각종 사고, 주요 정보통신기반시설 확대로 전문업체·인력 수요 증가

[보안뉴스 김태형] 지난해 연이어 발생한 사이버테러로 정부는 국가 주요시설에 대한 보호조치를 강화할 예정이다. 이를 위해 주요 정보통신기반시설을 현 209개에서 2017년까지 400개로 확대한다는 계획을 발표했다.

이처럼 정부가 주요정보통신기반시설을 대폭 확대하면서 올해 정보보안 컨설팅 수요도 크게 늘어날 것으로 보인다. 더욱이 최근 카드 정보유출 사태로 금융권을 비롯한 개인정보 보유기관의 컨설팅 요청 또한 급증할 것으로 예상된다. 정부는 보안 컨설팅의 수요 확대에 대비해 전문 업체 및 전문인력 확보에 나섰다.

특히 정부는 지난해 전문업체 및 인력 확대를 위해 11년 만에 정보보안 컨설팅 전문 업체를 확대해 신규로 전문업체를 지정하기로 했다. 이 때문에 올해 정보보안 컨설팅 시장에서 각 업체들의 경쟁은 더욱 치열해질 것으로 전망된다.

업계는 지난해 공공시장을 중심으로 정보보안 컨설팅 수요가 늘어나면서 전체적으로 약 1,200억원 규모의 시장이 형성됐으며, 업체별 차이를 감안하더라도 지난해 매출은 2012년 대비 약 15~20% 성장한 것으로 잠정 집계되고 있다.

하지만 앞서 밝힌 바와 같이 올해는 주요 정보통신기반시설 확대와 신규 전문업체 지정, 카드사 정보유출 등의 이슈로 공공과 민간 부문에서 보안 컨설팅 수요가 크게 늘어나면서 시장이 활성화될 것으로 예측되고 있다. 이에 따라 향후 2~3년 내에는 지난해 전체 매출의 2배 이상 성장을 기대하고 있는 상황이다.  

이와 관련 정보보안 컨설팅 전문기업 인포섹은 지난해에는 2012년 대비 약 15% 이상의 매출 성장을 달성했다고 밝혔다. 특히 금융권 보안 컨설팅 분야에서 매출이 50% 이상 크게 늘어 실적 상승의 주 요인이었다는 것.

인포섹 관계자는 “2013년 7월 금융권 보안종합대책 발표 이후, 금융 분야를 중심으로 컨설팅, ISMS/PIMS 인증 취득 등의 컨설팅 서비스 수요가 크게 증가했다. 올해도 금융권의 컨설팅 수요 증가와 함께 개인정보 유출사고 시 과징금 부과, 개인정보 인증제도(PIPL) 시행 등 강화된 컴플라이언스 이슈에 대응하기 위한 민간 기업의 수요도 증가할 것으로 예상된다”고 설명했다.

아울러 그는 “올해 정보보안 컨설팅 전문업체의 신규 지정과 관련해서는 보안 컨설팅 서비스를 제공하는 공급자가 확대되는 것은 업계 발전을 위해서 바람직하지만 업체가 늘어남에 따라 발생할 수 있는 서비스 품질 저하 방지를 위한 지속적인 모니터링과 개선 활동이 필요하다”라고 덧붙였다.

또한 에이쓰리시큐리티는 2012년 대비 2013년 정보보안 컨설팅 사업부문 매출은 약 16% 가량 성장했다고 밝혔다. 에이쓰리시큐리티 관계자는 “지난해 정보보안 컨설팅은 금융 분야에서 많은 성과를 올렸다. 이는 지난해 초 사이버테러와 이로 인한 금융회사 보안강화 대책, 전자금융 감독규정 등 컴플라이언스 이슈가 발생한데 기인한다”고 밝혔다.

이어서 그는 “최근의 카드사 개인정보 유출사고 등으로 인한 감독기관의 금융 보안 강화 움직임에 따라 올해 정보보안 컨설팅 시장은 지난해 보다 수요가 더욱 증가해 시장이 확대될 것으로 전망하고 있다”고 말했다.

정보보안 컨설팅 전문업체 신규 지정과 관련해 에이쓰리시큐리티는 일부 평가항목에 대해 수정을 요구했지만 정부에서 이를 받아들이지 않았다고 밝혔다.

