고객의 위협을 분석하고, 대책을 수립하며, 실현한다
정보보호 전문서비스 기업·시장 현황 및 주요 이슈 진단
[보안뉴스 원병철 기자] 2019년 4월 IBM이 전 세계 3,600명 이상의 IT 전문가를 대상으로 한 설문조사 결과 77%의 기업이 사이버보안 사고대응 계획이 없으며, GDPR 준수기업도 54%에 그친 것으로 밝혀졌다. 응답자의 70%는 사고대응 계획을 관리하고 테스트할 수 있는 인력이 부족하다고 답했으며, 48%의 기업은 조직이 사용하는 보안 툴이 너무 많아 운영상 복잡성 증가는 물론 전반적인 보안 상태에 대한 가시성이 저하됐다고 밝혔다. 이러한 결과는 결국 일반 기업이나 기관이 아직도 사이버위협에 노출되어 있으며, 전문가 도움 없이는 대응계획을 세우기도 어렵다는 것을 보여준다. 그렇다면 이러한 상황을 타개할 수 있는 방법은 없을까?
[사진=iclickart]
컨설팅(Consulting), 한 분야의 전문가가 고객에게 전문지식을 바탕으로 상담 및 대응방안 등에 도움을 주는 것으로 이는 보안분야에도 존재한다. 바로 ‘보안 컨설팅(Security Consulting)’이다. 보안 컨설팅에 대한 정의는 저마다 다르지만, ‘고객의 정보자산을 위협으로부터 안전하게 보호하는 일련의 서비스’ 정도로 정리할 수 있다. 즉, 고객의 ‘정보자산’을 안전하게 보호할 수 있도록 ‘위협/위험을 분석’하고, 이에 대한 ‘대책’을 수립한 후, 대책을 ‘실현’할 수 있도록 돕는 ‘전문 서비스’라는 설명이다.
고객의 정보자산을 지키는 서비스...주요 정보통신기반시설 컨설팅과 정보보호 인증지원 컨설팅에 주력
그렇다면 보안 컨설팅의 종류는 어떤 것들이 있을까? 가장 기본적인 보안 컨설팅인 ‘정보보호 컨설팅’을 기준으로 ‘취약점 진단 컨설팅’과 ‘정보보호 인증지원 컨설팅’ 그리고 ‘주요 정보통신기반시설 컨설팅’, ‘개인정보영향평가 컨설팅’과 ‘개인정보보호 컨설팅’ 등이 주로 진행되고 있다. 아울러 최근 4차 산업혁명과 맞물려 ‘운영기술(OT)’과 ‘IoT 등 융합보안 컨설팅’, 그리고 ‘클라우드 보안 컨설팅’의 수요도 증가하고 있다.
종류별로 간단하게 설명하면, 우선 보안 컨설팅은 크게 3가지 분야의 컨설팅으로 구분된다. 첫 번째는 기업과 기관의 보안을 강화하기 위한 컨설팅으로 정보보호 컨설팅과 취약점 진단 컨설팅이 포함된다. 정보보호 컨설팅은 기업이나 기관이 외부의 공격 등 침해사고와 내부자에 의한 보안사고를 예방하기 위해 종합적으로 보안진단을 하고, 이렇게 진단된 결과를 바탕으로 개선방안과 보안강화를 위한 로드맵을 제시하는 서비스다.
취약점 진단 컨설팅은 관리적·물리적·기술적 측면에서 기업의 보안 취약점을 진단하고, 이에 대한 개선 방안을 제시하는 서비스를 말한다. 이 두 가지 컨설팅이 기업과 기관이 보안을 강화하기 위해 자발적으로 시행하는 컨설팅이라고 한다면, 두 번째 이슈는 각기 관련법에 따라 해당 기업과 기관은 반드시 시행해야 하는 컨설팅이다.
먼저 ‘정보보호 인증지원 컨설팅’은 ‘ISMS-P’와 ‘ISO/IEC 27001’ 등 국내외 정보보호 인증 획득을 지원하는 서비스다. 인증별 점검 항목을 분석하고, 도출된 위협 요소에 대한 보호 대책을 수립하며, 인증 심사에 필요한 이행 증적 문서 작성을 지원하는 등 사전 준비부터 인증서 획득까지 모든 과정에 대한 서비스를 포함한다.
‘주요 정보통신기반시설 컨설팅’은 정보통신기반보호법에 의해 지정된 주요정보통신기반시설이 필수적으로 수행해야 하는 평가로, 주요정보통신기반시설에 대한 관리작·물리적·기술적 보안 취약점을 분석·평가하고 취약점 점검을 통해 발견된 문제점에 대한 예방 및 개선방안을 제시한다.
세 번째는 4차 산업혁명의 ‘원유’이면서 정보가 유출될 경우 엄청난 피해를 입을 수 있는 빅데이터의 핵심인 ‘개인정보’와 관련된 컨설팅이다. ‘개인정보영향평가 컨설팅’은 개인정보처리 기준에 따라 일정 규모 이상의 개인정보 파일을 운영하는 공공기관은 의무적으로 수행해야 하는 평가로, 개인정보 파일을 다루는 정보시스템의 운용으로 인해 정보주체의 개인정보가 침해되는 경우 그 위협 요인을 분석하고 개선사항을 도출한다.
‘개인정보보호 컨설팅’은 개인정보를 취급하는 업무 프로세스와 개인정보처리시스템에 대한 취약점 점검을 통해, 개인정보가 침해될 수 있는 위협 요인을 도출하고 그에 대한 개선방안을 제시한다.
