올해 상반기 정보보안 컨설팅 전문업체 확대지정이 예고되면서 코닉글로리, 이글루시큐리티 등 컨설팅 시장에 새롭게 진출한 기업이 주목받고 있다. 또한 지능형 타깃공격과 BYOD·클라우드·빅데이터 등 새로운 IT 환경에 대비하기 위한 일반 컨설팅 수요가 늘고 있으며, 개인정보보호법을 위한 컨설팅 수요도 지속적으로 증가하고 있다. 올해 역시 고성장이 기대되는 정보보안 컨설팅 시장을 살펴본다.
올해 상반기 중 지식정보보안컨설팅 전문업체가 확대지정된다. 지식경제부가 지난해 11월 컨설팅 전문업체 지정기준 완화 내용이 담긴 ‘정보통신 산업 진흥법 시행규칙 일부 개정령’을 입법예고했으며, 1월 규제개혁 위원회 심사가 시작됐다. 이에 따라 새롭게 전문업체 지정을 위해 적극적인 행보를 보이고 있는 코닉글로리와 이글루시큐리티가 컨설팅 조직을 새롭게 정비하고 전문인력을 확보하고 있다.
정보보안 컨설팅 전문업체가 확대 지정된다는 것은 이 시장이 큰 폭으로 확대되고 있다는 것을 증명하는 것이기도 하다. 한국인터넷진흥원(KISA)의 ‘2012 국내 지식정보 보안 산업 실태조사’에 따르면 개인정보보호 컨설팅 시장은 전년대비 20.7% 성장했으며, 2016년까지 연평균 23% 성장할 것으로 보인다. 종합보안 컨설팅 시장은 2012년 18% 성장했으며, 2016년까지 연평균 22.9% 성장할 것으로 예상된다.
정보보안 컨설팅 중에서는 개인정보보호법 등 규제준수를 위한 컨설팅 사업이 활황을 보였는데, 2011년 본격 시행된 개인정보보호법과 지난해 개정된 정보통신망법, 올해부터 시행되는 정보보호관리체계(ISMS) 등 다수의 보안규제로 인한 수요가 늘 것으로 전망된다.
개인정보영향평가(PIMS)도 여전히 중요한 보안규제다. 지난해 KT가 해킹으로 고객정보를 장기간 대량 유출당했다는 사실을 고의로 숨겨 PIMS 인증을 취소당하는 사건도 발생해 PIMS 관련 컨설팅 수요도 지속적으로 늘고 있다. 이와함께 BYOD, 클라우드 컴퓨팅, 지능형지속위협(APT) 등 변화되는 IT 환경과 고도화된 보안위협으로 인한 컨설팅 수요도 증가하고 있다. 이러한 환경은 이전의 정보보안 패러다임으로는 해결할 수 없는 문제를 안고 있으며, IT와 비즈니스 프로세스 전반을 아우르는 새로운 정보보안 전략이 필요하다.
ISMS 의무화로 시장 성장 기대
컨설팅 시장의 강자는 인포섹이다. SK그룹을 비롯해 다양한 산업군의 고객을 확보하고 있는 인포섹은 개인정보보호 방법론, PIMS, PIA, 모바일 등 다양한 분야의 컨설팅 체계를 수립하며 시장을 선도하고 있다. 특히 인포섹은 지난해 안랩과 함께 매출 1000억원 시대를 열었으며, 가장 중요한 성장 요인으로 정보보안 컨설팅을 들었다.
인포섹은 지난해에 이어 올해도 개인정보보호 컨설팅 수요가 가장 높을 것으로 보고 있으며, ISMS 인증 관련 사업도 크게 늘 것으로 예상하고 있다. 또한 PIMS 인증 컨설팅과 개인정보 검색·차단 솔루션 ‘이글아이’를 통해 시장을 다각화할 계획이다.
정보보안 컨설팅 전문기업으로 시작한 에이쓰리시큐리티도 개인정보보호법 컨설팅 시장에 많은 관심을 보이고 있다. 개인정보 관리 솔루션 ‘알파인더(RFinder)’를 출시하고, 개인정보보호 마스터 플랜 수립 컨설팅과 보안교육 서비스를 제공하면서 시장공략을 강화한다.
개정 정보통신망법에서도 컨설팅 수요를 증가시킬 요인이 상당하다. 정통망법 대상 사업자는 올해 안에 ISMS 인증을 받아야 하는데, 컨설팅과 시스템 구축, 운영·안정화까지 상당한 시간이 걸리므로 연초부터 서둘러 인증작업을 시작하지 않으면 기한 내에 완료하지 못할 수도 있다. ISMS는 정보보호 시스템과 정책 전반에 대한 거버넌스를 수립하도록 한 것으로, 조직과 역할을 분명히 규정해 체계적인 정보보안 프로세스가 운영되도록 하기 위한 것이다.
