IT 컨설팅 시장 중 보안 컨설팅이 3분의 1을 차지할 것이다” 국내 보안 컨설팅 전문 업체의 대표들이 한결같이 주장하는 말이다. 그만큼 정보화에 따른 기업 내부의 핵심 데이터를 얼마만큼 보호할 수 있느냐가 관건으로 떠오르고 있다. 또 정보보호를 위한 컨설팅 시장이 얼마나 빠른 속도로 개화되고 있는지도 엿볼 수 있다.국내 보안 컨설팅 업체로는 A3시큐리티, STG시큐리티, 마크로테크놀러지, 에스큐브 등이 전문 업체로 명성을 쌓아가고 있다. 이들 업체는 컨설팅을 수행하면서 쌓은 노하우를 바탕으로 컨설팅에 필요한 솔루션 개발도 계획하고 있다.국내 보안 컨설팅 시장 규모는 아직 정확히 파악되지 않지만 시장을 분할하고 있는 4개사의 매출만 합쳐 어림짐작해 보면 최소 100억원대를 넘어선다. 그동안 정보보호 컨설팅(Information Security Consulting)은 파이어월이나 침입 탐지, VPN(Virtual Private Network) 등 솔루션 기반의 업체들이 솔루션 판매를 위한 선행 조건으로 거의 ‘공짜’나 헐값에 제공해 왔다.그러나 고객 업체의 인식 변화, 보안 컨설팅의 수준 향상, 정부의 지원책 발표 등 정보보호 컨설팅 시장 활성화에 필요한 각 요소들이 일정한 수준에 올라서면서 새롭게 풍성한 꽃을 피워가고 있다. ‘해킹=보안 사고’라는 인식은 사회 전반에 깔려 있지만 정작 기업의 내부 인력에 의한 정보보안 사고가 전체 사고의 70~80%에 달한다는 뉴스는 새삼스러울게 없다. 현재 대기업과 금융권 위주의 시장에서 보안 요구가 높아지면서 컨설팅 시장이 싹을 틔우고 있다. 특히 국내 금융권과 증권사들이 인터넷 뱅킹, 사이버 트레이딩 등 신규 서비스를 실시하기 위한 총체적 점검을 요구하고 있어 수요처가 더욱 늘고 있다. 또 대표적 제조업체인 삼성전자가 반도체 부분에 대한 종합 보안 컨설팅을 받았을 정도로 이제 각 분야 업체들이 필요성을 더욱 인식하고 있다.A3시큐리티의 김휘강 사장은 “단순히 기술적인 보안을 요구하기도 하지만 회사 전반에 걸친 정보보호의 필요성이 대두되면서 시장이 개화하고 있다”고 전했다.‘필요성은 인정, 실제 조치’까지 부담보안 컨설팅은 기술 보안과 관리 보안, 물리 보안 등 조직의 보안 사항을 종합 검토한다. 보안 컨설팅 업체들은 ▲시스템 로그 분석과 취약점 파악, 시스템 보안을 통한 기술 보안 ▲정보보안 정책 수립과 정보 시스템 위험 평가의 관리 보안 ▲정보보안 모델링, 솔루션 선정 등 정보보안의 마스터플랜 수립과 구축 ▲보안 세미나와 교육·훈련 ▲보안 시스템 구축과 유지에 대한 감사 서비스 ▲관제 서비스 ▲위기시 긴급 대응 서비스 등의 단계로 서비스를 제공하고 있다.따라서 각사가 보유한 네트워크와 시스템에 대한 보안 감사, 전문적인 보안 진단과 경영 전반에 걸친 진단 업무 등 경영 컨설팅 안에 포함돼 있던 IT 위험 관리 차원으로 보안 컨설팅이 실시되고 있다.또 국내외 출시된 모든 보안 제품에 대한 벤치마크 테스트(BMT)를 통해 각 사에 필요한 제품을 추천하거나 선택 과정에 조언을 해주고 있다. 올해 컨설팅 업체들이 BMT를 위해 시설을 확충하고 지속적인 투자를 계획하고 있는 이유도 여기에 있다.대기업이나 공공기관, 금융권 등은 이미 솔루션 업체들로부터 공짜에 가까운 헐값의 개별적 보안 컨설팅을 한 차례 이상 받았다. 이 시장에서는 ‘고기도 먹어본 사람이 먹는다’는 말이 통한다는 것이 정보보안 컨설팅 업체의 견해다.
