[특집] 전문가가 말하는 정보보호컨설팅이란? 정보보호컨설팅은 보안의 기초
새로운 보안 위협에 대해 올인원 서비스 제공할 것
정보보호컨설팅 전문업체로 알려진 STG SECURITY(이하 에스티지)는 이뿐만 아니라, DB보안과 서버 보안 솔루션도 개발·공급하고 있다. 컨설팅본부의 손대승 수석컨설턴트는 “정보보호컨설팅은 보안의 기본 틀이기 때문에 컨설팅 없이는 기업 정보보안의 올바른 정책과 전략 수립이 어려워 비효율적인 보안시스템의 구축과 운영으로 보안과 비용에서 큰 손실을 가져올 수 있다”고 밝혔다.

에스티지시큐리티는 지난 2001년 정보보호 전문 업체로 지정돼 2004년, 2007년 재지정을 통해 정보보호 전문 업체로써의 입지를 확고히 하고 있다. 이에 현재까지 정보보호컨설팅은 물론, ISO27001인증컨설팅·정보보호 안전진단 등의 다양한 컨설팅 수행을 통해 새롭게 변화하고 있는 보안 위협에 대한 대응 방안을 제공하고 있으며 고객사의 물리적·기술적·관리적 보안 문제에 대해서 컨설팅부터 보안 솔루션 구축, 운영까지 올인원 서비스를 제공하고 있다.
특히 웹애플리케이션·모의해킹, 내부정보유출방지, 정보시스템 개발보안, 보안점검 아웃소싱, 침해사고 대응서비스, 종합보안컨설팅, 정보보호 인증컨설팅, 주요 정보통신 기반시설, 정보보호 안전진단, 개인정보보호 등에서 정보보호 전략수립, 보안 아키텍쳐와 마스터플랜 수립 등 정보보호 전략컨설팅과 정보보호 관리체계 수립, 정보보호 정책·지침·절차 수립 등 정보보호 경영관리 컨설팅 그리고 보안취약점 진단, 보안 취약점 점검, 모의해킹 등 보안컨설팅 등 다양한 사업분야를 추구하고 있다.
손대승 에스티지시큐리티 컨설팅본부 수석컨설턴트는 “에스티지시큐리티 컨설팅본부는 올해 토탈 시큐리티 컨설팅 프로바이더(Total Security Consulting Provider)로서 STG의 경쟁력 및 기업가치 향상에 기여할 수 있도록 노력할 것”이라고 밝혔다.
손 팀장은 “에스티지 컨설팅 중에서 모의해킹분야가 강점이다. 특히 소스분석은 툴을 사용하기도 하지만 이보다는 전문 인력이 직접 분석을 함으로써 더 많은 취약점들을 발견해 내고 이를 위한 방안을 제시하고 있다”고 강조했다.
에스티지는 올해 안정된 조직, 로열티를 가진 인력을 바탕으로 컨설팅 사업은 보안SI사업의 트리거(Trigger) 역할 수행으로 자사 DB보안 솔루션인 ToFaz의 영업을 지원하고 솔루션사업은 신규 사이트 개척 및 새로운 비즈 모델인 물리적 보안 진입을 통해 ‘FunRich70 Company’ 지향을 최종 목적으로 하고 있다.
공공분야 정보보호컨설팅 수주 단가 높여야
손 팀장은 정보보호컨설팅의 필요성에 대해 “어떤 일 일을 계획하고 시작함에 있어서 기본적인 틀이 있어야 한다”며 “이렇게 어떤 일을 시작할 때에는 기초적인 틀을 갖추고 그 위에 필요한 부분을 하나 하나씩 해나가야 하는 것처럼 정보보호 컨설팅도 기업과 조직에서 보안의 기본 틀을 갖추기 위해 꼭 필요한 것”이라고 말했다. 이렇게 보안의 기본 틀이 갖추어 지면 고객사는 여기에 맞는 보안 정책이나 지침에 따라 이를 실행하면 된다는 것. 즉 컨설팅 없이는 기업 정보보안의 올바른 정책과 전략 수립이 어려워 비효율적인 보안시스템의 구축과 운영으로 보안과 비용에서 큰 손실을 가져올 수 있다는 것이다.
