IT인프라에 대한 보안 컨설팅을 주요 먹거리로 삼던 정보보호컨설팅 시대가 저물고 있다.

대신 기업의 다양한 시스템 안에 분리돼 존재하는 특정 데이터를 보호하는 ‘데이터 라이프 사이클’ 보안컨설팅 시대가 개막됐다.

또한 기업이 시스템을 구축할 때 초기 기획 단계부터 운영단계까지 시스템 구축 단계 마다 보안 컨설팅을 참여시키는 정보보호컨설팅이 화두로 떠올랐다.

종래의 정보보호컨설팅은 시스템 구축 후 보안 취약점을 점검하는 식으로 진행됐다.

예를 들면 웜, DDoS 등 취약점 외부로 공격을 받을 경우 이를 보완하기 위해 보안컨설팅을 진행하고, 이에 대한 대책을 세우는 식이었다. 

또한 내부자에 의한 정보 유출이 발생하거나, 발생이 가능한 경우를 대비해 이를 방지하기 위해 보안 컨설팅을 진행하고, 관련 솔루션을 도입해 취약점을 보완하는 경우도 많았다.

그러나 이 같은 ‘사후약방문’ 식의 정보보호컨설팅은 안하는 것보단 낫지만, 몇 가지 치명적인 문제점을 갖고 있다.

먼저 안정적인 서비스를 제공하는데 문제가 발생할 수 있다는 지적이다.

정보보호 전문업체인 인포섹의 윤원석 보안컨설팅 사업본부장은 “시스템을 구축한 후 정보보호컨설팅을 진행하는 경우, 취약점을 찾거나 이를 보완하기 위해 운영 중인 시스템을 중단시켜야 하는 경우가 종종 발생한다”며 이럴 경우 서비스 제공에 차질을 빗게 된다고 설명했다.

또한 취약점을 적절히 해결하는 데도 어려움을 겪을 수 있다.

웹 보안 전문업체인 트리니티소프트의 김진수 사장은 “취약점을 발견해도 불요불급한 경우 취약점을 보안하지 못하는 경우가 있다”며 “즉, 취약점을 그냥 놔둔 상태에서 시스템을 운영하기 때문에 관련 공격이 발생했을 경우 대책 마련을 마련하는 것이 어렵게 된다”고 밝혔다.

이외에도 시스템을 구축한 후 취약점을 보완하는 형식은 상대적으로 막대한 비용이 들어간다는 지적도 있다.

윤원석 인포섹 본부장은 “기업의 전산시스템은 다양한 취약점에 노출돼 있다”며 “보안문제가 발생할 때마다, 혹은 문제를 보완해야 하는 필요성을 느낄 때마다, 정보보호컨설팅을 진행하고, 필요한 조취를 취하는 작업은 기업에게 막대한 비용 부담을 안겨준다”고 설명했다.

이런 문제점을 극복하기 위해 기업이 시스템을 구축할 때, 설계부터 구축, 테스트, 운영까지 단계 마다 보안 컨설팅을 개입시키는, 시스템의 생명주기를 감안한 정보보호컨설팅이 최근 각광받고 있다.

예를 들면 이 같은 라이프사이클 관점에서 진행되는 정보보호컨설팅은 시스템 설계 단계에서 인증, 인가, 암호화, 로깅 등의 요건들을 고려해 보안요구사항을 정의하고, 이에 따른 시스템 설계가 이뤄지도록 한다.

또한 구축 단계에선 시스템의 개별 컴포넌트들이 보안 요건을 반영하고 있는지 등에 대한 점검을 하며, 개발 모듈 단위에 대한 소스와 해당 시스템의 진단과 모의해킹 등을 진행한다.

테스트 단계에선 시스템 구축 초기 만들어 놨던 보안 점검 사항들이 구축된 시스템에 잘 반영됐는지 등을 점검하는 작업이 이뤄진다.

윤원석 본부장은 “SK텔레콤, SK에너지, 농협, 국민은행 등이 설계부터 운영까지의 정보보호컨설팅을 수행한 기업들”이라며 “향후 이 같은 라이프사이클 관점에서의 보안컨설팅을 진행하는 고객들이 더욱 많아질 것”으로 전망했다.