올해 정보보호(보안) 컨설팅 시장이 최고의 호황을 누리며 높은 실적을 거둘 것으로 전망된다. 지난 상반기 주요 보안컨설팅 업체들의 실적을 본지가 잠정 집계해본 결과 약 110억원으로 지난해 전체 보안컨설팅 업계 시장의 전체 규모인 약 150억원에 비한다면 엄청나게 증가한 수치로 조사됐다.
이런 실적 증가는 올해부터 정부가 실시한 ‘정보보호안전진단’으로 기존에 보안컨설팅을 수행하지 않았던 포털, ISP, 인터넷사업자 등이 보안컨설팅에 속속 가세했기 때문인 것으로 분석됐다. 또한 기존 정보보호 기반시설 컨설팅을 정기적으로 수행해왔던 금융권 등에서도 지난 상반기 컨설팅을 다시 받을 시기가 도래, 여러 가지로 수혜가 겹쳤던 것이 원인인 것으로 나타났다. 이런 상승세는 올 하반기까지 이어져 올해 약 300억원대의 보안컨설팅 시장 규모 형성이 가능할 것으로 기대되고 있다.
하지만 내년부터는 정보보호안전진단의 수요가 줄어들 것으로 전망되는데다 공공, 금융 등도 컨설팅을 받을 만한 상당수 업체의 컨설팅이 마무리된 상황에서 내년 시장은 만만치 않을 것으로 예상된다. 또한 안전진단이 프로젝트는 많지만 단가가 높지는 않아 외형상으로 덩치만 커졌을 뿐 순 매출 증가에는 그다지 기여하지 못한다는 지적도 있다.
이에 관련 업계에서는 지속적으로 수익확보가 가능한 새로운 서비스를 창출, 신규고객들을 끌어들일 전략이 필요하다고 지적하고 있다. 올 상반기 정보보호 컨설팅 업체들의 현황을 살펴보고 향후 시장의 기상도를 점검해본다. |장윤정 기자·linda@datanet.co.kr|

‘보안컨설팅’이라는 개념은 지금으로부터 약 4년 전인 1997년을 전후해서 ‘모의 해킹’이라는 이름으로 처음 등장했다. 당시의 보안 컨설팅은 침입차단 시스템이라는 것을 처음 들고 나온 소수의 보안업체들이 실제로 해당고객사의 시스템을 해킹해보는 아주 기초적인 수준이었다.
보안컨설팅은 정보보호 집단의 고도의 기술력을 바탕으로 정보보호 업무를 외부에 위탁 즉, 아웃소싱하려는 고객 또는 기업의 요구에 따라 보안 서비스를 종합적으로 컨설팅해주는 전문 서비스를 말한다. 고객의 고유한 사업 환경과 요구사항에 따라 철저한 위험 평가를 기반으로, 자체적인 정보보안 관리 시스템을 구축하고 운영할 수 있도록 정보보안 전 영역에 걸쳐 세부적인 표준을 수립하고 절차 등을 세워준다.
고객의 사업 요구사항에 따라, 정보보안 솔루션 도입에서부터 효과적인 정보시스템 운영까지의 전 영역을 수행하며 고객과 함께 프로젝트를 수행해 컨설팅의 노하우를 전수하며, 자체적인 운영이 가능토록 가이드하는 업무를 맡는다. 또한 프로젝트가 종료된 후에도 지속적인 고객 서비스를 통해 문제점 및 해결 방안을 제시하고 있다.
지난해까지 많은 업체들이 치열한 가격경쟁을 벌였던 국내 보안컨설팅 시장은 지난해 하반기를 기점으로 대다수의 업체들이 정리 또는 컨설팅 사업을 축소하며 현재 상위업체를 중심으로 시장이 재편되고 있는 상황이다. 지난해 연말 정통부로부터 정보보호컨설팅 전문업체로 지정받은 업체는 에이쓰리시큐리티컨설팅, STG시큐리티, 시큐아이닷컴, 시큐어소프트, 안철수연구소, 인젠 등 6개사로 당초 9개사였던 1차 지정 업체 가운데 자격을 반납한 에스큐브와 지난 9월 정보보호컨설팅 사업에서 손을 뗀 마크로테크놀러지 그리고 실적 미미 등의 사유로 탈락한 해커스랩 등의 업체들이 줄어 현재 국내 보안컨설팅 시장은 예전과 같은 치열한 가격경쟁을 벗어나 비교적 안정적인 성장세에 접어든 형국이다.