이러한 가운데 정보보호컨설팅 시장은 올해 전반적인 경기 침체로 인해 작년에 비해 위축될 것으로 그는 전망했다. “다만 상반기에 공공기관의 사업 예산 집행을 빨리한다는 정부 정책에 의해 작년 상반기에 비해 올해 상반기는 정보보호컨설팅 사업이 많이 진행되고 있다. 그러나 하반기에는 전반적인 경기 침체로 인해 시장 상황이 그리 낙관적이지만은 않은 상태”라고 손 팀장은 내다봤다. 
이어서 현재 정보보호컨설팅 시장의 가장 시급한 문제에 대해 손팀장은 “정보보호 컨설팅 단가 금액”이라며 “이 금액은 일반 소프트웨어 단가 기준을 적용해 정보보호컨설팅 예산을 잡고 이로 인해 업체의 사업 수주 금액이 적어지는 것이다”로 말했다.
그리고 그는 “이는 정보보호컨설팅 인력이 일반 IT 인력에 비해 2년 이상의 IT 경력과 기술을 가지고 정보보호컨설팅을 시작하는 만큼 정보보호컨설팅 사업 단가 기준은 일반 소프트웨어 단가보다는 높은 금액이 책정되어야 할 것이다”고 밝혔다. 이렇게 소프트웨어 단가보다 높은 사업 수주 금액은 업체에게 우수한 정보보호컨설팅 인력을 지속적으로 이끌어갈 수 있게 하며 이익이 발생하면 새로운 정보보호컨설팅 기술을 연구하는 것에 투자할 수 있게 될 것이라고 손 팀장은 덧붙였다.
전문인력, 사업 수주 단가문제 선결해야
지금까지 정보보호컨설팅에서 시급히 해결해야 할 문제인 전문인력 부족에 대해서 그는  “궁극적인 이유는 금전적인 것”이라며 “정보보호컨설팅 인력은 실력과 경력 모두 일반 IT보다 우위에 있지만 그에 따른 보수는 일반 IT 인력보다 동등하거나 적기 때문에 급여가 높은 대기업으로 인력이 빠져 나가는 현상이 발생하고 정보보호컨설턴트라는 자존감도 상실된다”고 밝혔다.
그는 또 현재 상황이 이렇기 때문에 가장 중요한 것은 공공기관의 정보보호컨설팅 수주 단가를 일반 소프트웨어 단가보다 높이거나 단가 기준표를 정해서 너무 낮은 단가로 수주하는 일이 없도록 해야 한다고 강조했다. 
또 정보보호컨설팅 전문업체를 늘린다는 것에 대해서도 “현재의 시장도 작은데 정보보호컨설팅 전문업체 수를 늘린다면 현재 남아 있는 중소기업 컨설팅 업체는 모두 사라질 것”이라며 “지난 2000년 초에 11개였던 컨설팅 업체가 지금의 7개 업체로 줄어 든 것도 모두 자연 감소한 것인데 이를 다시 정부가 인위적으로 늘린다면 시장이 확대되지 않은 상태에서 지금 남아 있는 업체들을 고사시키는 결과가 올 것”이라는 의견을 밝혔다.
이어서 그는 대기업 등이 컨설팅 시장에 진출하면 지금의 중소기업 컨설팅업체의 인력들은 급여가 많은 대기업으로 옮겨갈 것이 불을 보듯 뻔하지만 이것이 그리 좋은 결과를 불러오는 것이 아니라 오히려 더 좋지 않은 결과를 가져올 것이라고 덧붙였다.
즉 정보보호컨설팅의 본연의 업무를 하는 것이 아니라 대기업 SI를 하기 위한 도구로 전락될 것이라는 것.
결국, 대기업들의 정보보호컨설팅 시장 진출은 지금까지 국내 정보보호에 대한 사명감을 가지고 지금까지 이끌어 온 7개의 정보보호컨설팅 전문업체는 작은 시장에서 인력수급문제와 낮은 사업수주 단가로 인해 소멸될 것이라는 의견이 지배적이다.

“정보보호컨설팅,  정보보호의 시작이다”
신뢰성 있는 수행업체 선택이 중요하다
김형준 안철수연구소 컨설팅팀 팀장은 정보보호컨설팅의 중요성에 대해 “정보보호컨설팅은 클라이언트의 치부를 믿고 맡길 수 있는 고도의 신뢰성을 바탕으로 하는 정보보호 전문인력으로 산업보안 및 나아가 국가 보안의 중축을 담당해야 한다”고 말했다.

