2020-07-14 08:40 (화)
“보안컨설팅 기업, 국가에 기여하는 바 크다”
상태바
“보안컨설팅 기업, 국가에 기여하는 바 크다”
  • 길민권
  • 승인 2011.12.28 15:44
이 기사를 공유합니다

[인터뷰] 한재호 에이쓰리시큐리티 대표
컨설팅 인력 다방면 진출…보안향상과 산업 발전에 큰 기여
비즈니스에 도움되는 효율적 보안 중요…임직원 보안교육 시급
“기존 보안컨설팅 위주에서 에이쓰리시큐리티는 SI로 전환해 관제도 추가했고 보안시스템 구축도 하고 있다. 올해는 신규 사업 셋업에 주력했고 내녀부터는 사업부서별로 성과가 나올 것이라 기대한다.”
 
한재호 대표를 만나 에이쓰리시큐리티 올해 성과와 내년 목표 그리고 올해 보안사고에 대한 이런저런 이야기를 나눴다.
 
연말은 보안컨설팅 업체들에게 있어 숨가쁜 시간이다. 에이쓰리시큐리티도 국내 보안컨설팅 대표기업인 만큼 모든 컨설턴트들이 현장에 나가 분주히 움직이고 있는 연말을 맞고 있었다. 특히 개인정보보호법 시행으로 개인정보보호 컨설팅 문의가 대폭 늘어난 상황이라고 한다.
 
또 기업들이 시스템 구축시 보안성검토를 필수적인 절차로 인식하고 있어 시스템 오픈 전 보안성 검사 및 취약성 진단을 받겠다는 문의도 크게 늘어났다. 한재호 대표는 이 부분을 높게 평가하고 기업들의 보안 성숙도가 점차 올라가고 있다고 평했다.
 
◇산업군별 차별화된 보안컨설팅 노하우=특히 에이쓰리시큐리티의 힘은 신입사원에 대한 교육에 있다. 신입 IT인력들을 수급해 능력있는 보안컨설턴트로 양성해 내고 이것을 에이쓰리시큐리티의 역량으로 돌려 선순환구조를 만들어가고 있는 점이다. 
 
보안컨설팅에 대한 기업들의 인식 변화가 어느정도 성숙해 졌나 물었다. 한 대표는 “일부 고객은 아직 컨설팅이란 말을 좋아하지 않는다. 기존 경영컨설팅에 대한 부정적 인식 때문이다. 모호한 답만을 준다는 인식, 기업 현실에 맞지 않는 정형화된 제안만 하는 것으로 인식돼 컨설팅이라는 말보다는 취약점 점검이라는 말을 선호하고 있다”며 “보안컨설팅은 실제로 기업의 취약한 정보보안 체계를 찾아내고 가능한 위협에 대해 진단하며 명확한 해결책을 제시해주는 것이기 때문”이라고 설명했다.
 
에이쓰리시큐리티의 보안컨설팅 차별화 요소는 무엇일까. 한 대표는 “컨설턴트들에 대한 지속적인 교육”이라고 답했다. 일반 컨설턴트-선임-책임-수석 등 직급별로 거기에 맞는 교육이수과정이 사내에 마련돼 있다. 특히 그동안의 경험으로 축적된 기업들의 실제 컨설팅 데이터를 바탕으로 산업 직군별로 어떤 컨설팅을 해야 하는지 직원들에게 교육하고 있다”며 “단순 교과서적인 교육이 아니라 실무에서 나온 경험을 바탕으로 컨설턴트 교육이 이루어지고 그것이 실제 컨설팅시에 반영되고 있다는 점이 가장 큰 차별화 요소”라고 말했다.
 
또 “보안컨설팅은 경험이 무엇보다 중요하다. 산업군별로 특징이 있기 때문에 전혀 다른 직군에 동일한 보안컨설팅을 적용하는 것은 안된다”며 “그동안 축적된 경험이 에이쓰리시큐리티 보안컨설팅의 가장 큰 장점”이라고 덧붙였다.
 
◇컨설팅 인력, 공공과 기업에 진출…긍정적=컨설턴트 인력문제도 거론됐다. 한 대표는 “현재 수석급은 많은데 중간급이 부족하다. 중간 과장급 인력들이 갑으로 이동하는 경우가 많다. 몇 년간 키운 인력이 갑으로 가면 인력손실이 있긴 하지만 그 고객사가 에이쓰리시큐리티의 미래 고객이 될 가능성이 크다는 점에서 장점도 있다”고 견해를 밝혔다.
 
특히 그는 “보안산업이 성장하고 있고 중요성도 커지고 있다. 기업은 보안에 투자해야 하는 상황에 직면해 있고 그래서 보안관리를 전담할 사람이 필요하다. 이때 관리자는 솔루션 개발자나 해커출신으로는 한계가 있다”며 “관리자는 큰 그림을 그리고 그것을 실천할 수 있는 사람이어야 한다. 그래서 컨설턴트들이 헤드헌터의 타깃이 되고 있다”고 설명했다.
 
또 “지금 당장 컨설턴트가 갑으로 가면 어려움은 있지만 장기적으로 보면 회사에 도움이 되는 측면이 크다. 보안컨설팅 회사가 사회에 기여하는 중요한 요소중 하나”라며 “컨설턴트들이 갑으로 가서 기업의 보안현황을 제대로 진단하고 무엇이 필요한지 경영진에 제대로 제안할 수 있다. 이를 통해 국내 보안현실은 업그레이드되고 보안산업도 이들의 활약으로 더욱 성장할 수 있을 것이다. 그런 의미에서 보안컨설팅 업체가 사회에 중요한 역할을 하고 있다고 생각한다”고 밝혔다.
 