▲대표적인 보안컨설팅 서비스 분류[출처=이글루시큐리티]
정보보호 전문서비스 기업 20개, 지정 못받은 기업도 100여개 추정
그렇다면 현재 보안 컨설팅 시장규모는 얼마나 될까? <보안뉴스>와 <시큐리티월드>가 발간한 ‘2020 국내외 보안시장 전망보고서’에 따르면 보안 컨설팅 시장규모는 1,114억원으로 조사됐다. 아울러 2020년에는 1,156억원, 2021년에는 1,199억원을 각각 달성할 것으로 예상됐다.
그리고 2020년 공공부문 SW·ICT 장비·정보보호 수요예보에 따르면 2020년 사이버보안 서비스 공공분야 수요는 252억 935만 6,942원으로 조사됐다. 한편, 글로벌 마켓 리서치 전문기업 마켓앤마켓은 자사 보고서를 통해 세계 보안컨설팅 시장이 2021년까지 연평균 성장률 10.2%를 기록하며 261억 5,000만 달러, 한화로 약 31조 400억원 규모에 달할 것으로 전망했다.
성장 요인으로는 서드파티 애플리케이션 사용, 인수합병, 해외진출 증가 등에 따른 네트워크 복잡성 증가와 함께 IoT와 BYOD 확산, 고도화된 사이버 공격 등을 꼽았다. 그렇다면 현재 보안 컨설팅을 제공하는 기업은 어떤 곳들이 있을까? 우선 ‘정보보호산업의 진흥에 관한 법률과 시행규칙, 고시’에 의거해 ‘정보보호 전문서비스 기업’으로 지정된 업체는 총 20개가 있다.
기반시설 관리기관이 전자적 침해행위에 효과적으로 대응할 수 있도록 전문업체를 적극 활용, 주요정보통신기반시설의 취약점 분석·평가 업무 및 보호대책 수립업무를 지원하기 위해 지정된 ‘정보보호 전문서비스 기업’은 2001년 11월 ‘정보보호컨설팅전문업체 지정 9개 업체’를 시작으로 현재 20개 업체로 늘어났다.
아울러 명칭 역시 ‘정보보호 컨설팅 전문업체’에서 ‘지식정보보안 컨설팅 전문업체’로 바뀌었다가 현재는 ‘정보보호 전문서비스 기업’으로 변경됐다. 물론 정보보호 전문서비스 기업으로 지정되지 않더라도 일반적인 정보보호 컨설팅이나 개인정보보호관련 컨설팅은 가능하다. 이 때문에 신규로 사업을 시작하거나 규모가 작은 기업은 전문성을 강화하며 특정 컨설팅에 집중하기도 하고, 일부 기업과 기관은 한번 컨설팅을 받은 후 내부 전문가를 이용해 보안 컨설팅을 하는 경우도 있다. 업계에서는 전문기업에 선정되지 못하고 컨설팅을 하는 업체가 100여개 정도인 것으로 보고 있다. 정보보호 전문서비스 기업 20곳은 아래와 같다.
정보보호 전문서비스 기업
시큐아이·안랩·엔시큐어‧에이쓰리시큐리티‧롯데정보통신·싸이버원‧에스케이인포섹‧파이오링크·소만사‧씨에이에스·에스에스알‧파수닷컴·윈스‧이글루시큐리티·시큐어원‧한영회계법인·한전KDN‧신한DS·한국통신인터넷기술‧에프원시큐리티(KISA 공지 순)
6~8월에 몰리는 정보통신기반시설 컨설팅
보안 컨설팅 시장의 규모가 작은 편도 아니고 전문기업으로 선정된 기업도 20개에 불과해 언뜻 시장상황이 좋아 보이기는 하지만, 실제 기업들이 느끼기에는 좋은 편이 아니다. 가장 큰 이유는 보안 컨설팅의 주요 사업인 주요 정보통신기반시설 컨설팅이 6·7·8월에 몰린다는 사실 때문이다.
앞서 설명한 것처럼 보안 컨설팅은 회사나 기업의 보안을 스스로 강화하기 위해서라기 보다는 ‘법’ 때문에 강제로 하는 컨설팅이 대부분이다. 문제는 주요 사업으로 꼽히는 정보통신기반시설 컨설팅을 받는 기반시설이 400여개에 달하지만 이들 모두가 일괄적으로 8월까지 컨설팅 보고서를 제출해야 하기 때문에 사업이 6~8월에 몰리는 경향이 있다는 점이다. 즉, 사업의 숫자는 많지만, 특정 기간에 몰리기 때문에 기업들은 보유한 컨설턴트의 수를 기준으로 수행할 수 있는 사업이 한정된다.
게다가 컨설턴트 수급도 만만치 않아서 기업들이 느끼는 어려움은 더 크다. 이에 관련 기업들은 컨설팅 보고서 제출기한을 ‘분야별’ 혹은 ‘지역별’ 등으로 세분화할 것을 요구하고 있다. 예를 들어 ‘금융’이나 ‘교육’ 등 분야별로 보고서 제출기간을 각각 다르게 한다면, 컨설팅을 받는 기업·기관이나 컨설팅을 하는 기업 모두 만족할 수 있는 충실한 컨설팅을 할 수 있을 것이라는 설명이다.
