| [보안관제-2] “성공적인 보안관제의 관건은 ‘신뢰’” | 2008.11.24 | |
<순서> 1. “패밀리만 떴나? 보안관제 시장도 떴다” 2. “성공적인 보안관제의 관건은 ‘신뢰’” 3. “특명, 공공의 문을 열어라” 고객사와 관제업체, 신뢰의 토대 만들었지만… 성공적인 보안관제의 관건은 무엇일까? 이 같은 질문에 대다수의 관련 전문가들은 “고객사와 보안관제를 전문으로 하는 업체간 신뢰”라고 말한다. 보안관제 업체는 고객사에 ▲보안정책 수립과 적용 ▲보안 시스템 운영 ▲보안 시스템 관리 ▲침해사고 처리 등 크게 네 가지의 서비스를 제공한다. 이를 위해서 관제회사는 고객사 보안 시스템상의 취약점들을 하나씩 면밀하게 찾아나간다.
이를 두고서 관제업계의 한 관계자는 “한 마디로 고객사를 발가벗기는 과정으로 이해하면 된다”며 “따라서 관제 서비스 제공 업체와 고객사 간의 근본적인 신뢰가 뒷받침되지 않는다면 보안관제의 성공을 장담할 수 없다”고 말했다. 하지만 과거 보안관제 서비스가 처음 도입됐을 때 양측 간 신뢰는 찾아볼 수 없었다. 고객사는 자사의 보안 취약점을 외부에 노출하길 꺼렸다. 회사 서버와 주요 보안장비의 관리를 타 업체에 맡긴다는 데 대해서도 부정적 입장을 갖고 있었다. 관제서비스 제공 업체들은 불모지를 개척하는 심정으로 일해야만 했다. 문제는 이런 척박한 사업 환경을 바꿔놓을 마땅한 수단이 없었다는 점이다. 이에 보안관제 업체들은 생존을 위해 ‘저가서비스 경쟁’이라는 승부수를 띄웠다. 시장의 성숙, 다져진 신뢰 특히 이 과정에서 고객사들과 불평등계약을 맺는 것 역시도 주저하지 않았다. 그 여파가 업계 전반에 미쳤다. 한때 시장을 선도했던 ‘해커스랩’의 붕괴는 그 대표적인 예다. 보안관제 분야에 뛰어든 전문가들이 느낀 충격은 결코 작지 않았다. 다행히 이런 상황은 오래가지 않았다. 각 관제업체가 서비스도입 5년을 넘기면서 시장경쟁력을 갖게 된 까닭이다. 1999년 처음 시장의 문을 연 안랩 등은 시장서 다섯 해를 버티며 초기 투자금을 회수하고 서비스 노하우도 축적했다. 안철수연구소의 아성을 넘보고 있는 인포섹과 넷시큐어 역시도 사업시작 5년째를 넘기면서 종전보다 안정된 모습을 보여주고 있다. 이들 선두권 업체들은 차별화 된 고유의 관제 기술로 승부를 걸며 고객사들에 한 걸음 더 다가서려고 한다. 이 같은 노력을 직접 본 고객사들은 이제 더 이상 보안관제 업체에 신뢰 문제를 제기하지 않는다. 오히려 “적은 비용으로 전문적인 서비스를 제공하는 관제 업체들이 없다면 어찌 되었겠느냐”라며 지금도 서비스를 의뢰하고 있다. 심지어 올초 해킹에 의해 고객정보를 대량 유출시킨 옥션의 경우 관제회사인 인포섹에 대해 변함없는 신뢰를 유지하고 있을 정도다. 조래현 인포섹 상무는 “이는 우리가 모든 걸 커버하지 못한다는 점을 고객사도 안다는 증거”라고 말했다. ‘선제대응 서비스’ 등 관제업계가 나가야 할 길 서비스 시작 초기와 달리 고객사와 관제업체간 밀착도가 높아졌지만 보다 수준높은 관제 서비스를 위해선 보완해야 할 점들이 아직 많다고 전문가들은 말한다. 우선 관제회사의 입장서 기술경쟁력을 더 높여야 한다는 지적이 나온다. 조 상무는 “다른 나라의 관제 업체는 더 많은 인력을 보유하고 있으며, 이들을 통해 침해사고 예방을 위한 가상공격 시나리오 만들기 등에 적극적으로 나서고 있다”며 “그러나 우리 업체들은 아직 그 수준에 이르지 못하고 있다”고 평가했다. 이 분야의 전문인력 확보도 주된 과제중 하나다. 각 업체가 서비스의 경쟁력을 높이려면 양질의 보안관제 전문인력을 확보하고 있어야 한다. 그렇지만 안랩과 인포섹, 넷시큐어 등 관제 회사들은 이 문제를 쉽사리 풀지 못하고 있다. 천성훈 넷시큐어 상무는 “관제 서비스는 전문인력에 의해 만들어진 시스템으로 해야 하지만 최근 2~3년동안 보안업계의 선수들이 NHN, 네이트, 구글 등으로 다 빠져나갔다”면서 “이로 인해서 큰 어려움을 느끼고 있다”고 속내를 털어놨다. 그밖에 후발주자들이 아직 벌이고 있는 저가경쟁도 보완해야 할 점의 하나로 손꼽힌다. 한 업체 관계자는 “일부 보안관제 업체가 우리 고객사를 상대로 저가 서비스를 제안하는 경우가 있다”며 시장질서 훼손에 대한 우려를 나타냈다. “돈내는 만큼 서비스 받는다” 의식전환 필요 보안관제 전문가들에 따르면 고객사의 입장에서도 질 높은 관제서비스를 위해 꼭 지켜야 할 것들이 있다. 적절한 서비스대금 지급은 그중 으뜸에 해당한다. 홍성철 안랩 팀장은 “한 고객사에 3년 이상을 서비스해야 ROI(투자수익률, Return of Investment)가 나오는 게 보안관제 시장의 특징”이라며 “눈에 보이는 장비 외 무형의 서비스에 대한 인식이 낮아 생기는 현상”이라고 설명했다. 단가가 낮아지면 서비스의 범위도 협소해질 수밖에 없다. 허나 관제서비스에 대한 고객사의 기대는 쉽게 줄어들지 않는다. 현실에 맞게 고쳐져야 할 부분이다. 여기에 따른 문제를 해결하기 위해 고객사와 관제 서비스 제공 업체는 계약시에 SLA(Service Level Agreement)를 체결한다. 주어진 예산범위 내에서 제공되는 서비스의 범위와 침해사고시 대응절차, 책임 범위를 정해놓는 것이다. 한 관제 전문가는 “과거 한 업체와 계약을 하며 침해사고 발생시 무한배상을 하기로 했고, 이에 ‘불공정 계약이니 고쳐달라’고 했는데 거부당했다”며 “고정비 정도의 월과금을 주면서 무한책임을 요구하는 업체가 아직도 존재한다”고 꼬집었다.
[최한성 기자(boan1@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
