컨설팅으로 보안 정책 세우고 관제 서비스로 운영ㆍ관리
정보보호 컨설팅은 고객정보보호 체계에 대한 수준 진단 및 분석을 통해 문제점을 도출하고 전문가적인 관점에서 해결방안을 제시하는 활동을 주로 한다. 즉, 전문지식과 경험을 보유한 역량 있는 컨설턴트가 고객의 보호 대상 자산의 현황 및 문제점, 대책을 제시함으로써 고객에게 정보보호에 대한 올바른 방향을 제시하는 서비스이다. 또 이러한 컨설팅을 통해서 기업은 보안 시스템을 구축해야 하며 아울러 이를 운용할 전문 인적 자원도 충분하게 확보해야 하는데 이는 쉬운 일은 아니다. 자금력이 부족한 중소기업은 비용이 문제고 금전적 여유가 있는 대기업은 숙련된 보안인력을 찾기가 쉽지 않다. 이 같은 기업들의 고민을 해결해주는 것이 바로 보안관제 서비스다.

보안 컨설팅으로 보안정책 수립하고 통합 보안관제로 운영ㆍ관리
핵심 정보자산에 대한 기술적, 관리적, 물리적 보안 구축은 필수

보안 컨설팅은 기업의 정보보호 전략 수립과 집행에 있어서 꼭 필요한 부분으로 고객의 기술적, 관리적, 물리적 보안의 관점에서 대책을 수립하게 한다. 또 보안관제는 컨설팅후 수립된 보안 대책의 이행 과정에서 보안 시스템이 구축과 운영 관리 등의 보안 서비스를 제공한다.

기업에서 정보보호 컨설팅이 선행되지 않고서는 보안 대책 적용 및 투자의 중복ㆍ소홀 등으로 인해 고객의 정보보호전략 수립과 집행에 있어서 불균형 등이 발생할 수 있다. 이런 점에서 정보보호 컨설팅은 고객의 핵심 정보자산에 대해 기술적, 관리적, 물리적 보안 분야의 입체적인 관점에서의 자문을 통해 안전한 보호대책을 수립하게 하고 보안 투자 효과를 극대화 하는데 매우 중요한 역할을 수행하고 있다. 또한 컨설팅 이후에 보안 시스템 구축과 운영, 관리를 위해서는 비용 투자와 전문 인력을 갖춘 보안 조직이 필요한데 이 또한 어려운 일이다. 바로 이러한 고민을 해결할 수 있는 서비스가 보안관제라고 할 수 있다.

보안 컨설팅, 기업 보안 체계의 기틀
개인정보보호법의 제정 이슈와 수천만건의 개인정보유출 사건 등의 여파로 인해 정보보호 이슈는 지속적인 사회 각 계층의 관심이 확대되고 있다. 이와 같이 보안에 대한 문제저과 관심이 커질수록 기업이나 공공기관은 이에 대응을 강화하려는 움직임을 보이고 있지만 그동안 보안에 많은 신경을 쓰지 않았기 때문에 어디서부터 보안점검을 해야 하는지에 대한 고민으로 주름살이 깊어져 간다.
 
하지만 이들 앞에 구세주처럼 나타난 것이 보안 컨설턴트들이다. 보안 컨설턴트는 기업이나 공공기관에서 보안위협에 대한 취약점을 찾고 보안 정책부터 보안 장비, 애플리케이션에 이르기까지 차근차근 상담해주며 이를 보고서로 만들어주는 일을 한다. 하지만 이러한 보안담당자들의 보안 컨설팅에 대한 믿음이 그리 크지 않다는 것은 컨설팅 업계에서는 주목해야 한다. 따라서 보안 컨설팅 업체는 경험이 많은 보안전문가를 보다 많이 양성해야 한다는 것. 이를 위해서는 보안담당자들의 처우가 좀 더 개선돼야 하겠다.
 
육동현 인젠시큐리티서비스 대표는 “보안 시장에서 가장 빨리 성장하는 시장이 컨설팅 시장이다. 인젠시큐리티서비스는 올해 처음 정보보호 컨설팅 전문 업체로 지정될 것이며 이를 통해 컨설팅 사업부분이 더욱 탄력을 받을 것”으로 전망했다.
 
또한 육동현 대표는 실질적으로 보안 컨설팅 시장은 개인정보보호법, 개인정보 유출사고, DDoS 공격 등의 사회적인 이슈에 따라 시장이 커질 수 밖에 없었다. 연평균 15% 가량의 성장률을 보일 것이라는 조사결과도 있듯이 보안 컨설팅 시장은 더 성장할 것으로 보인다고 덧붙였다.
 