또 하나의 문제는 바로 컨설턴트의 수급이다. 우선 보안 컨설턴트는 관리적·물리적·기술적 보안 진단능력을 모두 갖춰야 하며, 특히 등급이 올라갈수록 전체를 아우를 수 있어야 한다. 게다가 컨설팅을 받는 기업과 기관의 특성을 잘 알고 그에 따른 보안기준을 제시할 수 있어야 하기 때문에 ‘산업별 맞춤형 컨설팅’이 요구된다. 이와 관련 김영준 파이오링크 이사는 “기존 산업분야에서 각종 현장 경험을 가진 각 영역별 전문가를 보안 컨설턴트로 양성하는 과정이 필요하다”고 제언했다. 산업별 보안 전문 컨설턴트는 고객에게 우수한 컨설팅 서비스를 제공할 뿐만 아닐 컨설팅 산업의 미래를 밝힐 것이라고 김영준 이사는 강조했다.
관련기업들이 뽑은 문제점 중 마지막은 바로 ‘비용’ 문제다. 보안 컨설팅은 그 특성상 ‘인력’이 가장 핵심이기 때문에 컨설팅 비용도 인력에 초점이 맞춰져 있다. 하지만 공공기관의 ‘입찰’에 따른 최저가 선정이나 ‘2020년 적용 SW 기술자 평균 임금’에 따른 월평균 임금 산정 등이 발목을 잡는다는 것이다. 특히, 가뜩이나 컨설팅 전문가 수급이 어려운 상황에서 임금마저 적게 책정되면서 이중고를 겪고 있다는 설명이다.
보안 컨설팅 받은 고객 33.6%, 서비스 만족 선택
그렇다면 보안 컨설팅에 대한 고객들의 판단은 어떨까? <보안뉴스>와 <시큐리티월드>가 독자 1,220명을 대상으로 한 ‘정보보호 전문서비스 기업 선호도 조사’에 따르면 응답자의 56.1%가 정보보호 전문서비스(보안 컨설팅)를 받아본 적이 있으며, 이중 33.6%(매우 만족 12.3%, 만족 21.3%)만이 컨설팅에 만족한 것으로 나타났다.
컨설팅을 받지 않은 41%(응답 없음 2.9%)는 그 이유(주관식 답변)로 대부분 ‘예산 부족과 인력의 한계’를 들었으며, ‘필요성을 못 느낀다’와 ‘비용대비 효과가 없다’는 답변도 많았다. 아직까지 ‘보안’을 비용으로만 생각하는 기업이 많다는 의미다. 심지어 일부 응답자는 ‘자체적으로 해결’하거나 ‘임원진이 자체적으로 해결하길 원한다’는 답변을 해 ‘보안 컨설팅’에 대한 인식도가 아직 낮다는 걸 드러냈다.
또한, 보안 컨설팅 선택기준으로 20.5%의 응답자가 ‘사후관리’를 선택했으며, 17.2%로 동률을 기록한 ‘비용’과 ‘서비스 항목’이 뒤를 이었다. 또한, 12.7%는 ‘실적’을 선택했으며, 10.7%는 ‘정보보호 전문서비스 기업’ 지정여부를 꼽았다. 다행스러운 건 응답자의 69.2%가 3년 이내에 보안 컨설팅을 받겠다고 답함으로써 시장의 성장가능성을 보였다는 점이다.
▲정보보호 전문서비스 기업 선호도 조사[출처=보안뉴스, 시큐리티월드]
보안 컨설팅 시장에서 주목받는 5개 기업(가나다 순)
보안 컨설팅 시장은 현재 정보보호 전문 서비스 지정업체 20개가 리딩하고 있다. 특히, 그중에서도 5개 기업은 변화하는 보안 컨설팅 시장의 흐름에 따라 저마다의 장점을 더욱 갈고 닦고 있다.
안랩
안랩은 고유의 체계적이고 과학적인 정보보호 컨설팅 방법론(ASEM)을 보안 컨설팅에 적용해 실질적이고 현실성 있는 대책을 고객에 제시 및 지원한다. 최고의 기술력과 수많은 컨설팅 경험을 보유한 보안전문가들이 기업의 보안체계 구축에 직접 참여해 정보보호 정책설계와 다양한 분야의 취약점 점검에서 모의해킹까지 고객 요구사항을 최적으로 충족하는 컨설팅 서비스를 제공한다. 특히, 국내 최대의 보안정보 분석 조직인 ASEC(AhnLab Security e-Response Center)으로부터 생산된 보안관련 정보와 보안관제로부터 생산되는 침해대응정보, 네트워크나 엔드포인트 단의 보안 개발 및 구현 정보 등을 컨설팅에 바로 반영함으로써 보안의 흐름에 빠르게 선제적으로 대응할 수 있는 보안 컨설팅 서비스를 제공한다.
윈스
윈스의 보안 컨설팅은 고객 정보시스템의 모든 위험요인에 대한 정확한 문제도출을 위해 다양한 기법과 기술이 반영된 ‘WISE(Wins Information Security Engineering methodology) 방법론’을 사용하고 있다. 윈스의 WISE 방법론은 1998년 설립 이후 22년간의 Sniper 제품 벤더사로서 다양한 노하우를 기반으로 타사 대비 ‘최신 위협 대응력 분석’ 단계를 추가했다. 이를 바탕으로 기관에 구축돼 있는 정보보호 시스템 구현정책에 대한 형식적인 검토가 아닌 탐지·차단 정책의 적절성, 정·오탐 정책 식별 등 벤더사로서 윈스만의 특장점을 살려 실질적인 정책에 대한 검토를 실시하고 있다.
