마켓오버뷰 - 정보보호 컨설팅
상태바
마켓오버뷰 - 정보보호 컨설팅
  • 승인 2006.07.26 00:00
  • 댓글 0
이 기사를 공유합니다

정보보호 컨설팅 시장, 신규 성장 동력 절실
올해 약 200억원 시장 형성 출혈경쟁 자제신규 서비스시장 발굴 시급

지난해 처음 시행된 정보보호 안전진단의 수혜로 급격한 성장을 이뤘던 정보보호 컨설팅 업계가 올해는 지난해와 비슷한 규모의 성장에 그칠 것으로 전망된다.

지난해 약 190억원 가량의 시장을 형성했던 국내 정보보호 컨설팅 시장이 올해 약 200억원 대의 시장을 형성할 것이라는 분석이다.

이는 지난해 정보보호 안전진단을 수행했던 업체들이 올해 상당수가 컨설팅 규모를 축소, 업체들의 수주 단가가 하락하면서 이익이 떨어졌으며 금융·포털·공공 등 기존 컨설팅 고객들의 시장도 포화됐다는 것. 하지만 반대로 프로젝트 숫자는 늘어 일은 많지만 수익은 없는 긍정적이지 못한 구조로 흘러가고 있다.

이에 관련 전문가들은 정보보호 안전진단 등과 같은 수익이 낮은 프로젝트보다 최근 새롭게 표준으로 제정된 ISO27001과 같은 인증 컨설팅, 지속적인 수익을 보장받을 수 있는 연간 계약 서비스 등 고부가가치 사업을 획득해야한다고 주장한다. 또한 해외시장이나 기존 정보보호 컨설팅의 미개척 분야인 제조, 대학, 병원 등 신규 고객을 유치해 내실있는 성장을 도모해야한다는 목소리가 높아지고 있다.
국내 정보보호 컨설팅 시장의 현주소와 문제점, 그리고 향후 시장의 기상도를 점검해본다.
장윤정 기자·linda@datanet.co.kr

정보보호 컨설팅이라는 개념은 지금으로부터 약 4년 전인 1997년을 전후해서 모의 해킹이라는 이름으로 처음 등장했다. 당시의 정보보호 컨설팅은 침입차단 시스템이라는 것을 처음 들고 나온 소수의 보안업체들이 실제로 해당고객사의 시스템을 해킹해보는 아주 기초적인 수준이었다.
정보보호 컨설팅은 정보보호 집단의 고도의 기술력을 바탕으로 정보보호 업무를 외부에 위탁 즉, 아웃소싱 고객 또는 기업의 요구에 따라 보안 서비스를 종합적으로 컨설팅해주는 전문 서비스를 말한다. 고객의 고유한 사업 환경과 요구사항에 따라 철저한 위험 평가를 기반으로, 자체적인 정보보안 관리 시스템을 구축하고 운영할 수 있도록 정보보안 전 영역에 걸쳐 세부적인 표준을 수립하고 절차 등을 세워준다.
고객의 사업 요구사항에 따라, 정보보안 솔루션 도입에서부터 효과적인 정보시스템 운영까지의 전 영역을 수행하며 고객과 함께 프로젝트를 수행해 컨설팅의 노하우를 전수하며, 자체적인 운영이 가능토록 가이드하는 업무를 맡는다. 또한 프로젝트가 종료된 후에도 지속적인 고객 서비스를 통해 문제점 및 해결 방안을 제시하고 있다.
국내 정보보호 컨설팅은 지난 2004년까지 많은 업체들이 치열한 경쟁을 벌였지만 대다수의 업체들이 정리되고 지난해부터 에이쓰리시큐리티컨설팅, 인포섹, 이니텍, 에스티지시큐리티, 시큐아이닷컴, 인젠, 안랩코코넛, 안철수연구소의 8개 업체로 재편돼 올해까지 이어져오고 있다.
이들 정보보호 컨설팅 전문업체들을 중심으로 한 국내 정보보호 컨설팅 시장은 당분간 새로운 업체의 진입이나 기존 업체의 이탈 없이 지속될 전망이다.
그러나 최근 정부가 저조한 정보보호 안전진단 수검율을 높이기 위해 정보보호 컨설팅 전문업체들외에 기존 보안솔루션, 회계법인, 컨설팅 업체들을 대상으로 정보보호 안전진단 전문업체를 추가 지정하겠다고 밝혀 국내 정보보호 시장에 회오리 바람을 예고하고 있다.
정통부는 정보보호 컨설팅 전문업체만이 정보보호 안전진단을 수행할 수 있던 것을 최근 정보통신망이용촉진 및 정보보호 등에 관한 법률 시행규칙 개정(안)을 통해 기준을 통과하는 기업은 안전진단수행기관이 될 수 있게 한다는 방침을 밝혔다. 하지만, 정보보호안전진단수행기관의 선정 기준이 너무 약화돼 정보보호안전진단의 부실 우려가 높아지고 있다는 지적이다.

