보안 컨설팅 전문업체로 지정된 9개 업체들이 경쟁의 칼을 세우며 때를 기다리고 있다. 지난해 말 정부가 주요 정보통신 기반 시설 23개를 지정 발표함에 따라 수주를 위해 내부 정비에 박차를 가하고 있는 것. 그러나 처음 시행되는 만큼 컨설팅 대가 기준의 혼선, 개별 보안 솔루션 업체들의 하청 업체 전락 등도 우려되고 있다.
정부는 지난해 말 보건복지부의 국민건강보험공단 정보시스템 등 4개 부처 23개 시설을 주요 정보통신기반시설로 지정, 올해 3월까지 취약점을 분석 평가해 보호 대책을 마련키로 했다.
이에 따라 보안 컨설팅 업체로 지정된 9개사는 자사의 컨설팅 방법론에 대한 추가 정비와 컨설턴트의 운영 계획, 취약점 분석 툴 보강 등으로 한겨울에도 불구하고 뜨거운 열기를 뿜어내고 있다.
보통 한 프로젝트당 6∼7명 정도의 컨설턴트가 투입되기 때문에 무턱대고 컨설팅 프로젝트를 수주할 수도 없는 상황이기 때문이다. 이미 컨설팅 업체들간에 협의체를 구성해 가격 출혈 경쟁 방지와 컨설턴트에 대한 비용, 컨설팅 수행에 따른 준비 사항에 대해 서로 의견을 공유하면서 자칫 과열 경쟁으로 인한 동반 하락을 막기 위해서 노력하고 있다.
또 수익 다각화를 위한 방안도 마련하고 있다. 보안 컨설팅 업체들은 기본적으로는 순수 보안 컨설팅만 제공하는 것이 1차적인 임무. 하지만 컨설팅 수주만으로는 사업을 지속적으로 유지할 수 없기 때문에 컨설팅 후 보안 SI 구축 프로젝트도 수행할 계획이다. 나아가 취약점 분석 툴이나 로그 분석 솔루션에 대한 개별 판매, 교육 제공 등도 마련하고 있다.
보안 SI 프로젝트로 이어질까?
A3시큐리티컨설팅(www.a3sc.co.kr)은 데이콤과 하나로통신의 정보 보안 컨설팅 프로젝트를 수주, 순조로운 출발을 보이고 있다. A3시큐리티는 이번 프로젝트 수주로 ‘취약점 분석과 보안 지침 제시’, ‘보안 종합 대책 수립’에 대한 컨설팅을 진행한다.
A3시큐리티 방인구 상무 이사는 “중요한 것은 컨설팅 이후 그 결과물에 대해 어떻게 문서화하고 공유하느냐이다. 또 컨설턴트의 경우 보안 컨설팅 뿐 아니라 해당 기업의 업무 프로세스를 이해해야 한다. 이를 위해 노츠 기반의 지식관리 시스템으로 모든 프로젝트 노하우를 DB화했다. 또 IT 컨설팅 업체와 전산원 출신을 영입, 품질 관리와 프로젝트 관리에도 주의를 기울이고 있다”고 밝혔다.
A3시큐리티는 자사의 취약점 분석 툴인 A3-오토시시(AutoCC)를 최고 1억원에 별도 판매하는 것도 준비하고 있으며 로그 분석 솔루션인 A3-오토와치도 보유하고 있다. 또 보안 관리자 교육과 모의 해킹, 유료 BMT(Bench Mark Test)도 수행하고 있다.
시큐아이닷컴은 자사의 컨설팅 방법론인 가우스(GAUSS: The Global Archi-tecture of Unified Security Scheme)가 네트워크와 시스템 운영 경험이 축적돼 실제 현장에서의 문제를 해결할 수 있다는 점을 내세우고 있다. 시큐아이닷컴은 크게 지식 관리(Knowledge Manage-ment)와 리서치 분야로 구분해 컨설턴트들이 경험한 분야에서의 내실 다지기에 주력하고 있다.
안철수연구소는 컨설팅 사업이 글로벌 종합 보안 업체로 성장, 해외 시장 개척을 위한 초석이라는 점을 강조한다. 안철수연구소 컨설팅 사업부 김종구 부장은 “컨설팅 수행은 고객의 IT 환경을 이해하고, 현재 고객의 요구와 사항을 체크해 제품 개발에 실시간으로 반영해야 한다. 시장 변화를 체크할 수 있는 것이 무엇보다 중요하다”고 밝혔다.
안연구소는 컨설팅을 통해 보안 제품의 상품 기획에 발빠르게 적용하고 있으며, 지난해부터 수행했던 컨설팅 방법론과 산출물, 템플릿에 대한 DB화도 이미 구현했다. 관리적인 측면에서 보안 정책 유지를 위해 컨설팅 DB에 대해 컨설턴트들의 직급과 권한에 따라 접근할 수 있도록 내용을 분류해 시행하고 있다.
이에 비해 마크로테크놀로지는 기업 인지도 높이기에 주력하는 모습을 보여 대조적이다. 그동안 컨설팅 전문 업체로 사업을 전개, 성과가 많았음에도 불구하고 회사 지명도에서 밀리고 있다는 현실의 벽에 부딪쳤기 때문.
마크로테크놀로지 김승현 과장은 “컨설팅 방법론에 대해서는 전문업체로 지정됐기 때문에 이미 시장에서 인정받았다고 볼 수 있다. 하지만 그동안의 성과에도 회사 인지도 확산에 주력하지 못했기 때문에 이를 부각 시킬 수 있는 방안들을 마련하고 있다”고 고충을 토로했다.
컨설팅 기준안을 마련하라
이를 위해 마크로는 정보분석실이라는 부서를 통해 정보 보호 시장과 관련된 이슈를 매달 정리해 고객에게 제공하고 있다. 컨설팅 방법론에 대한 비교와 PC 보안, PKI, ESM(통합 보안 관리), 세계 보안 시장의 흐름 등 최근 주목받고 있는 기술과 해당 업체들의 움직임을 빈틈없이 소개해 좋은 평을 받고 있다.
시행 첫해인 만큼 몇 가지 시행 착오도 발생하고 있다. 정통부의 한 관계자는 2003년도 보호 대책을 올해 3월까지 관계 중앙행정기관(정통부)에 제출해야 한다.
하지만 기반 시설 지정 일정이 늦춰진 관계로 취약점 분석 평가의 경우 6월 이전에 완료하는 것으로 하되, 3월말까지 약식의 보호 대책을 받을 수도 있다”고 말했다.
또 컨설팅 대가 기준도 의견 수렴 과정에 있어 혼선이 우려된다. 정부가 아직 컨설팅 대가 기준안을 마련하지 않은 상황인데 이미 컨설팅을 수주, 진행하는 일이 발생하고 있는 것.
이에 대해 정통부 정보화기획실 정보보호산업과 조해근 사무관은 “한국정보보호진흥원에서 제출한 안을 포함해 몇 가지 안을 가지고 검토하고 있다. 민간 업체들에게도 해당 자료를 요청한 상태다. 기반 시설을 위해서 새로운 기준안을 만들어야 할지, 기존에 있던 정부 프로젝트를 참조해 보강해 나갈지는 좀더 검토가 필요하다”고 밝혔다.
정부와의 관계 외에 보안 업체간 갈등도 대두되고 있다. 보안 컨설팅 업체들이 컨설팅 이외에 보안 SI 프로젝트로 직접 수행하는 사례가 나타나고 있어 개별 보안 솔루션 업체들은 이들의 하청 업체로 전락할 수 있다고 우려하고 있다. @
