◆임병동 인젠 대표이사 bdlim@inzen.com
국내 보안산업이 본격적으로 열리기 시작한 것은 인터넷의 급속한 확산과 더불어 해킹에 대한 위협도 알려지기 시작한 90년대 말부터다. 2000년도 초에 발생한 미국 야후와 이베이의 해킹사고는 인터넷을 기반으로 사업을 하고 있는 기업들에게 보안은 선택사항이 아니라 사업을 영위하기 위한 필수요소로 인식되는 계기가 됐다. 이로 인해 방화벽에서 시작해 침입탐지시스템, 암호화, 가상사설망, PC보안 제품 등 다양한 보안솔루션들이 시장에서 주목을 받기 시작했다.
모든 IT산업의 추세가 그러하듯이 보안산업 분야도 결국 통합화와 서비스화라는 추세로 갈 수밖에 없다고 생각한다. 최근의 경향을 보면 단품 솔루션의 개별적인 구축만으로는 보안성을 기대수준 이상으로 올리기에는 한계를 나타낸다. 따라서 통합보안관리(ESM), 통합인증권한관리(EAM), 컨설팅서비스, 보안관제서비스 등과 같은 통합화·서비스화 영역의 보안 시장이 독자적인 영역으로 자리를 잡아가고 있다.
보안분야의 통합화·서비스화에서 빼놓을 수 없는 것은 보안 전문업체를 통한 IT 보안분야의 아웃소싱 서비스다. 물론 보안분야의 아웃소싱은 일반 IT 아웃소싱의 연장선이라고 보면 된다.
IT 아웃소싱은 기존 전산실 업무를 전문서비스 업체에 위탁함으로써 기업의 핵심역량을 경쟁부문에 매진할 수 있도록 하는 것이다. 해외의 경우 미국은 이미 성숙기에 들어섰고 일본과 호주는 성장기다. 유럽은 특유한 보수적 분위기로 그리 활성화되지 않았다. 우리나라는 외환위기 이후 잠깐 반짝하다가 경제여건이 좋아지면서 시장이 위축돼 여전히 도입기 수준에 머물러 있다.
IT 아웃소싱 분야의 추세가 이러하니 기업 입장에서는 다른 IT분야와 다르게 당장 수익으로 전환되기 어려운 보안분야의 아웃소싱 서비스를 더욱 꺼리게 된다. IT보안 분야의 대표적인 아웃소싱 서비스로는 보안관제서비스가 있다. 2000년 초 국내에 보안관제 전문 서비스업체가 생겨나기 시작하고 현재 만 3년째를 맞이하고 있지만 예상했던 만큼의 시장규모 확대가 되고 있지 않은 듯하다.
가장 큰 이유는 보안의 필요성에 대한 인식부족으로 기업의 인색한 IT 보안 투자 현실을 이유로 꼽을 수 있겠지만 또 다른 측면에서는 일반 기업에서 외부인력에 비용을 지불하고 전문서비스를 제공받는 아웃소싱의 활용에 익숙하지 않다는 점이다.
‘무어의 법칙’이라는 것이 있다. 8개월마다 컴퓨터의 용량은 두 배가 되고, 가격은 멈추거나 떨어진다는 것이다. 실제로 1년만 지나면 컴퓨터는 구형이 돼버린다. 최상의 운영환경을 유지하기 위해서는 컴퓨터는 사용개념이지 더 이상 소유개념이 아니다. IT 전반을 고려했을 때도 마찬가지다.
급변하는 IT환경에 능동적으로 대처하기 위해서는 자체적인 인력과 조직을 소유해 관련 유지비용을 지불하면서 IT환경을 운영·관리하는 것보다 해당 분야에 전문적인 역량을 가진 업체를 잘 활용하는 것이 훨씬 효율적이고 효과적이다. 나아가 전문 아웃소싱을 잘 활용하는 기업이 이를 통해 궁극적인 경쟁력을 확보하게 될 것이라고 믿는다.
따라서 기업은 IT 보안분야의 아웃소싱 서비스에 대해 전향적으로 검토할 필요성이 있다. 보안분야의 특성상 내부정보를 외부에 개방하는 위험에 대한 부담이 크다면 SLA(Service Level Agreement)와 같은 서비스 수준을 체계적으로 측정해 적절한 비용모델을 제시는 방식을 통해서나 법적·제도적인 안전장치를 마련해 보완할 수 있을 것이다.
다시 한번 강조하지만 보안이란 단품 솔루션 몇가지 구축만으로 달성할 수 있는 성질의 것이 아니다. 따라서 기업에서는 구축된 보안솔루션을 효과적으로 운영 및 관리할 수 있는 전문 보안서비스 업체를 물색해야 한다. 이는 최적의 비용으로 보안의 효과를 극대화하는 방안으로 이어져 궁극적으로 기업경쟁력 제고를 가져올 것이다.