정보보호컨설팅 시장 성장이 꾸준히 지속되고 있다고는 하지만 사실상 시장 규모는 2007년 200억원 규모에서 매년 10~20억원 정도의 소규모 성장세를 형성하고 있다는 것이 업계관계자들의 의견이다. 그럼에도 매년 정보보호컨설팅 시장이 크게 성장할 것이라고 전망했던 것은 보안컨설팅을 요구하는 산업군이 매년 확대될 것이라는 전망과 기업 정보보호에 대한 인식 제고에 힘입어 중소기업에서도 그에 대한 수요가 크게 증가할 것이라는 이유 때문이었다.

물론 그때마다 개인정보보호법·정보통신기반보호법·전자금융거래법 개정안 등, 정보보호와 관련한 법규의 재정비가 있어 이를 뒷받침해 줄 것이라는 전망도 있었다. 하지만 실질적으로 그러한 전망들은 유효하지 않았다.

그러나 올해에는 이러한 전망들이 유효할 것으로 기대된다. 왜냐하면 이미 지난해 연말부터 컨설팅 업계의 움직임이 활발해졌기 때문이다.

이와 관련 이수영 인포섹 이사는 “올해는 경기 악화 지속세로 인해 금융·민간 기업의 보안 투자는 위축될 것으로 보인다. 다만 작년에 발생한 보안사고의 무시할 수 없는 여파에 따른 개인정보보호법 등과 같은 컴플라이언스는 개인정보·내부정보 등의 보호대상과 기초적인 취약점 진단, 정보보호관리체계 구축 및 인증, 정보보호 변화관리 등의 보호방법 등을 투자 타이밍을 고려해 계획된 예산을 집행하거나 필요한 경우에는 특별 예산을 편성해 집행할 것으로 예상한다”고 전망했다.

또한 전일성 에이쓰리시큐리티 이사는 “자사는 특정 분야에 편향·집중되지 않은 국내외 주요 업종 별로 두드러진 수행을 하며 지난해 동안 130여 건의 정보보호 컨설팅을 수행해 전년도 실적 대비 60% 정도 성장세를 보였다”며 “특히 올해는 관리적 측면에서 개인정보보호법 등과 같은 컴플라이언스 요건에 의한 개인정보보강화 및 보안 감사 영역, ISO27001과 같은 인증 컨설팅 증가 및 보합세, 정부 정책에 기인한 공공사업 확대, 내부 기밀 정보 유출에 대비한 산업 기밀 보안 등이 강화 될 것을 전망한다”고 밝혔다.

이와 관련해 업계 한 관계자는 “국제 금융환경의 여파로 가장 먼저 IT분야가 위축되고 IT인력들이 구조조정의 위기에 서 있지만 국내 지식정보보안 시장은 주민번호 등의 개인정보 노출에 대한 사회적 관심이 고조되고 개인정보보호법, 그리고 지식경제부의 지식정보보안 시장확대 등으로 IT분야의 투자위축보다는 지난해 수준 이상으로 투자가 될 것으로 예상한다”고 밝혔다. 그는 또 이러한 전반적인 분위기에 편승하여 공공 및 기업의 정보보안 분야의 예산집행도 늘어날 것으로 내다봤다.

개인정보보호법 등 민간시장 확대

개인정보보호법은 현재 국회에 계류 중인 상태라 그 결과를 서둘러 예측하기는 힘들 것이다. 하지만 그와는 별개로 GS칼텍스 개인정보유출사건 등과 같은 전년도 발생한 사고의 여파와 지속적인 사회 각 계층의 관심은 확대될 것으로 전망하고 있다.

김형준 안철수연구소 팀장은 “산업별로 일률적인 베스트 프랙티스를 요구하는 정보보호컨설팅과는 달리 기업의 개인정보는 기업과 비즈니스 목적과 관련해 사업자의 판단으로 법·제도의 위규여부를 결정하기는 어려운 측면이 있다”며 “이로 인해 개인정보보호 유관 시장의 전망은 밝은 편이며 자사도 이미 공공기관 및 민간기관을 구분해 컨설팅을 준비했으며 방법론은 완비된 상태”라고 밝혔다.