이와 관련 박나룡 보안전략연구소 소장은 “보안 컨설팅분야의 가장 큰 이슈는 올해 ‘공공기관 정보보호관리체계(G-ISMS)’ 의무화로 공공기관의 수요가 확대되고 민간분야도 지속적으로 확대되고 있다”며 “이러한 가운데 방송통신위원회도 개인정보보호 이슈들을 해결하기 위해 정보통신서비스 제공자를 주요 대상으로 한 개인정보보호인증제도인 ‘개인정보보호관리체계(Personal Information Management System)’를 제정, 올해 시범인증을 통해 내년부터 본격적으로 인증제도를 시행할 것이기 때문에 이를 기반으로 한 보안 컨설팅의 수요도 증가할 것”이라고 내다봤다.
 
박나룡 소장은 특히 최근의 보안 컨설팅의 트렌드는 포괄적인 개념의 컨설팅이 아니라 산업군별, 업종별 특성에 맞는 컨설팅을 원하는 추세라서 특화된 부분의 보안 컨설팅 수요가 확대될 것이라고 덧붙였다. 박 소장은 “하지만 기존 보안 컨설팅 업체의 가장 큰 문제는 인력 수급 문제로 볼 수 있다.
 
기존 업체 입장에서는 이러한 특화된 보안 컨설팅을 할 수 있는 전문 인력이 많이 부족한 편이다”면서 “이러한 이유 때문에 전문 인력 부족 현상과 인력 양성을 위해서는 전문가에 대한 보상 체계가 갖춰져야 한다”고 밝혔다. 또한 최근에는 의료정보에 대한 보안 이슈도 증가하고 있기 때문에 이러한 부분의 특화된 보안 컨설팅 수요가 증가하고 있는 것으로 파악되고 있다고 강조했다.

보안 컨설팅, 기업 보안의 시작
보안 컨설팅은 기업에게 기업 정보자산을 어디서부터 무엇을 어떻게 보호해야 하는지를 제시해주고 정책마련의 기틀을 마련해주기 때문에 보안 업무의 방향을 알려준다고 할 수 있다. 이에 대해 육동현 대표는 “기업 고객의 입장에서 보안 컨설팅은 IT인프라 환경이 발달하고 이를 이용한 통로는 넓어져 취약점이 점점 더 많이 증가하고 있다”며 “이러한 가운데 보안의 대상과 범위도 그만큼 커졌지만 기업에서 이를 자체적으로 대응하기에는 여러 가지 많은 어려움이 있기 때문에 전문 보안업체를 통해 자사의 보안 시스템과 체계를 구축할 수 밖에 없는 것”이라고 말했다.  
 
또한 박나룡 소장은 “기업에서 보안 컨설팅이 필요한 이유로는 보안 전문 인력에 의한 정보보안 리스크의 수준과 보안 위협을 평가하는 측면, 즉 현실에서 보안 전문 인력에 의한 주기적인 보안 컨설팅이 이루어져야 하는데 이를 기업 자체에서 해결하기는 많은 어려움이 있기 때문에 전문 보안 컨설팅업체에 의뢰하여 도움을 받는 것이 좋다”고 덧붙였다.
 
그렇다면 기업들은 이러한 보안 컨설팅을 받으려면 무엇을 어떻게 해야 할까? 박나룡 소장은 “우선 동종업계 정보를 파악하고 자사의 포인트에 맞는 보안 컨설팅 업체를 섭외해야 한다. 특히 보안은 기술적 보안 컨설팅과 관리적 보안 컨설팅 등 두 종류 나누어 자사에 맞는 보안 컨설팅 회사를 선택해야 하며 보안 컨설팅만 하면 모든 것이 해결된다는 생각은 버려야 한다”고 말했다. 보안 컨설팅은 보안을 하지 않고 있는 기업에서 보안 컨설팅은 보안의 시작이라 할 수 있고 보안을 하고 있는 업체는 보안 취약점을 점검 보완하는 것이라는 것. 이 때문에 주기적인 보안 컨설팅도 매우 중요하다고 박 소장은 강조한다.
 
