개인정보보호보법이 지난 3월 11일 국회 본회의를 통과, 3월 29일 공포돼 6개월이 지난 9월 29일부터 본격 시행된다. 개인정보보호법은 만연한 개인정보 오남용을 방지하는 계기가 될 뿐 아니라 이와 관련된 다양한 보안 수요를 불러 국내 보안 산업 성장의 기폭제가 될 것으로 예측된다.
무엇보다 높은 기대를 받는 분야는 정보보호컨설팅 시장이다. 점차 정교해지는 사이버 위협과 보안 사고시 발생할 위험 증대로 정보보안 산업은 점차 보안컨설팅, 보안관제와 같은 서비스 비중이 높아지는 방향으로 전환된다는 것이 전문가들의 공통된 견해로, 이를 방증하듯 정보보호컨설팅 시장은 2010년 전년대비 큰 폭의 성장을 이뤄냈다.
한국인터넷진흥원(KISA)이 발표한 ‘2010 국내 정보보안산업 실태조사’에 따르면, 2009년 470억원 규모에 머물렀던 보안 컨설팅 시장은 2010년 595억원으로 26.5%란 고성장을 달성했으며, 앞으로 2015년까지 연평균 13.7%의 성장률을 기록하면서 957억원 규모로 확대가 예상된다. 특히 이번 개인정보보보법 제정이 성장세에 더욱 가속도를 낼 수 있는 기회가 될 것으로 점쳐진다..
특히 정보보호컨설팅 기업은 2000년대 초부터 개인정보보호 방법론을 개발, 적용한 개인정보보호 컨설팅을 펼쳐오고 있는 등 개인정보보호법 제정에 맞춤화된 비즈니스를 준비하고 있어 이번 법 제정으로 인한 수요 증가의 기회가 더욱 증대될 것으로 기대된다. 또 개인정보보호 관리체계(PIMS) 인증을 비롯한 인증 컨설팅, 신규 서비스 런칭에 따른 개인정보 영향평가 등의 수요 증가도 예상되고 있어 법 제정이 더욱 반갑다.
법 적용 대상 확대로 큰 기대
개인정보보호를 위한 제반 의무를 규정한 법률은 기존에도 존재했다. 공공기관에는 ‘공공기관의 개인정보보호에 관한 법률’이 존재하며, 민간영역에서도 ‘신용정보의 이용 및 보호에 관한 법률’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’ 등 금융, 정보통신, 의료, 교육 등 분야별로 나뉘어 개인정보의 수집과 저장, 보호에 대한 법적 의무사항이 기술돼 개인정보의 오남용을 막고, 수집자의 보호의무를 규정한 법률이 존재했다.
하지만 이러한 각 법률에서 개인정보를 바라보는 시각과 잣대가 달라 상충되는 경우가 존재할 뿐만 아니라 개인정보보호를 위한 충분한 내용을 담고 있지 못해 사각지대가 발생할 수 있다는 점에서 통합된 개인정보보호를 위한 법안 마련이 요구됐으며, 이를 반영한 것이 바로 이번에 제정, 시행되는 개인정보보호법이다.
개인정보보호법이 정보보안 업계의 성장 동력이 될 것으로 꼽히는 부분은 기존에 비해 법 적용 대상이 크게 증가한다는 점이다. 제정된 개인정보보호법을 살피면, 우선 ‘업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등’이 모두 개인정보처리자로 규정돼 개인정보를 보유한 모든 기업과 기관이 법 적용 대상이 된다.
특히 행정안전부는 시행령, 시행규칙 등에서 현재 50만개 사업자 수준인 개인정보보호 의무대상을 350만개 사업자로 확대시킨다는 방침이다. 그동안 개인정보보호 의무대상에 포함돼 있지 않았던 의료기관뿐 아니라 협회 등의 비영리단체와 국회, 법원, 헌법재판소, 중앙선거관리위원회 등이 모두 개인정보보호 의무대상에 포함돼 보다 강력한 보호의무를 지게 되는 것이다. 이러한 법 적용 확대는 곧 컨설팅 수요 급증을 예감하게 한다. 개인정보보호의 첫 단계는 기업의 개인정보 보유 실태와 보호정책에 대해 평가하고, 개선책을 마련하는 데에서 출발해야 하는 까닭이다.
