ISMS와 PIMS가 통합된 ISMS-P가 시행되면서 정보보호 컴플라이언스 시장이 들썩이고 있다. 또한 개인정보보호법 글로벌 기준에 맞춘 개정안이 논의되고 있으며, 개인정보 비식별화와 비식별 정보의 보호에 대한 내용도 논의되고 있어 관련 업계에서도 촉각을 곤두세우고 있다. 정보보호 컴플라이언스 시장과 컨설팅 시장을 분석한다.<편집자>
ISMS/ISMS-P 시행으로 정보보호 컨설팅 시장에 변화가 있을지 주목된다. 정보보호 컨설팅 기업들은 ISMS/ISMS-P 뿐 아니라 ▲행정안전부 개인정보보호 관리수준 진단, 개인정보보호 관리실태 점검 ▲금융기관 정보기술부문 시래 평가 ▲국제 정보보호 표준 ISO27001, PCI DSS, GDPR ▲의료기관 보건복지부 정보보안 감사, 의료기관 인증 평가 ▲국가정보원 정보보안 관리실태 평가 ▲교육부 정보보호 수준 진단 ▲주요 정보통신 기반시설 보호대책 이행여부 확인 ▲상급기관 정보보안 감사 ▲내부 보안 규정 등 다양한 컴플라이언스에 대한 서비스를 제공한다.
또한 비즈니스 프로세스 전반을 살펴 중복되거나 충돌되는 컴플라이언스 규정을 분석하고 개선 방안을 도출하며 취약점 점검, 침투테스트, 교육·훈련 등을 진행해 기술적·관리적 보안 취약점을 제거할 수 있도록 도와준다.
IT 환경이 클라우드·물리적인 영역까지 무한대로 확대되면서 공격 표면이 넓어지고 있는 현재 상황에서 정보보안 컨설팅은 현재 조직의 보안 수준을 진단하고 공격에 대비하기 위해 반드시 필요한 서비스로 주목된다. 이 때문에 글로벌 정보보안 컨설팅 서비스 시장은 그 어느 때 보다 호황을 누리면서 발전하고 있다.
그러나 우리나라에서 컨설팅 서비스 시장은 지속적으로 침체를 겪고 있는 상황이다. 보안 솔루션 공급을 위주로 시장이 발전하면서 컨설팅 수요가 높지 않은데다가 규제준수만을 위한 컨설팅 사업이 주를 이루면서 시장 성장의 기회를 잡지 못했다. 특히 규제준수만을 위한 컨설팅은 규제에 지정된 평가항목을 준수하는지 여부만을 점검하면서 서비스 비용을 낮춰 전체 시장의 규모를 축소시켰다. 이 같은 저가 서비스료로는 쉽게 구할 수 있는 탬플릿만을 만드는 것으로 끝날 뿐, 기업의 현행 비즈니스에 맞는 실효적인 정보보호 체계를 만들 수 없다.
고객이 컨설팅 비용을 저가로 책정하면 컨설팅 기업은 고급 전문가를 투입해 충분한 기간을 두고 분석을 할 수 없다. 고객은 컨설팅 결과를 만족하지 못하고 다음해에는 예산을 더 낮추거나 아예 컨설팅 의뢰를 하지 않고 컨설팅 기업은 고급 컨설턴트 확보에 실패하고 수익률이 낮아지게 된다. 이 악순환의 고리를 끊기 위해서는 컨설팅 비용을 현실화해야 하며, 기업/기관이 컨설팅에 대한 인식을 개선해야 한다.
김영준 파이오링크 실장은 “고객들도 보안 전문성이 높아진 만큼, 컨설팅 비용의 현실적인 수준을 알고 있을 것”이라며 “꾸준하고 안정적으로 사업을 영위해 온 컨설팅 전문기업을 선정해 고급 컨설턴트가 충분한 기간 동안 고객의 비즈니스를 분석하고 문제를 진단하며 현실적인 해결책을 제안할 수 있도록 해야 한다”고 주장했다.
“국내 컨설팅 시장, 내년부터 5%씩 성장 전망”
우리나라 정보보호 컨설팅 시장은 20년 가까이 ‘비용’이라는 고질적인 문제에서 헤어 나오지 못하고 있지만 최근 조금씩 변화가 시작되는 조짐도 보이고 있다.
안병규 안랩 컨설팅본부 상무는 “가트너는 우리나라 정보보호 컨설팅 시장 규모를 2018년 2645억원 규모로 추산했으며, 내년 2810억원 규모로 성장할 것으로 예측했다. 최근 새로운 정보보호 컨설팅 영역이 등장하고 있어 향후 정보보호 컨설팅 시장은 내년부터 2022년까지 연간 5% 이상 수요가 확대될 것으로 전망된다”고 밝혔다.
안랩은 20년 가까이 국내 외 보안인증 및 컴플라이언스 컨설팅 시장에서 검증된 서비스를 다양한 산업군의 고객에게 제공해왔다. 클라우드, IoT 디바이스, IT 서비스 안전성 진단 등 다양한 신규 컨설팅 시장을 개척하고 있으며, 원자력을 포함한 ICS 컨설팅과 개인정보보호 컨설팅에서 쌓아온 컨설팅 사업의 노하우와 체계적인 방법론을 보유하고 있다.
안랩은 침투 테스트, APT 이메일 모의훈련, 디도스 공격 모의훈련, 개인정보 유노출 검색 포렌식, 방화벽 정책 분석 최적화 컨설팅 등 새로운 분야의 컨설팅 서비스를 개발해 제공하고 있으며, 컨설턴트의 직무역량 개발에 대한 투자(교육, 훈련체계)를 늘려 신규 준거성 컴플라이언스 시장을 주도하고 있다.
