IT 환경이 급속도로 발전하면서 보안에 대한 관심이 커지고 있다. 이를 위해 정보통신부(이하 정통부)는 국내 정보보호 시장을 제대로 운영하기 위해 정보보호 통신법과 정보보호 전문업체를 선정해 시의적절하게 정보통신 기반 업체를 지정하면서 보안 컨설팅 시장의 성장을 가속화시키고 있다. 정보보호 전문업체는 이름을 변경해 정보보호 컨설팅 전문업체(이하 컨설팅 전문업체)로 다시 태어난다. 이는 현행법상 정보보호 전문업체는 엄밀한 의미에서 정보보호 컨설팅 전문업체를 지칭하지만, 명칭이 정보보호 전문업체로 돼 정보보호 산업 전체를 포괄하는 전문업체라는 의미로 판단될 소지가 많아 결정된 것이다. 현재 국내 컨설팅 전문업체는 최근 4개의 업체가 추가되면서 13개 업체로 확정됐다. 이미 1차 정보통신 기반시설은 1차 선정된 컨설팅 전문업체에 의해 컨설팅이 끝난 상태이고, 2차 기반 시설이 지난 9월에 지정되면서 본격적 보안 컨설팅 작업은 내년초를 내다보고 있다. 컨설팅 시장 활발초기 보안 컨설팅 시장은 활발한 움직임을 보여주었다. 23개 기반시설 중 에이쓰리시큐리티컨설팅은 데이콤의 인터넷 접속망과 초고속국가망을 비롯, 하나로통신의 인터넷 접속망, SK텔레콤의 무선인터넷망, LG텔레콤의 무선 인터넷망 등 비교적 규모가 큰 주요 통신업체의 프로젝트를 수주하면서 매출도 좋은 실적을 보였다. 에이쓰리시큐리티의 뒤를 이어 인젠, 시큐어소프트가 컨설팅 수주가 활발히 진행돼 즐거운 비명을 지르고 있다. 인젠은 정통부, SK텔레콤과 한국인터넷정보센터의 보안 컨설팅 프로젝트도 수주해 올해 정보보호 컨설팅 수주액만으로도 20억 원의 성과를 올렸다고 밝혔다. 시큐어소프트는 KT프리텔의 무선인터넷과 한국정보인증의 정보인증시스템을 비롯 행자부의 지방정보망 보안 컨설팅 프로젝트를 진행했고, 지속적으로 연말까지 23억 원의 컨설팅 매출을 기대하고 있다. 이외에도 초기 몇몇 컨설팅 전문업체들은 컨소시엄을 구축해 컨설팅 작업을 함께 했다. 마크로테크놀러지, 에스큐브, 안철수연구소는 컨소시엄을 구성해, 정통부, 행자부, 두루넷 등의 보안 컨설팅을 구축한 것이 바로 그 예이다. 저가 출혈 경쟁으로 얼룩진 보안 컨설팅 이렇게 1차 주요 정보통신 기반시설의 컨설팅 수주가 대외적으로 활발하게 이뤄졌지만, 그 내면은 아주 씁쓸했다. 1차 주요 정보통신기반시설의 컨설팅에서 문제점으로 부각된 것은 각 업체들이 저가 출혈경쟁을 막지 못한 것. 이는 23개의 기반 시설 중 15개만이 컨설팅 작업을 신청했고, 그리 규모가 크지 않아 짧은 시간내에 할 수 있었다는 환경적 요인으로 인해, 많은 업체들은 컨설팅 프로젝트를 수주하고 보자는 식으로 접근했다. 몇몇 업체들은 보안 컨설팅 자체보다는 컨설팅을 이용한 솔루션 판매를 기대해, 저가라도 프로젝트를 수주하자는 계획이었다. 하지만 시장에서는 컨설팅이 곧 솔루션으로 이어지지 않았고, 컨설팅 자체만으로는 사업성이 불투명하다고 판단했다. 이 업체들이 기대를 거는 것은 2차 66개의 정보통신 기반 시설 시장이다. 이번 2차 기반 시설에는 프로젝트의 규모가 크고, 향후 솔루션 판매 등으로 확대될 가능성이 큰 금융권 시설이 58개나 포함돼, 컨설팅 전문업체는 실질적인 수익 향상에도 기여할 것이라고 기대하고 있다. 