전사 경영 측면에서 대응해야 성공적 지난해부터 개인정보보호법이 본격적으로 시행되면서 보안 산업 시장 역시 성장세를 보이고 있다. 정보 유출 사고 증가와 함께 개인정보에 대한 보호조치의 중요성이 높아지면서 관련 법안 제정과 맞물려 활기를 띠고 있기 때문이다. 특히 개인정보보호컨설팅 시장은 온라인상에서 개인의 신용정보 등 중요 개인정보를 보호하는 것을 주목적으로 개인의 허락 없이 개인정보가 유출돼 도용되는 것을 방지하는 서비스를 제공하고 있다. 지난해 9월 개인정보보호법안 발효 이후 계도기간이 종료되는 이달부터는 위반 시 징역 및 벌금, 과태료 처분을 받게 되면서 수요는 점차 증가할 것으로 예상되고 있다. 국내 대표적인 개인정보보호컨설팅 업체들을 만나 관련 시장이 주목받는 이유와 강조하는 점, 보안컨설팅서비스 등에 대해 알아봤다. 이지혜 기자 jh_lee@ciomediagroup.com 기술개요 1. 시장동향 2. 기술동향 3. 각 사별 컨설팅 특징(시큐아이닷컴, 안철수연구소, 에이쓰리시큐리티) 1. 시장동향 관련법 계도기간 종료로 컨설팅 본격 시작 과거 보안이라 하면 다량의 정보를 보유하고 있는 컴퓨터 보안만을 떠올리기 일상이었고 사용자들 역시 정보가 흐르는 네트워크를 보호하는 데만 주력 집중했다. 컴퓨터 환경 설정과 정보 통제, 접근 통제, 암호화 이슈 등이 주된 관련 보안 솔루션들로 주로 정보 자체에는 사용자들의 관심이 멀었던 것이 사실이다. 이렇게 기술적 측면에서만 접근하게 되면서 다량의 대형 정보 유출 사고가 발생해 정보보호의 중요성에 대해 인식하는 사용자들이 늘어나고 있다. 하지만 사용자들은 정보보호를 어느 선부터 시작해야 하는지, 또는 과거처럼 단순히 서버와 네트워크 진단으로만 보안을 유지한다는 데 어려움을 겪고 있다. 실제 대부분 보안 사고들이 내부 직원 또는 협업 업체, 퇴직 직원에 의해 발생하는 경우가 대다수여서 내부에서 외부로 유출되는 사고 예방에 집중하고 있다. 내부 보안을 위해서는 업무 프로세스의 재·개정과 함께 관련 보안 교육과 사용자들의 인식 전환 작업이 반드시 동반돼야 한다. 특히 보안이 기술적 이슈가 아닌 기업 경영 전반에 영향을 줄 수 있는 화두로 자리 잡으며 전사 차원의 철저한 관리가 이뤄져야 한다. 일례로 미국이나 일본 등 외국과 비교해 국내에서 보안사고가 많이 발생하는 이유는 국내 기업체나 관공서 등에서 과도한 국민 개인정보를 보유하기 때문이라는 것이 관계자들의 설명이다. 이러한 과도한 정보 수집은 해커들의 공격 대상이 되기 십상이며 금전적 거래의 도구로 활용되기 안성맞춤이다. 하지만 개인정보에 대한 정보를 수집하는 기관들의 책임과 보호 의무가 생기고 법적 제제가 함께 이뤄지면서 실제 사용자들은 관리·물리적 보안에 대해 자체적으로 해결할 수 있는 인프라와 인력 보급에 상당한 어려움을 겪고 있다. 현재 보안컨설팅 시장은 갑과 을이 바뀌었다는 평가를 들을 만큼 많은 시장 수요를 일으키고 있으며, 사용자들의 개인정보 관리체계 수립을 위한 방안으로 활용되고 있다. 작년 개인정보보호컨설팅 시장의 총매출은 약 190억 원 정도로 집계되면서 전년 대비 30%상승한 수치이며, 오는 2015년까지 연평균 12%에 달하는 고 성장세를 보이며 지속적으로 늘어날 것으로 전망되고 있다. 