얼마 전 보안관제전문업체로 12곳이 선정되면서 보안관제 분야에 대한 전문 보안업계 역할론이 대두되고 있다. 최근 잇따라 발생한 보안위협으로 보안 영역이 다변화되면서 기존 보안관제 수행능력만으로는 제대로 된 서비스 제공이 힘들어졌다. 보안관제 제공업체나 해당 기업 입장에서도 새로운 대비책이 필요해졌다.
보안관제란 조직의 정보기술자원 및 보안시스템을 안전하게 운영하기 위해 사이버공격 정보를 탐지 및 분석해 즉시 대응하는 일련의 업무를 말한다. 특히 전문업체 지정으로 공공기관에 보안관제센터 운영을 의무화하면서 보안관제를 통한 보안성 강화에 날개를 달게됐다.
24일 관련업계에 따르면, 올바른 보안관제를 위해서는 상호협력을 통한 보안정책을 수립하는 것이 가장 중요하다. 기관이나 회사 내 정책수립이 정확히 이뤄지지 않으면 보안을 적용하는 것에도 혼란을 초래할 수 있어 허점이 생길 수 있기 때문이다.
그러나 보안관제를 받는 기관 및 기업에서도 서비스 적용을 위한 준비는 필요하다. 보안업계가 제공하는 서비스만으로 보안을 적용한다고 해서 위협으로부터 안전할 수는 없기 때문이다.
■다변화된 보안위협에 업계도 ‘멀티’...현실은?
다양한 플랫폼의 등장, 지능형지속가능공격(APT) 부각 등에 따라 보안업계의 역할도 많아졌다. 먼저 공격, 방어, 예방, 탐지와 같은 보안기술 이론과 실무영역이 늘어났고 개인정보보호법, 보안관제법 등 사이버규제가 상세화됐다.
보안관제 영역은 크게 ▲시스템 운영 ▲분석 및 대응 ▲취약점 분석 ▲인원운영 ▲보고서 작성으로 나뉜다. 각각의 영역에 해당되는 업무절차만 해도 상당하다. 아울러 보안기술이 점점 복잡해지고 있어 더욱 문제다. APT의 등장과 보안관제서비스 시장의 구체화는 물론 개인정보 등과 같은 신규보호대상도 늘어났다.
보안관제업체 한 관계자는 “늘어난 보안영역에 비해서 보안관제를 제대로 지원하기 위해 연관된 이해당사자는 물론 고려해야 할 사항이 너무 많다”면서 “서비스를 받는 내부는 물론이고 보안장비부터 외부적인 요인까지 고려해야하다 보니 전문화된 인력의 부재와 과중한 업무 등의 이유로 인력 부족현상도 심각한 수준”이라고 하소연했다.
업계는 늘어난 역할에 비해 인력이나 시장 형성의 한계로 딜레마에 빠진 상황이다. 그러나 보안관제 시장 활성화를 발판 삼아 차별화 전략으로 경쟁력을 갖춰나가겠다는 전략이다. 지금까지의 파견관제 위주의 시장에서 벗어나 이제는 통합보안으로 나아갈 수 있는 방향을 모색하겠다는 것이 공통 의견이다. 아울러 공공기관이나 대기업, 중소규모 고객사를 대상으로 한 서비스 활성화도 도모하고 있다.
■기관과 전문업체 ‘협력 필수’...준비는?
사회 전반적으로 보안을 강화하려는 움직임이 활발해지면서 최근 보안의식 수준도 향상됐다. 그러나 여전히 보안을 전문업체들만의 역할로 생각하는 분위기는 여전하다. 제대로 된 보안관제 서비스를 위해서는 기관과 전문업체 간 협력이 중요하기 때문이다.
보안전문가들은 전문보안업체들의 기술 및 서비스와 더불어 내부보안이 강화됐을 때 제대로 된 보안이 이뤄질 수 있다고 입을 모은다.
먼저 기관에서는 올바른 보안정책 수립이 필수다. 보안관제 업무 범위를 정의하고 시스템을 구축해야 한다. 내부 인원의 통제 및 관리절차 확인과 보안 전문인력을 어떻게 배치할 것인가에 대해서도 결정해야 한다. 이 밖에도 ▲문서화 요구의 범위 ▲관제시설 적용 준비 ▲파견 및 원격관제 선정방안 검토 ▲조직 내부 취약점 진단 결과 및 시스템 구성 제공범위 설정 등을 고려해 정책을 수립해야한다.
전문업체도 각 보안관제 영역의 조직을 구성하고 인력을 어떻게 구성할지 고민해야 한다. 보안관제 전문인력 자격요건에 맞는 인력선발을 통해 전문화된 서비스를 제공하는 것도 필요하다. 또한 보안관제를 맡은 기관이나 기업의 환경을 이해분석이 선행돼야 한다.
관련기사
- [칼럼]개복치(Mola Mola)와 위기의 인터넷2011.11.24
- 공공 빼앗긴 대형 SI, '보안관제' 제한 받나2011.11.24
- 대기업 보안관제시장 진출…보안업계 잠식?2011.11.24
- "파견관제가 통합보안으로 가는 교두보될 것"2011.11.24
한편, 지식경제부는 지난달 31일 보안관제전문업체 12개로 삼성SDS, 롯데정보통신, LG CNS, KTIS, 한전KDN, 안철수연구소, 인포섹, 윈스테크넷, 이글루시큐리티, 싸이버원, 유넷시스템, 어울림엘시스 등 보안 전문업체 및 IT서비스 업체들이 선정됐다.
선정업체들은 지난 4월 공포된 보안관제법에 따라 국가 공공기관에서 요구하는 보안관제 전문업체 자격 검증을 통해 보안관제 사업 전문업체로 참여할 수 있는 자격요건을 획득했다.