이글루시큐리티
이글루시큐리티는 정보보호 전문서비스 기업, 개인정보영향평가기관, 보안관제전문기업 자격을 모두 갖춘 기업으로 보안 서비스 간 유기적 협업을 통해 시너지 효과를 창출하고 있다. 다년간 축적된 보안관제 경험과 노하우에 기반해 기업의 보안 수준과 기업 데이터 가시성을 높일 수 있는 정보보호 방법론을 구축했다. 이를 토대로 고객사에 정보보호 및 개인정보 관리체계 수립과 인증 지원, 주요 정보통신 기반시설 및 전자금융 기반시설 취약점 분석·평가 등의 정보보호 컨설팅 서비스를 제공하고 있다.
파수닷컴
파수닷컴의 보안 컨설팅 서비스는 크게 보안 컨설팅, 개인정보 컨설팅, 취약점 진단(소스코드 진단) 컨설팅으로 구분돼 있다. 보안 컨설팅 영역에서는 금융권 보안 전문가 서비스 및 주요정보통신기반 시설 컨설팅과 같은 사업들을 필두로 클라우드 및 산업제어시스템 컨설팅 영역으로 확대해 나가고 있다. 이와 함께 컨설턴트들의 인프라 진단, 모의해킹, 모바일 진단 등의 역량과 취약점 진단 솔루션인 스패로우(Sparrow)의 조합으로 SI 업체와의 연계 시장에도 박차를 가하고 있다. 파수닷컴은 지난해 ‘다년 약정형 컨설팅 서비스’를 런칭해 정부나 기업에서 매년 정기적·반복적으로 수행해야 하는 컨설팅 업무에 대해 장기 약정 계약을 맺음으로써, 매년 사업자 선정을 위해 낭비됐던 시간과 인력 등을 줄일 수 있게 했다. 최근에는 데이터 3법 개정안이 통과되면서 개인정보 컨설팅, 비식별화 솔루션, 빅데이터 플랫폼 시장 컨설팅이 함께 진행되는 사업들을 선점하고 있다.
파이오링크
파이오링크 보안 컨설팅은 정보보호인증, 취약점분석평가, 개인정보보호, ICT 보안, 교육/훈련, 산업보안 등 다양한 영역의 보안 컨설팅 서비스를 제공하고 있다. 정보보호인증 컨설팅은 ISO27001, BS10012, ISMS, ISMS-P 등을 취득하기 위한 서비스를 제공하며, 취약점분석평가 컨설팅은 취약점진단(시스템/웹/앱), 모의해킹, 주요 정보통신 기반시설/전자금융 기반시설 취약점 분석평가 등의 서비스를 제공한다. 또한, 개인정보보호 컨설팅은 개인정보실태 점검, 수탁사 점검, 개인정보보호 서비스를 제공하며, ICT 보안 컨설팅은 클라우드 보안, 핀테크 보안, IOT 보안 등 ICT 보안기술 컨설팅 서비스를 제공한다. 또한, (개인)정보보호교육, 침해사고대응훈련(이메일, DDoS 대응) 등 교육 및 훈련과 산업별 맞춤형 보안 컨설팅(제조업보안, 선박보안 등)도 서비스한다.
[의료분야 ISMS 인증 1위]
컨설팅-솔루션-관제 ‘통합 보안 서비스’ 제공
파이오링크 보안 컨설팅 노하우 전격 해부
파이오링크는 네트워크 및 보안제품 개발·제조 기반으로 보안 컨설팅과 보안관제를 아우르는 ‘통합 보안 서비스’를 제공한다. 최고 성능과 보안을 자랑하는 웹 애플리케이션 방화벽, 클라우드에서 관리하는 보안스위치, 백본 스위치 등 네트워크 및 보안 제품을 자체적으로 개발하면서 안정적으로 사업을 이어오고 있다.
▲파이오링크 주요 보안 컨설팅 서비스[출처=파이오링크]
파이오링크는 설립 때부터 애플리케이션 네트워크 관련 개발 기술을 축적해 왔고 국내 애플리케이션 전송 컨트롤러 시장에서 글로벌 기업들을 제치고 수년째 1위를 유지하고 있다. 2015년부터 신사업동력으로 보안 서비스 사업에 투자하면서 관계사인 NHN, NHN한국사이버결제, 벅스 등을 시작으로 원격관제 서비스를 제공했다.
사업 초기부터 높은 보안성을 요구하는 온라인 게임, 결제, 콘텐츠 서비스 기업들의 관제를 맡으면서 경험과 노하우를 탄탄히 쌓을 수 있었고, 보안관제 전문기업 자격 획득 후 대외 원격관제와 파견관제, 하이브리드 관제까지 다각화하면서 공공, 금융, 대기업 등 고객군을 확보했다. 또한, 클라우드 인프라에 대한 보안관제도 수행하고 있으며, 특히 NHN 토스트(TOAST) 클라우드에는 웹방화벽 솔루션 운영과 보안관제를 함께 서비스하고 있다.
▲파이오링크의 원스톱 통합 보안 서비스 구성도[이미지=파이오링크]
무엇보다 2018년 정보보호 전문서비스 기업 자격을 획득하면서 통합 보안 서비스를 제공하는 기업으로 도약했다. 현재 50명이 넘는 컨설턴트가 주요정보통신기반시설/전자금융기반시설 취약점분석 평가와 ISMS-P, ISO27001 등 정보보호 인증컨설팅 등을 진행하고 있다. 특히, 정보보호관리체계 인증 의무 대상인 42개 상급병원 중 20개 병원에 대한 ISMS 인증 컨설팅을 진행해 의료분야 ISMS 인증 컨설팅 수행실적 1위를 점유하고 있다.
