• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

비슷비슷한 정보보호 컨설팅 자기색깔 필요하다 2005.09.28

 비슷비슷한 정보보호 컨설팅 자기색깔 필요하다


[시장]지난해 말 국정원이 CCRA(Common Criteria Recognition Arrangement) 가입 신청서를 제출했다는 소식이 전해지면서 국내 보안 솔루션 업체들의 위기감은 상당히 고조돼 있다.  외산업체들과의 전면전이 불과 1~2년 앞으로 다가와 있기 때문이다. 그러나 위기는 곧 기회라는 말처럼 CCRA 가입자체를 긍정적으로 간주하는 국내 업체 전문가들도 있다. 외산 솔루션들의 등장으로 자연스러운 경쟁구도로 시장확대가 기대되기 때문이다. 이런 의미에서 본다면 CCRA 영향을 거의 받지 않을 것이라는 보안 서비스 분야가 반드시 유리한 것만은 아니다. 특히, 상품과 방법론에서 큰 변화를 보이지 않는 컨설팅 분야에서는 더욱 그러하다. 

                                        

                                                          취재 임 재 우 기자


지난 1997년 모의 해킹을 시작으로, 그리고 2001년 주요정보통신기반시설 취약점 점검으로 전환기를 맞은 이후, 컨설팅 시장은 2004년 약 300억원 규모로까지 성장해 왔다. 타 정보보호 분야에 비해 그리 큰 규모라고 볼 수는 없지만, 반대로 경영진에게 어필하기 가장 어려운 무형의 서비스라는 점에서 결코 작은 시장규모라고 생각할 수도 없는 수치다. 또한 내년부터 주요 IDC나 ISP, 대형 e-비즈니스 업체들을 대상으로 시행되는 안전진단 제도까지 합치면 안정적인 성장도 어렵지 않게 기대해 볼 수 있다.

그런데 한 껍질 벗겨보면 마냥 편하고 안정적인 성장을 보장하지도 않는 것이 정보보호 컨설팅일 수도 있다.


굴곡의 컨설팅 史


침입차단 시스템을 필두로 정보보호 솔루션 시장이 막 형성되던 1997년, 정보보호에 대한 필요성을 인식시키기 위해 시작한 모의해킹이 국내 정보보호의 모태로 알려져 있다. 당시만 해도 정보보호 컨설팅은 큰 사업이라기보다 솔루션 판매를 위한 사전단계인 ‘무료 서비스’에 가까웠다. 이런 전례는 정보보호 컨설팅을 본격적인 사업 아이템으로 자리 잡게 한 정보통신기반보호법과 정보보호전문업체 지정제도 이전까지 지속됐다.

 

2년에 한번 약 90여개의 정보통신 주요기반시설에 대한 취약점 점검 서비스를 실시한다는 기반보호법 제정과 이를 진단할 수 있는 업체를 지정하는 전문업체 제도는 정보보호 컨설팅이 ‘돈이 될 만한 사업’이라는 사실을 입증하는 보증수표와 같았다. 그러나 그리 크지 않은 기반시설 시장에 최저입찰제가 적용됨에 따라, 합당한 수주금액을 받지 못하는 전형적인 악순환 구조를 보임으로써 업체들의 기대를 충족시키고 있진 못하고 있는 실정이다.

 

엎친 데 덮친 격으로 지난 2003년에는 기반보호법이 적용되는 시설 중 가장 큰 부문으로 여겼던 금융권 취약점 점검 시장을 금융 ISAC이 파고들면서 컨설팅 업계는 더욱 궁지에 몰리기도 했다. 이와 달리, 2002년과 2003년 한때 대기업과 정부 주요기관을 대상으로 정보보호 종합 컨설팅이 한동안 호응을 받기도 했지만 레퍼런스 확보를 위한 저가공세가 판을 치면서 비싼 몸값의 컨설턴트를 보유한 업체들에게는 그 유지비용조차도 만만치 않았다.

 

물론 지난 2004년 정부가 안전진단제도 시행을 공표함으로써 숨통이 트일 것 같은 컨설팅 시장이지만, 이마저 진단대상 기업들의 집단반발로 진단대상 기업 축소와 진단비용의 하락은 불가피해 취약점 점검 시장의 전철을 밟을 것이라는 예상이 지배적이다. 어쩌면 2004년 정보보호 컨설팅 시장 역시, 시장 확대라는 과제를 해결하지 못한 채 새로운 한해를 맞이하고 있다고도 볼 수 있다. 그렇다면 이런 시장 확대의 어려움은 어디에서 비롯되는 것일까.


