[지디넷코리아]
정부가 정보보호 관리체계 인증(ISMS), 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)에 대한 강화 중심의 개편을 추진하고 있는 만큼 주요 정보보호 전문서비스 기업들은 대체로 수요가 늘어날 것으로 예상하고 있다. 실제 기존 고객사들을 중심으로 문의가 이어지고 있으며, 개편 내용이 확정되면 늘어날 수요에 선제적으로 대비하고 있는 모양새다.
정보보호 전문서비스 기업들은 주요 정보통신시설이나 전자금융 시설에 대한 취약점 분석·평가가 가능하도록 과학기술정보통신부(과기정통부가) 지정한 기업으로, 지난해 하반기 기준 총 29곳이다.
가장 먼저 정보보호 전문서비스 기업으로 지정된 기업 중 하나인 안랩은 ISMS 인증 개편 관련으로 3가지 핵심을 짚으며, 정보보안 컨설팅 수요가 늘어날 것으로 예상했다.
안랩이 제시한 3가지 ISMS 관련 컨설팅 수요 증가 배경은 ▲ISMS에서 ISMS-P로의 전환 및 의무 대상의 전방위적 확대 ▲기술 심사 중심의 고도화와 ‘예비 심사제 도입’ ▲사후 관리 및 제재 규정 강화에 따른 상시 거버넌스 수요 등을 꼽았다.
안랩 관계자는 “ISMS 인증의 제도적 강제성과 기술 심사 강화로 인해 정보보안 컨설팅 수요의 실질적인 확대가 예상된다”며 “2025년 하반기부터 구체화된 인증 제도 개편은 단순한 기준 변경을 넘어 국내 보안 시장의 체질 개선을 유도하고 있으며, 특히 주요 ISMS 인증 기업들의 ISMS-P로의 전환과 신규 의무 대상자의 유입이 맞물려 컨설팅 수요가 지속될 전망”이라고 진단했다.
구체적으로 안랩은 최근 개인정보 보호의 중요성 증대와 규제 강화에 따라 ISMS-P로 통합 인증을 받으려는 수요가 늘어날 것으로 봤다. 대형 온라인 플랫폼, 통신사, 주요 공공 시스템 대상으로만 의무화됐던 ISMS 인증이 이번 제도 개편으로 의무 대상이 대폭 확대될 것이라는 전망에 기반한 분석이다.
안랩은 정부가 2026년 하반기까지 인증 완료를 목표로 설정함에 따라, 신규 인증 획득 및 ISMS-P 전환을 위한 전략적 갭(GAP) 분석 컨설팅 수요가 집중되고 있다고 밝혔다.
아울러 실무적인 기술 보안 수준을 입증해야 하는 구조로 개편될 전망이 나온 만큼, 기업 스스로 준비하기에는 기술적 한계가 명확하기 때문에 전문 기술력을 보유한 컨설팅 기업에 대한 의존도는 높아질 수밖에 없다고 봤다.
인증을 획득하는 것뿐 아니라 유지 및 관리 차원에서도 높은 난이도가 요구되기 때문에 컨설팅 기업은 더욱 집중 수혜를 누릴 거라는 전망도 나왔다.
안랩 관계자는 “이제 기업들은 일회성 인증 취득 프로젝트가 아니라, 상시적 보안 수준을 유지하기 위한 ‘관리형 컨설팅’과 ‘보안 거버넌스 체계 고도화’ 서비스를 필수로 선택하게 될 것”이라며 “개인정보 유출 사고 발생 시 즉각적인 ‘특별 사후심사’가 시행되며, 중대 결함 시 인증을 즉시 취소하는 ‘원스트라이크 아웃(One-Strike Out)제’ 도입이 유력하기 때문”이라고 밝혔다.
라온시큐어는 정부가 ISMS 인증을 모의해킹, 취약점 진단 등을 강화하려는 움직임을 보인 데에 방점을 뒀다.
라온시큐어 관계자는 “라온시큐어는 ISMS 인증 획득 지원 관련으로 2012년부터 컨설팅 사업을 계속해왔다”며 “정부가 ISMS 인증 획등 의무 대상을 확대하게 된다면 컨설팅 수요는 높아질 것으로 예상해 대비하고 있다”고 밝혔다.
