1. 퇴역식
이스라엘 남부 네게브 사막. 수십 개의 위성 접시 안테나와 30개 이상의 청취 안테나가 펼쳐진 우림(Urim) 기지. 세계 최대급 신호정보 시설 중 하나다. 이곳에서 만 21세의 청년들이 퇴역증을 받는다.
8200부대(Unit 8200). 미국 NSA에 해당하는 이스라엘의 신호정보 및 사이버전 엘리트 부대. 영국 왕립통합국방연구소(RUSI)는 "규모를 제외하면 모든 면에서 NSA와 대등하다"고 평가한 바 있다. 통신 도청, 암호 해독, 사이버전, 방첩, 감시 — 이 부대가 다루는 영역은 현대 전쟁의 보이지 않는 전선 전체다.
퇴역하는 이 청년들은 3년 동안 무엇을 했는가. 실제 국가 수준의 사이버 위협에 대응했다. 적국의 통신을 감청하고, 실시간 해킹 공격을 방어하고, 공격 도구를 직접 개발했다. 학교에서 이론을 배운 것이 아니다. 전장에서 실전을 했다.
그래서 이 청년들이 퇴역증을 받는 순간, 텔아비브의 벤처캐피털(VC)들이 주목한다. LinkedIn 프로필에 "Unit 8200 alumni"라는 한 줄이 적히는 순간, 그것은 채용 시장에서 브랜드가 된다. 스타트업 창업 자금이 모인다. 투자자들이 줄을 선다.
8200부대 동문이 창업한 스타트업은 1,000개 이상. 동문 주도 스타트업의 평균 인수 가치는 3억 1,700만 달러. 그리고 2026년 3월, 그 정점이 찍혔다. 구글이 이스라엘 사이버보안 기업 위즈(Wiz)를 320억 달러에 인수한 것이다. 이스라엘 역사상 최대 엑시트. 위즈의 공동창업자 아사프 라파포트는 — 8200부대 출신이다.
이 나라에서는 전쟁이 유니콘을 낳는다.
2. 국가가 인재를 찾아낸다
8200부대의 인재 발굴 파이프라인은 징집 훈련 이전부터 시작된다.
초·중학교: IDF(이스라엘 방위군) 모집관들이 방과후 컴퓨터 프로그래밍 수업을 돌며 잠재적 인재를 사전 식별한다. 10대 초반에 국가가 먼저 재능을 찾아나서는 것이다.
고등학교: 약 2,000명의 지원자 중 500명을 선발하는 집중 소프트웨어 엔지니어링 및 사이버보안 3년 과정. 사실상 8200부대의 전 단계 양성 과정이다. 선발 기준은 상위 5퍼센트 이내의 지능, 창의적 사고, 집중력, 그리고 "조국에 대한 헌신."
만 18세 징집: 최종 선발. 3년간 세계 최첨단 사이버 인프라에서 실전 문제를 풀며 복무한다.
8200부대보다 더 높은 층위가 있다. 탈피오트(Talpiot) 프로그램. 1979년 시작된 이 프로그램은 매년 50명만 선발한다. 지원 자격은 상위 5퍼센트 이내의 지능, 리더십, 그리고 "창의적 집착"이라 불리는 자질. 초등학교 때부터 모니터링이 시작되고, 중학교·고등학교 방과후 프로그램을 거쳐 최종 선발된다. 입대 후에는 물리학, 수학, 컴퓨터공학의 집중 교육과 함께 육군·해군·공군 현장을 순환한다. 전차 안에도, 잠수함 안에도, 전투기 조종석 뒤에도 앉아본다. 각 군의 실전 문제를 직접 체감한 뒤, 그 문제를 해결하는 기술을 개발하는 것이 탈피오트의 교육 철학이다. 복무 의무는 총 9년. 20대의 거의 전부를 국방에 바치는 것이다. 졸업 후 3분의 1은 IDF 연구개발에 남고, 3분의 1은 학계로, 3분의 1은 민간 산업계로 간다.
그리고 잘 알려지지 않은 81부대(Unit 81). IDF 군사정보국 특수작전부 소속으로, 첩보 작전을 위한 맞춤형 첨단 기술을 개발한다. 일상 물체에 통합된 초소형 카메라, 테니스 라켓 손잡이에 숨긴 송신기 — 스파이 영화의 소도구를 실제로 만드는 곳이다. 이스라엘 국가방위상을 37회 수상한 이 부대에서, 지난 10년간 출신 100명이 50개 기술 기업을 창업했고, 누적 투자 유치 40억 달러 이상, 기업 가치 합산 100억 달러 이상. 위즈의 공동창업자 중 한 명도 81부대 출신이다.
이 구조를 세 문장으로 요약할 수 있다.
국가가 인재를 발굴하고, 군이 실전 기술을 가르치고, 민간이 상업화한다.
