국내정보보안컨설팅의종류와사례소개 - 인포섹 보안연구센터이사홍진기 2001년 7월 1일부터시행된 정보통신기반보호법 의재정과함께국내정보보안컨설팅시장이활성화된이래로벌써 7년째의세월이흘러가고있다. 모의해킹과같은기술적보안진단에초점이되어해킹위협으로부터주요정보자산을보호하고자시작되던정보보안컨설팅이이제는정보통신기반보호법, 개인정보보호기본법 ( 안 ), SOX, BAZEL-II와같은 Compliance 측면에서기업의법 / 제도적준수를위한체계수립컨설팅에서부터, ISO27001, KISA/ISMS와같은국내외정보보호관리체계인증을준비하고획득하기위한컨설팅도있으며, 현재는기업의비즈니스에서정보보안이차지하는비중이날로커져가면서기업내에서의효과적관리를도모하기위하여기업내부통제또는내부정보유출방지와더불어 Security Governance가이슈가될정도로많은발전을거듭하면서정보보안컨설팅의종류도또한다양해지고있다. 이번호부터는이렇게다양해진국내정보보안컨설팅의유형들을알아보고특이할만한정보보안컨설팅의사례를다음호부터하나씩소개하도록하겠다. 이렇게함으로써, 정보보안컨설팅을접한지얼마되지않거나관심만을가지고있는사람들에게는간접적인경험이될것이며, 많은컨설팅경험을해온컨설턴트들에게는서로간의장, 단점을비교할만한자료가될뿐만아니라고객사의입장이라면, 향후어떤정보보안컨설팅을고려해볼지에대한참고자료로써도움이될것으로짐작된다. 국내정보보안컨설팅유형의분류관점 최근모기관의요청으로국내정보보안컨설팅의유형과종류에대한소개를위한자료 를작성한적이있었는데, 다양한관점에서그유형과종류를소개하면서전체를아우를 수있도록아래와같은 3가지관점에서접근하게되었었다. 구분 내용 Security Drivers 기업이나기관에서정보보안을고려하게되는동기를크게 Security 관점 Threat, Compliance, Biz-Requirements, Biz-Opportunities로나눠볼때, 각 4가지의동기에따른보안컨설팅이있을수있겠다. Enterprise Security Architecture 관점 지난 정보보호컨설팅뉴스레터 (SECON) 2007-01호 에서언급한 전사적정보보안아키텍처수립방법과사례 에서소개된전사적정보보 안프로그램을구성하는세부아키텍처들하나하나가정보보안컨설 팅의주제가된다. Industry 관점 고객사가속해있는산업군의속성에따라서다양한주제를갖는 1
구분 내용 정보보안컨설팅이요구되는경우가종종있다. Security Drivers 관점 Enterprise Security Architecture 관점 정보보안컨설팅서비스유형분류 Industry 관점 Security Drivers 관점의정보보안컨설팅앞에서소개한 4가지의 Security Drivers에따라수행되는정보보안컨설팅을통해달성하고자하는목적이틀려지기마련이므로, 그유형을나눠봄으로써정보보안의요구사항이어떻게바뀌어가고있는지에대한동향을파악하는데도움을줄수있겠다. 즉, 정보보안컨설팅에서다루는주요이슈가무엇이고점차어떻게바뀌고있느냐에의미가있다고보겠다. 현재필자가속해있는인포섹 에서그동안수행해온정보보안컨설팅의이슈별기준으로정보보안컨설팅실적을분류해보면아래그래프와같이파악된다. ( 단일컨설팅수행에이슈중복허용하여파악한결과임 ) 정보보호전문업체의실적에따라약간씩은다르겠지만, 아래그래프가보여주는몇가지특이한시사점을파악해볼수있겠다. A. 내부정보유출방지가이슈가되었던컨설팅이상당히많이차지하고있으며, 최근접하는컨설팅관련문의사항과고객사들의제안요청사항의세부내용을보면향후에도지속적으로늘어날이슈인것으로예상된다. 또한, 이러한목적의컨설팅들은관련솔루션도입을위한 ISP 컨설팅의성격을띄는경우가많기때문에, 기존의단순한컨설팅의산출결과보다는세부적인 Implementation Architecture 설계까지를요구하는경우가많다. B. 주요정보통신기반시설에대한컨설팅이슈가적은것은정보통신기반보호법이발효된초기보다는많은부분이제도적의미가퇴색된이유도있다고판단되며, 다년간의컨 2