또한 기업의 보안 담당자도 이에 대해서 충분이 이해할 수 있는 교육과 지식을 갖추어야 보안 컨설팅의 효과를 높일 수 있다. 즉 보안 담당자는 회사 내부의 회계, 환경, 안전, 사회적 책임, 법적문제 등의 다양한 분야에 대한 공부를 하고 지식을 쌓아야 한다는 것. 이 모든 것을 충분히 이해하지 못한 기업 보안 담당자자가 보안 컨설팅을 받는다면 효과적인 보안 컨설팅이 이루어질 수 없으며 보안 업체와의 인적네트워크에 참여하는 것도 여러 가지 정보를 얻을 수 있는 좋은 방법 중에 하나다.

컨설팅 결과에 따른 대책 마련
기업의 입장에서 보안 컨설팅 후 그 결과에 따른 사후 조치도 매우 중요하다. 특히 한 가지만 잘한다고 해서 보안이 되는 것이 아니기 때문에 보안 리스크 측면에서 컨트롤 할 수 있는 경영진의 참여가 중요하다. 이에 대해 박나룡 소장은 “컨설팅의 결과물이 자사 또는 조직에 맞지 않는 경우에는 조직에 알맞게 수정하거나 응용해서 적용할 필요도 있다”고 말했다. 즉 이는 결과물에 대한 반성과 고민을 통해 회사의 특성과 산업의 특성을 고려한 보완 대책이 나와야 한다는 것이다.
 
이와 관련 육동현 대표는 “기업은 컨설팅 결과에 따른 정책과 규칙을 만들어 이행하려는 노력이 필요하다. 즉 이를 위해서는 컨설팅 시작부터 기업의 보안 담당 임원과 실무 담당자가 프로젝트에 참여해 자사의 IT환경과 기업 문화 등에 적절한 보안 컨설팅이 진행될 수 있도록 해야 한다”면서 “이렇게 해야만 자사에 정확한 컨설팅 결과가 나오고 그 결과에 따른 적절한 사후조치가 마련되고 이행될 수 있다”고 강조했다.
 
그리고 보안 컨설팅 전문 업체는 수준 높은 보안 서비스를 제공하기 위해서 기존과는 차별화해서 산업군별로 그 분야에 맞는 새로운 컨설팅 방법론의 개발이 필요하다. 박나룡 소장은 “새로운 방법론 개발을 위해서 우선 전문 인력에 대한 적절한 보상과 처우가 필요하고 저가 경쟁으로 인한 출혈경쟁은 그대로 고객의 피해로 돌아온다는 것을 염두에 두어야 할 것”이라고 지적했다.
 
이에 육동현 대표는 “이제는 보안 컨설팅 업체에서 컨설팅 서비스의 수준을 컨설턴트 개인의 역량에 의존하는 방식에서 벗어나야 한다”면서 “이를 위해 그동안 보안 컨설팅 전문 업체로서 쌓아온 컨설팅 노하우와 방법론을 하나의 시스템으로 구축하여 이를 하나의 보안 컨설팅 시스템으로 발전시키고 그 자체를 전문기업의 고도화된 보안 컨설팅 역량으로 만들면 컨설턴트의 역량과 관계없이 일정한 컨설팅 결과물이 나올 수 있어 인젠시큐리티서비스가 이를 구체적으로 실현할 것”이라고 밝혔다.

보안관제, 보안강화 및 비용절감
보안관제 업체는 모의해킹 등을 통해서 고객사의 취약한 부분을 찾아내어 고객사에 맞는 보안정책을 수립하는 동시에 방화벽과 IDS(침입탐지시스템)/IPS(침입방지시스템) 등을 설치하고 하루 24시간 원격 감시에 착수한다.
 
이러한 가운데 특이한 상황이 발생하면 원거리에서 대응하거나 고객의 서버가 있는 곳에서 문제를 해결한다. 이밖에 보안관제 업체는 정기 보고서 등을 활용해 최신 보안동향과 고객사의 보안 취약점을 수시로 전해주는 역할도 맡는다.
 
최근 개인정보 유출 위협과 관련 사건과 사고가 증가하고 있는 가운데 ‘보안관제 서비스’에 대한 기업들의 관심이 날로 커지고 있다. 특히 개인정보 유출 사고에 대한 손해배상 청구 소송이 증가하고 이에 대한 과정과 판결이 기업들에게는 커다란 리스크로 작용하기 때문에 기업으로서는 보안 문제에 민감해질 수밖에 없다.
 