또한 서맹수 시큐아이닷컴 이사는 “개인정보보호법 제정으로 인한 개인정보보호영향평가를 의무화한다면 컨설팅수요는 늘어날 것으로 예상하고 있지만 올해 컨설팅 수요가 얼마나 되느냐는 법제화시기에 달렸다고 본다”고 밝혔다. 그는 또 글로벌 금융위기의 영향으로 일반 기업시장이 위축되고 공공기관을 대상으로 하는 공공시장에서의 정보보호컨설팅이 주류를 이룰 것으로 예상했으며 개인정보보호가 계속적인 이슈가 될 것이라고 전망했다.

국내 정보보호컨설팅 시장은 2004년 150억원, 2005년 190억원 그리고 작년 2008년까지 200억원대 규모로 성장세를 이어왔다. 전체 시장 측면에서는 그리 큰 시장이라고 할 수는 없다. 그리고 지금까지 꾸준하고 지속적인 성장을 보여왔다고 보기에는 어렵다. 하지만 지식경제부는 작년 12월 ‘Securing Knowledge Korea 2013’을 발표하며 지식정보보안산업을 신성장동력으로 육성하기 위해 오는 2013년까지 총 2천3백억원을 투입해 보안산업을 육성하기 위해 집중적인 투자와 관심을 약속했다. 이러한 상황들을 종합적으로 보면 정보보호컨설팅 시장은 정보보안산업분야에서 충분히 더 크게 성장할 수 있는 기반이 마련되어 있다고 볼 수 있다.  

전문인력·서비스 대가 기준이 현안

정부의 개인정보보호법, 정보통신망법, 정보통신기반보호법 등 정보보호 관련 법규의 재정비 등 컴플라이언스에 대한 제도적 뒷받침과 삼성 SDS, LG CNS 등 대기업의 정보보호컨설팅 시장진출 가시화 등은 정보보호컨설팅 시장의 확대라는 긍정적인 측면을 갖고 있다.

하지만 정보보호컨설팅의 그러한 점진적인 발전과 함께 전문인력이나 서비스 대가에 대한 기준 등의 현실적인 문제도 안고 있다. 업계 관계자들은 이러한 현안 문제가 먼저 해결돼야 시장이 확대되고 성장·발전할 수 있다고 의견을 모았다.

이에 대해 김형준 안철수연구소 컨설팅팀 팀장은 “정보보호컨설팅에 대한 고객의 인식제고 가장 중요하다. 정보보호는 제품이나 솔루션처럼 일회성 도입이 아닌 지속적 운영과 개선이 중요하다”며 “즉 대내·외적인 위협과 취약점들이 빠르게 도출되는 상황에서는 실시간으로 대응하는 것이 무엇보다 필요한데, 이를 수행하기 위해서는 당연히 통합적인 정보보호 서비스이어야 한다는 것. 특히 이를 선도하고 유지하는 정보보호컨설팅도 이같은 맥락에서 이해하는 인식의 확대가 필요하다”고 말했다. 또한 그는 “정보보호컨설팅 대가에 대해 아직은 소프트웨어 노임단가를 기준으로 예산을 잡거나 집행하는 경우가 많다. 전문가에 의한 전문 서비스인 만큼 현실화된 단가 적용이 필요하다”고 지적했다. 그리고 신규 인력의 교육이 일부 이루어지고는 있지만 직종 특성상 많은 경험과 근성이 필요로 하는 만큼 쉽게 전문가를 확보하기가 어렵고 정보보호컨설팅 사업 구조가 취약하여 컨설턴트들의 직무 변경이 많이 일어나는 점 등을 풀어야 할 숙제로 꼽았다.

그리고 서맹수 시큐아이닷컴 이사는 “낮은 컨설팅 단가로 전문업체 경영의 어려움이 지속되고 있고 이로 인한 교육 등 인력투자 미비로 전문이력의 이탈과 양질의 인력이 컨설팅분야로 충원되지 못하는 악순환이 계속되고 있다”고 지적했다.

