지난 4월28일에 부산 글로벌IT센터에서 "정보보호관리체계(ISMS)의 이해" 라는 주제로 저녁 오후 7시부터 10시까지 강의를 하였습니다.

강의 공지 링크  -> 여기

아직까지 많은 분들이 관심은 가지고 있으나, 어떠한 내용인지를 잘 모르는 경우가 있으며, 그에 기초하여 조금 쉽게 접근하려고 했습니다.  내용은 다음과 같습니다.


○ 1교시
 - ISMS(정보보호관리체계)란 무엇인가?
 - ISMS(정보보호관리체계)의 연혁
 - ISMS(정보보호관리체계)의 정보보호 정책수립, 범위설정, 위험관리, 구현 및 사후관리

○ 2교시
 - 15개 보호조치기준 살펴보기

○ 3교시
 - ISMS(정보보호관리체계)인증심사준비 요령 및 인증심사원 활동 방법 제시
 - 질의응답


사실, 참석 하신 분들 중에서는 이미 감리를 하시는 분들도 계셨지만 그래도 잘 모르는 부분도 있으리라 생각이 되어 이런저런 이야기로 현재 ISMS 인증심사를 주관하고 있는 한국인터넷진흥원 (KISA) 입장에서 여러가지 인증심사를 하면서 느꼈던 점이나 주의점 등을 이야기 하였습니다.

                                                  <사진 - BITEC 에서 ISMS 강의 모습>

특히 이번에는 <15개 보호조치사항> 에 대한 부분을 자세히 살펴 봄으로 인하여 조금은 세부적인 사항으로 접근 할 수 있다고 볼수 있었습니다.

사실, 지방에서 이러한 강의를 들을 수 있는 기회는 많지 않습니다. 그것도 무료로 말이죠. 자주 이런 기회가 있었으면 좋겠고, 조금 더 질적인 전달을 위하여 강의를 하는 사람 입장으로서는 보다 많은 인증심사와 제도를 이해하고 하여 강의에 참석하시는 분들에게 실질적인 도움을 주는게 바람직 할 것입니다.  하지만 최근엔 먹고 사느라고 인증심사에도 자주 참여 하지 못하다 보니 여러가지 사례가 조금 부족하지 않았나 하는 생각을 합니다. 하지만 매년에 한번이라도 참여는 하고 있으니 그 현장감을 잊지 않으려고 노력하고 있고, 이번 농협과 현대캐피털 같은 사고가 나지 않도록 인증심사원 관점에서 널리 보급하고 인식시키는 자부심으로 활동을 해야 할 것입니다. 

저는 그리고 강의 마지막에 이런 말을 했습니다.

"관리체계라는 것은 보안에만 적용되어 정보보호 관리체계만 있는 것은 아니다. 우리네 인생도 관리체계를 잘 세워 체계적관리하여 지속 가능하게 운영관리하면 그것 역시 인생의 관리체계인 것이다. 하나를 잘 알아서 보안에도 적용하고 인생에도 적용하면 꼭 성공하는 삶을 살수 있은 것이다." 라고.   @엔시스.


Posted by 엔시스





http://www.tpcc.or.kr/contents/ebook/ba_gbk/ba_gbk.html


보안에 관심을 두고 있는 분들이라면 한번쯤 읽어 보면 좋겠지요...보안 컨설팅에 대한 이야기인데..도움이 되실 것입니다. 꼭 한번씩 읽어 보시기 바랍니다.

p.s 위 링크 파일을 다시 pdf 로 전환한 파일을 같이 첨부합니다. 많은 도움이 되실듯 합니다.. 감사합니다..





Posted by 엔시스


 

인포섹 홍진기 이사님의 KISA 기고문입니다...정보보호 컨설팅을 준비하시는 분들이나

정보보호 컨설턴트들이 한번쯤 읽어 보시면 좋은 내용인거 같습니다...

  출처: http://blog.naver.com/navhjk?Redirect=Log&logNo=100038354158
 


Posted by 엔시스

보안컨설팅에 대하여 서핑하다가  보안컨설팅 수주 경쟁엔 ‘숨겨진 함수가 있다’ 는 기사를 보았습니다..약간 재미있는 현상이 있어 소개 하고자 한다.

그내용을 살펴보면

구체적으로 주 사업자에 삼성 SDS가 선정됐을 경우에는 SK인포섹이, 그리고 SK C&C가 주 사업자를 맡게 될 경우 시큐아이닷컴이 보안컨설팅을 수주하는 경우가 99% 이상이라는 것.

조금 더 기사를 보면

이는 특수관계에 놓여 있는 ‘삼성 SDS와 시큐아이닷컴’, 그리고 ‘SK C&C와 SK인포섹’을 분리하려는 고객들의 현명한 배려(?)에서 빚어진 현상으로 풀이된다. 고객 기업들은 객관성이 결여된 보안성검토가 이뤄질 수 있다는 우려 때문에, 같은 그룹사에 시스템 구축과 구축된 시스템에 대한 보안성 평가를 맡기는 것을 지양하고 있다는 것이다.

결론적으로 삼성SDS와 시큐아이 그리고 SK C&C와 SK인포섹간의 고리를 끊어 버려 조금더 공정한 경쟁을 하려는 발주사에 대한 의도 때문이라는 게 포인트이다..