3장에서 리콴유가 싱가포르의 불가결성을 "설계"했던 것처럼, 이스라엘은 혁신 파이프라인을 설계했다. 다만 싱가포르가 제도와 자본으로 설계한 반면, 이스라엘은 안보 위협 그 자체를 원료로 사용했다. 위협이 인재를 끌어들이고, 인재가 기술을 만들고, 기술이 산업이 된다.
3. 스타트업 네이션의 숫자들
이스라엘 혁신 생태계의 규모를 숫자로 보자.
R&D 투자의 GDP 대비 비율: 6.35퍼센트. 세계 1위. OECD 평균(2.7퍼센트)의 2.3배. 한국(4.96퍼센트)도 OECD 2위이지만, 이스라엘에는 한참 못 미친다.
인구 100만 명당 유니콘(기업 가치 10억 달러 이상 스타트업) 수: 5.62개. 압도적 세계 1위. 한국은 100만 명당 약 0.25개. 이스라엘의 22분의 1이다.
나스닥 상장 기업 수: 135개. 미국, 캐나다, 중국 다음 세계 4위. 인구 980만 명의 나라가.
다국적 기업 R&D 센터: 434개. 인텔이 직접 고용 1만 명에 간접 지원 3만 명을 운영하고, 구글, 마이크로소프트, 애플, 메타, 시스코가 모두 이스라엘에 R&D 거점을 두고 있다. 이 센터들은 이스라엘 기술 인력의 3분의 1을 고용하고, 전체 R&D 지출의 40퍼센트를 담당한다.
2025년 이스라엘 VC 투자: 156억 달러. 역대 2위(1위는 2021년 256억 달러). 2023년 가자 전쟁 충격으로 69억 달러까지 떨어졌다가, AI 붐에 힘입어 2년 만에 두 배 이상 반등했다.
그리고 2026년 3월, 이 숫자들의 정점이 찍혔다.
구글이 이스라엘 클라우드 보안 기업 위즈(Wiz)를 320억 달러에 인수한 것이다. 이스라엘 역사상 최대 엑시트. 그런데 이 거래에는 전사(前史)가 있다. 2024년 여름, 구글은 위즈에 230억 달러를 제안했다. 위즈의 공동창업자 아사프 라파포트는 거절했다. 당시 위즈의 연간 반복 매출(ARR)은 5억 달러. 그가 230억 달러를 거절한 이유는 "아직 더 클 수 있다"는 것이었다. 18개월 뒤, 구글은 90억 달러를 더 얹어 다시 찾아왔다. 라파포트는 수락했다. 그의 경력의 시작점은 — 8200부대였다.
이 일화가 보여주는 것은 숫자만이 아니다. 이스라엘 창업자들의 자기 확신, 글로벌 시장에서의 협상력, 그리고 8200부대에서 배운 "목표를 높게 잡아라"는 문화가 320억 달러짜리 엑시트로 응축된 것이다.
하이테크 부문이 GDP의 약 17퍼센트, 수출의 57퍼센트(2025년 상반기 역대 최고), 전체 고용의 11.5퍼센트를 차지한다. 11.5퍼센트의 인구가 경제의 핵심 동력을 구성하는 구조 — 4장에서 보았던 대만의 이중 경제와 놀라울 정도로 닮았다.
그러나 이스라엘이 대만과 결정적으로 다른 점이 하나 있다.
4. 기본값이 글로벌
대만의 TSMC는 글로벌 기업이지만, 대만 내수 시장 위에서 성장했다. 이스라엘 스타트업은 처음부터 내수가 없다. 인구 980만 명. 서울 인구보다 적다. 이 나라에서 "국내 시장 점유율"이라는 개념은 존재하지 않는다.
그래서 이스라엘 창업자들은 시드 단계부터 글로벌 시장을 목표로 한다. 투자자들도 "글로벌 스토리"가 없는 이스라엘 스타트업에는 투자하지 않는다. 시장 제약이 강제한 글로벌 마인드셋이, 역설적으로, 경쟁력이 된 것이다.
한국과 비교해보자. 인구 5,200만 명, GDP 세계 13위. 한국의 내수 시장은 충분히 크다. 쿠팡, 카카오, 네이버는 거대한 국내 기업이지만, 글로벌 시장에서의 존재감은 미약하다. "내수 먼저, 글로벌은 나중"이라는 논리가 글로벌 스케일업을 구조적으로 지연시킨다.
이스라엘의 체크포인트(방화벽), 사이버아크(특권접근보안), 위즈(클라우드보안)는 창업부터 글로벌 기업으로 설계됐다. 이스라엘에서 팔 시장 자체가 없었기 때문이다.
여기에 글로벌 유대인 디아스포라 네트워크가 더해진다. 세계 유대인 인구 약 1,500만 명, 그중 700만 명이 미국에 있다. 금융·기술·정치 분야의 핵심 위치에 분포한 이 네트워크가 이스라엘 스타트업에게 실리콘밸리와 월스트리트로 가는 다리를 놓아준다.