그동안 정보보호 안전진단을 의무적으로 수행해온 공공기관과 금융권은 큰 문제 없이 무사히 인증을 마칠 수 있을 것으로 보이지만, 포털사이트, 홈쇼핑, 미디어, 병원·의료기관 등은 상대적으로 ISMS 준비가 미흡한 곳이 많아 이 시장에서의 컨설팅 수요가 늘어날 것으로 보인다.
ISMS가 새로운 시장으로 부상하면서 보다 효과적으로 인증을 획득할 수 있도록 도와주는 전문 솔루션도 공급되고 있다. 이러한 솔루션은 ISMS를 위한 요구사항을 자동화·체계화해 컨설팅 과정과 컨설팅 결과에 따른 시스템 구축·안정화 과정을 단축시켜 비용을 절감시키고, ISMS 인증 후에도 지속적인 규제준수가 가능하도록 도와준다.
위노블이 국내에 판매하는 ‘시티커스원(CiticusONE)’은 ISMS 인증관리 소프트웨어로, 국제표준 ISO27001 (ISMS) 인증을 자동화해 체계적으로 관리할 수 있도록 하며, 외부 컨설턴트 인터뷰로 진행하는 ISMS 인증항목을 자동화해 인증에 소요되는 시간을 단축하고 비용을 절감할 수 있도록 한다. 표준화된 양식에 의해 온라인으로 정보보호 평가대상 위험을 측정할 수 있고, ISO27001과 BS, PCI DSS, SOX, HIPPA, NERC, SAS-70 등 글로벌 규제준수에도 대응할 수 있다.
그룹웨어 솔루션 기업 유와이즈원이 보안 시장 진출을 위해 ISMS 솔루션 ‘와이즈원 ISMS’를 출시해 주목된다. 와이즈원 ISMS는 정보보호관리체계 표준(K-ISMS, G-ISMS, ISO27001, PIMS)을 수립하고, 정보보호 업무 매뉴얼(400여종), 정보보호지침서(40여종), 양식서(80여종) 및 활용 샘플을 해당 업무에 맞게 제공하며, ISMS 인증 획득/갱신에 필요한 증적을 체계적으로 관리하는 솔루션이다. 또한 정보보호 업무 수행과 동시에 자가 위험성진단을 수행해 PDCA(Plan, Do, Check, Act) 모델로 조직의 정보보호관리체계를 지속적으로 발전시킬 수 있다.
APT 방어 위한 컨설팅 수요 증가 꾸준
개인정보보호법과 정통망법 개정안에서 보안과 관련된 강력한 규제가 많아 이 시장을 타깃으로 하는 전문 컨설팅 방법론과 솔루션이 쏟아졌지만, 컨설팅 시장이 규제준수만을 위한 목적으로 발전한 것은 아니다. 보다 궁극적으로 정보보안 수준을 향상시켜 지능화되는 공격을 방어할 수 있도록 IT 시스템과 비즈니스 프로세스를 개선하기 위한 방법론과 활용방안이 지속적으로 연구·개발되고 있다.
안랩 보안 컨설팅 서비스(ASCS)는 ASEM(AhnLab Security Engineering Methodology)을 기반으로 하고 있으며, PC 통합보안부터 네트워크 어플라이언스, 인터넷 보안에 이르기까지 IT 전 분야에 대한 안랩의 보안 기술을 적용한 컨설팅 서비스를 제공한다. ASCS는 개인정보보호 컨설팅, 모의해킹, 시스템 보안진단, 정보보호 안전진단 등 11개의 서비스로 구성돼 있다.
안랩은 지난해 보안컨설팅 사업에서 50% 이상 성장하는 기록을 보였으며, 올해도 20% 이상 성장할 것으로 예상하고 있다. 진화하는 APT 위협과 컴플라이언스 요구로 인해 컨설팅 사업이 앞으로도 꾸준히 고성장을 보일 것으로 기대하고 있다.
시스코는 모의해킹 서비스를 제공하는 보안 상태 평가(SPA)와 네트워크 보안 관점에서 IT 시스템을 진단하는 보안 아키텍처 진단(SAR) 서비스를 제공한다.
SPA는 전형적인 악의적 공격, 침입, 웜과 바이러스 등에 대한 모의 테스트를 통해 내부 시스템, 응용계층 및 네트워크 장비에 대한 보안 취약성 평가를 수행한다. 내·외부 네트워크와 무선랜, VPN을 대상으로 평가하며, 보안 취약점과 보안 정책·절차 검증, 허용되지 않은 데이터·시스템 접속 탐지 보고, 자원의 불법적 이용 방지를 위한 권고 등을 제공한다.
IBM은 주요 공공기관에 개인정보 영향평가 컨설팅 서비스를 제공하며 개인정보보 컨설팅 시장에서 존재감을 드러냈으며, 행안부의 개인정보보호 수준진단을 기본으로 하는 보안수준진단 서비스를 제공해 기업/기관의 보안 환경과 이슈, 개선점을 분석하고, 전사적 차원의 보안 마스터 플랜을 제공할 수 있도록 한다.