[원병철 기자(sw@boannews.com)]
정보보호 전문서비스 기업·시장 현황 및 주요 이슈 진단
[보안뉴스 원병철 기자] 2019년 4월 IBM이 전 세계 3,600명 이상의 IT 전문가를 대상으로 한 설문조사 결과 77%의 기업이 사이버보안 사고대응 계획이 없으며, GDPR 준수기업도 54%에 그친 것으로 밝혀졌다. 응답자의 70%는 사고대응 계획을 관리하고 테스트할 수 있는 인력이 부족하다고 답했으며, 48%의 기업은 조직이 사용하는 보안 툴이 너무 많아 운영상 복잡성 증가는 물론 전반적인 보안 상태에 대한 가시성이 저하됐다고 밝혔다. 이러한 결과는 결국 일반 기업이나 기관이 아직도 사이버위협에 노출되어 있으며, 전문가 도움 없이는 대응계획을 세우기도 어렵다는 것을 보여준다. 그렇다면 이러한 상황을 타개할 수 있는 방법은 없을까?
[사진=iclickart]
컨설팅(Consulting), 한 분야의 전문가가 고객에게 전문지식을 바탕으로 상담 및 대응방안 등에 도움을 주는 것으로 이는 보안분야에도 존재한다. 바로 ‘보안 컨설팅(Security Consulting)’이다. 보안 컨설팅에 대한 정의는 저마다 다르지만, ‘고객의 정보자산을 위협으로부터 안전하게 보호하는 일련의 서비스’ 정도로 정리할 수 있다. 즉, 고객의 ‘정보자산’을 안전하게 보호할 수 있도록 ‘위협/위험을 분석’하고, 이에 대한 ‘대책’을 수립한 후, 대책을 ‘실현’할 수 있도록 돕는 ‘전문 서비스’라는 설명이다.
고객의 정보자산을 지키는 서비스...주요 정보통신기반시설 컨설팅과 정보보호 인증지원 컨설팅에 주력
그렇다면 보안 컨설팅의 종류는 어떤 것들이 있을까? 가장 기본적인 보안 컨설팅인 ‘정보보호 컨설팅’을 기준으로 ‘취약점 진단 컨설팅’과 ‘정보보호 인증지원 컨설팅’ 그리고 ‘주요 정보통신기반시설 컨설팅’, ‘개인정보영향평가 컨설팅’과 ‘개인정보보호 컨설팅’ 등이 주로 진행되고 있다. 아울러 최근 4차 산업혁명과 맞물려 ‘운영기술(OT)’과 ‘IoT 등 융합보안 컨설팅’, 그리고 ‘클라우드 보안 컨설팅’의 수요도 증가하고 있다.
종류별로 간단하게 설명하면, 우선 보안 컨설팅은 크게 3가지 분야의 컨설팅으로 구분된다. 첫 번째는 기업과 기관의 보안을 강화하기 위한 컨설팅으로 정보보호 컨설팅과 취약점 진단 컨설팅이 포함된다. 정보보호 컨설팅은 기업이나 기관이 외부의 공격 등 침해사고와 내부자에 의한 보안사고를 예방하기 위해 종합적으로 보안진단을 하고, 이렇게 진단된 결과를 바탕으로 개선방안과 보안강화를 위한 로드맵을 제시하는 서비스다.
취약점 진단 컨설팅은 관리적·물리적·기술적 측면에서 기업의 보안 취약점을 진단하고, 이에 대한 개선 방안을 제시하는 서비스를 말한다. 이 두 가지 컨설팅이 기업과 기관이 보안을 강화하기 위해 자발적으로 시행하는 컨설팅이라고 한다면, 두 번째 이슈는 각기 관련법에 따라 해당 기업과 기관은 반드시 시행해야 하는 컨설팅이다.
먼저 ‘정보보호 인증지원 컨설팅’은 ‘ISMS-P’와 ‘ISO/IEC 27001’ 등 국내외 정보보호 인증 획득을 지원하는 서비스다. 인증별 점검 항목을 분석하고, 도출된 위협 요소에 대한 보호 대책을 수립하며, 인증 심사에 필요한 이행 증적 문서 작성을 지원하는 등 사전 준비부터 인증서 획득까지 모든 과정에 대한 서비스를 포함한다.
‘주요 정보통신기반시설 컨설팅’은 정보통신기반보호법에 의해 지정된 주요정보통신기반시설이 필수적으로 수행해야 하는 평가로, 주요정보통신기반시설에 대한 관리작·물리적·기술적 보안 취약점을 분석·평가하고 취약점 점검을 통해 발견된 문제점에 대한 예방 및 개선방안을 제시한다.
세 번째는 4차 산업혁명의 ‘원유’이면서 정보가 유출될 경우 엄청난 피해를 입을 수 있는 빅데이터의 핵심인 ‘개인정보’와 관련된 컨설팅이다. ‘개인정보영향평가 컨설팅’은 개인정보처리 기준에 따라 일정 규모 이상의 개인정보 파일을 운영하는 공공기관은 의무적으로 수행해야 하는 평가로, 개인정보 파일을 다루는 정보시스템의 운용으로 인해 정보주체의 개인정보가 침해되는 경우 그 위협 요인을 분석하고 개선사항을 도출한다.
‘개인정보보호 컨설팅’은 개인정보를 취급하는 업무 프로세스와 개인정보처리시스템에 대한 취약점 점검을 통해, 개인정보가 침해될 수 있는 위협 요인을 도출하고 그에 대한 개선방안을 제시한다.