한국 해외 교민도 약 700만 명이다. 규모는 비슷하다. 그러나 글로벌 권력 핵심부에서의 영향력은 이스라엘 디아스포라와 비교가 되지 않는다. 이것은 배우고 싶다고 배울 수 있는 것이 아니다. 수천 년의 역사가 만들어낸 구조적 조건이다.
5. 같은 징병제, 다른 결과
이스라엘과 한국. 둘 다 의무 징병제를 시행하는 나라다. 그런데 군 복무가 만들어내는 결과는 정반대다.
이스라엘에서 군 복무는 경력 런치패드다. 8200부대에서 3년간 실전 사이버 작전을 수행한 청년은 전역 후 가장 뜨거운 인재가 된다. VC들이 먼저 찾아온다. "8200 출신"이라는 브랜드가 첫 번째 투자를 끌어온다. 동문 네트워크가 두 번째, 세 번째 창업을 지원한다. 군이 만들어준 신뢰 관계가 창업 생태계의 뿌리가 된다.
한국에서 군 복무는 경력 공백이다. 한국 사이버사령부는 2011년 창설되어 사이버 작전을 담당한다. 2024년에는 방어에서 공세로의 전환을 목표로 한 국가 사이버안보 전략이 발표됐다. 그러나 군 사이버 인력이 전역 후 민간 시장으로 연결되는 메커니즘이 없다. 복무 경험이 채용 시장에서 브랜드가 되지 않는다. 오히려 "2년 동안 뭘 했냐"는 질문에 방어적으로 답해야 하는 공백으로 인식된다.
이것이 같은 징병제에서 혁신 생태계가 극명하게 갈리는 근본 원인 중 하나다.
차이는 구조적이다. 이스라엘은 초등학교부터 인재를 발굴하고, 군이 실전 기술을 가르치고, 전역 후 민간 전환을 제도적으로 지원한다. 한국은 그 어느 것도 체계적으로 연결되어 있지 않다.
한국의 사이버 안보는 세 곳으로 분절되어 있다. 민간 사이버 안보는 KISA(한국인터넷진흥원)가, 공공 영역은 국가정보원이, 국방은 사이버작전사령부가 각각 담당한다. 세 기관 사이의 인력 이동은 거의 없고, 정보 공유는 제도적으로 제한되며, 군에서 축적한 사이버 인텔리전스가 민간 산업으로 흘러가는 파이프라인이 존재하지 않는다. 보안 인가 문제, 기술 이전 제약, 창업 생태계 지원 부재가 겹친다. 공공 부문의 낮은 처우가 우수 인력의 대기업 혹은 해외 유출을 낳고, 그 공백이 대응 역량의 저하로 이어지는 악순환이다.
결과적으로 이스라엘은 매년 수백 명의 세계 최고 수준 사이버 전문가를 민간 시장에 공급하고, 한국은 매년 수십만 명의 청년을 군에 보낸 뒤 "경험의 단절"로 돌려보낸다. 이스라엘 8200부대 출신의 LinkedIn 프로필은 채용 시장에서 브랜드다. 한국 사이버사령부 출신의 이력서는 — 복무 기간이 공백란으로 남는다.
6. 지붕 없는 건물
여기서 시선을 돌려보자. 이스라엘이 사이버 위협을 혁신의 원료로 전환하는 동안, 한국은 같은 위협 앞에서 무엇을 하고 있는가.
2024년 3월, 국가정보원은 충격적인 발표를 했다. 북한 해커들이 국내 반도체 제조업체 2곳의 서버에 침투해 제품 설계 도면과 시설 사진을 포함한 핵심 데이터를 탈취했다.
반도체는 한국 불가결성 전략의 심장이다. 그 심장의 설계도가 복사된 것이다.
북한 라자루스 그룹의 전적을 보자. 2016년 방글라데시 중앙은행 SWIFT 해킹(8,100만 달러). 2022년 로닌 브리지 해킹(6억 2,000만 달러). 2024년 다수 암호화폐 거래소(약 13억 달러). 그리고 2025년 2월, Bybit 거래소 단일 해킹으로 15억 달러. 누적 탈취 규모: 약 67억 5,000만 달러. 백악관 국가안보회의는 "북한 미사일 프로그램 비용의 약 절반이 사이버 공격과 암호화폐 탈취로 충당된다"고 밝혔다.
해킹으로 핵미사일 개발 자금을 버는 국가가, 바로 휴전선 너머에 있다.
그리고 그 국가는 돈만 훔치지 않는다. 2022년 10월부터 2023년 7월까지, 한국 경찰청 수사에 따르면 북한 해킹 그룹 3개 — 라자루스, 킴수키, 안다리엘 — 가 국내 방산업체 83곳의 네트워크 침투를 시도했다. 그중 약 10개 기업에서 기밀 자료가 실제로 탈취됐다. 안다리엘은 한국항공우주산업(KAI)의 서버를 침투해 한국이 독자 개발한 4.5세대 전투기 KF-21의 날개·동체 설계 도면을 빼냈다. 킴수키는 조선소에 침투해 잠수함 기술을 탈취했다. 2023년 12월에는 안다리엘이 방산 협력업체를 통해 대공 무기 시스템의 민감 정보까지 절취했다. 한화에어로스페이스, KAI, LIG넥스원, 현대로템 — 한국 주요 방산업체 모두가 표적이 됐다.