오자영 인포섹 이사는 “이미 종합보안컨설팅에서는 개인정보보호 부분의 포함을 요구하는 고객이 일반적으로 기존 고객군만 놓고 생각하면 법 제정이 특별한 수요 증가를 불러올 것으로 기대하기는 어렵다. 하지만 법 적용대상이 확대됨으로써 보안 컨설팅을 수행하는 기업이 증가할 것으로 예상돼 시장 확대를 기대할 수 있다”고 말했다.
나아가 개인정보보호법 제49조와 제51조에서는 집단분쟁조정, 단체소송 등의 권리를 인정하고 있어 각 기업이 개인정보보호에 더욱 신경을 쓸 수밖에 없다. 단체소송의 보장은 정보주체의 구제권을 강화하기 위한 것으로 개인정보 유출시 대규모 피해자가 모두 청구권을 행사할 수 있어 기업은 사고발생시 막대한 피해를 입을 수 있어 보다 철저한 개인정보보호체계 확립에 나서야 한다. 강력한 개인정보보호체계 확립의 첫 걸음은 컨설팅을 통해 실태와 정책을 평가하고, 개선책을 마련하는 데에서 출발해야 함은 자명한 사실이다.
또한 개인정보 영향평가가 의무화되는 점도 호재로 이는 영향평가와 관련된 컨설팅 수요를 불러일으킬 요소로 평가된다. 제정된 개인정보보호법 제33조 1항에서는 ‘공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인해 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 ‘영향평가’라 한다)를 하고, 그 결과를 행정안전부 장관에게 제출해야 한다’고 규정돼 있다. 이는 다시 말해 공공기관의 경우, 영향평가가 의무화됨을 의미한다.
제33조 5항에서는 ‘공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인해 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력해야 한다’고 규정돼 있다. 민간의 경우, 의무화까지는 아니지만, 적극적인 노력 전개가 요구되고 있어 개인정보를 보유, 활용하는 기업에게도 영향평가를 강력히 권고하고 있는 것이다. 이러한 개인정보 영향평가 대두는 관련 컨설팅 수요를 높이는 직접적 요인이 될 것으로 기대된다.
장점 결합으로 차별화·주도권 확보
시장 확대가 기대되는 보안 컨설팅 시장에서 나타나는 주요 흐름은 컨설팅만이 아닌 각 기업의 장점을 결합한 차별화의 양상이다. 사실 보안컨설팅은 외부적으로 차별화된 경쟁력을 내세우기에는 어려운 분야다. 수행인력의 경험과 전문성이 중시되지만, 이를 외부에 객관적 수치로 증명하기는 쉽지 않다. 각 기업이 보유한 개인정보보호 방법론의 경우에도 큰 틀에서는 대동소이해 차별화의 요소가 그만큼 크지 못하며, 수행 실적 등도 객관적 지표가 되기에는 부족함이 있다. 이에 각 기업이 가진 차별화된 특성을 결합해 차별화를 꾀하는 한편, 시장 주도권을 확보하고, 컨설팅을 통해 다른 분야에서의 시너지 효과까지 노리는 것이다.
보안 컨설팅 전문기업으로 오랜 기간 동안 명성을 쌓아온 에이쓰리시큐리티가 대표적이다. 에이쓰리시큐리티는 설립이후 정보보호 컨설팅 분야에만 집중하면서 전문기업으로의 면모를 과시해 왔다. 기업명에 컨설팅이란 명칭을 넣어 에이쓰리시큐리티컨설팅이란 사명을 사용했을 정도로 컨설팅 분야에 대한 자부심을 갖고 있던 기업이 바로 에이쓰리시큐리티다.
그렇지만 지속적인 성장과 변화하는 시장 대응을 위해 이비즈테크와 합병한 에이쓰리시큐리티는 컨설팅을 중심으로 관련 솔루션까지 제공하는 형태로 비즈니스를 변모시키고 있다. 이에 따라 2008년 사명에서도 컨설팅을 삭제, 에이쓰리시큐리티로 변경해 컨설팅과 관련 솔루션 공급에 나서고 있다.