▲대표적인 보안컨설팅 서비스 분류[출처=이글루시큐리티]
정보보호 전문서비스 기업 20개, 지정 못받은 기업도 100여개 추정
그렇다면 현재 보안 컨설팅 시장규모는 얼마나 될까? <보안뉴스>와 <시큐리티월드>가 발간한 ‘2020 국내외 보안시장 전망보고서’에 따르면 보안 컨설팅 시장규모는 1,114억원으로 조사됐다. 아울러 2020년에는 1,156억원, 2021년에는 1,199억원을 각각 달성할 것으로 예상됐다.
그리고 2020년 공공부문 SW·ICT 장비·정보보호 수요예보에 따르면 2020년 사이버보안 서비스 공공분야 수요는 252억 935만 6,942원으로 조사됐다. 한편, 글로벌 마켓 리서치 전문기업 마켓앤마켓은 자사 보고서를 통해 세계 보안컨설팅 시장이 2021년까지 연평균 성장률 10.2%를 기록하며 261억 5,000만 달러, 한화로 약 31조 400억원 규모에 달할 것으로 전망했다.
성장 요인으로는 서드파티 애플리케이션 사용, 인수합병, 해외진출 증가 등에 따른 네트워크 복잡성 증가와 함께 IoT와 BYOD 확산, 고도화된 사이버 공격 등을 꼽았다. 그렇다면 현재 보안 컨설팅을 제공하는 기업은 어떤 곳들이 있을까? 우선 ‘정보보호산업의 진흥에 관한 법률과 시행규칙, 고시’에 의거해 ‘정보보호 전문서비스 기업’으로 지정된 업체는 총 20개가 있다.
기반시설 관리기관이 전자적 침해행위에 효과적으로 대응할 수 있도록 전문업체를 적극 활용, 주요정보통신기반시설의 취약점 분석·평가 업무 및 보호대책 수립업무를 지원하기 위해 지정된 ‘정보보호 전문서비스 기업’은 2001년 11월 ‘정보보호컨설팅전문업체 지정 9개 업체’를 시작으로 현재 20개 업체로 늘어났다.
아울러 명칭 역시 ‘정보보호 컨설팅 전문업체’에서 ‘지식정보보안 컨설팅 전문업체’로 바뀌었다가 현재는 ‘정보보호 전문서비스 기업’으로 변경됐다. 물론 정보보호 전문서비스 기업으로 지정되지 않더라도 일반적인 정보보호 컨설팅이나 개인정보보호관련 컨설팅은 가능하다. 이 때문에 신규로 사업을 시작하거나 규모가 작은 기업은 전문성을 강화하며 특정 컨설팅에 집중하기도 하고, 일부 기업과 기관은 한번 컨설팅을 받은 후 내부 전문가를 이용해 보안 컨설팅을 하는 경우도 있다. 업계에서는 전문기업에 선정되지 못하고 컨설팅을 하는 업체가 100여개 정도인 것으로 보고 있다. 정보보호 전문서비스 기업 20곳은 아래와 같다.
정보보호 전문서비스 기업
시큐아이·안랩·엔시큐어‧에이쓰리시큐리티‧롯데정보통신·싸이버원‧에스케이인포섹‧파이오링크·소만사‧씨에이에스·에스에스알‧파수닷컴·윈스‧이글루시큐리티·시큐어원‧한영회계법인·한전KDN‧신한DS·한국통신인터넷기술‧에프원시큐리티(KISA 공지 순)
6~8월에 몰리는 정보통신기반시설 컨설팅
보안 컨설팅 시장의 규모가 작은 편도 아니고 전문기업으로 선정된 기업도 20개에 불과해 언뜻 시장상황이 좋아 보이기는 하지만, 실제 기업들이 느끼기에는 좋은 편이 아니다. 가장 큰 이유는 보안 컨설팅의 주요 사업인 주요 정보통신기반시설 컨설팅이 6·7·8월에 몰린다는 사실 때문이다.
앞서 설명한 것처럼 보안 컨설팅은 회사나 기업의 보안을 스스로 강화하기 위해서라기 보다는 ‘법’ 때문에 강제로 하는 컨설팅이 대부분이다. 문제는 주요 사업으로 꼽히는 정보통신기반시설 컨설팅을 받는 기반시설이 400여개에 달하지만 이들 모두가 일괄적으로 8월까지 컨설팅 보고서를 제출해야 하기 때문에 사업이 6~8월에 몰리는 경향이 있다는 점이다. 즉, 사업의 숫자는 많지만, 특정 기간에 몰리기 때문에 기업들은 보유한 컨설턴트의 수를 기준으로 수행할 수 있는 사업이 한정된다.
게다가 컨설턴트 수급도 만만치 않아서 기업들이 느끼는 어려움은 더 크다. 이에 관련 기업들은 컨설팅 보고서 제출기한을 ‘분야별’ 혹은 ‘지역별’ 등으로 세분화할 것을 요구하고 있다. 예를 들어 ‘금융’이나 ‘교육’ 등 분야별로 보고서 제출기간을 각각 다르게 한다면, 컨설팅을 받는 기업·기관이나 컨설팅을 하는 기업 모두 만족할 수 있는 충실한 컨설팅을 할 수 있을 것이라는 설명이다.
