「정보보호의 알파에서 오메가까지.」
보안컨설팅 시장에 봄기운이 완연하다. 전통적인 소프트웨어(SW) 위주의 보안제품에 이어 최근 기업 보안체계 점검에서 시스템 사양, 솔루션까지 종합적으로 제공하는 보안컨설팅 분야가 대표적인 효자 상품으로 떠오르고 있다.
이는 잇따른 무단 해킹사고로 비상이 걸린 일반기업이나 인터넷업체가 보안 점검이나 시스템 구축을 위해 컨설팅분야에 투자를 서두르기 때문이다. 금융권을 중심으로 수요가 일기 시작한 이같은 분위기는 점차 공공기관이나 일반 기업체로 빠르게 확산되고 있다.
정보보호는 시스템의 신뢰성을 확보하고 인터넷 비즈니스 환경을 조성하기 위한 최우선 과제다. 이를 위해서는 물론 네트워크 보안에서 기업 내부자료 유출을 방지하기 위한 관리보안까지 종합적인 대책이 필요하다. 보안컨설팅이 각광받는 이유도 이같은 기업 요구와 맞아떨어지기 때문이다.
보안컨설팅은 업체마다 다소 차이가 있지만 대부분 보안 기본정책 수립, 위험 진단과 분석, 취약점 진단, 평가와 세부 보안정책 수립, 보안대책 수립, 보안 관리 순으로 이뤄진다. 여기에 보안교육이 포함돼 컨설팅이 실질적인 힘을 발휘하게 된다.
펜타시큐리티 이성만 소장은 『사이버 증권거래, 인터넷뱅킹 등 증권과 금융기관을 중심으로 각종 인터넷서비스 개발이 활발하고 그동안 보안에 무신경했던 일반기업에서도 개인정보 유출이나 해킹 방지를 위해 보안분야에 투자를 크게 늘리고 있다』고 배경 설명했다.
정부에서도 컨설팅의 중요성을 인식하고 「정보보호 컨설팅 포럼」 설립을 추진중이다. 포럼 창립은 최근 정보보호 산업이 방화벽, 침입탐지시스템 등 단순 제품판매에서 보안컨설팅, 보안 관리 등 서비스 중심으로 발전하는 추세에 따른 것이라는 정부측 설명이다. 정부는 보안서비스를 체계적으로 발전시키기 위해 다양한 제도와 방안을 마련중이며 이번 컨설팅 포럼을 통해 업계 의견을 폭넓게 수렴할 예정이다.
사실 인터넷은 기본적으로 공개된 프로토콜에 기반하기 때문에 전자상거래를 비롯해 인터넷에서 제공되는 모든 서비스는 정보 보호와 밀접한 관계를 가질 수밖에 없다. 기업은 회사 수준에 맞는 보안 솔루션이 필요하며 이를 위해서는 컨설팅을 반드시 거쳐야 한다. 하지만 지금까지 컨설팅은 단순히 제품 공급을 위한 부수적인 서비스라는 인식이 강했다. 최근 불법해킹으로 치명적인 피해를 입는 인터넷기업이 늘어나면서 이같은 고정관념이 무너지고 있는 것이다.
펜타시큐리티·시큐어소프트·인젠·소프트포럼 등 주요 보안 솔루션 업체는 보안컨설팅 사업부를 대폭 강화하고 시장경쟁에 나서고 있다. 또 A3시큐리티컨설팅·에스큐브·시큐아이닷컴·사이젠텍 등 보안 컨설팅 전문업체도 독자적인 상품을 개발하고 진검승부를 벼르는 상황이다.
펜타시큐리티는 위험분석·대책·관리방안·교육을 체계적으로 표준화한 보안 컨설팅 패키지 「큐빅」을 선보이고 금융권, 정부기관, 제조업체를 대상으로 컨설팅 사업을 제공하고 있다. A3시큐리티도 최근 컨설팅 의뢰 건수가 예상외로 급증하자 미국에서 2명의 전문 컨설턴트를 영입하는 등 컨설팅 인원을 13명으로 늘렸다. 미국 보안 컨설팅 전문업체 STG도 CJ드림소프트·콤텍시스템과 합작으로 「STG시큐리티」설립하고 국내 보안컨설팅 시장에 진출했다. 이외에 시큐어소프트·인젠·시큐아이닷컴· 단암데이타시스템· 세넥스테크놀로지도 보안컨설팅 분야를 크게 강화하고 있어 시장을 둘러싼 업체간 경쟁은 더욱 치열해질 전망이다.
전문가들은 지금은 보안 솔루션과 컨설팅업체의 경계가 크지 않지만 점차 전문업체 중심으로 재편될 것으로 내다본다. 이는 보안 컨설팅 분야의 특수성에서 연유한다.