개인정보보호 분야는 이러한 에이쓰리시큐리티의 전략을 잘 드러내는 분야다. 에이쓰리시큐리티는 개인정보보호와 관련된 컨설팅 역량을 시스템화해 ‘알파인더PIA’라는 개인정보영향평가 시스템을 선보이고 있다. 알파인더PIA는 까다로운 영향평가를 시스템화함으로써 상시적인 영향평가 체제를 구축, 개인정보보호법 대응을 용이하게 돕는 솔루션으로 SK텔레콤, NHN, 다음, 건강보험심사평가원, 신한은행, 대한생명 등에 공급되면서 유용성을 증명했다.
한재호 에이쓰리시큐리티 사장은 “기업에 따라 조직구성이 다르다는 등의 여러 변수가 있어 영향평가를 시스템화하기 어렵지만, 보안 컨설팅 시장에서 오랜동안 축적한 노하우와 솔루션 개발 기술을 결합해 알파인더PIA를 개발하게 됐다”면서 “알파인터PIA를 통해 새로운 서비스 개시 등을 수행할 때 자체적으로 상시 영향평가를 수행할 수 있어 개인정보보호 관련 규제를 이행하는데 커다란 도움을 받을 수 있을 것”이란 견해를 밝혔다.
알파인더PIA는 완벽히 패키징된 솔루션은 아니다. 한 사장의 언급처럼 기업별로 여러 변수가 존재해 이에 맞춤화된 커스터마이징이 상당수 필요하다. 하지만 큰 틀을 시스템화했다는 점에서 의의가 있어 2~3개월의 커스터마이징으로 자사에 최적화된 영향평가 시스템을 구현할 수 있다는 점이 최대 장점이다.
한재호 사장은 “알파인더PIA는 개인정보보호 컨설팅, 넓게는 보안 컨설팅 분야에서 에이쓰리시큐리티가 보유한 역량을 증명한다”면서 “알파인더PIA는 확대되는 개인정보보호 컨설팅, 보안 컨설팅 시장에서 에이쓰리시큐리티의 점유율 확대에도 도움을 줄 것”이라고 기대했다.
보안SI 역량 결합으로 시장 개척
현재 우리나라 보안 컨설팅 시장의 최강자는 인포섹이다. SK 그룹 내 수요가 차지하는 비중이 높다는 비판도 있지만, 컨설팅 매출로 연간 100억원을 돌파한 기업은 인포섹이 업계 최초일뿐 아니라 유일하며, 2011년에는 140억원을 돌파한다는 목표를 세워놓고 있다.
인포섹은 보안 SI와 컨설팅을 접목해 혁혁한 성과를 거둔 기업이다. 보안SI까지 가능한 기업의 이점을 십분 활용해 컨설팅을 전개하고, 컨설팅 결과에 따른 보안SI로 실질적 보안 향상 효과가 나타나도록 하면서 보안SI와 컨설팅의 동반 성장을 이뤄냈다. 인포섹은 보안SI와 결합한 보안 컨설팅 시장 공략을 한층 강화하는 가운데 개인정보보호 솔루션인 ‘이글아이’와의 시너지 효과를 기대하고 있다.
이글아이는 사용자 PC에 존재하는 개인정보를 사용자 스스로 또는 조직 내 개인정보보호 담당자를 통해 식별하고, 이를 암호화 또는 완전 삭제함으로써 정보유출방지를 구현하도록 하는 솔루션이다. PC는 현실적으로 보안이 가장 취약한 부분으로 PC에서 대량의 개인정보 보유는 금기시되는 사항이다. 이글아이는 사용자 PC에 저장된 개인정보를 검출, 보안정책에 맞춰 처리되도록 함으로써 개인정보보호를 강화하고, 각종 규제에 대응할 수 있게 한다. 또 기업 내 개인정보 보유 현황에 분석 통계를 제공, 적절한 보호 방안 및 조치 방안을 제공할 수 있는 정책 수립의 근거도 확보하게 한다.
오자영 인포섹 이사는 “인포섹의 개인정보보호 컨설팅은 이글아이 감사버전을 활용, PC단의 개인정보 보유 현황까지 살펴봄으로써 보다 정확하게 기업의 개인정보 보유 실태를 파악해 개선점을 도출할 수 있도록 하는 이점이 있다”며 “보다 정확한 결과를 도출하는 이글아이는 컨설팅 결과에도 도움을 주지만, 고객만족도가 높아 이후 이글아이 구매로 이어지는 시너지 효과도 발생하고 있다”고 강조했다.