또 하나의 문제는 바로 컨설턴트의 수급이다. 우선 보안 컨설턴트는 관리적·물리적·기술적 보안 진단능력을 모두 갖춰야 하며, 특히 등급이 올라갈수록 전체를 아우를 수 있어야 한다. 게다가 컨설팅을 받는 기업과 기관의 특성을 잘 알고 그에 따른 보안기준을 제시할 수 있어야 하기 때문에 ‘산업별 맞춤형 컨설팅’이 요구된다. 이와 관련 김영준 파이오링크 이사는 “기존 산업분야에서 각종 현장 경험을 가진 각 영역별 전문가를 보안 컨설턴트로 양성하는 과정이 필요하다”고 제언했다. 산업별 보안 전문 컨설턴트는 고객에게 우수한 컨설팅 서비스를 제공할 뿐만 아닐 컨설팅 산업의 미래를 밝힐 것이라고 김영준 이사는 강조했다.
관련기업들이 뽑은 문제점 중 마지막은 바로 ‘비용’ 문제다. 보안 컨설팅은 그 특성상 ‘인력’이 가장 핵심이기 때문에 컨설팅 비용도 인력에 초점이 맞춰져 있다. 하지만 공공기관의 ‘입찰’에 따른 최저가 선정이나 ‘2020년 적용 SW 기술자 평균 임금’에 따른 월평균 임금 산정 등이 발목을 잡는다는 것이다. 특히, 가뜩이나 컨설팅 전문가 수급이 어려운 상황에서 임금마저 적게 책정되면서 이중고를 겪고 있다는 설명이다.
보안 컨설팅 받은 고객 33.6%, 서비스 만족 선택
그렇다면 보안 컨설팅에 대한 고객들의 판단은 어떨까? <보안뉴스>와 <시큐리티월드>가 독자 1,220명을 대상으로 한 ‘정보보호 전문서비스 기업 선호도 조사’에 따르면 응답자의 56.1%가 정보보호 전문서비스(보안 컨설팅)를 받아본 적이 있으며, 이중 33.6%(매우 만족 12.3%, 만족 21.3%)만이 컨설팅에 만족한 것으로 나타났다.
컨설팅을 받지 않은 41%(응답 없음 2.9%)는 그 이유(주관식 답변)로 대부분 ‘예산 부족과 인력의 한계’를 들었으며, ‘필요성을 못 느낀다’와 ‘비용대비 효과가 없다’는 답변도 많았다. 아직까지 ‘보안’을 비용으로만 생각하는 기업이 많다는 의미다. 심지어 일부 응답자는 ‘자체적으로 해결’하거나 ‘임원진이 자체적으로 해결하길 원한다’는 답변을 해 ‘보안 컨설팅’에 대한 인식도가 아직 낮다는 걸 드러냈다.
또한, 보안 컨설팅 선택기준으로 20.5%의 응답자가 ‘사후관리’를 선택했으며, 17.2%로 동률을 기록한 ‘비용’과 ‘서비스 항목’이 뒤를 이었다. 또한, 12.7%는 ‘실적’을 선택했으며, 10.7%는 ‘정보보호 전문서비스 기업’ 지정여부를 꼽았다. 다행스러운 건 응답자의 69.2%가 3년 이내에 보안 컨설팅을 받겠다고 답함으로써 시장의 성장가능성을 보였다는 점이다.
▲정보보호 전문서비스 기업 선호도 조사[출처=보안뉴스, 시큐리티월드]
보안 컨설팅 시장에서 주목받는 5개 기업(가나다 순)
보안 컨설팅 시장은 현재 정보보호 전문 서비스 지정업체 20개가 리딩하고 있다. 특히, 그중에서도 5개 기업은 변화하는 보안 컨설팅 시장의 흐름에 따라 저마다의 장점을 더욱 갈고 닦고 있다.
안랩
안랩은 고유의 체계적이고 과학적인 정보보호 컨설팅 방법론(ASEM)을 보안 컨설팅에 적용해 실질적이고 현실성 있는 대책을 고객에 제시 및 지원한다. 최고의 기술력과 수많은 컨설팅 경험을 보유한 보안전문가들이 기업의 보안체계 구축에 직접 참여해 정보보호 정책설계와 다양한 분야의 취약점 점검에서 모의해킹까지 고객 요구사항을 최적으로 충족하는 컨설팅 서비스를 제공한다. 특히, 국내 최대의 보안정보 분석 조직인 ASEC(AhnLab Security e-Response Center)으로부터 생산된 보안관련 정보와 보안관제로부터 생산되는 침해대응정보, 네트워크나 엔드포인트 단의 보안 개발 및 구현 정보 등을 컨설팅에 바로 반영함으로써 보안의 흐름에 빠르게 선제적으로 대응할 수 있는 보안 컨설팅 서비스를 제공한다.
윈스
윈스의 보안 컨설팅은 고객 정보시스템의 모든 위험요인에 대한 정확한 문제도출을 위해 다양한 기법과 기술이 반영된 ‘WISE(Wins Information Security Engineering methodology) 방법론’을 사용하고 있다. 윈스의 WISE 방법론은 1998년 설립 이후 22년간의 Sniper 제품 벤더사로서 다양한 노하우를 기반으로 타사 대비 ‘최신 위협 대응력 분석’ 단계를 추가했다. 이를 바탕으로 기관에 구축돼 있는 정보보호 시스템 구현정책에 대한 형식적인 검토가 아닌 탐지·차단 정책의 적절성, 정·오탐 정책 식별 등 벤더사로서 윈스만의 특장점을 살려 실질적인 정책에 대한 검토를 실시하고 있다.