설팅을받아오던기업이나기관의경우에는기반시설취약점분석및평가와더불어각종주요정보시스템들에대한정기적인취약점진단등을포함하여년간계약의형태로사업을발주하는경우가많은것이특징이다. 최근주요정보통신기반보호시설의범위확충과제도적개선을시도하고있는상황이어서기존의지지부진하던신규시설선정등에박차를가함으로써좀더많은기회가전문업체들에게주어질것으로예상된다. C. 개인정보보호컨설팅은이제대부분의종합컨설팅의경우이이슈를포함하는경우가많으며기존의 IT소속에서주관하여사업이이뤄지기보다는 CRM과같은현업에서주관이되어기업비즈니스와밀접하게진행되는추세를보이고있다. D. 인식변화관리컨설팅은단순한전달방식의교육에서점차변화관리의차원으로사업의대상과깊이가깊어져가고있는추세이다. 필자의경우에는지난 2004년초에, 전사를대상으로정보보안인식제고를위한변화관리프로젝트를수행한있으며다양한채널과다양한기법을이용하여 Change Target별효과적인인식제고를시도하고변화를관리하기위한마스터플랜을수립하는사업의경우기존의 IT 컨설팅에서솔루션도입과함께이뤄지던사업형태가정보보안으로까지확대되면서그효과가상당히좋을것으로예상된다. 특히, 일반사용자들의업무프로세스에변화를주는 Client 솔루션도입이나정보보안의인식을혁신적으로제고하고자하는경우에는그효과가크기때문에내부정보유출방지체계수립이나차세대시스템구축과같은장기적인프로젝트에서효과적이겠다. E. 최근금융권에서이뤄지고있는해외영업점에 ( 또는지점 ) 대한보안점검이차세대구축으로인한금융권정보시스템의처리속도가해외로까지 Real-time처리가많아지고, 해외영업점수의증가에따라, 열악한환경에서운영되고있는해외영업점은각종 3
Security Threat에대한대비도중요하지만, 해당국가의금융감독기관의감독정책및규정에따른 Compliance도중요한이슈로등장하고있어서점차적여타은행들도이를준비하고있는상황이다. F. 특정 Security Threat에대한컨설팅사례로써는모 telco사의네트워크보안개선컨설팅프로젝트를들수가있겠다. 기존의장비보안점검또는보안솔루션위주의컨설팅이아니라네트워크상의구조적개선을주요목적으로했던사업으로써, telco사의복잡하게얽힌네트워크구조상의보안문제를집어보고세부적인개선방안을수립하는것이주요내용이었다. 대부분의 telco사들이급속하게늘어나는네트워크서비스에따라짜집기식으로확장해나가다보니공통적으로가지는고질적인문제점으로인하여쉽게건들이지못하는다양한문제점들을정형화된틀을가지고접근을했었던사업이었으며, 현재제시된계획에따라점차적으로구조적개선과더불어필요한장비들을 Step-by-step으로진행하고있다. 향후, 일반보안과통신보안을통합하고자할때필요한자산평가및관리에대한이슈, 그룹보안점검이나감사를위한모의해킹진단이슈, 권한관리솔루션도입을위한권한설계이슈, VoIP서비스도입에따른각종보안위협에대한대응체계수립과같은특정이슈를중심으로보안컨설팅을요청하는경우가많을것으로예상되며이를위하여보안컨설턴트들도해당분야의지속적인스터디와테스트가필요할것으로판단된다. Enterprise Security Architecture 관점의정보보안컨설팅전사적정보보안프로그램수립을위한컨설팅도있겠지만, 이러한프로그램을구성하는전사보안아키텍처의각서브아키텍처들이또한개별단위수준의정보보안컨설팅으로이뤄질수도있겠다. 예를들면, 최근 IT Governance와함께대두되고있는 Information Security Governance 체계수립을위한컨설팅도대규모조직또는인수. 합병되는기업을대상으로조만간활성화가될것으로짐작된다. 왼쪽그림에서와같이 Program Management Layer, governance layer, Architecture Layer, Operation Layer 등과각세부아키텍처에대한부분이모두정보보안컨설팅사업의주제가될수있으며, Operation Layer에존재하는보안점검과같은경우는정기적으로이뤄져야하는속성에따라주요정보시스템을대상으로하는정기적보안점검이그사례가되며, 일반적으로금융권에 4