그는 “정부가 최근 화이트해커의 역량이 필요한 모의해킹, 취약점 진단 등을 중심으로 ISMS 인증 심사 과정을 강화한다는 개편안을 발표했는데, 그만큼 ISMS 인증 컨설팅과 화이트해킹은 뗄 수 없는 관계”라며 “정부의 개편 이후 라온시큐어의 화이트햇센터가 제공하는 프리미엄 모의해킹 등을 중심으로 사업을 강화하고 고객사의 인증 획득을 보다 수월하게 돕는 역할을 할 것”이라고 말했다.
라온시큐어는 ISMS 구축 및 인증지원 컨설팅 서비스를 제공하고 있다. ISMS-P, ISO27001 등 다양한 인증의 획득 및 유지관리를 지원한다. 이번 인증 개편 관련, ISMS 인증과 관련해 라온시큐어 산하의 화이트햇센터와 유기적 연계를 통한 서비스 강화에 주력하고 있다.
특히 라온시큐어는 세계 최고 수준의 신뢰할 수 있는 화이트해커가 실제와 동일한 방식으로 모의해킹을 진행하는 ‘프리미엄 모의해킹’ 서비스를 운영하고 있는 만큼, 인증 획득 과정은 물론 실제 고객사의 발생 가능한 해킹 이슈를 사전에 탐지할 수 있도록 돕는다.
이글루코퍼레이션(이글루)은 아직까지 보안 컨설팅에 대한 수요 증가가 숫자로 드러나지는 않았지만, 문의가 늘어나면서 실제 수요 확산이 체감되고 있다고 밝혔다.
이글루 관계자는 “이글루는 오래 전부터 컨설팅 사업을 해왔고, 뛰어난 보안 관제 역량을 기반으로 전문성도 업계에서 우위를 점하고 있다”며 “최근 컨설팅 관련으로 문의가 눈에 띄게 늘었는데, 매출에서 눈에 띌 정도로 증가량이 나타나진 않는다”고 설명했다.
이 관계자는 이어 “처음으로 ISMS 인증을 획득하려는 일부 고객사들이 이글루의 고유 역량이나 기존 레퍼런스를 보고 유입되는 경우가 많다”며 “기존 고객사는 물론 신규 고객사에 대해서도 차별화된 서비스를 제공할 것”이라고 밝혔다.
이글루는 ‘IGAM(IGLOO Corporation Assessment Methodology)’ 방법론을 통해 정보보호 컨설팅 서비스를 제공하고 있다. IGAM은 다수의 프로젝트 수행에 적용돼 검즌된 방법론으로, 프로젝트의 특성에 따라 유연한 구성이 가능하다는 것이 장점이다.
이에 현업에 즉시 적용할 수 있도록 태스크(Task)별 모듈화 방식을 적용한 컨설팅 방법론 및 벙보보호 수준 강화를 위한 서비스를 제공하고 있다.
수산아이앤티는 최근에 정보보호 전문서비스 기업으로 지정된 기업으로, 제로트러스트(Zero Trust), 국가 망보안 체계(N2SF), 공급망 보안 등 최신 보안 트렌드를 컨설팅 방법론에 반영해 서비스를 제공하고 있다.
수산아이앤티는 “정부의 ISMS 강화 개편에 따라 컨설팅 수요가 양적·질적으로 모두 크게 성장할 것으로 확신하고 있다. 최근 정부의 ISMS 및 ISMS-P 인증 제도 개편 방향은 단순한 ‘인증 취득’을 넘어, ‘공급망 보안’과 클라우드, 인공지능(AI) 등 신기술 환경까지 검증 범위를 확대하는 추세”라며 “이에 따라 기존 ISMS 인증 의무 기업뿐 아니라 이들과 협업하는 중소·중견 기업들까지 보안 체계 수립의 필요성이 확대되고 있다”고 진단했다.
이에 수산아이앤티는 기업들은 단순한 규제 준수를 넘어 복잡해진 IT 환경에서 실질적인 리스크 관리 차원에서 컨설팅 의뢰 수요가 증가할 것으로 전망했다.
수산아이앤티 관계자는 “정부의 보안 강화 개편 움직임에 따라 회사의 보안 컨설팅 방법론을 고도화하는 중에 있다”며 “최신 보안 트렌드를 컨설팅 방법론에 반영하는 것은 물론, 컨설팅 조직의 전문성을 강화하기 위해 기술 부문의 전문 보안 컨설턴트를 계속해서 채용하고 있다”고 밝혔다.