그렇게 자주 외부인과 자주 만나다가 결국  서로 정드는 거 아니냐...^^
Posted by 엔시스

  출처:데이터넷

정보보호 기반시설 확대, 보안컨설팅 시장 고성장 예감
성장 위한 신규 방법론 개발 ‘절실’ … 업체별 특화 전략 앞세워 본격 경쟁 돌입

정보보호컨설팅 시장 성장이 꾸준히 지속되고 있다. 지난해 시장 규모는 약 200억원 다소 상회하는 시장을 형성했다는 것이 업계의 중론이다. 올해도 정보보호컨설팅 시장은 지속적 성장이 기대되고 있다. 보안컨설팅을 요구하는 산업군이 기존 통신·금융 등에서 제조업 분야까지 확산되고 있을 뿐 아니라, 기업 정보보호에 대한 인식 제고에 힘입어 중소중견기업(SMB)에서도 보안 컨설팅 수요가 발생하고 있기 때문이다. 또 개인정보보호법, 정보통신기반보호법 개정안, 전자금융거래법 개정안 등 정보보호와 관련된 법규가 재정비되고 있어 성장은 더욱 탄력을 받을 전망이다. 보안컨설팅 시장을 살핀다. | 오현식 기자·hyun@datanet.co.kr |

국내에서 ‘정보보호 컨설팅’이란 개념은 1997년 등장한 ‘모의 해킹’을 모태로 한다고 볼 수 있다. 일부 보안 업체들이 보안 시스템 테스트 차원에서 해당 고객사의 시스템을 해킹한 후 문제점을 파악, 보완하게 했던 모의해킹에서 출발한 정보보호 컨설팅은 현재 고도의 기술력을 바탕으로 고객의 보안 서비스를 총체적으로 진단해주는 전문 서비스로 발전한 상태다.
초기 다수의 기업이 뛰어들며 치열한 경쟁국면을 보였던 시장 상황도 2005년 8개 업체(시큐아이닷컴, 안랩코코넛, 안철수연구소, 이니텍, 인포섹, 에스티지시큐리티, 에이쓰리시큐리티컨설팅, 인젠)로 재편돼 이어지고 있다.
전체 시장 측면에서 볼 때는 국내 정보보호 컨설팅 시장은 꾸준한 성장을 지속하고 있다. 2004년 150억원, 2005년 190억원대 규모를 형성했던 정보보호 컨설팅 시장은 지난해 200억원을 기록해 지속적 성장세를 이어나간 것으로 집계되고 있다.
큰 규모의 산업군은 아니지만, 꾸준한 성장으로 점차 확대되고 있는 정보보호컨설팅 시장은 주목의 대상이 되기에 충분하다. 국내 시장은 컨설팅 및 서비스의 볼모지로 꼽힐 정도로 이에 대한 인식이 부족하다는 것이 그 이유다.
점진적인 인식 개선이 이뤄지고 있지만, 아직은 어떤 산업군을 막론하고 비용을 지불하고, 품질 높은 서비스를 제공받기보다 시스템 공급 등과 함께 무료 제공을 원하는 고객이 대다수인 것이 국내 현실이다. 어떤 기업이 서비스나 컨설팅 사업을 시작한다는 계획을 발표하면, 공통적으로 하는 받는 질문 중 하나가 “우리나라 현실에서 사업성이 있는가”라는 것은 서비스에 대한 개념이 확고하지 않은 국내 현실을 보여주는 일화라고 볼 수 있다. 따라서 보안컨설팅의 적지만 지속적인 성장은 국내 IT 서비스 시장에서 나름의 의미있는 이정표를 세워나가는 것으로 볼 수 있다.
보안컨설팅이 일정정도 시장에서 자리매김하는 데에는 정책적 지원도 큰 몫을 담당했다. 특히 국가적으로 보안이 중시되는 핵심 기관 및 기업들을 ‘정보보호기반시설’로 지정, 정보보호 대책을 수립해 이행하도록 의무화한 ‘정보통신기반보호법’은 보안 분야에서 컨설팅의 활성화에 기반이 된 것으로 평가받고 있다.


시장성장 고비 직면, 변신 모색 ‘절실’
꾸준한 성장가도를 달려온 보안컨설팅 시장이지만, 이제 변화의 시기를 맞이했다는 데 업계는 동의하고 있다. 모의해킹이 첫 등장했던 1997년부터 본다면 10년의 동안 이어온 취약점 진단이란 방법론으로는 더 이상의 성장을 담보하기 힘들다는 것이 그 이유다.
특히 보안컨설팅을 오랫동안 받아온 기업들이 보안컨설팅의 효과에 대해 점차 회의적인 경향을 보이고 있다는 점은 신규 컨설팅 방법론 개발 등을 시급한 과제로 요구하고 있다. 매년 컨설팅을 수행했지만, 컨설팅의 결과가 전반적인 보안 수준 향상으로 이어지지 않는다는 것이 기존 고객들의 불만이다.

물론, 컨설팅 결과로 도출된 취약점과 권고가 성실하게 이행되지 않음으로써 이후 컨설팅에서 유사한 결과치가 나올 수밖에 없다는 항변도 존재한다. 하지만, 불만의 근본 원인인 보안 수준 향상을 꾀할 수 있는 보다 효과적인 방법론 개발이 필요하며, 이를 위한 컨설팅 업계의 발전적 노력이 필요하다는 것이 업계 관계자들의 중론이다.

실제로 지난해 D증권사의 보안컨설팅 프로젝트 입찰에서 담당 부장은 “5년 전 보안 컨설팅 기업들의 제안서와 5년이 흐른 지금의 제안서가 별반 차이가 없다”고 지적, 그 자리에 참석한 보안컨설팅 업계 담당자들을 곤혹스럽게 만들었다는 일화도 전해진다.
이와 관련, 신수정 SK인포섹 전무는 “지속적으로 성장하고 있지만, 보안컨설팅이 첫 등장 이후 지금까지 이어오며 ‘혁신’이 없었다”면서 “방법론적 정체에 따른 ‘위기상황’임을 공감하고 혁신을 이루려는 업계 모두의 노력이 필요하다”고 지적했다. 신수정 전무는 이어 “다른 한편에서는 보안 사고에 대한 위험성 전파로 보안컨설팅 개념이 더욱 확산되고 있어 비약적 시장 성장을 이뤄낼 기회이기도 하다”며 “새로운 방법론 개발 등 혁신을 이뤄낼 때 컨설팅 시장은 더욱 빠르게 성장할 수 있을 것”이라고 강조했다.