하지만 프로젝트 발주까지 통상 3개월 이상이 걸린 1차 기반 시설의 전례를 감안할 때, 올해 컨설팅 시장에서의 새로운 수익은 기대하기 어렵다는 것에 같은 목소리를 내고 있다. 다음해 초에 컨설팅의 붐의 활성화될 것이라고 기대하며, 추운 겨울을 맞고 있다. 컨설팅 전문업체, 2차 기반 시설에 기대 이렇게 2차 정보통신 기반 시설의 프로젝트가 내년 초부터 붐을 일으킬 것으로 예상, 13개 컨설팅 전문업체는 준비 작업이 한창이다. 에이쓰리시큐리티는 지금까지의 컨설팅 업체의 이미지를 더욱 부각시켜, 보안 컨설팅을 리드한다는 입장이며, 저가 경쟁에 휘말리지 않고 장기 고객을 확보하는 것에 주력하고 있다. 이미 에이쓰리시큐리티는 장기 컨설팅 고객으로 대신증권, 한화증권을 확보하고 서비스를 진행하고 있다. 에스티지시큐리티는 자사의 강점인 애플리케이션 취약점 분석에 주력한다는 전략을 가지고 있다. 최근 에스티지시큐리티는 BC카드와 공공기관 전산 시스템에 대한 애플리케이션 취약점 분석 보안 컨설팅 프로젝트를 완료해 그 가능성을 더욱 부각시켜 활동중이다. 또한 에스티지시큐리티는 정보 보안 마스터플랜의 수립을 하나의 강점으로 부각시켜, 취약점 진단 위주의 정보 보안 프로젝트를 통해 단기적인 정보 보안 처방을 내리기보다는 기업의 비즈니스 목적과 회사 운영 조직을 이해하고, 정보 보안의 근본적인 문제점과 제한 사항을 파악한 후 정보 보안 전략과 계획을 마스터플랜에 제시한다.안철수연구소는 지금까지 안티바이러스 업체의 이미지를 탈피하고, 통합 보안 업체로 방향을 선회하는데 컨설팅이 큰 몫을 하리라고 기대하고 있다. 안철수연구소는 지금까지 컨소시엄을 통해 소극적으로 보안 컨설팅에 임했지만, 이제부터는 컨설팅 인력을 보강해 네트워크 컨설팅도 강화하면서 통합 보안 컨설팅 업체로 나아간다는 계획을 세우고 있다. 안철수연구소의 안철수 사장은 “보안을 하는 이유는 바이러스와 해킹을 막기 위한 것이지만, 네트워크 보안 업계만이 보안 컨설팅에 강하다는 이미지를 심어온 것이 사실”이라며, “PC 해킹이나 안티바이러스에 강점을 가지는 안철수 연구소의 강점을 살려 다른 업체와의 경쟁력을 기를 수 있을 것으로 기대하고 있다”고 덧붙였다. 2차 컨설팅 전문업체, 특화 시장 노려2차 컨설팅 전문업체로 선정된 퓨쳐시스템, 인포섹, 코코넛, 한국IBM 등도 2차 기반 시설 컨설팅 작업에 상당한 관심을 보이며, 차별화 전략에 중점을 두고 있다. 퓨쳐시스템은 업종별 관리 체계에서 사업 방향까지 파악할 수 있는 BCP(Business Continuity Planning) 방법론을 이용해, 주요 정보보호 기반시설의 BCP 컨설팅과 정보보호 관리체계 인증 컨설팅 사업을 병행할 계획을 가지고 있다. 이를 위해 퓨쳐시스템은 BCP 전문 컨설턴트를 두고 관리, 정책을 앞세운 컨설팅을 강조한다. 또한 컨설팅을 통해 파이어월, VPN 등 주력 제품과의 영업적인 시너지 효과를 노리며, 현재는 자사의 인터넷 사이트를 통해 고객사의 보안 현황을 파악할 수 있는 ‘인디게이터’로 고객 서비스를 지원하고 있다. 인포섹은 다른 기업과 차별화를 이루기 위해 전문업체와의 제휴나 전문 인력을 영입하는 전략을 세우고 있다. 메인프레임의 특화를 이루기 위해 메인프레임 전문 보안 솔루션 개발업체인 미국의 뱅가드와 제휴했고, 넷시큐어테크놀러지로부터 보안 컨설팅 전문인력 7명을 영입했다. 