Q. 모의해킹을 필요로 하는 기관이나 기업은 주로 이용하는 컨설팅 전문업체에 그 작업을 의뢰하여 진행한다. 모의해킹이나 컨설팅은 정보자산에 대한 보안성을 보장하고, 보안성을 향상시키기 위해 아주 중요한 일종의 보안감사 업무라고 할 수 있다. 그러나 최근 원자력 발전소 등의 사례를 보면, 동일한 기업에서 지속적으로 보안감사를 수행하여 부실한 관리체계가 지속되는 경우가 있었다. 이와 같이 동일한 업체에 동일한 작업을 계속 의뢰할 경우 모의해킹 및 컨설팅 결과의 신뢰성과 효과가 낮아지는 결과를 초래할 수 있다. 이러한 문제를 예방하기 위한 동일 기업의 컨설팅 연속 수행 여부 점검 및 컨설팅 인력에 대한 검증 등의 제도가 준비되고 있는지 궁금하다.

A. 동일업체와 동일 작업을 계속한다고 해서 문제가 생긴다고는 보지 않는다. 다만, 역기능이 발생할 확률은 조금 높아질 것이다. 매년 다른 업체가 다른 작업을 한다고 하면 업무연속성 측면에서 매년 다른 시각과 다른 효과가 나타나 일관성이 없을 수 있다. 또한, 새로운 업체가 새로운 업무를 파악하고 컨설팅하기가 쉽지도 않을 것이다. 따라서 매년 업체를 바꾸는 것은 비효율적으로 보이며, 내부 상위부서나 내부감사 등에서 동일업체 동일 컨설팅을 감시할 수 있는 조직을 활용하는 방안도 있다. 주기는 3년에 한번 정도 다른 업체로 변경하여 새로운 시각으로 컨설팅이나 취약점을 발견해 보는 것도 좋을 것으로 보인다.

(전주현 보안인닷컴 대표/sis@sis.pe.kr)

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>