서이뤄지는보안성심의업무와같은것은 Security Governance에포함시키는 Risk Management의일부분으로볼수있겠다. 한가지안타까운것은, 최근 53개공공기관을대상으로이뤄지고있는 ITA법 ( 정보시스템의효율적도입및운영등에관한법률 ) 에서도정보보안컨설팅시장이열릴것으로기대하였으나 ITA에서정보보안아키텍처의중요성에대한인식이상당히낮은탓으로인하여정보보안부문은문서작성이라는형식적인수준으로만제출되고있는것이현실이어서기대수준보다는훨씬작은시장수준으로파악되고있다. Industry 관점의정보보안컨설팅비교적많은시장점유율을차지하고있으며, 필자가속해있는회사에서산업군별정보보안컨설팅수행실적을조사해본결과, 횟수관점에서, 대형포털, 쇼핑몰, ISP, IDC와같은서비스산업군이가장많았던것으로분석되었다. 이현상은 2005년도 정보통신망이용촉진및정보보호등에관한법률 의개정을통해 정보보호안전진단 제도도입이영향이컸던것으로파악된다. 한국표준산업분류기준으로나눠진 20개산업군에따른정보보안컨설팅의현재수요현 황과 Security Drivers 관점의구분을해보면아래표와같이판단할수있다. ( 단, 본표 의내용은공식적으로파악된내용은아님 ) No. 구분 ( 한국표준산업분류 ) 컨설팅 Security Drivers 관점수요 Sec-T Comp Biz-R Biz-O 1 농업및임업 X 2 어업 X 3 광업 X 4 제조업 O O O O 5 전기, 가스및구도사업 O O O O O 6 건설업 O O O O 7 도매및소매업 O O O O O 8 숙박및음식점업 O O O O 9 운수업 O O O O O 10 통신업 O O O O O 11 금융, 보험업 O O O O O 12 부동산및임대업 X 13 사업서비스업 X 14 공공행정, 국방및사화보장행정 O O O O O 5
No. 구분 ( 한국표준산업분류 ) 컨설팅 Security Drivers 관점 수요 Sec-T Comp Biz-R Biz-O 15 교육서비스업 O O O O 16 보건및사회복지사업 O O O O O 17 오락, 문화및운동관련사업 O O O O O 18 기타공공, 수리및개인서비스업 X 19 가사서비스업 X 20 국제및외국기관 O O O O O (Sec-T: Security Threat/ Comp: Compliance/ Biz-R: Business Requirements/ Biz-O: Business Opportunities) 위의표에따라짐작할수있는몇가지시사점은아래와같다. A. 현재까지는컨설팅수요가나타나지않고있는산업군들에대해서는점차적으로정보보안에대한인식수준과법 / 제도적장치가마련될필요가있다. 최근 4조원의거대시장으로파악되고있는대리운전사업과같이다량의개인정보를보유및서비스하고있는사업자, 개인의재산정보와부동산정보를보유하고있는부동산및임대업, 서비스산업활성화에따른사업서비스업등도점차적인확대산업군의대상으로볼수있겠다. B. 숙박및음식점업의경우에는, 롯데그룹의계열사인롯데삼강, SK그룹계열사인워커힐호텔등과같이그룹보안컨설팅에서그룹사의일환으로써주요정보자산에대한보안컨설팅과숙박서비스를받는고객에대한개인정보보호등을주제로컨설팅이이뤄지는경우가대부분이며, 건설업의경우에는공공기관또는대형건설업체정도에서정보보안컨설팅을발주하는경우가현재의주소이다. C. 병원과같은보건및사회복지사업에서도보건복지부에서추진하고있는 `건강정보보호및관리운영에관한법률 ( 안 )' 이시행되면 EMR과같은정보화가많이진전되어있는대형병원들이정보보안컨설팅수요가있을것으로예상되며, 이미여러가지이슈로인하여종합컨설팅을받은바있는대형병원의경우, 점차적인보안수준향상을위해꾸준한노력을시도하고있다. D. 건설업, 제조업, 숙박및음식점업과같은경우에는정보보안에대한특별한법 / 제도가존재하지않기때문에별도의예산을확보해가면서정보보안을고려하기는힘든상황이지만엄청난고가의장비를이용하는건설업이나제조업의경우침해사고에따른피해정도가상당히클것으로예상되며숙박및음식점업과같은경우에는고객의다양한정보를악용한사고사례는비즈니스에직접적인악영향을줄수도있는연관성을가지고있으므로이에대한법. 제도적규제를기반으로점차적인유도가필요하다고하겠다. 6
E. 오락, 문화및운동관련사업의경우에는게임산업활성화와더불어발생하고있는역기능으로개인정보유출관련소송사례와같은사고로인하여정보보안이이슈로등장하고있으며, 주민등록번호유출이중국과같은외국으로까지유출및도용되는사고, 게임프로그램소스가국외로유출되는사고등이국가적인이슈로까지확대되고있는상황이어서지속적인컨설팅시장이형성및유지될것으로예상된다. 글을마치며다음호부터는위에서언급하였던정보보안컨설팅의특정사례에대하여어떤목적으로사업이시작되었으며해당사업의특징적인부분과더불어주요수행내용은무엇이었고, 어떤이슈들이있었는지소개하는시간을갖도록하겠다. 7