반도체 설계 도면, 전투기 도면, 잠수함 기술, 대공 무기 체계. 한국 불가결성 전략의 모든 축이 동시에 공격받고 있다.
2025년 4월, SK텔레콤 사태가 터졌다. 국내 최대 이동통신사의 홈 가입자 서버에 악성코드가 심어져, 2,300만 명의 가입자 정보가 유출됐다. 한국 전체 인구의 45퍼센트. 개인정보보호위원회는 역대 통신사 최고 과징금 9,690만 달러를 부과했다.
같은 해, 한국인터넷진흥원(KISA)에 보고된 기업 침해 사고는 2,383건. 전년 대비 26퍼센트 증가. KISA의 침해 대응 인력은 132명. 2022년 대비 9명 늘었다. 그 사이 침해 사건은 수백 건 늘었는데, 대응 인력은 9명 늘었다.
이것이 문제의 핵심이다. 이스라엘은 사이버 위협을 산업으로 전환한다. 위협의 강도가 투자의 강도를 결정하고, 투자의 강도가 역량의 수준을 결정하고, 역량의 수준이 수출 가능한 제품을 만든다. 이스라엘 사이버보안 스타트업은 글로벌 500대 기업 중 12퍼센트를 차지하고, 미국 사이버보안 전체 펀딩의 40퍼센트에 해당하는 규모를 유치한다.
이 격차는 어제오늘의 일이 아니다. 2014년 12월, 한국수력원자력(한수원)에 대한 해킹 공격이 터졌다. 해커 조직은 직원 3,571명에게 악성코드 이메일 5,986통을 발송했다. 유출된 자료에는 월성 1호기 배관 도면, 원자로 냉각시스템 밸브 도면, 원전 제어프로그램 해설서가 포함됐다. 원전의 설계도가 유출된 것이다. 수사 당국은 중국 선양 경유 IP와 북한 접속 흔적을 근거로 킴수키의 소행으로 결론지었다. 10년 전의 원전 도면, 그리고 2024년의 반도체 설계 도면. 달라진 것은 표적의 종류뿐, 방어의 구조는 바뀌지 않았다.
한편 해킹만이 문제가 아니다. 사람을 통한 유출도 있다. 중국 기업 CXMT(창신메모리)와 연계된 반도체 기술 유출 사건에서 삼성·SK하이닉스 출신 인력 10명이 기소됐다. 탈취된 IP를 활용한 CXMT는 2023년 10나노급 DRAM 양산에 성공했는데, 이는 업계 예측보다 수년 앞선 것이었다. 2018년 이후 반도체 관련 기술 유출 사건은 30건 이상, 최근 5년간 적발된 핵심 기술 유출 104건 중 60건(58퍼센트)이 반도체·디스플레이·배터리 등 국가 전략기술과 관련됐다.
위협은 더 진화하고 있다. 2024~2025년, 북한은 새로운 전술을 배치했다. 생성형 AI를 활용해 가짜 신원 서류를 만들고, 화상 면접에서 외모와 목소리를 변조해 미국·유럽·아시아의 IT 기업에 위장 취업하는 것이다. CrowdStrike가 "Famous Chollima"로 명명한 이 북한 IT 위장 취업 그룹은 2024년 한 해에만 304건의 사건에 관여했다. 한 명이 동시에 6~7개의 계약직을 수행하며 급여를 북한 정권으로 송금한다. Fortune 500 기업까지 침투했다. 해킹이 아니라 채용 프로세스를 통해 합법적으로 내부에 들어오는 것이다. 방화벽으로는 막을 수 없다.
한국은 매일 150만 건의 사이버 공격을 받으면서, 그 공격을 산업으로 전환하는 대신 매년 더 많은 피해를 입고 있다.
이 책이 제시하는 불가결성의 다섯 가지 조건 — 기술적 독점, 공급망 비대칭, 제도적 유연성, 인재 생태계, 안보-경제 균형 — 은 모두 하나의 전제 위에 서 있다. 그 기술 자산이 보호되어야 한다는 것. 탈취 가능한 기술은 독점이 아니다.
이스라엘의 사례는 여섯 번째 조건을 제안한다. 사이버 방어 역량. 기술 자산의 보존 가능성, 디지털 인프라의 신뢰성, 파트너국의 안보 신뢰. 이 세 가지가 결합된 조건.
한국의 반도체 설계 도면이 복사되고, 2,300만 명의 통신 정보가 유출되고, 방산업체 83곳에 침투가 시도되는 나라에서, 불가결성 전략은 지붕 없는 건물을 짓는 것과 같다.
7. 갈라파고스의 거울
그런데 여기서 한 가지 질문을 더 해야 한다. 한국의 사이버 안보가 취약한 이유는 단지 투자 부족 때문인가. 아니다. 더 깊은 구조적 문제가 있다. 한국의 보안 산업 자체가 세계와 단절된 채 진화해왔다.