컨설팅 상품과 방법, 비슷비슷하다


물건을 파는 사업이 안정적인 시장구조를 가지기 위해서 확고한 소비층이 전제되어야 한다. 또 이런 소비자를 만족시킬 수 있는 업그레이드된 제품의 재생산 여부도 필수조건이다. 컨설팅을 일반적인 상품에 비교하는 것이 무리일 수도 있지만, 상품을 지속적으로 팔아야 한다는 점에서 크게 다르진 않다. 이런 의미에서 만약 컨설팅 업계가 당면한 최대 과제가 시장 확대와 업계의 고질적인 저가수주의 문제라고 한다면, 결국 컨설팅 상품을 통한 수요창출과 업그레이드된 컨설팅 재생산이 가능한가라는 질문과 동일하다고 볼 수 있다.

 

이 궁금증을 해소할 수 있는 단적인 부분은 컨설팅에 대한 사용자들의 평가로, 대부분은 ‘비슷비슷하다’는데 의견을 모은다. 특히, 정보보호 컨설팅을 처음 받았을 때와 두 번째 받았을 때, 심지어는 A업체에서 받은 결과와 B업체에서 받은 결과물이 큰 차이가 없다고 말하는 관리자들도 적지 않다. 지난 2003년 취약점 점검 서비스에 대해 금융 ISAC이 전면적으로 도전장을 내밀 수 있었던 계기도 유사한 정보보호 컨설팅 상품과 방법론이 일조했다고 볼 수 있다.

 

이런 상황이 컨설팅 시장 확대와 성장의 걸림돌로 작용하는 것은 불을 보듯 뻔한 일이다. 그렇다면 정보보호 전문업체들의 보유한 상품들을 잠시 살펴볼 필요가 있다. 아래표에서 볼 수 있듯, 정보보호전문업체들의 정보보호 컨설팅 상품은 매우 유사한 구조를 가지고 있다.

 

정보보호 마스터플랜을 수립하는 종합 컨설팅을 중심으로, BS7799와 KISA 정보보호 관리체계인증 획득을 위한 인증 컨설팅이 포진해 있으며, 모의 해킹, 취약점 점검, 안전진단, 그리고 보안감사 등으로 구분된다. 그렇다면 이처럼 정보보호 컨설팅 업체들이 유사한 상품을 보유하고 있는 이유는 무엇일까.

대부분의 전문가들은 지금까지 형성돼 왔던 컨설팅 시장의 태생적 한계와 정보보호에 대한 낮은 사용자들의 인식수준 때문이었다고 분석하고 있다.


컨설팅의 법적 보장, 약인가 독인가


“정보보호 컨설팅 시장이 본격적으로 형성된 배경에는 주요기반시설보호법이 일조했고, 이후에도 BS7799나 정보보호관리체계인증에 편승한 인증 컨설팅 그리고 최근의 안전진단까지 법적이거나 그에 준하는 요소가 형성되면서 시장이 이뤄졌다”고 말한 컨설팅 업체 관계자는 컨설팅 상품은 이런 시장의 흐름 속에서 등장했기 때문에 모든 컨설팅 업체가 유사한 상품 모델을 가질 수밖에 없다고 설명한다. 또 솔루션 시장과 달리, 새로운 문제에 대해 사용자들을 설득시키기는 것보다는 그때 그때의 보안 흐름만을 고려하기 때문이라고 지적한다.

 

물론 시장 흐름에 맞춰 상품을 내놓는다는 것 자체가 부정적이라고 볼 수만은 없다. 그렇지만 컨설팅 업체 모두가 전문업체라는 명함을 유지하기 위해 필요한 비용을 결코 크다고 볼 수 없는 취약점 점검 등으로 감당해 내기에는 다소 버거워 보이는 것이 사실이다. 즉, 법적으로 그리고 비교적 낮은 가격이라는 악조건에서 탈피해 보다 수익성 높은 컨설팅으로 업계가 전환해 근본적인 문제를 해결해 나가야 한다는 얘기다.

 

하지만 많은 업체들이 현실적으로 모험보다는 ‘지키는’ 쪽에 더 가깝다. 지난 10월 실시된 정보보호전문업체 재심사와 관련해 ‘특정업체 탈락설’이 끊임없이 제기됐던(결국 한 업체가 탈락의 고배를 마셨지만) 배경도 이와 무관하지 않다.