최진석 에스티지시큐리티 컨설팅사업본부장은 “매년 컨설팅을 수행해온 기업들은 대부분 보안에 대한 관심이 높은 고객으로 눈높이는 보안 전문가 못지 않은 보안 지식을 갖고 있다”며 “높아진 고객의 눈높이와 요구증대에 맞춰 보안 문제 해결을 위한 마스터플랜의 품질 향상에 더욱 주력해야 하며, 이를 위한 효과적 방법론 개발이 시급하다”고 지적했다.

애플리케이션 개발 컨설팅으로 ‘성장 활로 찾는다’
정보보호컨설팅 기업들은 시장의 요구 변화에 맞춰 기존 고객 요구 및 신규시장 공략을 위한 새로운 방법론 개발에 열중하고 있는 상태다. 이러한 방법론 개발은 세분화되고, 전문화되는 동시에, 전통적 컨설팅 영역에서 벗어나 서비스 영역과 결합되는 컨버전스화를 특징으로 한다고 볼 수 있다.

이 가운데 하나가 ‘개발과정에서의 보안컨설팅’이다. 개발과정에서의 보안컨설팅은 기업 애플리케이션 개발 단계부터 참여함으로써 기업 보안 향상에 기여한다는 개념으로, 새로운 보안컨설팅 방법론임과 동시에 새로운 보안컨설팅 서비스라고 할 수 있다.

현재 애플리케이션 개발에 있어 보안은 거의 고려되지 않는 부문이다. 애플리케이션 개발자는 대다수가 보안에 대해 잘 알지 못하는 경우가 대다수일 뿐만 아니라, 개발자들의 제1목표는 원활한 운영으로 보안에 대한 관심 자체가 없거나 심지어는 보안을 장애물로 생각하는 경향도 존재한다. 애플리케이션 개발 단계에서 전혀 보안이 고려되지 않음으로 인해 개발된 애플리케이션은 수많은 취약점을 갖게 되며, 기업 보안에 있어 커다란 문제점으로 작용하는 것이 현실이다.

개발과정에서의 보안컨설팅은 애플리케이션 개발 초기 단계부터 고객사의 개발자와 협력해 보안성을 검토함으로써 개발된 애플리케이션의 보안성을 강화시킴은 물론, 기업 전체의 보안 정책과 부합되도록 만드는 것이다.

어찌보면 최근 각광받고 있는 소스코드 보안과 유사하다고도 볼 수 있다. 하지만, 신수정 SK인포섹 전무는 “분석 툴을 돌려 미리 규정된 결과치를 도출하는 소스분석 솔루션과 달리 컨설팅을 통해 각 사의 보안 정책에 맞는 유연성 확보가 가능할 뿐만 아니라 전문 컨설턴트가 애플리케이션 설계는 물론, 코딩과 테스트, 시스템 적용 등 기업 애플리케이션의 전 단계에 참여함으로써 소스코드 보안 솔루션보다 더 큰 효과를 얻게 한다”고 차별화를 강조했다.

기존 단점 개선·고객밀착형 서비스 ‘봇물’
개발과정에서의 보안컨설팅은 보안 지식 뿐 아니라 SI적인 요소도 필요하다. 개발단계부터 보안이 고려되기 위해서는 보안 뿐 아니라 애플리케이션 개발에 대한 지식, 고객사 아키텍처 전반에 대한 이해가 등이 요구되기 때문이다. 보안 SI 사업을 병행하고 있는 SK인포섹, 안랩코코넛, 에스티지시큐리티, 인젠 등은 분야에서에서 자사가 경쟁우위를 가져갈 수 있을 것으로 자신하고 있다. 실제로 SK인포섹의 경우, 지난해 컨설팅 매출의 15% 정도를 SI 프로젝트와의 결합에서 거둔 것으로 알려진다.

신수정 SK인포섹 전무는 “보안SI 사업분야에서 다른 기업보다 많은 경험을 축적하고 있어 SI와 결합된 고객밀착형 서비스에서 보다 더 유리한 고지를 점하고 있다”면서 “SK인포섹이 지난해 명실상부한 보안컨설팅의 선두로 치고 나갈 수 있었던 것은 개발과정에서의 보안 개념을 새롭게 선보인 영향이 컸다”고 자평하기도 했다.

최근 다양한 보안 분야로의 진출을 꾀하고 있는 안철수연구소 또한 개발과정에서의 보안을 특화시켜 시장 접근을 가속화할 계획이다. 올 초 기존 컨설팅서비스 유닛(Unit)이었던 컨설팅 부문을 컨설팅서비스 사업부로 승격하는 등 컨설팅 사업을 강화 의사를 밝힌 안철수연구소의 성패는 고객 밀착형 서비스로 애플리케이션 개발단계부터 취약점을 제거해 기업 전반의 보안을 강화할 수 있는 개발과정의 보안에 있다고 해도 과언이 아니다.

안철수연구소 컨설팅서비스 사업부를 총괄하는 김형준 사업부장은 “수많은 자체 개발 보안 솔루션을 갖고 있는 안철수연구소는 다른 어떤 보안컨설팅 기업보다 보안에 입각한 애플리케이션 개발 능력이 뛰어나다”며 “개발팀과의 긴밀한 공조를 통해 경쟁력을 확보할 것”이라고 밝혔다.