현재 보안컨설팅을 주력으로 기존 솔루션 사업 등을 정리하고 보안컨설팅에 매진하고 있는 에이쓰리시큐리티컨설팅을 비롯해 최근 관제서비스에서 보안컨설팅의 사업비중을 대폭 늘리고 있는 인포섹을 비롯 인젠, 이니텍, STG시큐리티, 시큐아이닷컴, 안랩코코넛, 안철수연구소 등이 보안컨설팅 시장에서 활발히 활동하고 있다.
특히 지난 상반기는 정보보호 안전진단 등 프로젝트가 많아 올해부터 본격 컨설팅 사업을 개시한 이니텍은 물론 시큐아이닷컴, 안랩코코넛, 안철수연구소 등 보안컨설팅보다 타 사업비중이 높았던 업체들도 늘어난 수요를 중심으로 바쁜 행보를 보이고 있다.

에이쓰리·인포섹, 보안컨설팅 상위 다툼 ‘치열’
국내 보안컨설팅 시장은 에이쓰리시큐리티컨설팅과 인포섹이 선두그룹을 형성하고 있는 가운데 인젠, STG시큐리티, 시큐아이닷컴 등 그간 보안컨설팅을 주력으로 사업하던 회사들과 신규로 사업을 개시한 이니텍 등이 시장에 강세를 보이고 있다. 또한 기존 관제 서비스의 고객들을 안전진단 컨설팅 고객으로 확보, 좋은 반응을 얻고 있는 안랩코코넛, 안연구소 등이 보안컨설팅 시장의 주류에 진입했다. 하지만 초기 보안컨설팅 시장에서의 명맥을 계속 이어가고 있는 업체는 에이쓰리시큐리티컨설팅뿐이며 인포섹이 최근 강세를 보이고 있지만 관계사인 SK그룹의 매출 비중이 아직까지 상당하다는 점을 고려하면 독자적인 보안컨설팅 매출만으로 상위를 달리고 있는 업체는 에이쓰리컨설팅이 우세하다는 것이 공통적인 평가다.
에이쓰리시큐리티컨설팅(대표 백태종)은 기존 자사의 취약성관리 스캐닝 툴 등의 솔루션 판매를 중단하며 보안컨설팅에만 집중하겠다는 방침이다. 연초 정보보호컨설팅 비즈니스에만 집중, 컨설팅 업체로의 이미지를 확고히 하겠다고 밝힌 에이쓰리시큐리티는 올해 전년 동기대비 약 25% 가량 성장하는 실적을 거뒀다고 밝혔다. 지난 상반기 포스코, KTF, 현대정보기술, SK텔레텍, 국회사무처, 굿모닝신한증권, 엔씨소프트, 아시아나IDT, LG카드, 한국가스공사 등의 레퍼런스를 확보한 에이쓰리시큐리티는 정보보호안전진단을 비롯해 기존 기반시설 프로젝트 등 바쁜 일정을 보냈다.
에이쓰리시큐리티컨설팅 방인구 상무는 “지난 2월부터 가동률이 최고조에 달했다”며 “기반시설, 안전진단 등 법적인 요구사항이 많이 추가됐고 고객들이 보안의 중요성을 인식하는 수준이 향상돼 앞으로도 국내 보안시장은 연 20% 이상의 성장이 지속될 것”이라고 언급했다.
에이쓰리시큐리티컨설팅은 올초 소스코드진단 컨설팅 방법론을 발표한 데 이어 최근 내부통제 방법론을 선보이는 등 신규 컨설팅 방법론을 기반으로 은행, 통신 등 기존 주요 고객유지와 더불어 의료, 교통 정보시스템 등과 관련한 보안 수요 확산이 예측된다고 밝혔다. 특히 하반기에 해외매출이 꾸준히 증가할 것으로 보여 안정적 수익확보에 더욱 박차를 가할 수 있을 것으로 예상되고 있다.