◇효율적 보안과 보안교육의 중요성=올해 유독 많이 발생했던 대형 보안사고에 대한 한 대표의 생각도 들어봤다. 그는 “보안사고는 크게 두가지 측면에서 발생한다. 외부 해킹과 내부자의 고의 혹은 부주의에 의한 사고발생 두가지”라며 “이를 솔루션으로만 막으려고 해서 문제가 생긴다. 사실 기업에서 보안은 주가 아니다. 비즈니스를 안전하게 하는데 서포팅역할을 하는 것이다. 너무 과도한 예방적 통제로 인해 CEO입장에서는 비즈니스에 방해가 된다고 생각하고 보안투자를 안해버린다. 직원들도 불만만 토로한다”고 지적했다.
 
“이런 상황에서 보안프로세스가 제대로 작동할까. 우리나라는 효과는 높지만 업무효율성이 떨어지는 예방적 통제에 너무 매달린다. 그 보다는 비즈니스가 원활하게 흘러가면서 모니터링 통제 방식으로 회사에서 내가 하는 일을 알고 있다는 인식만 주면 내부자에 의한 보안사고는 크게 개선될 것”이라며 “또 해킹사고 예방도 솔루션이 필요하지만 내부로 유입되는 데이터와 나가는 데이터들에 대한 모니터링 체계만 철저히 해두면 상당부분 차단할 수 있다. 또 가장 중요한 것은 직원 교육이다. 회사에서 모니터링을 왜 하는지 그것이 회사 비즈니스에 왜 필요한지 교육을 통해 이해시키고 인식시켜야 외부와 내부의 보안사고를 막을 수 있고 보안효율성도 높아진다”고 강조했다.
 
한 대표는 임직원 보안교육이 가장 중요하다고 강조했다. “보안장비와 인력에 대한 투자도 중요하지만 보안교육이 병행되어야 한다”며 “보통 기업에서 보안은 보안담당자들만 하고 있는 것이 현실이다. 보안시스템 구축이나 프로세스가 바뀌면 전 직원이 알아야 하는데 그렇지 못한 기업이 대부분이다. 직원들이 왜 보안을 해야하는지 취지를 공감하는 것과 그렇지 못한 경우의 보안 성과는 전혀 다르다. 공유하고 인식을 같이 하는 것이 무엇보다 중요하다. 교육사업을 시작한 이유도 여기에 있다”고 강조했다.
 
실제로 에이쓰리티시큐리티는 올해 공공기관을 중심으로 보안교육을 많이 해 왔다. 또 기업 임직원 대상 교육 프로그램도 자체 제작해 기업 교육도 계속 진행하고 있으며 반응도 좋다고 말한다.
 
더불어 “기술적으로는 외부에서 들어오는 것만 막고 있다. 공격이 내부에서 첨부파일 형태로 들어와 내부에서 백도어 형태로 열어주는 형태로 당하고 있다”며 “내부 사용자들이 그것을 인식하고 예방해야 하고 보안솔루션도 밖으로 나가는 패킷을 필터링하는데 주력해야 한다”고 조언했다.
 
에이쓰리시큐리티 서비스와 제품은 어떤 것들이 있을까 정리해봤다.  
◇정보보호컨설팅 서비스=A3SECURITY는 10여 년 전 모의해킹 서비스와 함께 국내 최초의 정보보안컨설팅 기업으로 시작하여 기술의 고도화와 서비스의 다각화에 앞장 서 왔으며, 현재는 개인정보보호컨설팅, 정보보호마스터플랜, 주요정보통신 기반시설 취약점진단, 정보보호안전진단, ISO27001/ISMS 인증 컨설팅, PCI DSS 감사 등 다양한 정보보안컨설팅을 제공하고 있다. 현재까지 약 1,000개 달하는 정보보안 컨설팅 프로젝트를 수행했다.  
 
◇전사적 정보보호관리시스템/RFinder(알파인더)=RFinder시스템은 보안관리자를 포함한 조직의 임직원들에게 보다 효율적이고 편리한 보안 운영 및 관리 환경을 제공한다. 보안성 검토, 개인정보영향평가, ISO27001, 정보보안 통합모니터링, One-Stop 서비스 등을 제공하며 기능별 구축이 가능하다. 국내 주요 통신사, 금융권, 공공기관 등에 성공적으로 구축되었다.
 
◇정보보호관제서비스/AEGIS(이지스)=AEGIS는 SIEM(Security Information & Event Management) 기술을 통하여 서버나 네트워크 장비, 애플리케이션, 보안장비 등 기업에서 운영 중인 각종 시스템에서 발생하는 로그와 이벤트 정보를 수집해 중앙 집중적으로 관리, 분석, 보고하는 기능을 제공한다.
 
특히 점점 중요해지고 있는 무선보안 분야의 관제 서비스를 함께 제공하며, 기존의 보안 컨설팅 및 관리시스템과 접목하여 보다 체계적이고 포괄적인 서비스 구현이 가능하다. 현재 대규모 통신사 및 공공기관 등에 공급되고 있다.
 
◇정보보안 교육=조직 내 CSO/CISO, 보안관리자, 전사 임직원 등 세부 대상 별로 양질의 동영상을 포함하여 다양한 교육 컨텐츠를 제공한다. 또한 A3아카데미를 통해 보안 전문가 과정, 취업과정 등을 운영하고 있다.
 
한재호 대표는 “지난해 론칭한 관제사업의 공급증가와 올해 론칭한 교육사업으로 2011년도 매출은 약 100억 원 정도 될 것으로 예측되고 있다”며 “2012년도에는 신규 론칭한 서비스의 공급 강화를 통해 150억의 매출을 목표로 하고 있다”고 밝혔다.
[데일리시큐=길민권 기자]