 

통신망법 개정 당시, 정부의 의도는 주요 시설을 보호하기 위해서 일정 수준의 이상의 업체가 요구되어야 한다는 논리였지만, 현실은 법 때문에 업체가 만들어진 것처럼 본말이 전도돼 버린 결과로 나타나고 있다. 이에 대해 한 컨설팅 전문가는 “컨설팅 업체들이 기업과 IT 그리고 사용자의 요구에 민감하게 반응하지 못했다”이라며, “가장 큰 원인은 네트워크나 시스템과 같은 기술적 능력이 높았던 컨설턴트들이 새로운 변화에 흐름에 적응하지 못하고 있기 때문”이라고 해석했다.

 

결과적으로 한 두 번의 모의해킹이나 기술적 측면의 취약점 점검은 이제 기업 보안 관리자들도 가능해 기존 방식과 변별되는 차별화된 상품이 등장해야 할 시점이라는 지적이며, 실제로 몇몇 업체들을 중심으로 기존 방식과는 다른 정보보호 컨설팅의 방법이 진행되고 있다.


진보하거나 퇴보하거나


눈에 띄는 변화 중 하나로 경영과 정보보호의 결합이다. 지금까지의 정보보호 컨설팅이 시스템 차원의 취약점과 그에 따른 해법제시, 전사적인 시스템 차원의 보안 홀을 찾는 것에 집중돼 있었다. 이에 반해 경영과 정보보호의 결합은 시스템 차원을 탈피해, 기업의 업무 프로세스와 사내 직원들에 대한 관리로 집중되고 있다.

 

비 정보보호전문업체 컨설팅하우스 이경호 사장은 “얼마 전까지만 해도, 기업의 정보보호 수준을 높이는 기술적인 문제에 집중돼 왔던 정보보호 컨설팅이 변화하는 과도기”라며, “최근의 정보보호는 기술에서 프로세스로, 또 프로세스에서 사람에 대한 문제로 이동하면서 조직관리라는 문제로 변화하고 있다고 봐야 한다”며 정보보호가 최근 흐름을 설명했다. 특히, 경영과 정보보호 관계 모색은 IT 관련 부서에서 벗어나 경영진을 대상으로 하기 때문에 업계의 수익성 개선에도 큰 역할을 해낼 수 있다는 것이 그의 주장이다.

 

이외에도 무형의 컨설팅을 시스템화하는 노력도 엿보인다. 위협, 취약점, 조기대응, 평가 등 일반적인 컨설팅 항목이 컨설팅 이후 지속적으로 적용되지 않는다는 점에 착안해, 컨설팅의 결과를 시스템화해 솔루션으로 제공하는 방안이 등장하고 있다. 이비즈텍 컨설팅 사업부 홍기향 부장은 “정보보호 컨설팅의 결과가 보다 효과적으로 적용되기 위해서는 문서위주의 체계가 아닌, 시스템화를 통해 지속적인 관리가 가능하도록 지원하는 것이 필요하다”며 컨설팅과 그 결과에 대한 시스템의 결합이 필요한 시점이라고 주장한다.

 

기존 정보보호전문업체들의 변화도 감지되기도 한다. A3시큐리티컨설팅 방인구 상무는 “최근에는 SI 업체와 컨소시엄을 구성함으로써 IT와 업무 전반에 대한 정보보호 컨설팅이 이뤄지고 있다”라고 설명하고 “향후에는 ‘보안의 독립’에 매달려왔던 정보보호가 IT 전반에 스며들 수 있도록 하는 노력들이 일어날 것”이라며 이런 움직임들이 컨설팅 업계에게는 새로운 돌파구가 될 것이라고 덧붙였다.

 

물론 일부 업체들이 선보이는 방법론이나 상품이 시장에서 어떤 평가를 받을지는 조금 더 지켜봐야 한다. 하지만 기존 틀에서 벗어난 새로운 시도들을 통해 각 컨설팅 업체들이 자기들만의 색깔을 찾아간다는 것은 분명 그 자체로 의미가 있다고 볼 수 있다.


올 해 초 금융결제원을 제외한 공인인증기관은 더 이상의 무료 공인인증서 발급은 어렵다며, 유료화의 대한 정당성에 대해 목소리를 높였다. 하지만 공인인증서 용도가 대부분 인터넷뱅킹 분야에 국한된 국내 상황에서 금융결제원을 제외한 타 인증기관이 얼마나 유료화의 혜택을 받을 수 있을지는 의문이다.

 

이런 의미에서 본다면 정보보호 컨설팅 역시 각 업체들이 자기 색깔을 찾지 못한 채, 법적으로 보장된 시장과 인증체계에만 의존한다면 결코 컨설팅 업계가 바라는 시장 확대나 수익구조 개선은 요원한 문제일 수밖에 없다.              

 

 

 

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>