안전진단 전문업체 확대 신중한 결단 필요
정통부가 지정하는 정보보호컨설팅 전문업체는 기술인력 15명 이상에 3년간 수행실적 25억원이어야 한다. 이와 비교하면 정보보호안전진단수행기관의 선정 기준은 안전진단수행기관의 정보보호컨설팅 수행 실적이 1천만원 이상이어야 한다는 기준을 제시하는 등 수행 실적이 턱없이 낮다는 것.
이처럼 낮은 기준으로 정보보호안전진단의 수행 기관을 늘린다면 기준에 미달하는 업체들이 너도나도 정보보호 컨설팅 시장으로 흘러들어와 안전진단은 물론 향후 기반시설이나 취약점 진단 등 정보보호 컨설팅 전문 업체들의 영역을 넘보게 될 것이라는 우려다. 이렇게 되면 지난 2004년 이전에 수많은 정보보호 컨설팅 업체들이 난립, 가격경쟁과 저가수주에 얼룩졌던 과거가 되풀이될 수도 있다.
에이쓰리시큐리티의 방인구 이사는 “신규 안전진단 수행업체들이 기존 업체들과 경쟁하기 위해서는 당연히 가격 경쟁을 내세울 것이고 가격경쟁이 치열해지면 단가가 낮은 안전진단 컨설팅의 가격을 급격히 하락시킬 위험이 있다”며 “가격 하락도 문제지만 준비 없이 달려드는 업체들의 서비스 질 저하로 인한 고객들의 신뢰 상실이 가장 큰 걱정”이라고 언급했다. 또 그는 “정보보호 컨설팅 전문 업체들만 정보보호 안전진단을 수행할 수 있다는 것이 독점이라는 의견으로 대상 업체를 확대키로 한 것 같지만 정부의 좀더 신중한 결단이 필요할 것”이라고 덧붙였다.
하지만 정부의 정보보호 안전진단 대상 업체의 숫자를 늘리는 기본 방침에는 변함이 없을 것이기 때문에 정보보호 컨설팅 전문업체들은 단가가 낮고 경쟁이 치열한 정보보호 안전진단보다 고 부가가치의 새로운 서비스에 눈을 돌려야한다고 지적하고 있다.
이에 올해 가장 화두로 떠오른 컨설팅 서비스는 최근 신규 표준으로 제정된 ISO27001이다. BS7799에서 ISO27001로 표준이 바뀌고 난 뒤 지난해 하반기까지는 그다지 수요가 많지 않았지만 올초부터 바뀐 ISO27001 인증을 획득하려는 고객들이 부쩍 늘었다는 것. 따라서 관련 업계는 올해 ISO27001 인증 컨설팅 고객 수요에 대비하기 위해 발빠른 행보를 보이고 있다. 에이쓰리시큐리티컨설팅, 인포섹. 이니텍, 안랩코코넛 등 대부분의 정보보호 컨설팅 전문업체들은 자체적으로 ISO27001 인증을 획득하는 것은 물론 전문 인력을 양성해 팽창하는 ISO27001 수요에 대비하고 있다.
최근 ISO27001 인증을 획득한 인포섹 컨설팅본부 신수정 본부장은 “ISO27001 컨설팅을 수행하는 업체가 정작 ISO27001 인증을 받지 못한다면 고객에게 신뢰를 줄 수 없다며 정보보호 컨설팅 전문업체들이 최근 ISO27001 인증 받기에 속속 나서고 있다”며 “올해 ISO27001 인증 컨설팅 수요는 전체 정보보호 컨설팅 수요의 약 20% 가량이 될 것으로 예상된다”고 언급했다.
이외에도 정보보호 컨설팅 전문업체들은 올초 리니지 사건 등으로 크게 관심을 모으고 있는 개인정보보호 관련 컨설팅, 웹 애플리케이션 취약점 컨설팅 등 새로운 컨설팅 서비스를 발굴, 부가가치를 높인다는 전략이다. 또한 단기성으로 끝나는 컨설팅보다 연간 계약 등으로 장기 계약을 체결하려는 시도도 계속되고 있다. 연간계약은 지속적인 수익을 보장받는 한편 고객사에도 장기적인 플랜으로 안전한 보안컨설팅 서비스를 제공해 신뢰를 쌓을 수 있다는 점에서 윈윈할 수 있어 정보보호 컨설팅 전문업체들은 연간계약 고객들을 늘리는데 주력한다는 방침이다.