에스티지시큐리티는 보안 로직 설계를 주축으로 하는 ‘차세대 컨설팅 방법론’을 개발, 높아진 고객의 눈높이에 맞춰간다는 전략을 내놓고 있다. 에스티지시큐리티의 차세대 컨설팅 방법론은 기존 취약점 진단 위주의 종합보안컨설팅 서비스가 보안 수준을 높일 수 있는 마스터플랜 제시에는 미흡했다는 문제의식에서 출발하며, 보안로직설계 방안을 제시해 기업 전반의 보안 수준을 향상시킬 수 있는 구체적이고 실질적인 방법을 제시하겠다는 것이다.

최진석 에스티지시큐리티 컨설팅사업본부장은 “기존 취약점 진단 위주의 컨설팅에서는 발견된 취약점을 ‘어떻게(How to)’ 해결할 것인가가 부족했다”며 “컨설팅의 결과가 보안 수준 향상의 실질적 효과로 나타나기 위해서는 마스터플랜의 품질 향상과 더불어 마스터플랜 이행에 관련해 고객과의 유기적 협력에 더욱 주력해야 한다”고 지적했다.

지속적인 고객과의 유기적 협력을 통해 전체 보안을 향상시키는 ‘보안방역서비스’ 또한 보안컨설팅 기업이 노리는 신규 개척지다. 보안방역서비스란, 고객의 보안전담조직과 보안대책, 보안정책 수립에 긴밀하게 협력함은 물론, 보안교육과 보안기술향상 등을 제공하는 전문보안서비스를 말한다. 나아가 보안사고 발생 시 신속한 대응이 가능하도록 고객사에 대한 전문 인력을 파견을 병행하기도 한다.

김민수 인젠 컨설팅사업본부장은 “보안방역서비스는 고객과의 유기적인 협력을 통해 기업 의 전반적 보안 수준 향상에 기여할 수 있다”면서 “전략적 고객 확보를 통해 지속적 성장 기반을 갖추도록 할 것”이라고 밝혔다.

애플리케이션 개발과 보안컨설팅의 결합, 보안방역서비스 등은 모두 고객사와의 긴밀한 관계 구축이 선행 조건인 고객밀착형 서비스라 할 수 있다. 종합보안컨설팅이란 일회성 프로젝트에서 벗어나 지속적으로 관계가 유지되는 서비스를 통해 고객에게 보다 한 발 더 다가서고, 이를 통해 새로운 기회 창출을 모색하는 방향으로 나아가고 있는 것이다. 이러한 고객 밀착형 서비스의 관건은 제공 품질 확보와 이를 통한 신뢰구축이 될 것이다.
SK인포섹 신수정 상무는 “당장 눈앞의 이익에 연연하기보다 고객사와 상호 발전을 이뤄낼 수 있는 진정한 파트너로서 자리매김하려는 장기적 시각에서의 접근이 요구된다”면서 “이러한 인식 전환이 이뤄질 때 정보보호 컨설팅 시장의 지속적 발전을 이룰 수 있을 것”이라는 의견을 밝혔다.


ISO27001·개인정보보호 ‘2007년 핫이슈’

올해 정보보호컨설팅 시장을 이끌 이슈로는 ISO27001 인증컨설팅과 개인정보보호 컨설팅을 꼽을 수 있다.
‘ISO27001 국제표준 정보보호관리체계(ISMS: Information Security Management System) 인증’은 국제표준화기구(ISO)에서 제정한 국제정보보호관리체계에 대한 국제규격으로 BS7799 영국 표준에서 2005년 11월 국제표준(ISO)으로 승격된 것으로 ▲사이클에 따른 정보보안관리체계 효과성 측정 ▲인적보안 강화 ▲외부업체 보안 강화 등을 특징으로 한다.

국제인증으로 승격된 지난해 초 이후 ISO27001 인증은 정보보호분야에서 가장 권위있는 국제인증으로 세계수준에 걸맞는 정보보호체계를 확립했다는 반증으로써 세계시장 공략을 위해 반드시 거쳐야 할 통과의례로 여겨지면서, 인증획득과 관련된 컨설팅 수요가 꾸준히 발생하고 있다. 올해 역시 ISO27001 인증컨설팅은 정보보호시장을 관통하는 이슈로 꼽힌다. 현재까지 국내에서는 약 40여개 업체에서 ISO 27001(BS7799) 인증을 획득한 것으로 알려진다.

지난해 6월 백태종 사장을 포함한 전직원이 모두 ISO27001 선임심사원 과정을 수료한 에이쓰리시큐리티컨설팅를 비롯, 인포섹. 이니텍, 안랩코코넛 등 대부분의 정보보호컨설팅 전문업체들은 자체적인 ISO27001 인증 획득, 전문 인력 양성 등을 통해 ISO27001 인증 컨설팅을 위한 준비를 완료한 상태다.
ISO27001은 기존 공공, 통신, 금융권, 그리고 일부 대기업 등에 국한됐던 보안컨설팅 시장을 타 산업군으로 확대하는 기폭제의 역할도 기대된다.

방인구 에이쓰리시큐리티컨설팅 전무는 “소니, 노키아 등 글로벌 기업들은 협력사를 대상으로 주기적으로 실시하는 자체 보안 감사를 ISO27001로 대체하려는 움직임을 보이고 있어 글로벌 기업에 부품을 공급하는 제조사들의 ISO27001 인증 컨설팅 문의가 증가하고 있다”고 전하며, 제조 산업군으로의 보안컨설팅 확산을 기대했다.