경영 컨설팅을 받아본 고객 기업들은 보안 컨설팅에 대한 필요성을 더욱 느끼고 있다. 경영 컨설팅 업체들의 경우 기업의 방향성을 제시하고 거시적 측면을 강조한 결과물을 내놓고 있지만, 보안 컨설팅은 실무 담당자에게 실제로 필요한 내용을 제공한다. 즉 ‘요리책 같은 컨설팅 보고서’를 만들어 구체적이고 실질적인 결과물을 보여주기 때문에 컨설팅 이후의 성과가 나타나고 있다는 것. 보안 업체들의 기술 수준 향상과 내부 인력 보강도 보안 컨설팅 시장 활성화의 한 요인이다. STG시큐리티의 문재철 사장은 “각 산업별 전문가와 대기업 비즈니스 프로세서 전문가 등 고객의 상황을 이해하는 컨설턴트 확보가 컨설팅 업체의 경쟁력”이라고 전했다. STG는 이를 위해 지난해 말 국내 보안 컨설팅 업체인 세이프인터넷을 인수하기로 하고, 현재 합병 막바지 작업을 추진하고 있다.A3시큐리티가 PwC, 액센추어(구 앤더슨 컨설팅) 인력을 대거 확보하거나 마크로테크놀로지가 보안 업체간 대규모 컨소시엄 ‘SAINT’를 구성한 것도 같은 맥락이다.실제 조치가 필수인 보안 컨설팅 시장은 기술을 단지 보유하고 있다는 것만으로는 커버할 수 없다. 지난해 모의 해킹 서비스나 솔루션을 통해 보안 컨설팅 업체들이 하나 둘씩 시장에 진출했지만 정작 각 산업별, 업종별 전문가들과 기술을 결합한 서비스는 올해부터 본격적으로 진행되고 있다.컨설팅은 ‘싼 게 비지떡’정부의 움직임도 시장 형성에 단단히 일조하고 있다. 정부는 지난해 ‘정보통신기반보호법’을 제정해 주요 사회 기반 시설의 정보통신 시스템 해킹·바이러스 등 전자적 침해 행위로부터 보호되도록 법제화했고 올 상반기 안에 실시한다고 밝혔다. 이에 따라 대상 기관과 업체는 의무적으로 매년 두 차례 이상 보안 사항을 체크해야 하기 때문에 시장 전망이 밝은 편이다.마크로테크놀로지의 이성만 사장은 “정부의 정책과 고객의 요구, 보안 컨설팅 업체의 대응 등 시장 확대를 위한 조건이 마련되고 있다. 올 4분기면 각 부문이 원활히 조화를 이뤄 본격적으로 시장이 확대될 것”으로 내다봤다.시장 확대를 위해 선결돼야 할 문제도 산재해 있다. 지난해부터 열리기 시작한 정보보호 컨설팅 시장은 초기 단계이기 때문에 체계적인 보안 컨설팅 방법론이 미흡한 실정. 각 업체가 개별적인 방법론을 제시하고 있지만 대략적으로라도 윤곽을 마련하기 위한 민·관·학의 노력이 필요하다. 물론 지난해 6월 정보보호컨설팅포럼(Forum of Information Security Consulting; FISC)이 만들어져 보안의 각 분야에 대해 기준안과 지침 사항을 만들었다. 그러나 세계적 기준안과의 상호 인정 등 좀 더 활발한 정책적 지원이 필요하다.업체간 저가 가격 경쟁에 따른 ‘제살 깎아먹기’식 경쟁도 해결돼야 할 문제다. 컨설팅 시장이 협소하다 보니 대부분의 보안 업체들이 서비스 영역으로도 사업을 넓히면서 ‘컨설팅 제공은 기본’으로 인식되고 있다. 과당 경쟁에 따른 폐해가 곧 나타날 조짐이다.고객 입장에서는 가격 경쟁의 혜택으로 ‘비용 절감’을 내세울 수 있지만 ‘싼 게 비지떡’이라는 속담처럼 좋아할 일만은 아니다. 오히려 수준 낮은 업체를 선정, 다시 컨설팅을 받아야 하는 중복 투자의 가능성이 있다. 이는 결국 부정적인 인식을 확산, 업계 전체에 악영향을 끼칠 우려가 있다.에스큐브의 전문 서비스 사업팀 박태완 이사는 “보안 컨설팅=기술 컨설팅으로 오인하는 경우가 많다. 