올해 약 200억 시장 형성 기대
국내 정보보호 컨설팅 시장은 지난해 한국정보보호산업협회(KISIA)의 조사에 의하면 약 194억원 규모의 시장을 형성했다. 본지가 조사한 바에 의하면 지난 2004년은 약 150억원, 지난해는 약 187억원대의 시장을 형성해 지난해 국내 정보보호 컨설팅 시장은 약 190억원대의 시장을 형성한 것으로 추정된다.
본지가 조사한 <표 1> 국내 정보보호 컨설팅 업체현황을 보면 올해 8개 정보보호 컨설팅 업체들은 총 230억원대의 목표 매출액을 제시하고 있고 상반기까지의 매출액은 약 120억원대 가량을 달성, 전체적으로 지난해보다 소폭 증가한 200억원대의 시장을 형성할 수 있을 것으로 전망된다.
KISIA는 매출규모가 큰 보안컨설팅 분야의 CAGR(연평균성장률)은 20.28%로 매우 높게 나타나 2005년 매출액 194억원에서 2010년에는 2배 이상 성장한 490억원대에 이를 전망이라고 밝혔다. 그러나 정보보호 전문업체들의 숫자가 한정돼 있고 정보보호 컨설팅 사업이란 것이 인력과 비례한다는 점을 감안하면 이렇게 폭발적인 증가를 지속하기는 힘들다는 의견이다.
한 업계의 관계자는 “지난 2004년까지 13개 전문 업체에 220명 가량의 전문 인력들이 있었지만 현재 8개 업체에 인원은 약 200명 가량으로 줄었다”며 “컨설팅은 솔루션 사업과 달라 컨설턴트 인원이 곧 그 회사의 수익이라는 점을 감안한다면 1인당 최고 8천만원~1억원 가량의 수익을 올린다고 쳐도 한정된 인원으로 올릴 수 있는 수익은 한계가 있다”고 밝혔다.
본지가 조사한 <표 1>에서도 주요 정보보호 컨설팅 업체들의 컨설팅 전문 인력 숫자는 약 250여명 가량이다. 거의 대부분의 업체들이 인력이 모자라 인력 수급에 어려움을 겪고 있긴 하지만 여러 여건상 전문 인력을 쉽게 충당하기는 만만치 않다. 따라서 당분간 200여명의 수준에서 소폭의 증감이 있을 예정이기 때문에 전체 국내 정보보호 컨설팅 시장은 급격한 성장보다 점진적인 성장이 지속될 것이라는 예측이 가능하다.
이렇게 인력이 한정돼 있기 때문에 한정된 인력으로 고수익을 올리려면 안전진단 컨설팅과 같은 단가가 낮은 서비스보다 고소득을 올릴 수 있는 서비스에 주력할 수밖에 없고 연간 계약 등으로 지속적인 수익이 가능한 우량 고객을 잡는 것이 중요하다. 또 기존 포화된 금융, 통신 등의 고객에서 탈피해 포털, 게임, 쇼핑몰 등 인터넷 사업자, 제조, 물류, 건설 등 정보보호 컨설팅에 무관심했던 새로운 고객군을 개척하는 것이 좋다. 병원, 대학 등 첨단 IT인프라 구축에 앞장서고 있는 고객군도 정보보호 컨설팅을 시행하기에 적당한 고객이다.
현재 정보보호 컨설팅 시장은 연초는 그다지 바쁘지 않았던 관례와 무관하게 연초부터 개인정보보호 이슈, 정보보호 안전진단, ISO27001 등 여러 가지 요인으로 바쁘게 돌아가고 있다. 각 업체마다 인력이 부족해 고양이손이라도 빌리고 싶을 지경이라는 것. 하지만 겉으로 보기에는 프로젝트도 많고 인력이 풀가동돼 움직이고 있으나 정작 이익은 별로 없는 불균형적인 성장이 지속되고 있다. 이렇다보니 순이익이 낮아 전체적인 시장규모는 큰 폭의 성장 없이 제자리걸음에 그치고 있다.
따라서 정보보호 컨설팅 업계가 진정한 성장을 이루기 위해 무엇보다 중요한 것은 정보보호 컨설팅 업체들의 변화를 위한 노력이라고 관련 전문가들은 지적한다.