이와 관련, 이수영 인포섹 이사는 “보안컨설팅 전문인력에 대한 기준 요건은 강화돼 있으나 서비스 대가에 대한 기준은 일반 IT기술인력에 적용되는 S/W 대가 기준을 따르고 있는 실정이다”며 “보안컨설팅 전문 인력은 정보통신유관학과 졸업, 보안업체 경력을 겸비해야 하고 신원조회를 필해야 하는 등의 요건으로 인해 희소성을 보유하고 있으나 IT 범용 인력에 적용되는 S/W 대가 기준으로 공공기관에서 예산을 수립하여 이마저 경쟁으로 인해 예가보다 낮게 수주를 하고 있다”고 덧붙였다.

또한 그는 전문인력 문제에 대해 “정보보호컨설팅 시장에 유입되는 숫자는 적고 컨설턴트 육성에 소요되는 기간은 길고 자질과 역량이 확보된 컨설턴트는 자신의 역량을 시장에서 충분히 발휘하기도 전에 더 나은 대우를 찾아서 시장을 떠나는 악순환이 계속된다”는 점을 들었다. 그는 이러한 문제점을 해결하기 위해서는 정보보호 관련 학과 개설을 확대하여 우수 인재를 사회에 배출하고 정보보호컨설팅 업체는 좋은 재목을 육성하는 노력과 대우 개선에 노력해야 하며 수요자는 현실적인 서비스 대가를 지불하도록 해야 한다고 강조했다.

또한 이와 함께 민간 기업의 경우에도 공공기관의 예산 근거를 내세워 업체들의 경쟁을 유도하고 있어 이로 인해 정보보호컨설팅 기업의 생존이 우선 시 돼 시장을 선도할 수 있는 서비스 제공 인력의 육성 및 양성이 어려운 실정이다.

이에 대해 김형준 안철수연구소 팀장은 “공공기관 등 기준을 필요로 하는 곳 이외에는 정보보호 기술발전을 위해 시장에 맡겨 산업발전을 도모해야 한다”고 밝혔다. 즉 현재의 전문업체들은 전문성 확보에 힘을 기울이는 한편 지식경제부 등의 정부부처는 법제화 정착, 기반시설 추가 지정, 컨설팅 인력 대가 기준에 혼선이 없도록 하는 등의 노력을 기울여야 정보보호컨설팅 시장의 활성화를 꾀할 수 있다는 의견이다.

또한 전일성 에이쓰리시큐리티 이사는 “정보보호컨설팅은 무조건적인 외부의 지원이 있어야 활성화된다기 보다는 업계 자체의 내부 발전도 필요하다”며 “업체 내적으로는 지속적인 방법론과 체크리스트 개발 등을 통한 질적 향상이 필요하다. 또한 일회성 프로젝트의 특성상 단순 종료보다는 지속적인 고객의 니즈 대응이 필요하다. 아울러 무분별한 프리랜서 운용으로 인한 품질 및 고객 신뢰도 저하 방지도 필요하다”고 밝혔다.

시장 확대보다는 질적 향상이 우선 

만약 막강한 자본력을 보유한 삼성, LG 등의 대기업들이 정보보호컨설팅 시장에 진출한다면, 정보보호컨설팅 시장의 확대를 가져올 수는 있을 것이다. 하지만 기존 정보보호컨설팅 시장을 형성하고 있는 전문업체들의 반응은 그러한 긍정적인 측면을 인정하면서도 그로 인한 문제는 결코 간과할 수 없는 결과를 초래할 것이라는 의견이 대부분이다.

이에 대해 김형준 안철수연구소 컨설팅팀 팀장은 “정보보호컨설팅 전문업체는 초기 13개 업체에서 조정을 거쳐 현재 7개로 유지되고 있다”며 “정보보호컨설팅 사업 활성화가 제대로 이루어지지 않은 상태에서 전문업체의 수를 늘리는 것은 이전의 우를 계속 범하게 되는 것 뿐 아니라, 서비스의 질을 저하 시킬 것으로 생각된다”고 말했다.

또한 그는 대기업의 SI사업과 정보보호 분야는 근본적인 큰 차이를 갖고 있고 정보보호 관련 사업, 특히, 정보보호컨설팅과 같은 서비스 사업은 지속적인 투자와 축적된 노하우가 필요한 분야라고 강조했다.