특히 이달 말 개인정보보호법 계도기간 종료에 따라 개인정보 유출 사고에 대응하지 못한 업체들의 보상 규모가 확대될 것으로 예상되면서 보다 철저한 대응이 이뤄져야 한다. 2. 기술동향 개인정보 영향평가 의무화로 시장 탄력 개인정보보호컨설팅을 받는 사용자들은 우선 정보보호에 대한 정확한 개념을 지녀야 하며 개선해야 할 점들을 지원받을시 이를 성실히 수행해야 할 자세가 가장 크게 요구된다. 또한 보안컨설팅 업체들 역시 경영전반에 걸친 컨설팅을 아우르는 만큼 경영 전반에 걸친 해박한 지식과 기술에 대해 간파하고 있어야 한다. 개인정보보호법을 살펴보면 ‘업무를 목적으로 개인정보파일을 운영하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등’이 모두 개인정보처리자로 규정돼 개인정보를 보유한 모든 기업과 기간이 법 적용 대상에 포함된다. 그동안 개인정보보호 의무대상에 포함돼 있지 않았던 의료기관뿐 아니라 협회 등 비영리 단체와 국회, 법원, 헌법재판소, 중앙 선거관리위원회 등이 모둔 개인정보보호 의무 대상에 포함돼 강력한 보호의 의무를 지니게 된다. 나아가 개인정보보호법에서는 집단분쟁조정, 단체소송 등의 권리를 인정해 각 기업들은 개인정보보호에 더욱 주력해야 할 때다. 한편 개인정보 영향평가(PIA)가 의무화 되는 것도 잘 살펴봐야 한다. 이는 영향평가와 관련된 컨설팅 수요를 일으킬 것으로 평가됨과 동시에 공공기관의 경우에는 영향평가가 의무화되기 때문이다. 민간의 경우 역시 의무화는 아니지만 적극적인 대응 노력이 요구되고 있어 개인정보를 보유, 활용하는 모든 기업에 한해서 영향평가를 권고하고 있다. 또한 개인정보보호컨설팅은 수행 인력의 능력이 중요하지만 이를 외부에 객관적 수치로 증명하기에는 어렵다는 의견이 강하다. 이에 각 관련 업체들은 차별화된 보유한 차별화된 특성을 결합해 시장 주도권을 확보하는데 앞장서고 있다. 3. 각 사별 솔루션 특징 시큐아이닷컴 - “고객사, 적극적으로 의견 제시해야” 시큐아이닷컴은 지식경제부 지정 정보보호전문업체로 컨설팅 노하우를 전수함과 동시에 자체적으로 운영이 가능한 가이드라인을 제공한다. 심층적 취약점 진단 방안을 활용해 정보시스템 감리기법을 이용한 품질관리를 통한 사업수행을 보장한다는 전략이다. 박영진 차장은 “다양한 경험 및 전문가 보유와 국가 공공기관에서의 정보보안 및 개인정보보호관리 체계 등의 수행 경험을 적극 활용해 보안과 개인정보보호체계, 마스터플랜, 취약점 진단, 역량 강화, 솔루션 검토 등 다방면에서 서비스를 지원 중”이라고 말했다. 또한 심층(In-Depth) 취약점 진단과 측정 및 자체 개발 스캐너 노하우를 활용한 자체 보유 상용 취약점 진단, VPN·방화벽 등 개발 경험 및 취약점 DB를 활용한다. 박 차장은 “자체적 전문 감리인력 및 경험을 활용한 프로젝트의 품질보증 절차를 보유하고 있다”며 “사업 진도, 범위, 위험, 교육 관리 등에 대한 관리 방법론 서비스를 함께 제공한다”고 말했다. 