2024년 가을, 텔아비브. 구글 인수 협상이 막바지에 오른 위즈(Wiz) 본사에서, 아시아태평양 전략팀이 한국 시장 보고서를 검토하고 있었다. 한국 공공 부문 보안 시장 — 연간 2조 원 이상, 성장률 두 자릿수. 매력적인 숫자였다. 석 달 뒤, 그 폴더는 닫혔다. 이유는 단순했다. 한국의 물리적 망분리 규정 때문에 클라우드 기반 SaaS 보안 솔루션 자체를 도입할 수 없었다. 위즈의 제품은 클라우드 환경에서 실시간으로 취약점을 탐지하는 도구다. 인터넷과 업무망이 물리적으로 분리된 환경에서는 작동 자체가 불가능하다.
거울을 뒤집어 보자. 한국의 보안 기업이 미국 연방정부 시장에 진출을 시도한다. FedRAMP — 미국 연방정부의 클라우드 보안 인증 체계 — 심사관이 묻는다. "이 솔루션은 제로 트러스트 아키텍처에서 어떻게 작동합니까?" 한국 기업의 솔루션은 망분리 환경에 최적화되어 있다. 제로 트러스트 기반의 클라우드 환경을 전제로 설계된 적이 없다. 대답하지 못한다.
들어오지 못하는 것과, 나가지 못하는 것. 같은 규제가 만든 양면이다.
이것은 새로운 문제가 아니다. 한국의 IT 갈라파고스는 4반세기의 역사를 가진다. 1999년, 한국은 전자서명법을 제정하면서 공인인증서를 사실상 강제했다. 은행, 공공기관, 전자상거래 — 어디서든 마이크로소프트 인터넷 익스플로러의 ActiveX 플러그인을 설치해야 했다. 이 기술은 보안을 위해 도입됐지만, 결과적으로 한국의 전체 웹 생태계를 하나의 브라우저, 하나의 운영체제에 묶어버렸다. 구글 크롬이 세계 브라우저 시장을 석권하는 동안, 한국의 관공서와 은행은 인터넷 익스플로러에서만 작동했다. 모바일 시대가 왔을 때, 한국인은 스마트폰에서 별도의 보안 앱 3~4개를 설치해야 은행 업무를 볼 수 있었다.
2020년에야 공인인증서 독점이 폐지됐다. 21년이 걸렸다. 그 21년 동안 한국의 보안 산업은 폐쇄적 환경에서 진화했다. 글로벌 시장에서 통용되는 제로 트러스트, 클라우드 네이티브, API 기반 보안 체계와 다른 경로를 걸었다. 갈라파고스 제도의 생물들이 대륙의 종과 다르게 진화한 것처럼.
망분리 규정이 그 연장선이다. 한국의 공공기관과 금융기관은 외부 인터넷과 내부 업무망을 물리적으로 분리해야 한다. 2006년 도입 당시에는 합리적인 방어 수단이었다. 그러나 2025년, 전 세계 기업의 85퍼센트 이상이 클라우드 환경으로 이전한 시대에 물리적 망분리는 시대착오가 됐다. 미국은 위험 기반 접근으로 전환했고, 영국 국가사이버보안센터(NCSC)는 "설계 단계부터 보안을 내장하라"는 원칙을 채택했다. 에스토니아는 전 국민 디지털 ID 기반의 엑스로드(X-Road) 시스템 위에 사이버 거버넌스를 구축해, 인구 130만의 소국이 NATO 사이버방어센터(CCDCOE)를 유치하고 세계의 디지털 정부 표준을 제시하고 있다.
한국만 물리적 분리에 머물러 있다. 세계 최고 수준의 인터넷 속도, 5G 보급률 세계 1위, 디지털 정부 순위 상위권 — 이 모든 인프라 위에 구축된 보안 체계가 글로벌 표준과 단절되어 있다는 것은 역설을 넘어 모순이다.
여기서 이 책의 핵심 공식을 다시 꺼내야 한다. 기술 혁신 → 자본 집중 → 사회 불안 → 제도 재설계. 4장의 대만, 바로 앞 섹션의 이스라엘, 6장의 싱가포르 — 모두 이 방향으로 움직였다. 그러나 한국의 사이버 안보 영역은 이 공식을 역방향으로 적용해야 하는 유일한 영역이다. 제도 재설계가 먼저이고, 기술 혁신은 그 다음이다. 망분리 규정을 위험 기반 체계로 전환하지 않으면, 아무리 뛰어난 보안 인력을 배출해도 글로벌 시장에서 경쟁할 제품을 만들 수 없다. 규제가 기술의 천장이 된 것이다.
비상 상황에서 채택한 생존 메커니즘은, 너무 오래 유지하면 만성 질환이 된다. 공인인증서가 그랬고, 망분리가 지금 그렇다. 우리를 보호했던 방패가, 우리가 밖으로 나가는 문을 막아버렸다.
