IT인프라에 대한 보안 컨설팅을 주요 먹거리로 삼던 정보보호컨설팅 시대가 저물고 있다.
대신 기업의 다양한 시스템 안에 분리돼 존재하는 특정 데이터를 보호하는 ‘데이터 라이프 사이클’ 보안컨설팅 시대가 개막됐다.
또한 기업이 시스템을 구축할 때 초기 기획 단계부터 운영단계까지 시스템 구축 단계 마다 보안 컨설팅을 참여시키는 정보보호컨설팅이 화두로 떠올랐다.
종래의 정보보호컨설팅은 시스템 구축 후 보안 취약점을 점검하는 식으로 진행됐다.
예를 들면 웜, DDoS 등 취약점 외부로 공격을 받을 경우 이를 보완하기 위해 보안컨설팅을 진행하고, 이에 대한 대책을 세우는 식이었다.
또한 내부자에 의한 정보 유출이 발생하거나, 발생이 가능한 경우를 대비해 이를 방지하기 위해 보안 컨설팅을 진행하고, 관련 솔루션을 도입해 취약점을 보완하는 경우도 많았다.
그러나 이 같은 ‘사후약방문’ 식의 정보보호컨설팅은 안하는 것보단 낫지만, 몇 가지 치명적인 문제점을 갖고 있다.
먼저 안정적인 서비스를 제공하는데 문제가 발생할 수 있다는 지적이다.
정보보호 전문업체인 인포섹의
또한 취약점을 적절히 해결하는 데도 어려움을 겪을 수 있다.
웹 보안 전문업체인 트리니티소프트의
이외에도 시스템을 구축한 후 취약점을 보완하는 형식은 상대적으로 막대한 비용이 들어간다는 지적도 있다.
이런 문제점을 극복하기 위해 기업이 시스템을 구축할 때, 설계부터 구축, 테스트, 운영까지 단계 마다 보안 컨설팅을 개입시키는, 시스템의 생명주기를 감안한 정보보호컨설팅이 최근 각광받고 있다.
예를 들면 이 같은 라이프사이클 관점에서 진행되는 정보보호컨설팅은 시스템 설계 단계에서 인증, 인가, 암호화, 로깅 등의 요건들을 고려해 보안요구사항을 정의하고, 이에 따른 시스템 설계가 이뤄지도록 한다.
또한 구축 단계에선 시스템의 개별 컴포넌트들이 보안 요건을 반영하고 있는지 등에 대한 점검을 하며, 개발 모듈 단위에 대한 소스와 해당 시스템의 진단과 모의해킹 등을 진행한다.
테스트 단계에선 시스템 구축 초기 만들어 놨던 보안 점검 사항들이 구축된 시스템에 잘 반영됐는지 등을 점검하는 작업이 이뤄진다.