사업의 위험요소를 최소화한 사업수행을 위해서는 고객 요청사항을 면밀히 분석해 핵심 성공요인을 도출하고, 이를 바탕으로 추진전략을 수립하는 것이 중요하다는 의견이다. 개인정보보호컨설팅은 대내적으로는 보안관리 수준 향상과 정보보호 투자 기반 마련, 효과적 취약점 관리와 법적 준거성 확보, 고객신뢰도 향상 등이 주요 목적이다. 박 차장은 “정책지침 제·개정 및 프로세스 설계를 통한 보안실행 수준 향상과 정량적 보안수준 도출과 지속적인 수준향상을 기대할 수 있다”며 “보안아키텍처 현행화를 통한 기술보안 투자 근거와 마스터플랜 수립으로 중장기 정보보호 투자 로드맵을 수립할 수 있다”고 강조했다. 또한 네트워크, 서버, DB 등 정보통신 시설의 보안성 확보와 사용자들이 자체 개발 운영 중인 애플리케이션에 대한 보안관리 방안이 확립된다. 시큐아이닷컴 컨설팅 방법론인 GAUSS (The Global Architecture of United Security Scheme)는 정보시스템에 대한 체계적 감사와 통제 및 보안을 위한 필요한 정책, 수행방법 등을 정리해 6개 영역으로 표준화시킨 것이다. 박 차장은 “기반보호시설 취약성 분석·평가, ISO 27001 및 KISA-ISMS 인증지원, 개인정보 영향평가 및 보호대책 수립, 시스템 진단, 통합보안 등으로 분류해 컨설팅을 진행 중”이라며 “고객사 특성이 맞게 컨설팅을 포함한 개인정보보호 솔루션 패키지를 상품화해 경쟁우위를 확보하겠다”고 설명했다. 안철수연구소 - “국내, 외국보다 보안사고 발생률 높다” 안철수연구소 정보보호 컨설팅 서비스(ASCS)는 PC 통합보안에서부터 네트워크 어플라이언스, 인터넷 보안에 이르기까지 기반기술과 개발조직을 보유해 컨설팅을 제공한다. 특히 안철수연구소 고유의 정보보호 컨설팅 방법론인 ASEM 4.0을 적용해 체계적이고 과학적인 보안컨설팅 방법론을 활용해 정확한 현황파악을 바탕으로 현실성 있는 대책을 도출하고 있다. 방인구 컨설팅사업본부 본부장(상무)은 “또한 국내 최대 보안정보 분석 조직인 ASEC(AhnLab Security e-Response Center)로부터 생산된 보안관련 정보와 보안관제로부터 생산되는 침해대응 정보, 네트워크나 엔드 포인트 단의 보안개발 및 구현 정보 등을 컨설팅에 반영해 보안 흐름에 선제 대응할 수 있다”고 말했다. 안철수연구소 개인정보보호 컨설팅은 고객사의 개인정보보호 현황을 진단하고 개인정보를 관리하는 프로세스, 보관 및 이용하는 물적·인적 자원, 국내 개인정보보호와 관련된 법령, 제도 등을 고려해 수행된다. 주로 개인정보 관리체계 구축, 개인정보 영향평가, 개인정보보호관리체계(PIMS) 인증, 개인정보 인식변화관리 컨설팅과 개인정보관리 자문, 개인정보 침해 진단 및 대응, 개인정보 솔루션 통합, 개인정보 매니지드 프라이버시 케어 서비스들로 구성되어 있다. 이는 기업 주요 정보에 대해 관리적·물리적·기술적 보호 아키텍처를 수립하고 정보보호관리 도메인에 대한 ‘PLAN-DO-CHECK-ACT’라는 관리과정을 통해 지속적으로 개선·유지하는데 발판이 된다. 