8. 스타트업 네이션의 그림자
이스라엘을 이상화하기 전에, 이 나라의 그림자를 봐야 한다.
이스라엘의 "후츠파(chutzpah)" 문화 — 권위에 대한 도전, 위계 없는 토론, 실패를 통한 학습 — 는 혁신의 원천이지만, 그 이면도 있다. 후츠파는 양면을 가진다. 이스라엘 스타트업 모두(Modu)는 세계 최소형 휴대폰을 만들겠다며 3년 만에 1억 2,000만 달러를 소진하고 폐업했다. 그런데 직원들은 자책하지 않았다. 수십 개의 새 스타트업을 창업했다. 실패가 수치가 아니라 이력이 되는 문화. 한국에서 창업 실패는 여전히 신용불량과 사회적 낙인을 의미한다. 같은 실패를 두 사회가 정반대로 처리하는 방식이, 스타트업 생태계의 밀도를 결정한다.
하레디(Haredi)의 징병 면제 문제도 그림자의 일부다. 이스라엘의 초정통파 유대교(하레디) 공동체는 인구의 약 13퍼센트를 차지하지만, 건국 이래 징병을 면제받아왔다. 종교 연구에 전념한다는 이유다. 하레디 남성의 경제활동 참가율은 50퍼센트 미만. 가자 전쟁으로 병력 수요가 급증하면서, 2024년 이스라엘 대법원은 하레디 징병 의무를 확인하는 판결을 내렸지만, 정치적 연립 구조 때문에 실질적 집행은 난항을 겪고 있다. 11.5퍼센트의 하이테크 인력이 경제를 견인하고, 13퍼센트의 하레디가 그 부담에서 빠져 있는 구조 — 스타트업 네이션의 성공 아래 숨은 사회적 균열이다.
전쟁은 혁신의 동력이지만 동시에 가장 혹독한 대가를 치르게 한다. 2023년 10월 7일 하마스 공격과 이후 가자 전쟁. 4분기 GDP가 연율 기준 마이너스 20.7퍼센트 급락했다. 전쟁 관련 비용은 이스라엘 중앙은행 추산 556억 달러. 재정 적자는 GDP 대비 7.8퍼센트로 치솟았다. 기술 인력이 대거 군에 소집되면서 스타트업 운영이 마비됐고, 인텔은 250억 달러 규모 신규 공장 건설을 취소했다. 외국 투자자들의 거래 건수는 전년 대비 42퍼센트 감소했다.
안보 위기가 혁신의 동력이 되는 것은 사실이지만, 그 안보 위기가 현실화되면 혁신 생태계 자체가 흔들린다. 이것이 이스라엘 모델의 근본적 취약성이다.
두뇌 유출도 심각하다. 2023년 1월부터 2024년 9월까지 20개월 동안 약 9만 명이 이스라엘을 떠났다. 박사, 의사, 엔지니어 포함. 엔지니어만 약 3,000명 — 2022년의 세 배. 사법 개혁 논란과 가자 전쟁이 겹치면서, 이스라엘 최고의 인재들이 실리콘밸리로 이동하고 있다.
일부 연구자들은 이것을 "두뇌 순환"이라 부른다. 해외 이스라엘 인재들이 귀국하거나, 현지에서 이스라엘 스타트업에 투자하는 경우가 많다는 것이다. 그러나 순환의 속도보다 유출의 속도가 빠르다면, 그것은 순환이 아니라 출혈이다.
이중 경제의 균열도 깊다. 기술직 평균 임금은 일반 경제 평균의 두 배 이상이다. 지난 10년간 하이테크와 전체 경제의 임금 격차는 29퍼센트 확대됐다. OECD 내 소득 불평등 최고 수준 국가 중 하나. 4장에서 보았던 대만의 이중 경제 — 반도체 엔지니어와 편의점 직원의 격차 — 가 이스라엘에서도 그대로 반복된다. 11.5퍼센트의 하이테크 종사자가 경제의 핵심 동력인 구조에서, 나머지 88.5퍼센트는 어떤 이스라엘에 살고 있는가.
스케일업의 부재는 이스라엘 스타트업 생태계의 고질적 약점이다. 그 중심에는 조기 매각 문화가 있다. 회사를 글로벌 대기업으로 키우는 것보다, 구글이나 마이크로소프트에 일찍 팔아버리는 것을 선호한다. 스타트업 네이션 저자 사울 싱어의 말: "이스라엘은 스타트업에 뛰어나지만 스케일업이 매우 어렵다."