온라인게임 ‘리니지’ 계정 탈취 사건으로 촉발된 개인정보보호에 대한 관심 증가로 개인정보보호 관련 컨설팅도 올해 컨설팅 시장을 이끌어갈 화두 중 하나로 꼽힌다. 특히 ‘개인정보보호기본법’ 등 개인정보보호를 강화하기 위한 법안이 국회에서 논의되고 있어 더욱 기대가 큰 부문이다. 현재 국회에는 노회찬 의원의 ‘개인정보보호기본법’과 정성호 의원의 ‘개인정보보호법’, 이은영 의원의 ‘개인정보보호기본법’ 등 3개 법안이 제출된 상태로 3개 제출법안을 결합한 통합안이 추진되고 있다.

개인정보보호 관련 시장 확대에 따라 컨설팅 기업들은 모두 개인정보보호 강화를 위한 방법론을 개발하고 이를 준비하고 있다. 일례로 안랩코코넛의 경우, 해당 기관이나 기업 내 고객으로부터 취득한 개인정보에 대해 접근하는 모든 부서와 업무프로세스별 발생 가능한 위험을 평가하고, 보호대책을 수립하는 방법론을 개발·적용하고 있으며, 인젠도 자체 개발한 개인정보보호 방법론을 SK텔레콤, LG파워콤, 조달청, 국세청 등에 적용한 바 있다.
관심증대와 더불어 법 제정이 예상되는 등 올해 시장이 확산될 개인정보보호와 관련된 컨설팅은 언급한 8개 정보보호전문업체 모두 관심을 보이는 상태다. 개인정보보호 컨설팅은 개인정보보호 자체 컨설팅사업이 가능할 뿐만 아니라 전사회적 관심 증대로 기존 컨설팅 업무범위가 개인정보보호까지 확대될 것으로 예상돼 컨설팅 기업들은 개인정보보호를 위한 방법론을 확보하고, 시장 개화를 기다리고 있다.

이외에도 최근 화두가 된 웹 보안 관련한 컨설팅 등도 시장 동력이 될 것으로 예상된다. 이니텍은 “최근 기업들의 네트워크 및 하드웨어 보안 시스템 구축이 거의 완료되면서 보안의 패러다임이 애플리케이션 보안으로 바뀌고 있는 추세”라 지적하고, “보안 컨설팅 방법론과 이니텍이 보유한 인증, 계정관리, 암호화 솔루션 분야의 기술력을 접목시킨 보안 방법론 개발을 모색하고 있다”고 밝혔다.

관련 법규 재정비 ‘성장 기폭제’

정보보호와 관련된 법 제도가 재정비되고 있다는 점은 보안컨설팅 시장 성장의 기폭제로 평가된다. 언급한 개인정보보호기본법 외에도 정보통신기반보호법 개정안이 국회에 계류중에 있고, 아직 국회에 제출되지는 않았지만 보건복지부를 중심으로 건강정보보호법도 추진되고 있다. 전자금융거래 서비스를 제공하는 금융기관의 책임을 증가시킨 전자금융법거래법 개정안의 경우에는 이미 통과돼 올 1월 1일부터 본격적으로 시행된 상태다.

관련 법안의 재정비는 컨설팅 업계에게는 특수를 불러일으킬 수 있는 호재다. 법 제·개정에 따라, 새로운 기준을 만족시키기 위한 수요가 발생하기 때문이다. 아울러 정보보호의 중요성에 대한 인식이 높아지면서 제·개정되는 법률들은 보안강화를 목적으로 하고 있어 강화된 보안체계 구축을 위한 보안 컨설팅이 크게 증가할 것으로 예상된다. 올 초 시행된 전자금융거래법 개정안의 경우에도 사고 발생 시 해당 금융기관이 원인 규명까지 책임져야 해 금융권은 보안 시스템 강화를 위한 대책마련에 분주한 상태다.

정보통신기반보호법 개정안은 보다 직접적으로 컨설팅 시장 확대에 기여할 것으로 보인다. 법 개정에 따라 정보보호컨설팅을 수행해야 하는 기반시설이 증가할 것으로 전망되기 때문이다. 정보통신기반보호법은 지난해 통과가 예상됐지만, 다소 지연된 상태다.
▲정보통신기반보호위원회 구성·운영제도의 개선 ▲주요 정보통신기반시설 지정방식의 개선 ▲보호 대책에 대한 사후관리 체계의 미비점 개선 ▲보호지원을 요청할 수 있는 관리기관 및 지원사항의 범위 확대 등을 골자로 한 정보통신기반보호법 개정안은 기반시설 지정을 각 기관장의 자율에서 정부와 공공기관은 국가정보원, 민간시설은 정보통신부가 중심이 돼 추천·권고하도록 하고 있으며, 이에 따라 기존 기반 시설 지정에서 제외됐던 항공·항만·철도·학교 등이 추가될 것으로 업계는 기대하고 있다.

업계 관계자는 “국가 주요 시설이라 할 수 있는 금융권에서도 인터넷뱅킹 시스템만 정보통신기반시설로 지정되는 등 기존 기반시설의 범위가 좁았던 것이 사실”이라며, “IT에 대한 전사회적 의존도가 높아진 만큼 국가 중요시설은 대부분 정보보호기반시설로 지정돼야 할 것”이라고 강조했다.


제조 등으로 컨설팅 시장 확대 기대

보안컨설팅 시장 확대가 예상됨에 따라 각 정보보호컨설팅 기업들도 발걸음을 재촉하고 있다. 특히 전통적인 보안방법론이 점차 해체되고, 세분화 전문화되고 있는 시장 변화에 따라 신기술 기반의 컨설팅 능력 확보에 총력을 기울이고 있는 상태다.
먼저 지난해 성과면에서는 SK인포섹(대표 박재모)이 가장 눈에 띄는 호조를 보였다. SI와 결합한 개발 보안컨설팅 사업의 호조로 약 70억원의 매출을 기록, 에이쓰리시큐리티컨설팅과의 양강 구도에서 한 발 앞서 나간 것.