이글루시큐리티
이글루시큐리티는 정보보호 전문서비스 기업, 개인정보영향평가기관, 보안관제전문기업 자격을 모두 갖춘 기업으로 보안 서비스 간 유기적 협업을 통해 시너지 효과를 창출하고 있다. 다년간 축적된 보안관제 경험과 노하우에 기반해 기업의 보안 수준과 기업 데이터 가시성을 높일 수 있는 정보보호 방법론을 구축했다. 이를 토대로 고객사에 정보보호 및 개인정보 관리체계 수립과 인증 지원, 주요 정보통신 기반시설 및 전자금융 기반시설 취약점 분석·평가 등의 정보보호 컨설팅 서비스를 제공하고 있다.
파수닷컴
파수닷컴의 보안 컨설팅 서비스는 크게 보안 컨설팅, 개인정보 컨설팅, 취약점 진단(소스코드 진단) 컨설팅으로 구분돼 있다. 보안 컨설팅 영역에서는 금융권 보안 전문가 서비스 및 주요정보통신기반 시설 컨설팅과 같은 사업들을 필두로 클라우드 및 산업제어시스템 컨설팅 영역으로 확대해 나가고 있다. 이와 함께 컨설턴트들의 인프라 진단, 모의해킹, 모바일 진단 등의 역량과 취약점 진단 솔루션인 스패로우(Sparrow)의 조합으로 SI 업체와의 연계 시장에도 박차를 가하고 있다. 파수닷컴은 지난해 ‘다년 약정형 컨설팅 서비스’를 런칭해 정부나 기업에서 매년 정기적·반복적으로 수행해야 하는 컨설팅 업무에 대해 장기 약정 계약을 맺음으로써, 매년 사업자 선정을 위해 낭비됐던 시간과 인력 등을 줄일 수 있게 했다. 최근에는 데이터 3법 개정안이 통과되면서 개인정보 컨설팅, 비식별화 솔루션, 빅데이터 플랫폼 시장 컨설팅이 함께 진행되는 사업들을 선점하고 있다.
파이오링크
파이오링크 보안 컨설팅은 정보보호인증, 취약점분석평가, 개인정보보호, ICT 보안, 교육/훈련, 산업보안 등 다양한 영역의 보안 컨설팅 서비스를 제공하고 있다. 정보보호인증 컨설팅은 ISO27001, BS10012, ISMS, ISMS-P 등을 취득하기 위한 서비스를 제공하며, 취약점분석평가 컨설팅은 취약점진단(시스템/웹/앱), 모의해킹, 주요 정보통신 기반시설/전자금융 기반시설 취약점 분석평가 등의 서비스를 제공한다. 또한, 개인정보보호 컨설팅은 개인정보실태 점검, 수탁사 점검, 개인정보보호 서비스를 제공하며, ICT 보안 컨설팅은 클라우드 보안, 핀테크 보안, IOT 보안 등 ICT 보안기술 컨설팅 서비스를 제공한다. 또한, (개인)정보보호교육, 침해사고대응훈련(이메일, DDoS 대응) 등 교육 및 훈련과 산업별 맞춤형 보안 컨설팅(제조업보안, 선박보안 등)도 서비스한다.
[의료분야 ISMS 인증 1위]
컨설팅-솔루션-관제 ‘통합 보안 서비스’ 제공
파이오링크 보안 컨설팅 노하우 전격 해부
파이오링크는 네트워크 및 보안제품 개발·제조 기반으로 보안 컨설팅과 보안관제를 아우르는 ‘통합 보안 서비스’를 제공한다. 최고 성능과 보안을 자랑하는 웹 애플리케이션 방화벽, 클라우드에서 관리하는 보안스위치, 백본 스위치 등 네트워크 및 보안 제품을 자체적으로 개발하면서 안정적으로 사업을 이어오고 있다.
▲파이오링크 주요 보안 컨설팅 서비스[출처=파이오링크]
파이오링크는 설립 때부터 애플리케이션 네트워크 관련 개발 기술을 축적해 왔고 국내 애플리케이션 전송 컨트롤러 시장에서 글로벌 기업들을 제치고 수년째 1위를 유지하고 있다. 2015년부터 신사업동력으로 보안 서비스 사업에 투자하면서 관계사인 NHN, NHN한국사이버결제, 벅스 등을 시작으로 원격관제 서비스를 제공했다.
사업 초기부터 높은 보안성을 요구하는 온라인 게임, 결제, 콘텐츠 서비스 기업들의 관제를 맡으면서 경험과 노하우를 탄탄히 쌓을 수 있었고, 보안관제 전문기업 자격 획득 후 대외 원격관제와 파견관제, 하이브리드 관제까지 다각화하면서 공공, 금융, 대기업 등 고객군을 확보했다. 또한, 클라우드 인프라에 대한 보안관제도 수행하고 있으며, 특히 NHN 토스트(TOAST) 클라우드에는 웹방화벽 솔루션 운영과 보안관제를 함께 서비스하고 있다.
▲파이오링크의 원스톱 통합 보안 서비스 구성도[이미지=파이오링크]
무엇보다 2018년 정보보호 전문서비스 기업 자격을 획득하면서 통합 보안 서비스를 제공하는 기업으로 도약했다. 현재 50명이 넘는 컨설턴트가 주요정보통신기반시설/전자금융기반시설 취약점분석 평가와 ISMS-P, ISO27001 등 정보보호 인증컨설팅 등을 진행하고 있다. 특히, 정보보호관리체계 인증 의무 대상인 42개 상급병원 중 20개 병원에 대한 ISMS 인증 컨설팅을 진행해 의료분야 ISMS 인증 컨설팅 수행실적 1위를 점유하고 있다.
[원병철 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