“정보보호컨설팅은 정보보호와 관련된 고객의 문제점을 해결해 주는 것이다. 제품이나 솔루션 구축과는 달리 고객의 다양한 환경에 대하여 보안에 대한 전체적인 것을 조망하고 적절한 비용·효과적인 수준을 제시하며 정보보호 대책 및 그 우선순위를 가이드 한다.” 김형준 안철수연구소 컨설팅팀 팀장은 정보보호컨설팅이 중요성을 이같이 말했다. 또한 그는 “정보보호 컨설팅은 클라이언트의 치부를 믿고 맡길 수 있는 고도의 신뢰성을 바탕으로 하는 정보보호 전문인력으로 산업보안 및 나아가 국가 보안의 중축을 담당해야 한다”고 강조했다. 
IPTV, VoIP 등의 보안이슈로 컨설팅 수요 예상
김형준 팀장은 정보보호컨설팅 시장전망에 대해서 올해도 상승세를 이어갈 것으로 예측했다. 그 이유로는 고객들의 보안 의식이 많이 개선되었으며 보안 관련 법규(정보통신이용촉진 및 정보보호에 관한 법률 개정, 개인정보보호법 입법 예고 등)들도 정비되고 있고 이에 따른 법적 책임을 묻는 판결이 있었다는 것을 들었다. 또한 그 동안 외부로 잘 알려지지 않던 보안 사고들이 기사 등을 통해 노출되어 국민들에게 경각심을 일으켜 준 것도 커다란 계기가 됐다. 단지 세계적인 경기 침체와 고객의 Hardware 적인 Mind, 즉 서비스 보다는 Product를 중요시 하는 풍조가 아직 상존하는 것이 걸림돌로 작용될 것이라는 것이 그의 생각이다.
그는 “올해는 특히 영업정보, 기밀정보 등의 내부정보 유출과, 개인정보를 필두로 하는 Compliance, 기존의 정보보호 솔루션을 통합관리하기 위한 통합보안관리 등이 이슈가 될 것으로 보인다”며 “안철수연구소는 개인정보보호 등의 Compliance와 통합보안을 주력할 계획”이라고 밝혔다. 아울러 기술적으로는 IPTV, VoIP, 스마트폰 사용 망 등에 대한 보안이 이슈화 되면서 이에 따른 컨설팅도 예상된다고 덧붙였다.
신뢰성 있는 수행업체 선택이 중요
“언제 정보보호컨설팅이 필요한가?”라는 질문에 김 팀장은 “정보보호를 위해 무엇을 해야 할지 알고 싶을 때, 특히 정보보호를 위해 무엇인가 본격적으로 하려고 할 때, 그리고 정보보호 관련 이슈(침해사고 또는 신규 Biz 준비 등)가 생겼을 때도 정보보호컨설팅이 꼭 필요하다”고 말했다.
또한 고객이 정보보호컨설팅 수행 업체를 선정하는 것은 고객의 평생 정보보호 파트너를 찾는 일이기 때문에 단순 Project 금액만을 보는 것은 매우 위험하다고 설명했다. 특히 그는 수행업체 선정시 고려할 사항으로 첫째, 수행업체가 신뢰성이 있어야 한다고 말했다. 이는 회사 자체의 신뢰성, 컨설턴트들의 이직이 적고 지속적인 파트너쉽을 가져갈 정도의 재무 건정성을 갖추었는지 등을 보아야 한다는 것. 둘째로는 컨설턴트나 회사가 갖고 있는 지식정보를 들었다. 이는 컨설턴트들의 정보보호 경력, 정보보호 분석 능력 및 축적된 지식, 정보보호를 실제 수행 할 정도의 보안 지식과, 보안 인프라 기본 기술 및 서비스 조직 등을 고려해야 한다는 것이다.
아울러 그는 고객은 사전에는 정보보호컨설팅의 목적을 확실히 정해야 한다고 강조했다. 정보보호컨설팅 수행 중에는 고객의 참여가 무척 중요하다는 것이다. 즉 정보보호를 수행할 수 있는 최소한의 인력과 조직을 갖추고 정보보호컨설팅 수행 시 같이 참여해야 한다. 또 정보보호는 정보보호담당자가 하는 것이 아니라 고객사 전 직원이 본인 업무 수행 시에 밀접하게 병행되는 것이므로 전 직원의 관심을 끌어내야 한다.