방인구 상무는 “에이쓰리가 아직 외부에 공개하고 있지 않은 부분이 해외사업이지만 지난해부터 해외사업을 조금씩 늘려나가고 있다”며 “태국, 중국, 일본, 대만, 미국 등에 사업을 진행하고 있고 순수 외화로 받고 있어 수익성이 상당히 좋다”고 언급했다. 에이쓰리시큐리티컨설팅는 향후 자사의 이름을 브랜드화해 보안컨설팅의 대명사로 자리잡도록 기업이미지 확보에 힘쓴다는 방침이다. 또한 에이쓰리는 올초부터 서비스를 개시한 웹 애플리케이션 보안 컨설팅과 내부통제, 부정관리 컨설팅, 보안아키텍처 컨설팅 등의 신규 서비스를 특수화시켜 고부가가치를 올릴 계획이며 이를 통해 올해 약 42억원의 매출액을 달성할 계획이다.
그간 관제서비스 중심으로 사업을 펼쳐오던 인포섹(대표 박재모)도 최근 보안컨설팅 분야에서 두각을 나타내고 있다. 인포섹 신수정 컨설팅본부 본부장은 “인포섹의 초기 사업초점은 관제였지만 지난 2003년부터 보안컨설팅 분야를 특화하기 시작했다”며 “컨설팅과 관제 사업의 연계로 큰 시너지를 낼 수 있을 것이라 판단하고 보안컨설팅 사업을 강화하기 시작했으며 지난해 하반기부터 인포섹이 약했던 금융 등의 대형 고객을 본격 확보, 보안컨설팅 사업이 본 궤도에 올랐다”고 언급했다. 또 그는 “인포섹은 자사의 전문 컨설팅 방법론인 ISCM(Infosec Security Consulting Methodology)으로 통신사 및 금융권 등 다양한 사이트에서 전사 취약점 분석평가, 안전진단, 정보보호 아키텍처 및 마스터 플랜 수립 컨설팅 등 다양한 서비스를 수행, 좋은 반응을 얻고 있다”고 덧붙였다.
인포섹은 지난 상반기 SK텔레콤, 데이콤, 위즈위드, 우리홈쇼핑, 메가박스 등 16개 사이트의 안전진단을 수행했으며 SK C&C, SK네트웍스, 국립보건원 등 다수의 기반시설 컨설팅을 진행했다. 지난 상반기 약 35억원의 매출을 달성한 인포섹은 올해 전체 목표 매출액인 50억원을 무난히 달성할 수 있을 것으로 전망하고 있다.
앞으로 인포섹은 인포섹의 이미지를 보다 고급화하는데 초점을 맞출 방침이다. 신수정 본부장은 “보안회사들은 자사의 이름을 걸고 이미지를 구축하려는 분위기가 없지만 인포섹은 자사의 이름을 걸고 고급화 시장을 선도할 계획”이라며 “보안 아키텍처 컨설팅, ITIL 등 새로운 서비스를 지속적으로 내놓고 고부가가치를 창출할 수 있는 고객 중심의 신규시장을 만든다는 전략”이라고 강조했다. 또한 인포섹은 금융권 고객들을 위한 특화서비스를 지속적으로 내놓는다는 방침이며 비즈니스 성격에 맞는 취약성을 진단하는 맞춤 컨설팅을 진행할 계획이다.

보안컨설팅 시장에서 쌓은 노하우, ‘자신있다’
또한 보안컨설팅 사업을 지속적으로 수행해온 인젠과 STG시큐리티도 꾸준한 실적을 올리며 그간의 노하우를 발휘, 향후 국내 보안컨설팅 시장에서 자리매김을 계속할 방침이다.
인젠(대표 임병동)은 이전부터 수행해오던 정보보호컨설팅과 기반보호컨설팅, 정보보호인증컨설팅 등을 축으로 수요가 많지는 않지만 꾸준히 늘어갈 것으로 예상하고 있는 권한관리체계수립컨설팅, 보안대책 적용컨설팅, 웹 애플리케이션 보안, 개인정보보호, 안전진단 컨설팅 등을 확대시킨다는 방침이다. 인젠 컨설팅사업본부 고경필 수석컨설턴트는 “최근 인젠 컨설팅 사업부의 컨설턴트들은 감당할 수 있는 한계치까지 프로젝트를 수행하고 있으며 다수의 프로젝트들이 대기중”이라며 “안전진단 등의 컨설팅 수요가 늘어 타사도 비슷한 경우를 겪고 있을 것이고 이런 현상은 8월말까지 지속될 것”이라고 언급했다.
