보안컨설팅은 기업이나 기관의 정보보호 취약점을 분석하고 그에 맞는 최적의 보안솔루션을 제공하는 서비스를 의미한다.

보안점검, 보안진단, 위험분석 및 평가, 보안정책수립, 보안 모델 설계, 보안 솔루션제안, 그리고 보안교육 등 기업의 보안을 강화하기 위한 전문적인 진단과 대책을 수립하는 총체적 서비스라고 할 수 있다.

보안컨설팅은 수행범위에 따라 기술적 보안, 관리적 보안, 물리적 보안으로 구분할 수 있다.

기술적 보안에는 모의해킹, 시스템/네트워크 점검, 로그분석 등의 분석방법을 통해 진단되는 취약점에 대한 보호대책을 수립하는 것을 의미한다. 관리적 보안은 업무 프로세스 분석을 통해 진단되는 취약점에 대한 보호대책을 수립하는 것을 의미한다.

실제로 보안을 강화하기 위해선 모든 영역의 보안기능을 강화하여야 하기 때문에 전체를 고려하는 종합적인 보안 대책을 수립하는 것이 기업으로서는 중요하다.

보안 중요성 커지면서 컨설팅 수요도 증가

국내 보안컨설팅은 2000년을 원년으로 지속적인 성장을 보여왔으며, 2001년 정보통신기반보호법에 시행으로 크게 확장하고 있다.

일반적인 시장의 라이프사이클에 비추어 본 것으로 e-비즈니스의 확산과 시스템의 개방화, 복잡도의 증가, 정보통신기반보호법의 시행 등으로 도입기를 빠르게 통과하여, 성장기에 있다고 볼 수 있다. 보안컨설팅 산업은 기술중심의 지식산업이면서 전문인력의 부재로 인해 몇몇 회사에게 집중되어 있는 분야이고, 경쟁기업간의 경영 전략은 선도기업의 전략을 따르는 방향으로 진행되어 오고 있다.

이러한 상황에서 후발업체들은 가격경쟁을 통해 시장점유율을 확대해 나가려하고, 선도기업들은 연구개발을 통해 새로운 서비스를 개발하여 선도지위를 유지하려 하고 있다. 하지만 이 산업의 비용구조가 인건비에 집중되어 있고, 이 인력들의 임금수준이 높은 점을 감안한다면 가격경쟁을 통해 시장점유율을 높일 경우 차후 경영 악화가 예상된다.

컨설팅 산업이란 우수한 관련 인력만 보유한다면 누구나 진입할 수 있는 초기 투자비용이 적은 산업이다. 하지만 우수한 인력이 부족한 현 상황에서 체계화돼 있지 않은 보안컨설팅 산업에 진입하기란 그리 싶지 않을 것이다.

이러한 상황에도 형태별로 기존 고객을 기반으로 시장진입이 이루어질 것으로 예상된다. 하지만, 고객의 다양한 요구사항을 충족시키기 위해 보안컨설팅 전문업체와의 유기적인 관계가 필요하게 될 것이다.

이는 정보통신기반보호법 시행에 따른 주요 기반시설에 대한 컨설팅을 민간기업으로는 정보보호 전문업체만이 수행할 수 있다고 하는 진입장벽 또한 시장진입시 고려사항이 될 것이다.

진입장벽 의외로 높아

보안컨설팅의 대체제라고 한다면 강력한 보안 교육서비스, 강력한 보안관리 도구 등을 들 수 있다. 하지만, 이러한 서비스와 솔루션을 제공할 수 있는 업체가 기존 보안컨설팅 전문업체여서 이는 기존 업체들의 상품 차별화로 나타날 것으로 예상된다.

고객의 교섭력은 주로 기술력과 전환비용, 그리고 비용책정 기준 등에 있다.