SK인포섹은 올해도 SI 사업과의 연계를 통한 새로운 컨설팅 시장 개척에 주력할 방침이다. 지난해 성과를 거둔 개발단계 보안컨설팅과 더불어 보안 아키텍처 컨설팅 등에 주력해 컨설팅 시장의 명실상부한 최강자로 자리매김하겠다는 것이다. 보안 아키텍처 컨설팅은 기존 단편적 보안컨설팅에서 벗어나 전사적 보안 체계를 확립하도록 하는 것이다.
SK인포섹 신수정 전무는 “전사적 보안 수준 향상을 꾀할 수 있는 컨설팅 방법론으로 금융권 및 통신 시장을 수성함은 물론, 신규 시장 공략도 지속함으로써 경쟁에서 한 발 앞서 나갈 것”이라고 밝혔다.

보안컨설팅 분야의 전통적 강자인 에이쓰리시큐리티컨설팅(대표 백태종)도 성장을 이어나갔다. 지난해 매출은 약 50억원을 기록해 큰 폭은 아니지만 성장세를 이뤄낸 것이다. 다른 정보보호전문기업들이 컨설팅 외에 관제, 솔루션 판매 등 다른 사업을 진행하고 있는 반면, 에이쓰리시큐리티컨설팅은 컨설팅 사업만을 주력으로 시장입지를 확보한 독특한 이력을 자랑한다. 그만큼 보안 컨설팅에 대한 노하우를 갖고 있으며, 컨설팅의 품질을 확보하고 있는 것이다.
에이쓰리시큐리티컨설팅은 올해 ISO27001 인증컨설팅 시장에 주력, 대형제조 기업에 대한 보안컨설팅을 강화할 방침이다. 제조업의 경우, 협력업체로부터 ISO27001 인증 획득이 권고되고 있을 뿐 아니라 최근 보안에 대한 관심이 증가되고 있어 보안컨설팅 수요도 빠르게 증가하고 있다는 것이 에이쓰리시큐리티컨설팅의 분석이다.

방인구 에이쓰리시큐리티컨설팅 전무는 “ISO27001 컨설팅은 비롯해 개인정보보호 관련 컨설팅에 주력하고, 시스템 설계 당시부터 보안에 대한 분석과 설계가 이뤄지는 개발보안 부문에도 적극 나설 계획”을 밝히고, “이를 바탕으로 올해 60억원의 매출을 목표로 하고 있다”고 제시했다. 방인구 전무는 아울러 “UCC 등 콘텐츠 보안이 향후 이슈로 예상돼 이와 관련된 방법론 개발해 미래 시장을 대비하겠다”고 덧붙였다.

인력누수로 한 때 어려움을 겪었던 인젠(대표 임병동)은 지난해 보안컨설팅 사업부를 재정비, 올해 도약을 자신하고 있다. 인젠은 특히 개인정보보호 컨설팅 시장에 큰 기대를 걸고 있다.

인젠 김민수 컨설팅사업본부장은 “개인정보보호와 관련, 개발된 방법론을 실제 사이트에 적용한 경험을 갖고 있는 기업은 많지 않다”고 지적하고, “인젠은 지난해 국세청, 조달청 등 국가 기관은 물론, SK텔레콤, LG데이콤 등 대기업군에 개인정보보호 방법론을 적용시킨 경험을 갖고 있어 경쟁우위를 확보할 수 있을 것”이라고 자신했다.

인젠은 이외에도 비즈니스 연속성 차원에서 DR(Disaster Recovery)과 보안을 결합시키는 컨설팅, VoIP 보안 컨설팅 등을 통해 시장 공략을 강화할 방침이다. “현재 기업들의 DR 구축이 시스템 측면에 치우쳐 있어 보안과 관련된 재난복구가 간과돼 있다”는 것이 인젠 측의 지적. 이에 인젠은 비즈니스 연속성 확보 차원에서 보안에 접근하는 새로운 컨설팅 영역을 창출, 특화 영역으로 삼겠다는 전략이다.


보안사업부 강화, 불꽃 경쟁 ‘점화’

2007년을 기업 도약의 해로 명명한 에스티지시큐리티(대표 문제철)도 보안컨설팅 시장에 보다 공격적인 접근을 시도할 계획이다.
문재철 에스티지시큐리티 사장은 “지난해 에스티지시큐리티의 컨설팅 사업부는 설립이후 가장 큰 성장을 이뤄내는 성과를 이뤄냈다”며 “새로운 컨설팅 방법론 확보 등의 선행 조건을 마무리한 만큼 올해는 보다 공격적으로 시장에 접근해 도약을 위한 발판을 마련할 계획”이라고 밝혔다.
올해 에스티지시큐리티의 사업전략을 요약하면, 보안컨설팅의 고급화 전략이라고 말할 수 있다. 비용은 높아지지만, 전사적 보안 수준을 향상시킬 수 있는 상세한 마스터플랜을 제시하는 방향으로 컨설팅 품질을 제고시킨다는 것이 에스티지시큐리티의 기본 전략이다. 컨설팅을 고급화해 기존 컨설팅에서 제공하지 못했던 나머지 10%를 충족시키겠다는 것이다.
에스티지시큐리티 컨설팅사업본부 최진석 본부장은 “IAM(Identity and Access Management), EAM(Enterprise
Asset Management) 등과 결합한 컨설팅 방법론으로 보다 세밀한 보안을 제공할 것”이라며, “에스티지시큐리티는 보안에 대한 관심이 높은 준비된 고객을 공략할 계획”이라고 말했다.

