• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2008년 정보보호컨설팅 시장 주목할 3가지 2007.12.20

2008년도 정보보호 컨설팅 시장은 급변하는 시장 환경에 얼마나 적절한 전략을 수립하고 노력하느냐에 따라 성장 및 발전으로의 전환점이 되는 한해가 될 것으로 예상한다.


정보보호컨설팅은 초기 기술적 취약점 진단 위주에서 시작해 관리·물리적 관점까지 포함한 종합적인 컨설팅 시장으로 발전해왔다. 이를 체계적으로 지속시키기 위해 종합적인 정보보호 체계를 갖추기 위한 인증컨설팅 시장으로 발전하였으며 최근에는 IT 환경이 웹기반으로 변화함에 따라 각종 응용프로그램에 대한 취약점 진단과 개인정보 및 내부정보 유출방지 등의 테마에 정보보호 컨설팅 시장의 초점이 맞춰지고 있다. 


신규 IT 서비스 구축을 위한 SI사업 등에서 정보보호 대책이 초기부터 고려되고 있다는 점과 대기업에서 각 계열사별로 대응하던 정보보호 관련 정책이 그룹사 전체 관점으로 이동하고 있다는 점 또한 주목할 만한 변화이다. 이렇듯 정보보호에 대한 요구사항 및 환경이 변화함에 따라 2008년도 컨설팅 시장은 크게 아래의 3가지 항목에 주목할 필요가 있다. 


<한재호 에이쓰리시큐리티컨설팅 대표> ⓒ보안뉴스

정보보호 관련 컴플라이언스(Compliance)

 

2003년도부터 시작되어 2년에 한번, 해마다 약식으로 진행되어 온 주요정보통신기반시설에 대한 취약점 진단이 2008년도부터 매년 수행하는 것으로 최근 법안 수정이 이루어졌다.


2005년도부터 시작된 정보보호 안전진단도 이제는 미진한 부분이 조금 남아있긴 하지만 정착단계에 들어섰다고 볼 수 있고 향후 그 대상 업체를 점진적으로 늘리겠다는 정책이 계획되어지고 있다. 업종별 규제사항에 대응하기 위한 정보보호 컨설팅도 지속적으로 수요가 생길 것으로 생각되는데 특히 주목해야 할 사항은 솔루션에 대한 CC(Common Criteria) 인증 및 SOX, Basel II 등 국제 사회에서 통용되는 제도를 국내에 적용함에 따라 관련 컨설팅 시장도 점차 확대될 것으로 예상된다. 


2007년도에는 일부 기업에서 관련 협력업체에 대해 일정 수준 이상의 정보보호 수준을 요구하고 있어 정보보호 인증 수요가 증가하였다. 이는 기업 간 거래에 있어서 서로의 정보를 안전하게 취급할 수 있는 내부적인 보호 장치를 갖추는 것이 향후 상호 거래의 조건으로 등장할 것임을 단적으로 보여주는 예라 할 수 있다. 아직은 가시화되고 있지는 않지만 세계 무역시장에서의 우루과이 라운드와 같이 정보보호 시장에서도 국제적인 규제인 정보보호 라운드(가칭)가 현실화될 수도 있을 것이다. 따라서 이러한 정보보호 관련 국내/국제 제도 및 규제 등으로 인한 정보보호 컨설팅 시장은 점진적으로 증가할 것으로 예상된다.


개인정보보호 및 내부정보 유출방지

 

올해 통과될 것으로 예상했던 개인정보보호 관련된 법안이 연내 처리되지 못하고 다음 회기로 넘어가긴 했지만 계속되는 개인정보유출 사고와 함께 개인정보보호에 대한 일반인의 관심 증가에 따라 곧 법제화될 것으로 기대되고 있다.


따라서 개인정보를 수집하고 활용하는 모든 기업에서는 관심을 갖지 않을 수 없게 될 것이다. 발 빠른 기업들은 2007년도 초반부터 고객정보보호 수준진단 및 관리체계 수립 및 시스템화를 진행하고 있다.


개인정보를 이용하여 영업활동을 하는 기업이 대부분이라고 볼 수 있으며 이에 따라 기업 내부정보 및 개인정보의 유출은 기업의 손해배상 책임 및 이미지 실추 등 영업활동에 악영향을 미칠 수 있다.


개인정보보호와 내부정보 유출방지 대책은 시스템 위주의 점검 등의 관점으로 보아서는 안 되며 관련 정보의 라이프사이클(Life-cycle) 전반에 걸쳐 관리·물리·기술적 관점으로 접근 하는 종합적인 시작으로 이뤄져야 할 것이며 이에 대한 컨설팅 수요도 점진적으로 증가할 것으로 예상된다.


기업문화로서의 정보보호

 

 ‘시스템 및 네트워크 등과 관련된 기술적인 대책 구현으로 가능한 정보보호 방안은 알겠지만 관리적인 부분, 특히 직원들로 인한 정보의 유출을 막을 수 있는 효율적인 기술·관리적 방안에는 어떤 것이 있는가’라는 질문을 흔히 하는 고객들이 있다.


훌륭한 변화관리 없이 조직의 구성원을 통제한다는 것이 쉽지 않다는 것을 고려할 때 정보보호 구현을 좀 더 수월하게 하기 위해서는 보상과 제재라는 양자를 적절히 사용해야 하며 정보보호의 생활화를 하나의 문화로 정착을 시켜나가는 것이 바람직할 것이다. 일례로 삼성전자에서 실시하고 있는 ‘세티켓(Security+Etiquette)┖ 운동도 정보보호 활동을 하나의 기업문화로 정착시키기 위한 하나의 방법이라고 할 수 있다.


향후 정보보호 컨설팅에 대한 고객들의 요구사항이 다양해지고 복잡해짐에 따라 단순한 취약점 진단 컨설팅에서 더 나아가 조직의 문화에 잘 조화된 창의적인 대책을 제시하고 효과적으로 함께 구현해나갈 수 있는 한층 발전된 형태의 컨설팅으로 진화될 것이라 예상된다.

[글·에이쓰리시큐리티컨설팅 한재호 대표이사]

 

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>