위즈의 320억 달러가 이 역설의 정점이다. 이 거래는 두 가지를 동시에 증명한다. 첫째, 개방된 생태계의 힘이다. 위즈가 4년 만에 320억 달러 가치를 만들 수 있었던 것은 이스라엘의 보안 산업이 처음부터 글로벌 표준 — 클라우드 네이티브, 제로 트러스트, API 기반 — 위에 구축되었기 때문이다. 7장에서 본 갈라파고스의 거울과 정확히 반대되는 경로다. 둘째, 성공의 규모가 자국에 머물지 않는다는 한계다. 320억 달러의 가치는 결국 구글의 자산이 됐다. 이스라엘에 남는 것은 창업자들의 자산과 동문 네트워크, 그리고 다음 세대 창업의 씨앗이다. 파이프라인은 작동하지만, 파이프라인의 출구가 자국이 아니라 실리콘밸리에 있다.
삼성은 이스라엘에 R&D 센터를 두고 기술을 흡수하지만, 이스라엘에는 삼성급의 자국 대기업이 없다. 스타트업을 만드는 데는 세계 최고이지만, 그것을 자국의 산업 기반으로 키우는 데는 실패하고 있다. "많은 스타트업, 적은 대기업"이라는 역설이 이스라엘 모델의 천장이다.
9. 미중 사이의 이스라엘
이스라엘도 "사이"에 있다. 다만 한국과는 다른 종류의 사이다.
2015년, 이스라엘은 상하이국제항만그룹(SIPG)에 하이파 신항 운영권을 25년, 17억 달러 규모로 발주했다. 문제는 하이파가 미 해군 6함대의 훈련지이자 전시 기지라는 것이었다. 미 해군은 SIPG 운영 시작 후 하이파 기항을 중단할 수 있다고 경고했다. 2020년 5월, 마이크 폼페이오 미 국무장관이 직접 이스라엘을 찾아 말했다. "중국 공산당이 이스라엘 인프라와 통신 시스템에 접근하는 것을 원하지 않는다."
이후 이스라엘은 빠르게 방향을 틀었다. 상징적 사건은 소렉 2(Sorek 2) 담수화 플랜트 입찰이었다. 세계 최대 규모의 역삼투 담수화 시설 건설 프로젝트에 중국 기업이 가장 낮은 가격을 제시했다. 이스라엘은 그 입찰을 거부하고 자국 기업 IDE Technologies에 발주했다. 비용보다 안보를 택한 것이다. 화웨이 5G 네트워크 협상도 중단했다. 2019년 10월에는 미국 CFIUS를 모델로 한 외국인 투자 심사 위원회를 설립해 금융, 통신, 인프라, 운송, 에너지 분야의 외국 투자를 사전 심사하기 시작했다. 하나하나가 중국을 겨냥한 조치였다.
이스라엘이 이 선택을 할 수 있었던 이유는 분명하다. 중국에 대한 수출 의존도가 총수출의 5~8퍼센트에 불과하다. 반면 미국으로부터 연간 38억 달러의 군사 원조를 받고, 핵 억지력의 우산 아래 있다. "미국 동맹 vs 경제적 기회 일부 포기"라는 비교적 명확한 선택이었다.
한국은 다르다. 대중 수출 비중이 약 20퍼센트. 반도체, 디스플레이, 화학 등 핵심 산업이 중국에 의존한다. 현대차, 삼성, LG의 대규모 현지 생산 거점이 중국에 있다. 한국의 선택은 "미국 동맹 vs 경제 구조의 근본적 재편"에 가깝다. 이스라엘보다 훨씬 복잡하고 비대칭적이다.
4장에서 대만이 TSMC의 화웨이 차단으로 미국 편을 선택한 것을 보았다. 이스라엘도 하이파 항구 이후 미국 편을 선택했다. 두 나라 모두 선택의 비용이 감당할 만했다. 한국은 그 비용이 감당할 수 없을 만큼 클 수 있다. 그래서 한국의 "사이 전략"은 대만이나 이스라엘과 달라야 한다.
거울 속의 한국
이스라엘이 비추는 한국의 모습은 불편하다.
인재 파이프라인의 격차. 이스라엘은 징병제를 혁신의 입구로 만들었다. 한국은 징병제를 의무의 출구로 남겨두었다. 같은 제도, 정반대의 결과. 문화를 바꿀 필요는 없다. 이스라엘의 후츠파를 수입할 수도 없다. 바꿔야 하는 것은 법적 파이프라인이다.
한국판 8200의 설계. 한 가지 구상을 구체적으로 그려보자. 8200의 복제가 아니라, 한국의 조건에 맞는 변형이다. 선발부터 시작한다. 과학고, 영재학교, 대학 보안 동아리, CTF(해킹방어대회) 입상자, 그리고 학력과 무관한 오픈 채널 — 연간 100~300명을 복수 경로로 선발한다. 미국의 사이버콥스(CyberCorps) 프로그램이 대학 장학금과 공공복무를 연계하듯, 한국도 입대 전 교육과 복무를 연결할 수 있다. 훈련은 기초군사훈련 8주 이후, 사이버사령부와 KISA의 실전 환경에 18개월간 배치한다. 이스라엘의 3년과 비교하면 짧다. 8200 수준의 깊이는 물리적으로 불가능하다. 그러나 북한 사이버 위협에 대한 실시간 대응, 국가급 침해사고 분석, 공격 도구 개발 — 18개월이면 "실전 경험자"라는 이력은 만들 수 있다.