또 그는 “보안컨설팅 시장이 넓어졌다는 측면이 올해의 고무적인 현상이다”며 “기존에 컨설팅을 받은 기업 및 기관들이 지속적으로 컨설팅을 하고 있는 것은 물론 최근 인터넷뱅킹 해킹사건을 비롯해 개인정보유출 문제 등 각종 내부보안에 대한 사건들로 인해 과거 컨설팅을 받은 적 없는 기업들도 컨설팅을 받으려고 해 고객기반이 확대됐다는데 의의를 둔다”고 언급했다.
인젠은 지난 상반기 증권전산 모의해킹, 빙그레 권한관리체계수립 컨설팅 등 17개 프로젝트를 수행했으며 지난 상반기 약 8억원, 올해 전체 약 15억원의 매출을 기대하고 있다. 특정업종에 국한된 사업수행은 아니지만 통신, 정부관련 프로젝트에 좀더 무게중심을 싣고 있다는 인젠은 적극적 마케팅과 경쟁우위영역확보를 통해 수익성높은 프로젝트를 선별, 실적과 수익성을 강화한다는 방침이다. 특히 인젠은 최근 수요가 증가하고 있는 모의해킹과 고객사 RFP에서 빠지지 않는 웹 애플리케이션 보안 등을 주력으로 하반기 사업에 불을 당긴다는 전략이다.
STG시큐리티(대표 문재철)는 지난해 연말부터 웹 애플리케이션 보안 컨설팅으로 사업 분야를 특화한다고 밝히며, 보안컨설팅 사업에 주력, 웹 호스팅업체 등의 안전진단을 활발히 수행하며 보안컨설팅 시장에서 두각을 나타내고 있다.
STG시큐리티는 자사의 고유 보안컨설팅 방법론인 BOSSCM(Business Optimize Security Service Consulting Methodology)를 기본으로 정보보호컨설팅, BS7799 인증 및 KISA ISMS 인증 컨설팅, 웹 애플리케이션 보안컨설팅, 취약점 진단 서비스, 연간 보안 유지보수 서비스, 안전진단 사전 컨설팅 서비스, 안전진단 서비스 등을 수행하고 있다.
특히 STG시큐리티는 자사가 총판권을 보유한 웹 애플리케이션 보안 전문솔루션인 ‘스캔두’와 ‘인터두’를 연계, 웹 애플리케이션 보안컨설팅의 수요를 꾸준히 늘려갈 방침이다. 문재철 사장은 “그동안 보안솔루션 구축에만 관심을 기울였으나 최근 발생하는 모든 해킹이 웹 애플리케이션을 통해 발생하고 있다”며 “최근 관련 수요가 점차 증가하는데 힘입어 웹 애플케이션 보안 컨설팅을 특화하기 위해 전문 컨설턴트육성과 솔루션 공급에 역점을 두고 있다”고 말했다
또한 STG시큐리티는 최근 한국웹호스팅기업협회와 손잡고 31개 회원사의 정보보호 안전진단 수검을 진행하는 등 안전진단 컨설팅관련 매출도 꾸준해 지난 상반기 약 8억5천만원의 매출을 달성했다. STG시큐리티는 특화된 정보보호컨설팅 방법론 발전, 웹 애플리케이션 보안컨설팅 집중, 연간보안 유지보수서비스 확대, 기업보안의 틈새 시장 공략 등을 통해 올해 약 12억원의 목표매출액을 달성할 계획이다.
STG시큐리티 보안컨설팅사업부 박의원 팀장은 “올해부터 시작된 안전진단 제도에 전체 대상업체 150여개 중 약 45개사의 안전진단을 수행완료했거나 수행중으로 다수의 안전진단 심사건수를 자랑하고 있다”며 “보안에 대한 고객의 요구를 정확히 반영한 다양한 보안서비스를 지속적으로 개발할 것이며, 보안컨설팅의 수익성 제고에 더욱 매진하고, 웹 애플리케이션 보안의 최고 컨설팅회사로서 거듭나기 위해 다양한 서비스를 제공할 것”이라고 강조했다.