컨설팅 시장 진출 ‘뉴 페이스’ 주목
정부의 컨설팅 전문업체 지정 확대를 준비하고 있는 이글루시큐리티와 코닉글로리의 행보도 주목해야 한다.
이글루시큐리티는 컨설팅 조직을 정비하고, 개인정보보호 컨설팅 조직을 새롭게 개편하고 관련 솔루션을 개발하는 등 컨설팅 사업에 박차를 가하고 있다. 컨설팅 서비스와 전사보안관리(ESM), 융복합 솔루션을 연계하며, 글로벌 보안업체와의 전략적 제휴도 추진하고 있다.
이글루시큐리티는 무역협회(KITA)의 개인정보보호 컨설팅 프로젝트를 대표적인 사례로 설명하는데, KITA는 수많은 기업회원과 일반회원을 운영하고 있는 조직으로 초반에 정보보호 관리의 주체가 IT 부서에 있어 회원과 회원사의 적극적인 참여를 이끌어내기 어려웠다.
이글루시큐리티는 조직적 보안 체계의 필요성, IT 구조상 한계로 인한 정보보호의 개선방향과 내부 정책 및 지침을 만들어 제공했고, 변화관리를 위해 개인정보보호 일반, 심화과정으로 나누어 교육을 진행한 결과, 정보보호 전략 조직이 실효성을 거두기 힘든 IT 조직에서 전략/기획업무를 담당하는 거버넌스 조직으로 이관됐고, IT는 이를 뒷받침하거나 기술적인 조치를 자문하는 정보보호 운영 조직으로 2원화 되어 보안 거버넌스의 효과적 측면에서 상당한 변화를 일으켰다.
코닉글로리는 2007년 안전진단 수행기관으로 선정된 바 있으며, 정보보호 컨설팅 서비스를 제공해 왔다는 경험을 강조한다. 지난해 6월 컨설팅사업부를 신설해 한샘, 현대정보기술, 아이넷스쿨 등에 컨설팅과 안전진단 서비스를 제공한 바 있으며, ISMS와 PIMS 관련 사업도 준비를 완료했다고 밝혔다.
정보보호 컨설팅과 교육사업을 주력으로 하고 있는 씨드젠도 컨설팅 시장에 대한 적극적인 의욕을 보이고 있다. 지난해 10월 개인정보보호 관리체계 수립을 위한 ‘ECM솔리드’를 출시해 정보보호와 개인정보보호 관련 국내외 규제에 대응하고, 보안관리체계 수립 및 지속적인 운영을 지원한다. 이와함께 정보보호 전문역량 향상을 위한 교육서비스 ‘이즈러닝(www.islearning.kr)’을 제공한다. 이즈러닝은 온라인 정보보안 교육으로, N·L사와 정부기관 등 50여개의 기업과 공공기관이 활용하고 있다.
고급 인력 수요 증가
컨설팅 시장이 급속도로 확대되면서 기업/기관들이 준비되지 않은 컨설팅 수행으로 인한 시행착오를 우려하는 목소리도 높다. 컨설팅은 기업/기관이 목표하는 바를 위해 준비해야 할 일을 체계화 하는 작업으로, 일종의 계획표 같은 것이다. 사람들이 계획표만 세워놓고 실제 실행에 옮기지 않는 것 처럼 기업/기관들도 컨설팅 완료 후 받은 두꺼운 보고서를 책상 위에 쌓아둔 채 정보보호를 위한 노력을 다했다고 오판하는 경우가 종종 있다.
컨설팅 결과보고서를 실제로 실행에 옮기지 않으면 아무 소용이 없다. 특히 정보보안은 보안조직만의 일이 아니라, 전 임직원이 함께 노력해야 하는 일이므로, 보안 시스템 도입 뿐 아니라 임직원의 변화관리 프로세스가 병행돼야 한다.
한편 컨설팅 기업들은 컨설팅을 제공받은 기업들이 해당 내용을 얼마나 현실에서 실행했는지에 따라 컨설팅 성공 여부가 판가름나기 때문에 자사 컨설팅 서비스의 차별성을 부각시키기 어려운 상황이다. 대신 컨설턴트가 고객사의 비즈니스를 완벽하게 이해하고, 실천을 이끌어낼 수 있는 능력을 가졌는지에 따라 프로젝트의 성패가 갈리는 경우가 있다. 이에따라 컨설팅 분야에서 다양한 경험을 가진 고급인력에 대한 수요가 급증하고 있으며, 방법론이나 기술보다 인력구성에 따라 경쟁력이 좌우되기도 한다.
그러나 국내에서 고급 컨설턴트는 매우 부족한 상황이어서 컨설팅 기업들은 대부분 고급인력을 구하는데 어려움을 겪는다. 이러한 배경에서 향후 컨설팅 시장에서는 인재 확보 경쟁이 치열하게 진행될 것으로 보인다.