그렇지만 기업이 정보보호에 대한 필요를 충족시키는 데에는 여러 어려움이 따른다. 보안을 위해선 관련 시스템을 구축해야 하며 이를 운용할 잘 훈련된 인적 자원도 충분하게 확보해 놓아야 하는데 그 과정이 결코 쉽지만은 않다. 특히 자금력이 부족한 중소기업의 경우는 이 두 가지 측면에서 다 어려움을 느낄 수밖에 없다. 금전적 여유를 갖고 있지만 숙련된 보안인력을 찾기 어려운 대기업의 경우도 사정은 마찬가지라 할 수 있다. 이 같은 기업들의 고민을 해결해주는 것이 바로 보안관제이다.
 
보안관제는 ‘고객이 보유한 정보자산을 보호해주는 보안관리 서비스’라고 말할 수 있다. 이 서비스를 요청하면 의뢰를 받은 보안관제 업체는 모의해킹 등을 통해서 고객사의 취약한 부분을 찾아내어 대비책 마련에 들어간다.
 
이어 고객사에 맞는 보안정책을 수립하는 동시에 방화벽과 IDS(침입탐지시스템)/IPS(침입방지시스템) 등을 설치하고 하루 24시간 원격 감시에 착수한다. 최근에는 DDoS 공격을 막기 위한 장비를 갖추는 곳도 점점 늘어나고 있다. 그리고 특이한 일이 생기면 원거리에서 대응하거나 고객의 서버가 있는 곳으로 가서 문제를 해결한다. 이밖에 보안관제 업체는 정기 보고서 등을 활용해 최신 보안동향과 고객사의 보안 취약점을 수시로 전해주는 역할도 맡는다.
 
특히 인젠시큐리티서비스는 DDoS 관제 서비스를 제공하여 고객사의 DDoS 공격에 대한 모니터를 수행하고 이상징후 발생시 분석을 통하여 상황판단 후 상황별 대응 절차에 따라 신속한 대응 업무를 수행한다. 
 
또한 문재웅 제이컴정보 대표는 “통합보안관리 시스템을 구축할 경우 단위 보안장비들로 부터의 보안 로그들을 중앙에서 취합하여 하나의 관제화면을 통해 전체 보안장비들의 운영 상황을 파악할 수 있으므로 관리자의 보안관제 업무의 효율성 향상은 물론, 적은 인원으로 더 많은 업무를 처리할 수 있으므로 기관의 입장에서는 보안관리 업무의 효율성 증대는 물론 비용절감의 이점을 얻을 수 있다”고 덧붙였다.
 
그는 또한 “보안에 대한 인식 확산과 더불어 통합보안관리 시스템을 이용한 보안관제 체계의 구축은 기관의 보안수준을 향상시키는데 필수적인 요소로 인식되고 있다”며 “완벽한 보안이란 존재하지 않지만 기관의 보안수준을 향상하기 위해서는 먼저 기관에 적합한 보안관리 체계가 마련되어 있어야 할 것”이라고 말했다.
 
또한 “검증된 보안관제 솔루션의 운영 그리고 숙련된 보안관제 인력의 양성 및 배치의 세 가지 요소가 잘 조화되어 외부의 침해사고 발생 시에도 기관의 피해를 최소화하고 즉각적으로 침해사고에 대한 전파 및 공유가 가능하도록 하여 향후 보안 침해 예방이 가능한 보안관리 체계가 가능해지도록 해야 할 것”이라고 덧붙였다.
 
무엇보다 성공적인 보안관제의 관건은 고객사와 보안관제 전문 업체간의 신뢰다. 보안관제 업체는 고객사에 보안정책 수립과 적용, 보안 시스템 운영, 보안 시스템 관리, 침해사고 처리 등 크게 네 가지의 서비스를 제공한다. 이를 위해서 관제업체는 고객사의 보안 시스템상 취약점들을 하나씩 면밀하게 찾아나간다. 이에 관제 서비스를 제공하는 업체와 고객사 간의 근본적인 신뢰가 뒷받침되지 않는다면 보안관제의 성공을 장담할 수 없는 것이다.
 
아울러 최근에는 국가에서 공공기관의 보안관제 운영업무를 수행할 민간 보안관제 서비스 전문 업체를 지정하는 제도를 시행할 것으로 알려져 보안관제 서비스 시장 활성화에 많은 기여를 할 것으로 보고 있다.
이러한 공공기관 보안관제 업체 지정은 국가 보안관제 센터의 운영업무를 맡는 보안관제 업체에 대한 수준을 높이고 안정적인 아웃소싱 수급 구조를 갖추기 위한 것이기 때문이다.
<글 :김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제122호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>