각사 장점 앞세워 특화 시장 공략

그동안 보안컨설팅 사업에 다소 소홀했던 안철수연구소(대표 오석주)의 컨설팅 사업 강화도 주목된다. 안철수연구소는 올해 초 기존 유닛(Unit)이었던 컨설팅 부문을 컨설팅서비스 사업부로 승격, 컨설팅 시장에 대한 적극적인 진입을 계획하고 있다. 컨설팅 인력보강, 특화전략 개발 등을 통해 2010년에는 컨설팅서비스 부문에서만 50억원대의 매출을 올린다는 것이 안철수연구소 측의 장기 비전.

안철수연구소 김형준 사업부장은 “인력에 기초한 보안 컨설팅의 경우, 단기간에 급성장을 이뤄내기는 힘든 부문”이라며 “올해 인력 충원 및 교육 등의 인적 투자와 시장 기반확보에 주력, 성장 발판을 마련하겠다”는 계획을 밝혔다.

특히 안철수연구소는 EA(Enterprise Architecture) 보안 컨설팅을 특화시켜 컨설팅 시장에서의 위상을 확보할 전략이다. 이를 위해 안철수연구소는 EA포럼에 컨설팅 인력을 파견, 최신 기술동향을 습득하도록 할 예정이기도 하다. 철저한 준비를 통해 EA 보안컨설팅 전문기업으로 자리매김하겠다는 것. 아울러 안철수연구소는 컨설팅사업부문과 CC인증팀의 긴밀한 협력체제 구축을 통한 CC인증 컨설팅도 검토중인 것으로 알려진다.

기존 시큐어소프트의 보안컨설팅 사업부분의 보안컨설팅 전문업체 타이틀을 양도받은 이니텍(대표 김재근)은 2005년에 비해 50% 정도 성장한 25억원 가량의 매출을 기록하는 성장을 이뤄냈다. 사업 2년째를 맞아 단기간에 빠른 성장을 일군 것.
이니텍은 고성장세를 지속하기 위해 컨설팅 영역을 더욱 세분화, 각 분야에 맞는 보다 전문적인 컨설팅을 제공하기 위한 방법들을 모색하고 있다. 특히 애플리케이션 보안으로 이동하는 패러다임 변화에 따라 애플리케이션 보안컨설팅 방법론 구축을 화두로 삼고 있다.
이니텍 측은 “애플리케이션 보안의 핵심은 인증, 계정관리, 암호화 등”이라며 “인증, 계정관리, 암호화 솔루션 분야의 선두업체로서 이니텍이 보유한 노하우와 기술력을 보안 컨설팅 방법론과 접목시켜 시너지를 창출함으로써 고객사에 보다 효율적인 보안 대책을 제시할 것”이라고 자신했다.
안랩코코넛(대표 이정규)도 개인정보보호, 웹 애플리케이션 개발 보안컨설팅 등의 발굴에 역점을 두고 있다. 이러한 신규시장 개척을 통해 안랩코코넛은 올해 40% 이상의 고속 성장을 달성한다는 복안. 특히 안랩코코넛은 전자금융거래법 개정에 따른 변경 기준을 자체 방법론에 이미 반영시켜 금융기관 컨설팅수행 시 적용하는 등 금융권 공략을 가속화할 방침이다.

이상래 안랩코코넛 컨설팅사업부장은 “리니지 사건 등으로 게임업체와 같은 닷컴기업들이 개인정보보호 컨설팅을 받고 연간 계약을 맺는 사례가 늘어나고 있다”며 “컨설팅 후 연간 고객으로 전환하는데 주력, 안정적 수익기반을 마련할 것”이라고 밝혔다.

시큐아이닷컴(대표 김종선)은 VoIP 등 신기술의 보안 취약성을 진단하고, 해결방안을 제시하는 특화 방법론을 개발하고 있다. 기존 보유한 서비스에 새로운 IT기술 접목 시 발생될 수 있는 취약점 분석능력 강화 등이 보안컨설팅 시장에서 요구될 것이기에 이에 따른 시장 수요에 대비하는 것. 아울러 개인정보보호법, 건강정보보호법 등과 같이 법적 요건 강화에 따른 컨설팅 수요 창출도 기대하고 있다.
시큐아이닷컴은 특히 웹 보안이 화두가 됨에 따라 웹 서비스의 상시 진단체계 서비스를 확립, 안정적 수익 창출 기반을 마련할 복안도 갖고 있다. 웹의 경우, 홈페이지 변경 등이 지속적으로 일어나는 특징이 있어 연간 계획을 통한 주기적인 진단체계와 유지보수 관리의 필요성이 절대적이다. 따라서 웹 서비스 상시 진단체계 서비스는 보안컨설팅 기업에게는 안정적 수익구조를 마련해 줄 수 있으며, 고객사의 입장에서는 웹 서비스의 보안성 향상을 꾀할 수 있게 할 것으로 전망된다.
시큐아이닷컴은 이 외에도 ISO27001, KISA 정보보안관리시스템(ISMS) 인증 등 인증시장의 수요를 창출함과 동시에 SMB 보안모델을 수립해 대기업과 협력관계에 있는 SMB 업체를 공략할 계획이다.