방 본부장은 “대내외 직원들에 대한 취약점 요인을 분석하고 해킹과 스파이웨어 등에 의한 개인정보 유출 요인을 분석해 개인정보수집, 이용·보관, 파기 등의 관리 프로세스를 분석한 후 KISA ISMS, ISO27001 등을 적용한 개인정보보호 지침을 마련해 내부통제 수립을 강화할 수 있다”고 덧붙였다. 특히 보안 SI 역량을 결합시켜 컨설팅과의 시너지 효과를 기대할 수 있으며 개인정보 특화 관제 서비스를 기반으로 한 매니지드 개인정보 케어 서비스는 관제와 컨설팅을 결합해 보안 비용 부담을 줄여 중소기업에 적합하다는 의견이다. 최근 안철수연구소 내 컨설팅 사업에 대한 중요성이 경영자 층에 인식되면서 내부 중심이 되는 사업으로 자리잡아감과 동시에 통합보안에 대한 원활한 원스탑 서비스를 지원한다는 방침이다. 에이쓰리시큐리티 - “개인정보 수집 최소화부터 이뤄져야” 에이쓰리시큐리티는 오랜 기간 보안컨설팅 전문기업으로 명성을 쌓아온 기업이다. 설립 이후 정보보호 컨설팅 분야에만 집중해왔던 에이쓰리시큐리티는 컨설팅 사업을 중심으로 관련 솔루션까지 제공하는 형태로 사업 다각화를 모색하고 있다. 한재호 대표는 “보안컨설팅과 시스템, 관제를 연계해 보다 체계적인 SI 서비스 경쟁력을 한층 강화할 계획으로 약 50억 원의 매출을 목표로 하고 있으며 공공 부문을 주축으로 보안관제 사업을 강화함과 동시에 개인정보보호법 계도 기간 종료에 따라 서비스 공급에 더욱 박차를 가할 예정”이라고 말했다. 에이쓰리시큐리티의 사업은 크게 정보보안 컨설팅과 정보보안 관리시스템(알파인더), 정보보안 관제서비스(이지스), 정보보안 SI 서비스, 정보보안 교육서비스 등의 카테고리로 분류된다. 한 대표는 “정보보안 컨설팅은 전산시스템과 네트워크 등 모든 정보자산과 조직에 일어날 수 있는 위험을 분석해 이에 대한 대책을 제시하는 전문 자문서비스이며 국내 1호 컨설팅 기업으로 정보보안 컨설팅 전문 업체, 개인정보 영향 평가기관, 정보보호 안전진단 수행기관, PCI 감사기관으로 지정돼 있다”며 “정보보안 관리시스템인 알파인더는 내부 역량강화 및 기술투자를 통해 위험관리시스템 시리즈를 개발했으며 에이쓰리시큐리티 일본 지사 설립과 함께 현재 일본어 버전 개발이 완료단계에 있어 해외 진출을 모색하고 있다”고 설명했다. 보안관제서비스인 이지스는 SIEM 기반 솔루션을 통해 별도의 에이전트 없이 로그의 수집과 저장으로 무결성을 지원하며 이벤트 상관부석 수행을 통해 최적화된 관리서비스를 제공한다. 한 대표는 또 “고객사 정보보안에 대한 위험 요소를 분석해 가장 최적의 솔루션을 구축하는 맞춤형 서비스를 제공하기 위해 다양한 정보보안 서비스와 연계해 수준 높은 SI 서비스를 제공한다”며 “정보보안 서비스 공급자로서 수준 높은 전문 지식과 체계적인 교육 시스템을 중심으로 기업 고객 대상 보안교육 서비스를 제공 중이다”라고 전했다. 한편 에이쓰리시큐리티는 정보 유출시 피해를 최소화하기 위해서는 무분별한 개인정보 수집의 최소화와 법령 근거 없이 주민번호 등의 민감 정보를 처리하거나 목적 외 이용을 자제할 것을 당부했다. 또한 개인정보 파일을 DB 암호화 등 안전한 방법으로 보관하고 용도나 기간이 만료된 정보를 파기해야 함과 동시에 고객정보와 관련된 온라인 회원가입, 상담내용 등 처리 시 법안 준수 여부를 면밀히 확인할 필요가 있다고 밝혔다.