이에 반해 SI(System Integrating)는 말 그대로 여러 요소를 통합함으로써 가치를 찾는 사업군이다. 이런 관점에서 볼 때 SI업체들이 정보보호컨설팅 라이선스를 확보한다면 지금까지의 정보보호전문업체를 하청업체로 운용할 가능성이 크다는 것이다. 또한 그동안 정보보호컨설팅은 SI Project 내에서도 독립성을 갖고 SI업무를 견제해 왔지만 SI사업의 하청으로 들어가면 정보보호보다는 주 사업자의 사업에 종속될 위험도 있다고 지적했다.

이어서 김 팀장은 “시장규모 측면에서 증대 효과는 환영할 만한 일이지만 정보보호 기술발전에 저해가 될 수 있고 현재의 정보보호컨설팅 시장규모는 전문업체가 집중해야 할 시장이기 때문에 컨설팅 업체의 숫자를 키우기 보다는 현 업체들을 강화시키는 방안을 강구해야 한다”고 덧붙였다.

이에 대해 이수영 인포섹 이사는 “경쟁이 치열하고 규모가 작은 정보보호컨설팅 시장에 막강한 자금력을 보유한 대기업이 진출하는 것은 열정을 갖고 건전하게 시장을 유지해 온 정보보호컨설팅 전문업체를 인위적으로 고사시킬 것이 예상됨으로 부적절하다”고 밝혔다. 즉 현재 정보보호 시장·서비스의 문제는 업체 수가 적은 것이 아니라 불충분한 서비스 수요와 대가로 인해 보안전문인력의 양성 및 육성이 원활하지 않은 악순환이 계속될 것이라는 지적이다.

또한 이수영 이사는 “소규모에 불과한 보안 시장에 대기업이 진출한다는 것은 보안 강화를 위한 컨설팅 서비스 제공이라는 순수한 목적 이외에 컨설팅 결과를 매개로 해 대형 SI솔루션 등 후속 사업 수주를 염두에 둔 포석으로 보인다”고 덧붙였다.

결국 대기업의 보안 시장 진출은 시장의 신규 수요를 선도하거나, 공급을 확대하기 보다는 기존의 보안컨설팅 업체가 잘 육성해 놓은 우수 컨설턴트를 스카우트함으로써 동일한 시장 규모 내에서 서비스 제공업체가 중소 벤처형 컨설팅 업체에서 대기업 중심의 구조로 재편될 것이라는 것. 또한 고객 차원에서도 보안점검과 컨설팅을 컨설팅 전문업체가 독립적으로 함으로써 개발 중심의 SI사업에서 무시되거나 간과되기 쉬운 보안 문제들이 균형 있게 다루어지고 있었는데 대기업의 보안컨설팅 참여는 이러한 견제와 균형이 적절히 이루어지기 어려울 수 있다는 지적이다.

또 전일성 에이쓰리시큐리티 이사는 “단편적으로만 보면 대기업의 진입으로 인해 투자 및 시장의 확대로 보일 수 있지만, 실제는 다르다”며 “종합상사로써의 공룡 기업보다는 정보보호 영역에서도 각 분야별 전문업체가 컨설팅 고유의 기술력을 축적해 전문업체를 육성하는 것이 바람직하다”고 밝혔다.

또한 전 이사는 “대형 SI솔루션과 연계된 정보보호컨설팅은 컨설팅 본연의 자체 목적보다는 전체 SI사업에 종속적 도구로 전락해 공정성을 훼손할 우려가 많다”며 준거성 관점에 기인한 공정한 정보보호컨설팅 본연의 목적이 훼손된다고 지적했다.

한 업계 관계자도 “대기업의 정보보호컨설팅 시장 진출 시 전문인력은 기존 전문업체들의 컨설턴트들로 대처될 것이고 이렇게 되면 기존 정보보호컨설팅 업체들이 맡고 있었던 본연의 업무는 감당할 수 없게 된다”고 지적하며 “정보보호컨설팅은 보안시장의 기초라 할 수 있는데, 단지 보여주기 위해 시장을 확대한다면 향후 그로 인한 결과는 보안시장 전체를 고사시킬 수도 있다”고 강조했다. 

<글 : 월간 정보보호 21c 편집팀(is21@boannews.com)> 

[월간 정보보호21c 통권 제104호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>