뜨거운 감자 ‘SMB’ … 보안 향상 위한 협력 ‘절실’

국내 IT 시장이 성숙기에 접어들면서, SMB 시장에 대한 관심은 IT 전분야에서 점차 높아지고 있는 추세다. 보안 시장에서도 SMB 시장 공략의 열기는 뜨겁다. 인식부족과 자금부족 등의 문제로 인해 그동안 보안 투자가 소홀했던 SMB 기업들은 최근 중국발 해킹에 의한 피해 증가로 보안 솔루션 확보에 대해 관심을 보이고 있어 SMB는 보안시장의 새로운 성장 동력으로써 주목되고 있다.
보안컨설팅 시장에서 SMB는 뜨거운 감자다. 더 큰 성장을 담보하기 위해서는 SMB 공략이 필요하지만, 인력 기반의 컨설팅 사업 구성은 SMB 공략의 근본적 걸림돌이다. 인력에 기반한 보안컨설팅은 프로젝트 금액이 고정화돼 있다고 해도 무리가 아니다. 하지만, SMB 기업의 대부분은 보안컨설팅 시장의 요구하는 최소 금액의 투자도 힘들어 하는 것이 사실이다. SMB용 보안 시스템 구입비 보다 컨설팅 단가가 높아 배보다 배꼽이 더 커지는 현상이 종종 발생하기 때문이다.
안랩코코넛 이상래 부장은 “안전진단 대상기업도 안전진단 비용에 대한 지출에 대해 이슈가 존재하는데, 그보다도 작은 SMB시장에 컨설팅을 확대하기에는 비용적인 이슈가 존재한다”며 확대가 어렵다는 의견을 표시하며, “SMB 시장에 대한 컨설팅은 특정업무분야에 대한 보안이슈 차원에서 특화된 프로젝트에 그칠 것”이라고 전망했다.
그러나, SMB를 위한 보안컨설팅의 필요성은 분명히 존재한다. 역시 보안 위험에 있어 예외가 아니며, 보안사고가 하나의 취약점으로 인해 발생한다는 점을 생각할 때 사회적 전체적 입장에서는 SMB에서의 보안이 더욱 강화될 필요성이 있기 때문이다. 또 정보보호 컨설팅 업체의 입장에서 볼 때 SMB로의 확대는 성장을 가져올 미개척지로서의 가치가 있다. 이에 정보보호 기업들은 미래 성장동력 확보의 차원에서 SMB 공략을 위한 특화방법론을 검토하고 있으며, 다양한 방안이 논의되고 있다.

SK인포섹의 경우, 관제와 컨설팅을 결합한 방법을 검토하고 있다. SK인포섹 신수정 전무는 “근본적 문제는 컨설팅 인력의 인건비가 SMB가 요구하는 시장 수준보다 높다는 것”이라며, “원격 관제와 결합한 원격 컨설팅 등으로 투입되는 인력과 시간을 절감함으로써 컨설팅 단가를 낮추는 것도 한 방안”이라고 설명했다.

인젠과 안철수연구소는 보안컨설팅을 모듈화한 방식으로 SMB 공략을 검토하고 있다. 보안컨설팅 중 SMB 기업에 필요한 일부만을 적용함으로써 SMB에 맞춰 비용을 합리화할 수 있다는 것이다. 안철수연구소와 인젠 측은 “SMB에 모든 컨설팅 방법이 적용될 필요는 없다”면서 “꼭 필요한 부문만을 적용시켜 최소의 비용으로 최대의 효과를 얻을 수 있도록 할 것”이라고 언급했다.

시큐아이닷컴은 대기업과 협력 관계에 있는 중소기업들을 대상으로 보안강화 모델을 제시함으로써 SMB 시장에 컨설팅을 확대한다는 전략을 제시했다. 중소기업에게는 부담이 될 수 있는 비용문제는 컨설팅 수행 방법을 최적화를 통해 컨설팅 비용을 최소화를 실현함으로써 중소기업에서의 보안컨설팅 시장 확대를 추구한다는 계획이다. 대기업과 협력 관계의 중소기업은 대기업에 준하는 보안 수준을 필요로 하고 있기에 이를 통해 보안을 강화함은 물론, SMB 전체를 대상으로는 컨설팅 모델 개발도 가능할 것으로 시큐아이닷컴 측은 기대하고 있다.

아울러 보안컨설팅 기업들은 전사회적 입장에서 SMB가 보안의 취약지대라는 점을 인지하고 국가적 지원이 이어져야할 것이라고 컨설팅 업체들은 지적했다. SMB 기업들이 체계적 보안 체제 확립을 위한 마스터플랜을 수립하지 못하고, 그때그때 포인트 솔루션을 도입하는 임시방편식 대응을 보이는 것은 비용 부담이 가장 큰 이유인데 이러한 문제 해결을 위해서는 국가적 지원이 있어야 한다는 것이다.

Posted by 엔시스

시큐아이, 하나은행 차세대프로젝트 보안컨설팅 담당 예정


정보보호기업 시큐아이닷컴(대표 김종선 www.secui.com)은 26일 하나은행 차세대 시스템 프로젝트의 보안 컨설팅 부문에서 우선협상 대상자로 선정되었다고 밝혔다.

최근 증권 선물거래소 및 하나은행, 농협을 비롯한 제 1 금융권에 이어 신한카드사를 비롯한 제 2 금융권에서도 잇달아 차세대 프로젝트가 발생하는 등 최근 금융 시장의 차세대 프로젝트의 이슈화와 함께 주춤했던 IT서비스 시장이 모처럼의 활기를 띄고 있다.

그 중 대표적인 하나은행 차세대 프로젝트는 LG CNS를 주사업자로 결정하고 보안컨설팅부문에 시큐아이닷컴을 우선 협상대상자로 선정하면서 본격적인 닻을 올리게 되었다.

기사출처:http://www.boannews.com/media/view.asp?idx=6645&kind=2

Posted by 엔시스