정부·업체·고객 상호 공조 ‘시급’
지난해까지는 업체수가 줄고 안전진단 컨설팅이라는 새로운 수요가 발생해 상대적으로 시장의 규모가 커지고 수익도 늘었지만 진정한 내실있는 성장을 도모하기 위해서는 새로운 고객과 서비스를 발굴하고 고객 만족을 위해 지속적인 노력을 가하려는 업체들의 마음가짐이 중요하다는 것. 여기에 저가·출혈경쟁을 자제하고 컨설팅을 단순히 솔루션을 판매하기 위해 끼워주는 서비스 정도의 수준으로 격하시키는 것이 아니라 고객이 정당한 대가를 지불하고 받을 수 있을 만큼 가치를 느낄 수 있는 서비스를 제공하는 것이 필요하다.
정보보호 컨설팅 시장의 진정한 성장을 위해 중요한 또 하나의 요소는 정부 차원의 정책이다. 안전진단 컨설팅이 당초의 취지와 다르게 업체들의 수검율이 저조하고 규모도 대폭 축소해 형식적으로 끝내는 경향이 높은 작금의 현실을 비추어볼 때 정부의 철저한 준비와 시행, 감독이라는 부분이 얼마나 중요한지 알 수 있다.
한 업계의 관계자는 “정보보호 안전진단은 규정화된 샘플링 리스트가 없어 48개 체크리스트 가운데 대충 O, X만 표시하고 끝낼 수도 있다”며 “또 전체 서버가 100대라도 1대만 검사하고 끝낸다 해도 기준이 없으니 이런 방식은 안된다고 고객에게 말할 수도 없고 업체는 싼값에 적당히 하자는 고객의 요구에 끌려갈 수밖에 없다”고 하소연했다.
또 정보보호 컨설팅의 정당한 공급 가격 기준이 없어 정부의 정보보호 용역단가를 정확히 조사, 책정하려는 의지가 시급하다. KISA에서 정보보호 용역단가를 책정하고자 몇 번 조사하고 결과물을 내놓아봤지만 정부 차원에서 서로 책임을 전가, 승인해주지 않아 정당한 정보보호 용역단가는 아직까지 책정되지 않았다.
현재 정보보호 컨설팅 공시 단가는 소프트웨어 공급 단가를 기준으로 책정되는 형편이라 업계의 현실에 비해 턱없이 낮은 가격이다. 특히 한번 결정된 가격은 절대 다시 올라갈 수 없는 관행상 정보보호 컨설팅 업체들은 매년 상승되는 임금과 제반 여건상의 비용을 충당하기 어려운 형편이다.
여기에 고객들의 마인드 역시 중요한 시장 변화의 요건이다. 무조건 싼값에 규정만 통과할 수 있는 서비스를 찾다보면 제대로 된 컨설팅을 받을 수 없고 결과적으로 자사의 보안 위험과 연계된다는 것이다. 특히 정보보호 컨설팅은 보안이라는 부분과 직결돼 있기 때문에 체계적이고 안전한 보안 정책을 위한 단계별 계획을 세우고 정당한 가격에 맞는 서비스를 받는다는 인식 전환이 필요하다.
당분간 국내 보안 컨설팅 시장은 현재와 같이 급격한 성장보다 약 2~5% 가량 완만한 성장으로 진행될 전망이다. 관련 전문가들은 정보보호 컨설팅 관련 업계, 정부, 고객 등의 노력이 어우려질 때 정보보호 컨설팅 시장은 외적인 성장만이 아닌 모두가 윈-윈할 수 있는 진정한 성장을 도모할 수 있을 것이라고 지적하고 있다.