보안 솔루션을 기업환경에 적용하고 운영하는 일은 상당한 수준의 보안 전문지식이 필요하다. 또 전문가 수준에서 네트워크 점검과 이에 맞는 컨설팅이 이뤄져야 시행 착오를 최소화할 수 있다. 한마디로 믿을 만한 전문가가 나서야 한다는 얘기다. 대표적인 분야로 폭넓은 노하우와 기술이 필요한 공개키 기반(PKI) 시스템을 들 수 있다. 사업부 형태의 보안 컨설팅 업무를 맡고 있는 시스템통합(SI)이나 보안솔루션 업체가 전문 컨설팅업체에 밀리는 이유도 여기에 있다.
업체에서는 올해 솔루션을 제외한 순수 보안컨설팅 시장규모만 90억∼100억원 선에 달하고 오는 2005년까지 매년 20∼30%씩 성장할 것으로 관측했다.
◇보안컨설팅이란=보안컨설팅은 기업의 정보보안 상태를 종합적으로 진단해주고 필요한 보안 시스템을 구축해주는 사업이다. 기업 특성에 맞는 시스템 진단과 구축에서 정책 수립, 교육과 정기 검진까지 전체 보안 업무를 종합적으로 관리해준다. 여기에는 단순한 보안 점검뿐만 아니라 각종 보안사고에 대비해 정기적으로 시스템을 점검하고 사고가 발생했을 때 이를 분석, 추적하는 업무도 포함된다. 지난해 등장한 보안컨설팅 사업은 올해가 원년이라 불릴 정도로 정보보호의 대표적인 분야로 떠오르고 있다. 금융권을 중심으로 형성되기 시작한 보안컨설팅 시장은 점차 공공기관이나 기업으로 빠르게 수요를 넓혀가고 있다. 전문가들은 보안컨설팅은 정보보호의 시작이자 끝이라며 이를 전담하는 전문 컨설턴트가 등장할 정도로 비중 있는 분야로 자리잡을 것이라 분석한다.
인터뷰/인젠 임병동 사장
인젠(http://www.inzen.com)은 해커 출신 연구원이 다수 포진하고 있는 보안 솔루션업체다. 방화벽에서 침입탐지와 서버보안 시스템까지 다양한 제품군을 가지고 있다. 하지만 인젠이 내세우는 주력 무기는 보안컨설팅이다.
인젠 임병동 사장은 보안컨설팅 분야는 국내에서 최초이자 최고라는 자부심을 가지고 있다.
『인젠은 초창기부터 보안컨설팅 비즈니스를 주요사업으로 추진해왔습니다. 공공기관과 금융기관을 중심으로 빠르게 인젠이라는 이미지를 심어준 데는 보안컨설팅이 한몫을 했습니다. 지금도 이 분야는 어떤 업체와 비교해도 뒤떨어지지 않는다고 생각합니다.』
인젠이 제공하는 보안컨설팅은 보안점검과 문제해결에서 보안정책 수립까지를 지원하는 점이 특징이다. 전산시스템에 대한 전반적인 분석과 보안체계 수립을 위한 「보안정책 컨설팅」과 보안문제의 실질적인 점검과 해결이 주목적인 「기술 컨설팅」으로 구성돼 있다.
이 가운데 보안정책컨설팅은 정보자원 분석, 위험분석, 보안목적 정의 등을 지원하는 정보보호 현황 분석이 우선적으로 수행된다. 이를 통해 네트워크·시스템·운영조직·실행과 같은 보안정책을 수립하고 최종적으로 내부 보안성 향상을 위한 방향과 대안을 도출한다.
인젠의 보안기술 컨설팅은 일명 「타이거팀 컨설팅」으로도 불린다. 이는 보안컨설팅 서비스 가운데 모의해킹을 통해 해당 전산시스템의 취약성을 분석하는 특화된 솔루션이다.
『보안기술 컨설팅은 시스템 운용체계를 통해 제공하는 서비스로 네트워크 환경과 연계한 수준 높은 서비스가 가능합니다. 그만큼 시스템의 취약한 요소를 빠르고 정확하게 발견할 수 있는 셈이지요.』
임병동 사장은 컨설팅 초기 시장에서 이미 시스템 우수성을 인정받아 비씨카드·SK텔레콤·부산은행 등 컨설팅 사업을 성공리에 완수했다며 그의 말을 뒷받침했다.
그가 바라보는 보안컨설팅 시장도 당연히 낙관적이다.
『보안컨설팅 시장은 침입탐지시스템, PKI솔루션과 함께 가장 유망한 분야로 떠오를 것입니다. 정보 기술산업은 사실 수준 높은 컨설팅에서 시작합니다. 국내에서는 컨설팅 분야가 아직 확고하게 자리잡지 못하고 있지만 대부분의 선진국은 다릅니다. 특히 디지털 금융과 전자상거래 인프라 구축이 가속화할수록 국내에서도 보안컨설팅 수요가 크게 늘어날 것입니다.』
임병동 사장은 솔루션 시장은 점차 통합화되는 추세로 컨설팅 시장은 점차 부가가치가 높은 분야 위주로 신규시장을 창출할 것이라고 시장전망을 설명했다. <강병준기자 bjkang@etnews.co.kr>