시큐아이닷컴도 보안SI와 결합, 보안 컨설팅 시장에서의 주도권을 되찾아 온다는 전략이다. 시큐아이닷컴은 지난해 보안SI, 솔루션 사업에 주력하면서 보안컨설팅 분야에서의 활동이 다소 침체됐다는 평가를 받기도 했던 것이 사실이다. 하지만 올해 컨설팅 인력 충원과 더불어 보안SI와 컨설팅을 긴밀히 결합시킴으로써 시장에서의 입지를 회복하겠다는 것이 시큐아이닷컴의 방침이다.
남기만 시큐아이닷컴 보안컨설팅그룹 차장은 “기업 전략적인 측면에서 솔루션 등에 집중, 보안 컨설팅의 입지가 약화됐다고 평가받기도 하지만, 시큐아이닷컴 내부의 컨설팅 역량은 계속 유지돼 왔다”면서 “컨설팅 시장 성장이 예상되는 올해에는 보다 적극적인 시장 공략을 진행해 외부의 우려를 불식시킬 것”이라고 강조했다.
시큐아이닷컴은 네트워크 보안 솔루션을 자체 개발하고, 보안SI 역량을 갖춘 정보보안 선도 기업기업이란 이점을 활용, 고객사의 특성에 맞게 컨설팅을 포함한 개인정보보호솔루션 패키지를 상품화함으로써 경쟁우위를 확보하겠다는 전략이다. 컨설팅을 수행하고, 이 결과에 따라 방화벽, 침입방지시스템(IPS), 가상사설망(VPN), DB보안, PC내 개인정보검출 및 암호화 솔루션 등을 맞춤화 공급, 구축할 수 있는 보안SI 기업으로서의 이점을 십분 살리겠다는 것이다. 이를 위해 DB보안, 개인정보 검출 등 시큐아이닷컴이 보유하지 않은 부분의 경우에는 우수 기업과의 협력 관계 구축도 물밑에서 진행하고 있는 상황이다.
개인정보 토털 케어 서비스 제공
안철수연구소는 솔루션 측면에서는 네트워크 보안부터 PC 등 엔드포인트 보안까지, 보안 서비스 측면에서는 컨설팅부터 관제까지 제공하는 통합보안 기업이라는 이점을 활용, 개인정보보호 관련 올인원 서비스인 ‘개인정보 토털케어 서비스’(가칭)를 선보인다는 방침이다.
안철수연구소의 개인정보 토털케어 서비스는 ▲개인정보 관리체계 구축 컨설팅 ▲개인정보 영향평가 ▲개인정보보호 관리체계(PIMS) 인증 컨설팅 ▲개인정보 인식변화관리 컨설팅 ▲개인정보관리 자문 서비스 ▲개인정보 침해진단 및 대응 서비스 ▲개인정보 솔루션 통합구축 서비스 ▲개인정보 매니지드 프라이버시 케어 서비스(가칭)으로 구성된다.
안철수연구소의 개인정보 토털케어 서비스를 살피면, 개인정보 관리체계 구축 컨설팅은 가장 큰 규모의 것으로 개인정보 관리현황 분석, 법률 준거성 진단과 취약점 진단을 비롯한 마스터 플랜 수립, 관리체계 구축에 이르는 모든 과정을 제공하는 개인정보보호와 관련한 안철수연구소의 주력 컨설팅 상품이다. 이외 개인정보 인식변화관리 컨설팅, 개인정보 인식변화관리 컨설팅 등은 고객의 특성에 따라 선택, 비용대비 효과를 극대화하도록 한 것으로 예를 들어 내부역량을 중시하는 기업은 개인정보관리 자문서비스로 개인정보 보호와 관련된 내부역량 확대에 도움을 받을 수 있다.
개인정보 솔루션 통합구축 서비스는 인포섹, 시큐아이닷컴과 마찬가지로 보안SI 역량을 결합해 컨설팅과의 시너지를 기대케 하며, 개인정보 특화 관제 서비스를 기반으로 한 매니지드 개인정보 케어 서비스는 관제와 컨설팅을 결합, 보안에 대한 비용부담을 갖는 중소기업을 공략할 수 있을 것으로 예상된다.