특히 에이쓰리시큐리티는 전문업체 지정 등에 관한 고시 개정안에 대해 ‘경험’ 평가항목 중 최근 3년간 컨설팅 수행실적과 관련해서 정량적인 실적 평가기준도 함께 하향 조정됐다는 점에 대해서는 우려를 나타났다. 이는 단순히 지식정보보안 컨설팅 전문 업체 요건을 충족 및 유지하기 위한 기준으로 전락할 수 있어 기반시설 취약점 분석평가, 침해사고 대응 등의 실질적인 역할을 수행할 수 없는 기업이 전문업체로 지정될 가능성이 있다는 것.

이에 대해 미래부는 소규모 컨설팅 기업의 시장 진입을 위해 컨설팅 수행 실적을 완화했다고 말했다.

또 ‘전문화 정도’ 평가항목 중 ‘중급 이상의 기술인력 비율’과 관련해서는 컨설팅 전문인력이 부족한 상황에서 대학졸업자, 청년실업자 등 초급인력 채용을 통한 전문인력 양성 노력을 저하시킬 수 있다는 것. 여기에다 전문업체는 중급 인력 이상 경력자 위주의 채용을 선호하고 있어 전문업체 간의 경력자 빼가기 현상으로 시장질서가 혼탁해질 수 있기 때문에 반대의 의견을 제시했다.

이와 관련해 미래부는 주요 정보통신기반시설의 취약점 분석·평가 업무를 수행하는 기술인력(최소 10명)중 60% 이상을 중급 이상 인력으로 구성 및 관리하도록 유도하기 위한 것이라고 밝혔다.

안랩 관계자는 “전체적인 정보보안 컨설팅 시장은 지속적인 보안사고와 컴플라이언스 이슈로 인해서 많이 확대될 것으로 판단하고 있다. 특히 취약점 점검이나 ISMS 인증, 금감위 규정에 따른 컨설팅 등 기존 컨설팅도 커질 것으로 보인다”면서 “이와 더불어 최근 고객의 관심이 높아지고 있는 내부통제와 APT 대응 컨설팅 등과 같은 신규 시장도 의미 있는 성장을 할 것으로 예상된다. 다만 보안 컨설팅 업체의 난립으로 경쟁은 더욱 심화될 것으로 보인다”라고 밝혔다.

또한 그는 “올해 정보보안 컨설팅 전문업체의 신규 지정이 추진되는데, 이는 국가 주요기반시설도 늘어나는 등의 여건 변화로 인해 보다 많은 업체들이 제도권 안에서 기반시설 보안을 수행하는 것은 바람직하다”면서도 “반면에 전문업체들은 국가의 중요한 정보자산들을 다루고 책임져야 하기에 컨설턴트 및 업체의 역량 강화, 그리고 높은 신뢰도와 고품질의 서비스 제공 등에 집중해야 한다”고 덧붙였다.

이를 위해서는 양질의 보안 컨설턴트들을 육성할 수 있도록 유관기관에서 지원하는 것이 우선되어야 하며 신뢰할 수 있는 업체나 라이선스 확보만을 목적으로 하지 않는 업체를 구분해 전문업체로 선정하고 관리하는 것도 중요하다는 게 안랩 측의 설명이다. 또한, 저가 경쟁에 따른 품질 저하를 막기 위한 적절한 가이드도 필요하다고 덧붙였다.

한편, 올해 3월 정보보안 컨설팅 전문업체 신규 지정과 관련해 미래부는 지난해 12월 신규 지정업체 신청 접수를 마감했다. 이번에 신규 지정을 신청한 업체는 윈스테크넷, 이글루시큐리티, KCC시큐리티 등 보안기업 20여개인 것으로 알려졌다.

미래부는 지난해 연이어 발생한 보안사고에 따른 주요 정보통신기반시설의 확대와 보안 강화, 그리고 공공기관의 보안 컨설팅 수요가 증가하면서 보안업계가 이번 신규 지정에 많은 관심을 보이고 있다고 밝혔다.

특히 전문업체 지정과 관련해서는 3년마다 자격요건을 재심사해 수준 미달 업체를 걸러냄으로써 높은 신뢰도와 수준을 보유한 정보보안 컨설팅 서비스를 제공하도록 할 방침이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>