성공적인 정보보호컨설팅, 경영진의 인식제고 필수
보안은 관리 및 운영이 무엇보다 중요하다
심영선 인젠 컨설팅사업본부 본부장은 “보안은 관리 및 운영이 중요하다. 정보보호관리활동의 주체는 고객이며 성공적인 정보보호 컨설팅을 위해서는 무엇보다 경영진의 의지가 중요다”고 말했다. 심영선 본부장에게 정보보호컨설팅의 중요성에 대해 들었다.

정보보호 분야에서 정보보호컨설팅의 필요성과 중요성은?    
보안컨설팅은 IT환경이 발전하고 해킹사고가 증가함에 따라 높아지는 대내·외적인 보안 요구사항 및 다양한 고객환경에 대응하여 전문지식을 보유한 컨설턴트가 고객의 보안 운영환경을 검토하고 분석하여 이를 근거로 고객을 리딩하면서 향후 발전방향을 제시하는 역할을 하고 있다. 보안솔루션은 어떤 솔루션을 구축하느냐 뿐만 아니라 어떻게 관리운영하고 있느냐가 중요하다. 보안컨설팅은 발전하는 IT환경에 따른 고객사의 정보보호 관리활동을 분석하고 안정성 및 신뢰성 있는 비즈니스 환경을 지원함으로써 정보보호 분야에서 선도적인 역할을 하는데 그 의의가 있다.  
올해 정보보호컨설팅 시장의 성장 전망은?    
기반시설 확대지정에 따른 기반시설 컨설팅 증가, 개인정보보호법(안)이 10월 발효가 예상됨에 따라 공공기관의 개인정보영향평가 시행 등으로 작년에 비해서 정보보호 컨설팅시장이 일부 확대될 수 있으나, 경기악화로 인하여 민간기업의 정보보호에 대한 투자가 축소되는 추세이므로 정보보호 시장에 대한 낙관적인 전망이 어려운 상황이다.    
그리고 최근의 경기악화와 비관적인 경기전망에 따라 경영진의 보안에 대한 투자가 더욱 소극적으로 되어가고 있다는 것이 현재 정보보호컨설팅분야가 성장하는데 있어서 가장 큰 문제점이라고 볼 수 있다.   
정보보호컨설팅 업계의 문제점에 대한 개선책은?    
첫째로, 개인정보보호법(안)의 공공기관의 개인정보영향평가 수행과 같이 보안에 대한 법적 요구사항을 확대하여 정보보호 컨설팅 시장 규모의 확대가 필요하다. 또한 중소기업에 대한 정부의 지원을 강화하여 핵심기술을 보유한 주요 사업체에 대해서는 정보보호솔루션의 구축 뿐만 아니라, 보안컨설팅에 대해서도 추가적인 정부의 지원이 필요하다고 생각한다. 즉 경기가 어려워 보안에 대한 투자가 축소되고 있는 상황에서 보안컨설팅시장을 활성화시키기 위해서는 정부의 적극적인 투자가 필요할 때다.    
정보보호컨설팅 전문인력 문제 해결을 위한 방안은?   
정보보호컨설팅 인력에 대한 대가가 소프트웨어 대가 기준을 근거로 하거나 또는 개발업체의 외주인력 단가로만 취급되고 이에 따라 보안컨설팅 사업 또한 저가경쟁을 하고 있는 현실에서 보안컨설팅 전문인력에 대한 대우가 낮을 수 밖에 없다. 상대적으로 보안컨설팅 전문인력에 대한 자격조건 또한 개발자에 비해 까다롭기 때문에 보안컨설팅 전문인력의 신속한 수급이 어렵다. 정보보호 컨설팅 전문인력을 육성하기 위해서는 우선적으로 보안컨설팅 인력에 대한 정당한 대가가 정해져야 한다. 이를 위해서는 소프트웨어 대가기준과 같이 보안컨설팅의 대가기준 마련이 필요하다.
정보보호컨설팅 전문업체 수가 지금보다 늘어난다면?     
정보보호컨설팅 시장 규모는 현재의 7개 전문업체로서도 정보보호컨설팅전문업체의 공급과잉으로써 정보보호 시장의 저가경쟁이 이루어지고 있는 현실이다.
현시점에서의 정보보호컨설팅전문업체의 확대는 시기상조라고 판단된다. 일단, 정보보호컨설팅 시장 규모를 확대시키고 정보보호컨설팅전문업체의 확대 지정은 그 이후에 이루어져도 늦지 않다고 생각한다.
<글 : 김태형 기자(is21@boannews.com)> 

[월간 정보보호21c 통권 제104호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>