김형준 안철수연구소 컨설팅팀장은 “안철수연구소의 신뢰성은 다양한 분야에서 인정받고 있다”며 “안철수연구소 시큐리티대응센터(ASEC), 침해사고대응센터(CERT) 등 안철수연구소의 보유 역량을 활용한 고품질 컨설팅으로 시장에서의 우위를 지속하겠다”고 강조했다.
2011년 사명을 변경하면서 새로운 출발을 알린 싸이버원(구 인젠시큐리티서비스)은 개인정보보호 원스톱 서비스 ‘포스’를 선보였다. 싸이버원 포스는 개인정보보호법 시대에 맞춰 개인정보 취급시 취해야 할 필수 조치 사항을 묶은 패키지 상품으로 컨설팅, 솔루션, 보안관제에 이르는 전반적인 대책을 제공하는 점이 가장 큰 특징이다.
특히 보안기업 중 독특하게 IDC를 보유하고 있다는 강점을 기반으로 차별화를 꾀하고, 경쟁우위의 키로 삼겠다는 것이 싸이버원의 전략이다. 이번에 법적용 대상이 되는 대다수 기업의 경우, 5년 이상의 개인정보 처리시스템의 권한 및 계정관리 기록과 6개월 이상의 접속 로그 저장이 부담스러울 수밖에 없다. 싸이버원은 보유한 IDC를 기반으로 이러한 기록을 제3의 장소에 안전하고 항구적으로 보존 관리하는 차별화된 서비스를 제공할 수 있으며, 이를 기반으로 성장에 더욱 박차를 가한다는 것이 싸이버원의 방침이다.
롯데정보통신은 개인정보보호 솔루션인 ‘이피스 넘버원’을 선보였다. 고객정보나 기업 내부정보 노출, 웹 취약점을 점검하는 기능과 함께 웹표준화 및 웹접근성 점검 기능도 원스톱으로 제공하는 솔루션인 동시에 서비스로도 제공된다는 점이 최대 특징으로 이를 통해 개인정보보호 사고를 예방할 수 있다는 것이 롯데정보통신 측의 자신감이다. 특히 서비스의 경우, 기업형 클라우드 컴퓨팅 서비스로 제공될 수 있어 비용부담이 적은 이점이 있다. 롯데정보통신 또한 보안 컨설팅과 이피스넘버원을 결합해 시너지 효과를 기대하고 있다.
PIMS 인증 컨설팅 주도권 확보 경쟁 치열
다른 한편으로 개인정보보호법 제정과 더불어 관심을 모으는 것은 바로 PIMS(Personal Information Management System) 인증이다. PIMS는 개인정보의 대량 유출 사고를 방지하고 기업의 사회적 책임을 강화하고자 마련된 제도로 개인정보 취급 기업이 개인정보에 필요한 보호조치 체계를 구축했는지 점검해 인증을 부여하는 것이다.
PIMS의 특징으로는 정보제공의 주체를 개인에 놓고, 수집, 이용시 동의절차도 중요한 요소로 살핀다. 또 개인정보의 라이프사이클에 따른 관리도 살피고 있어 개인정보보호법 준수를 공인받는 효과가 있을 것으로 기대된다. 특히 방송통신위원회는 PIMS 인증을 획득할 경우, 과징금 감면을 추진하고 있어 PIMS에 대한 기대가 더욱 높다. 이에 PIMS 인증에 대한 수요 증가가 예상되고 있으며, PIMS 인증을 위한 컨설팅 수요 급증이 예상된다는 것이 업계의 전망이다. 이에 인포섹을 비롯한 각 기업은 PIMS 인증 컨설팅 주도권 확보에 나선다는 방침이다.
또한 최근 금융권의 잇단 보안사고가 화제가 되면서 보안 컨설팅 문의가 급증하고 있다. 금융권의 잇단 사고를 보면서 기업의 보안 프로세스를 재점검하려는 기업이 증가하고 있다. 오랜 숙원이었던 개인정보보호법이 제정, 시행될 뿐 아니라 잇단 보안사고로 경각심이 높아지면서 컨설팅 시장은 오랜만에 다시 활기를 찾고 있다. 보안 컨설팅 시장의 도약이 주목된다.