보안 컨설팅을 받으면서 생산성 향상이나 기업 경쟁력 강화를 제시하는 보안업체는 많지 않다. 또 고객사의 담당자도 수동적인 입장에서의 보안만 생각하고 기업 전반에 걸친 파급 효과를 생각하지 않는다. 보안 관련 업체들은 자사가 가장 잘할 수 있는 부분에 집중하지 않으면 공멸하게 될 것”이라고 강조한다.STG의 문재철 사장도 동일한 견해를 밝혔다. 문재철 사장은 “지금 무료와의 전쟁을 벌이고 있다. 컨설팅은 솔루션 판매의 선행 단계가 아니다. 고객 기업의 경쟁력 강화를 위한 방안과 구체적 대응 전략을 지원하는 것이다. 전문 컨설턴트 확보를 통한 경쟁력 강화만이 유일한 해결책”이라고 재차 강조했다.보안 전문 컨설팅 인력 부족도 심각한 문제다. 현재 보안 컨설팅 업체에서 필요로 하는 인력들은 다방면에서 다재다능해야 한다. 산업별, 업종별 업무 파악 전문가는 물론이고, 네트워크 전문가, 소프트웨어 개발 전문가, 시스템 전문가 등 각 분야에서 5~6년 이상 경력을 쌓은 전문가 그룹이 절대적으로 부족하다.각 컨설팅 업체가 전문 인력 확보를 위해 업체간 인수 합병 전략을 펼치는 것도 바로 이런 이유다. 또 경영 분야 컨설턴트를 확보해 단지 2~3개월간 교육을 거쳐 현장에 투입하고 있어 양질의 컨설턴트 확보가 절박한 시점이다. 이는 단지 해당 업체의 문제가 아니며, 정부 차원의 인력 육성 방안 등 지원 정책이 반드시 필요하다는게 업계의 지적. 정부 차원의 명확한 기준 수립도 과제로 제기되고 있다. 정부가 정보통신보호기반법을 마련한 것은 보안 시장을 키우는 긍정적인 요소로도 작용하지만, 명확한 기준안 마련이 시급하다는 것이다. 미국은 지난해 1월 연방 정부의 정보 시스템에 대한 보안 표준·보안 제품·정보보호 컨설팅 분야에서 ‘정보 시스템 보호를 위한 연방계획(National Plan for Information System Protection)’을 발표했다. 보안 컨설팅, 해결 과제 ‘산 너머 산’또 미 연방조달청(General Services Administration, GSA)이 주관하는 정보보호 서비스 포괄 조달제도(Safeguard BPA Program)를 통해 공공 부문의 정보보호 업무를 민간 위탁 형태로 정보보호 컨설팅을 포함한 정보보호 서비스의 효율성과 전문성을 제고하고 있다.그외 영국의 BS7799와 시큐어(c-cure), 독일 GISA의 BPM(Baseline Protection Manual), ISO/IEC TR13331-5 등에서 정보보호 컨설팅에서 가장 기본적으로 요구하는 표준, 지침을 다각도로 연구 개발하고 있다.이제 ‘보안은 인프라’라는 개념이 자리를 잡아가고 있다. 보안 컨설팅이 무료라는 인식도 조금씩 불식되고 있으며, 정부 역시 적극적인 지원을 준비하고 있다. 인력 부족과 컨설팅 방법론 부재, 업체간 과당 경쟁과 NI(Network Integration), SI(System Integration) 업체들의 거져 주기식 컨설팅 등 넘어야 할 산이 많지만 이는 보안 컨설팅 업체의 몫이다. 국제적 기준에 비교해도 손색없는 서비스를 누가 제공하는가는 이미 시장이 알고 고객사가 알기 때문이다. @IT 컨설팅 기획 순서 1. IT 경영 - IT와 분리된 경영은 '모래위에 집짓기'2. CRM - 성공 문을 여는 '골든키'3. 보안 - 황금알 낳는 '보안 컨설팅' 시장 뜬다4. 네트워크 - '독립보행'으로 진화 머지않다5. 스토리지 - 스토리지 컨설팅 '순수의 시대' 열리나