핵심은 전역 이후다. 여기서 한국과 이스라엘의 격차가 벌어진다. 이스라엘에서는 8200부대 퇴역증이 곧 이력서다. 한국에서는 군 사이버 경력이 기밀에 묶여 이력서에 쓸 수조차 없다. 그래서 필요한 것은 "국방 사이버 기술 스핀오프 인증" — 군에서 습득한 기술 중 민간 전환이 가능한 영역을 공식적으로 인증하고, 보안인가를 정리하고, 기술이전의 법적 경로를 여는 제도다. 싱가포르의 DIS(디지털정보부대)가 전역자에게 사이버 경력 인증을 제공하는 것, 미국의 NSA가 민간 기술이전 패스트트랙을 운영하는 것이 참고가 된다. 여기에 전역 후 창업 지원금, 동문 네트워크 형성까지 더하면, 징병제가 경력 공백이 아니라 경력 런치패드로 전환되는 최소한의 제도적 조건이 갖춰진다.
장벽을 직시해야 한다. 이 구상은 두 가지 현실에 부딪힌다. 첫째, 한국군의 위계 문화다. 이스라엘 군은 장교에게 "당신이 틀렸다"고 말할 수 있는 문화에서 작동한다. 한국군의 수직적 지휘 체계에서 같은 자율성을 기대하기는 어렵다. 그래서 8200의 복제가 아니라 변형이어야 한다. 군 문화 전체를 바꾸는 것이 아니라, 소규모 엘리트 트랙에 한정된 예외적 운영 공간을 만드는 것이다. 둘째, 군사기밀보호법이다. 현행법 아래서는 군에서 개발한 기술을 민간으로 이전하는 것이 사실상 불가능하다. IP 이전법을 개정하지 않으면, 아무리 뛰어난 인재를 선발하고 훈련시켜도 민간 경제로의 다리가 놓이지 않는다. 법을 바꾸면 시장이 나머지를 처리할 것이다. 법을 바꾸지 않으면, 아무것도 달라지지 않는다.
징병제가 인큐베이터가 될 수 있는가. 이스라엘은 그것이 가능하다는 것을 증명했다. 한국은 아직 그 질문을 던져본 적조차 없다.
출산율이라는 넘을 수 없는 벽. 이스라엘의 합계출산율은 3.0명. OECD 최고. 인구가 늘어나고 있다. 한국은 0.72명. 세계 최저. 이스라엘의 인구 역동성은 더 많은 군 징집 자원, 더 많은 창업자, 더 많은 기술 인력을 의미한다. 한국은 그 모든 것이 줄어들고 있다. 이것은 제도를 바꾼다고 해결되지 않는 구조적 조건이다.
사이버 안보라는 시급한 과제. 이스라엘은 위협을 산업으로 전환한다. 한국은 위협에 당하고 있다. 매일 150만 건의 공격을 받으면서 KISA 대응 인력이 132명인 나라. 반도체 설계 도면이 탈취되고, 2,300만 명의 통신 정보가 유출되는 나라. 그리고 그 지붕을 지을 보안 산업 자체가 갈라파고스에 갇혀 있다. 위즈가 한국에 들어오지 못하는 것과, 한국 기업이 세계로 나가지 못하는 것은 같은 규제의 양면이다. 불가결 노드의 다섯 조건을 아무리 완벽하게 갖춰도, 그 위에 세운 건물의 지붕이 없다면 — 비가 오면 무너진다. 그리고 지금, 지붕을 만들 재료 자체가 격리되어 있다.
그러나 이스라엘이 될 필요는 없다. 이스라엘의 모델은 작은 나라의 극단적 특수화다. 인구 980만, 내수 없음, 실존적 안보 위협, 글로벌 디아스포라. 한국은 이 조건 중 어느 것도 공유하지 않는다. 한국이 배울 것은 이스라엘의 결과가 아니라 이스라엘의 논리다. 위협을 자산으로 전환하는 논리. 징병제를 인재 파이프라인으로 전환하는 논리. 닫힌 시장이 아니라 열린 표준 위에서 산업을 키우는 논리.
다만, 이스라엘이 기술 혁신으로 시작해 제도를 따라오게 한 것과 달리, 한국의 사이버 안보는 제도 재설계가 먼저 와야 한다. 방패를 문으로 바꾸는 것, 군복무를 경력으로 바꾸는 것, 기밀보호법을 기술이전법으로 바꾸는 것 — 모두 제도의 문제다. 그 문을 열었을 때 비로소, 한국의 사이 전략은 이스라엘과도 대만과도 다른 고유한 형태를 갖게 된다.
다음 거울은 규제를 상품으로 파는 나라 — 다시 싱가포르다. 3장에서 리콴유의 건국을 보았다면, 6장에서는 그 유산이 21세기에 어떻게 작동하는지를 본다.
5장 끝 — 리서치 소스: R-13, GAP-6 (사이버 안보)