며 올해 2분기 내 발표될 예정이다. 이에 따라 인도네시아 각 기관이나 기업들의 디지털 보안 자원에 대한 투자가 큰 폭으로 확대될 것으로 예측된다.

지난해 인도네시아 사이버 보안 회사인 팔로 알토 네트웍스(Palo Alto Networks)가 수행한 2023 아세안 사이버 보안 실태(State of Cybers Security ASEAN 2023) 설문조사에 따르면, 인도네시아 기업의 63%가 2022년 대비 2023년까지 사이버 보안에 할당된 예산을 증액시킨 것으로 나타난다.

한편, 인도네시아 사이버 암호원(BSSN)은 데이터 관리, 사이버 암호보안 및 복원에 할당된 예산을 2023년 6240억 루피아(약 532억 원)에서 2024년 7710억 루피아(약 658억 원)로 약 19% 증액했다.

개인정보보호법 유예기간 종료와 시행 및 감독 기관의 신설이 각 기관 및 기업들의 투자 확대로 이어지면서, 인도네시아 사이버 보안 시장의 성장을 가속하는 촉매가 될 것으로 보인다.

글로벌 시장조사기관인 모도르 인텔리전스(Modor intelligence)에 따르면, 인도네시아 사이버 보안 시장은 2024년 14억3000 달러에서 2024년부터 2029년까지 연평균 24.2% 성장해 2029년 42억1000 달러에 달할 것으로 예상된다.

<인도네시아 개인정보보호법 요약>

목         적  비즈니스 플랫폼에서 사용자들의 대규모 데이터 누출 및 소셜 미디어를 통해 의도적으로 공개된

개인데이터와 관련한 효율적인 규제 및 보호 촉진

주요 내용  (1) 기업의 정보보호관 임명 및 정보보호영향평가 시행 의무화

(2) 개인정보 유출 사건 72시간 내 통보 의무화

(3) 인도네시아 개인 데이터 보호기관 설립

(4) 연간 소득 및 매출액의 최대 2% 과태료, 손해 배상 청구 및 형사처벌까지 가능

[자료: KOTRA 자카르타무역관 자체정리]

시사점

세계 인구 대국 4위인 인도네시아의 절반 이상은 1990년대 초반~2000년대 초반에 태어난 MZ 세대로 이들에게 인터넷, 디지털은 필수적인 존재이다. 또한, 인도네시아 경제가 발전함에 따라 인터넷의 사용 범위는 지속해서 확대될 것이며, 동시에 사이버 보안에 대한 중요성은 더욱 강화될 것으로 보인다.

사이버 보안 부문에서의 한국과 인도네시아 간 협업이 지속되고 있는 것도 우리 기업에 좋은 기회이다.

한국인터넷진흥원(KISA)은 2022년 인도네시아 국가사이버암호원(BSSN)과 사이버 보안 협력을 위한 양해각서를 체결한 바 있다.

지난해 11월에는 과학기술정보통신부와 한국인터넷진흥원(KISA)이 함께 양국의 사이버 보안 협력 강화를 위한 ‘역량 강화 프로그램’을 개최하기도 했다. 또, 올해 5월 30일 한국인터넷진흥원(KISA)은 우리 기업을 대상으로 인도네시아의 IT 및 정보보호 시장 소개를 위한 웨비나를 개최할 예정이다.

현지 파트너를 발굴하거나, 인도네시아 사이버 보안 시장의 생생한 트렌드를 확인하기 위해 전시회 등의 행사에 참가하는 것도 좋은 방법이다. 아래 두 행사는 현지에서 개최되는 사이버 보안 부문 전시회 및 포럼 중 가장 대표적인 행사이다.

(1)  ‘CyberSecIndonesia 2024’ (https://cybersecasia.org) / 7월 18일, 자카르타

(2)  ‘INDOSECURITY EXPO & FORUM’ ( https://indosecurity.com/) / 9월 18일 ~ 20일, 자카르타

올해 인도네시아 사이버 보안 시장에는 큰 변화가 예정되어 있다. 개인정보 보호법의 2년 유예기간이 종료되는 것과 함께, 규정 준수 여부를 관리 및 감독하는 기관이 신설될 예정이기 때문이다.

이러한 변화를 사전에 인지하고, 현지의 트렌드를 명확히 파악하여 함께 성장할 수 있는 현지 파트너를 찾는다면, 우리 기업의 인도네시아 사이버 보안 시장으로의 진출이 더욱 확대될 것으로 기대된다.

자료: 인도네시아 정보통신부, 인도네시아 국가사이버암호원(BSSN), 인도네시아 경찰청, 인도네시아 정보포탈(Indonesia baik.id), 인도네시아 ICT 비즈니스 협회(APTIKNAS), 인도네시아 인터넷 서비스 제공자 협회(APJII), 인도네시아 금융감독원(OJK), 인도네시아 언론사(KOMPASS, Tempo, Antara, Jakarta Post), 한국인터넷진흥원(KISA) 등 KOTRA 자카르타 무역관 자료 종합

<저작권자 : ⓒ KOTRA & KOTRA 해외시장뉴스>

<저작권자 ⓒ한인포스트, 무단 전재 및 재배포 금지. 인용시 사전허가>