코코넛은 지금까지 쌓아온 관제 서비스의 경험을 십분 활용해, 27명의 컨설턴트들이 자체 개발한 방법론인 COCP (COconut Consulting Provider)을 사용해 컨설팅을 제공하고 있다. 한국IBM는 20여 명의 보안 컨설팅 서비스팀을 두고 티볼리팀과 아웃소싱 관제서비스 팀과 긴밀하게 연계할 계획이다. 컨소시엄 구성으로 시너지 효과 기대 몇몇 컨설팅 전문업체는 보안 컨설팅 시장 확대를 위해 여러 업체들이 컨소시엄을 구성하거나 SI 업체와의 협력 관계도 구상하고 있다. 이미 많은 컨설팅 업체가 컨소시엄 형태로 컨설팅을 진행해왔다. 안철수연구소는 인젠, 퓨쳐시스템과 함께 한국전산원, 외교통상부의 보안 컨설팅을 진행했고, 시큐어 소프트 역시 LGCNS와 함께 국민건강보험공단의 컨설팅을 진행했다. 최근 마크로테크놀러지는 포스데이타와 협력체제를 구축하고 보안 컨설팅과 정보보안 통합관리센터를 구축하는데 적극 협력키로 했다. 시큐어소프트는 내년도 보안 컨설팅 사업 전략중 하나로, 대형 SI업체들과의 전략적 제휴를 통해 주요정보통신기반시설 분야별로 특화된 컨설팅을 수행할 계획이다. 업계 관계자는 “이같은 다채로운 협력 관계를 통해 다양한 경험을 가진 업체들이 고객의 유형에 적합한 맞춤 보안 컨설팅을 제공할 수 있고, 보안 정책, 보안 취약점 파악 등 보안 컨설팅의 표준화를 통해 보안 컨설팅 수준을 한 단계 끌어올리는 기회가 될 것”이라며, “2차 기반시설에 대한 보안 컨설팅 프로젝트 수주에도 고객의 요구에 맞춰 다양한 컨소시엄으로 컨설팅이 이뤄질 수 있을 것”이라고 덧붙였다. 컨설팅 전문업체, 수익성 확보 거론업계 관계자들은 보안 컨설팅 수주는 곧 활성화될 것이지만, 컨설팅 자체만으로 모든 매출을 기대하기엔 아직 이른감이 있다는데 한 목소리를 내고 있다. 따라서 이미 솔루션을 가지고 있었던 업체뿐만 아니라 컨설팅을 주력으로 하는 업체들 역시 매출의 다각화를 시도하고 있다. 에이쓰리시큐리티는 모든 시스템의 보안 취약점을 자동으로 점검하고, 취약점에 대한 해결방안을 제공하는 오토스캔(AutoScan)을개발해 활용하고 있다. 특히 오토스캔은 지난해 7월부터 시행된 정보통신 기반 보호법상 주요 정보통신기반시설에 대한 취약점 분석 평가와 금융감독원 IT 실태평가에 대비하고 취약점을 사전에 점검할 수 있는 시스템이다. 마크로테크놀러지도 자사의 보안 컨설팅 경험을 십분 활용한 ESM(Enterprise Security Management) 솔루션인 BeCamp, PC 통합 보안 솔루션인 BeClip을 선보여 보안 컨설팅 매출에 힘을 실어주고 있다. 에스티지시큐리티는 교육 사업을 특화시켜, 매출을 기대하고 있다. 에스티지시큐리티는 이미 8차례에 걸친 20여 국내 업체의 기술자들이 해외 기술 연수를 보내면서 기대 이상의 반응을 얻었던 것을 발판으로 사업화를 구상했다. 미국 교육 연수는 실무 IT 보안 담당자들이 현지의 전문가들을 만나 기술과 보안 이슈에 대한 토론이 이뤄지는 것이다. 에스티지시큐리티의 문성철 사장은 “지금까지 해외 컨퍼런스에 참여해 솔루션이나 기술 트렌드는 볼 수 있었지만 진지한 의견 교류는 어려웠다”며, “이같은 교육 사업은 다양한 요구를 하고 있는 업체들의 CTO, CIO를 위주로 활발히 요구되고 있다”고 말한다.