에이쓰리·인포섹, 보안컨설팅 상위 다툼 ‘치열’
지난해와 마찬가지로 올해 국내 정보보호 컨설팅 시장은 에이쓰리시큐리티컨설팅과 인포섹이 선두 그룹을 형성하고 있는 가운데 이니텍, 인젠, 에스티지시큐리티, 시큐아이닷컴 등과 안철수연구소, 안랩코코넛 등이 자웅을 겨루고 있다.
정보보호 컨설팅 전문업체 중 유일하게 다른 사업 분야 없이 정보보호 컨설팅에만 집중하고 있는 에이쓰리시큐리티컨설팅(대표 백태종)은 지난해 약 50억원의 매출을 달성했고 올해 약 58억원의 매출을 달성할 계획이다.
에이쓰리시큐리티컨설팅은 지난해 소스코드진단 컨설팅 방법론을 발표한 데 이어 최근 내부통제 방법론을 선보이는 등 신규 컨설팅 방법론을 기반으로 은행, 통신 등 기존 주요 고객유지와 더불어 일반 기업에서 중소제조업 등으로 고객 기반을 넓히고 있다. 올해는 ISO27001 컨설팅에 대한 수요가 급증할 것으로 보고 올초 전 직원에 대한 BSI의 ISO27001 선임심사원 교육을 수행, 전 직원이 선임심사원 과정을 수료했다. 또 내부 문서는 물론 고객에게 제공하는 컨설팅 보고서 등 모든 문서에 DRM(Digital Rights Management)을 적용, 내외부의 안전을 강화하는 등 고객 신뢰 확보에 힘쓰고 있다. 여기에 최근 해외사업들이 탄력이 붙기 시작해 하반기 수익확보에 청신호가 될 전망이다.
에이쓰리시큐리티컨설팅의 방인구 이사는 “최근 3~4년동안 공들여온 해외사업에서 기대이상의 성과를 내고 있다”며 “태국·미국 등 이미 진출해 있는 시장에서 좋은 성과를 내고 있고 하반기에 일본· 대만·중국 등에도 진출할 계획”이라고 밝혔다. 또 그는 “해외시장 컨설팅 사업을 지속하며 ISO27001 컨설팅과 웹 애플리케이션 관련 컨설팅, 내부통제 및 위험관리 컨설팅 등 신규 컨설팅 강화와 일반 기업, 중소제조업 집중 공략으로 시장의 선도적 위치를 유지해나갈 것”이라고 언급했다.
관제서비스 중심에서 정보보호 컨설팅 전문업체로 자리를 굳힌 인포섹(대표 박재모)도 지난해 약 48억원의 매출을 달성한데 이어 올해는 충원한 인력과 신규 고객 등에 힘입어 약 65억원의 매출목표를 달성할 계획이다. 인포섹은 자사의 특징을 살려 컨설팅, 솔루션, 관제의 최적화된 통합보안서비스에 주력한다는 전략이다. 즉 컨설팅 서비스를 기반으로 차별성을 강화하고 기본 보안 솔루션을 라인업하는 한편 협력솔루션 체제를 구축해 최종 관제 운영서비스까지 제공하는 원스톱 통합서비스를 고객에게 제시한다는 것.
인포섹 신수정 컨설팅본부 본부장은 “ISO27001, KISA ISMS 인증획득 및 다양한 경험을 보유한 18명의 PM 시니어를 포함해 약 65명의 컨설팅 전문인력을 보유하고 있다는 것이 인포섹의 장점”이라며 “앞으로도 최고의 컨설팅 인재를 확보하는 한편 인력양성을 위해 내부 시스템을 강화, 경쟁력을 더욱 높여갈 것”이라고 밝혔다.
또 인포섹은 각 고객사별 전문인력을 양성, 분야별 노하우를 정리해 스페셜리스트를 양성해간다는 계획이다. 즉 은행, 증권, 보험, 제조 등 고객 산업분야별 노하우를 보유한 전문가를 집중 양성해 시장을 공략한다는 것. 특히 올해부터 금융, 공공, 통신 등의 기존 고객보다 대학, 병원 등의 정보보호 컨설팅에 무관심했던 신규고객들이 서서히 확보되기 시작해 관련 시장 개척에 힘쓴다는 방침이다.
신 본부장은 “서울대학교, 현대아산 병원 등을 신규 고객으로 확보해 관련 레퍼런스를 적극 홍보하며 IT에 민감하면서도 정보보호 컨설팅의 사각지대였던 대학, 병원 등의 고객 확보에 힘쓸 것”이라고 강조했다. 이처럼 인포섹은 기반시설, 취약점 진단 등과 ISO27001, 개인정보보호 등 최근 고객이 선호하는 컨설팅은 물론 기업의 비즈니스와 연결된 보안의 방향성을 제시해주는 ‘보안 전략 컨설팅’, 분야별 ‘보안 아키텍트 컨설팅’, 기업의 보안 위협 시나리오를 사전에 연구분석하고 테스트하는 ‘분석 및 해킹’ 서비스 등 신규서비스를 고객에게 지속적으로 제시하면서 타사와 차별화한다는 전략이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.