그는 이어 “수산아이앤티는 ‘솔루션 개발 노하우를 활용한 통합 보안 컨설팅’을 지향하고 있다”며 “일반적인 컨설팅 전문 기업은 관리적·물리적 점검에 강한 반면, 기술적 취약점 조치에는 한계를 보일 때가 있다. 하지만 수산아이앤티는 27년 이상 네트워크 보안 및 데이터 보안 솔루션을 직접 개발·공급해 온 독보적인 기술력을 보유하고 있으며, 이를 기반으로 단순히 문제점을 지적하는 문서 위주의 컨설팅이 아닌 기술적 조치 방안까지 ‘원스톱’으로 제시할 수 있다는 차별점을 갖고 있다”고 설명했다.
수산아이앤티는 공공·금융·민간 부문에서 1천800곳 이상의 다양한 산업군에서 축적한 풍부한 레퍼런스를 기반으로 향후 정부의 ISMS 개편에도 발빠르게 대응할 방침이다.
윈스테크넷은 ISMS 인증 개편으로 인해 늘어날 수요 예상과 관련해서는 개편 내용이 확정되지 않았기 때문에 신중한 입장을 견지하면서도, 새로 나온 내용은 곧바로 컨설팅 사업에 반영해 준비하고 있다.
윈스테크넷 관계자는 “ISMS 인증 획득 지원 관련 컨설팅 사업 부문에서 장기간의 노하우를 축적한 고급 수행 인력을 윈스테크넷은 확보하고 있다”며 “정보통신·금융기반 시설 취약점 가이드라인이 발표될 때에도 업데이트되는 내용들을 계속해서 컨설팅 사업에 반영하면서 준비하고 있다”고 설명했다.
다만 그는 “ISMS 개편 내용이 방향성은 잡혔지만, 구체적인 심사 항목이나 기준이 발표된 것이 없기 때문에 본격적인 사업 강화 전략이 수립되지는 않았다”면서도 “하지만 구체적인 심사 항목이나 새롭게 발표되는 ISMS 관련 사항이 발표된다면 사업 역량을 강화할 준비는 언제든지 마친 상태”라고 밝혔다.
윈스테크넷의 경우와 같이 정부의 ISMS 개편 관련 내용이 확정되지는 않았기 때문에 아직 ‘준비단계’에 머문 기업들도 적지 않다.
먼저 파수 관계자는 “보안 컨설팅 분야는 특별한 변화 없이 늘 꾸준하게 문의가 있는 분야”라며 “ISMS 인증 개편 방향이 확정되지 않아 뚜렷한 사업 확대 계획은 세워지지 않았다. 정보보호 컨설팅과 달리 국가지정 정보보호 전문 서비스 기업이 아니어도 컨설팅 제공이 가능하다 보니, 업체가 너무 많고 가격 경쟁이 심해 파수는 주력 시장으로 인식하고 있지 않다”고 밝혔다.
또 SK쉴더스 역시 “정부의 ISMS 제도 개편 등의 상황을 살펴보고 있다”면서도 “아직은 제도 개편 관련 필요한 준비를 검토 중”이라고 설명했다.
파이오링크 관계자는 “현재까지는 기존 고객사들이 ISMS 인증이 강화되는 것과 관련해 요구 수준에 대한 질문이 많아진 정도”라며 “아직까지는 ISMS 인증 개편 시 보호 요건을 충족하는지 여부에 대해 꼼꼼히 체크하는 문의가 많아졌다”고 말했다.
반면 전문가들은 ISMS 인증 요건이 강화될 전망이 나오는 만큼 컨설팅업체 수요는 증가할 것으로 예상했다.
이용준 극동대 해킹보안학과 교수는 “ISMS-P 제도를 정부가 강화하는 경우 기업이 확대되고 실효성을 높이기 위해 기술적 조치로 취약성 분석이 강화될 것으로 예상된다”며 “이에 ISMS-P 컨설팅업체 수요도 증가할 것이며 특히 양적 증가 보다는 취약점 점검 기술적 역량을 갖춘 컨설팅업체 여부가 중요해 져야 ISMS-P 실효성이 높아 질 것”이라고 설명했다.
이 교수는 “현재 과기정통부에서 지정하는 정보보호 서비스 전문기업 25년 기준 29개로 신규 보안컨설팅 기업 증가와 추가 정보보호 서비스 전문기업 추가 지정이 필요할 것으로 보인다”며 “향후 ISMP-P 강화로 보안컨설팅 시장 확장과 검증된 기술이 입증된 보안컨설팅 기업으로 보안 분야에 전반적인 강화 대책으로 기대된다”고 밝혔다.