[보안] 정보보안의 분야 - 4 (컨설팅)

4. 컨설팅

A 보안 회사의 솔루션 개발 팀이 좋은 솔루션을 만들었다고 가정하자.

그리고 이 솔루션을 잘 관제하고 관리해줄 팀도 있다고 하자.

이렇게 잘 만들 솔루션과 인력이 충분히 있는데

A보안 회사에 수입이 발생하지 않고 있다면?!

A 보안 회사가 수입을 발생시키기 위해서는

솔루션과 인력을 배치하기 위한 '컨설팅'을 진행해야 한다!

 

아무리 솔루션을 잘 만들었다고 해도

아무리 감각 좋은 관제사가 있다고 해도

보안 회사에서 컨설팅을 잘 못하면 무용지물이다.

그만큼 보안회사의 수입과 직결되는 부분이라 볼 수 있다.

 

정보보호 컨설팅의 개념

 

위에서 얘기한 개념으로 컨설팅을 이해해보자면

어디에 솔루션을 설치해야 하는지

어느 부분에 관제 서비스가 필요한지

확인하고 설계해주는 업무라고 볼 수 있다.

 

그러나 이렇게 단순하게만 볼 분야가 아니다.

실제로는 지켜야할 법률들도 많고

회사마다 사용하는 솔루션도 다르고

관제 서비스가 필요한 부분도 다르기 때문이다.

또한 관제 서비스를 제공받는다고 할 지라도

인력을 파견하는 파견 관제의 형태인지

보안회사에서 원격으로 관제하는 원격관제인지

고객사와의 협의도 필요한 부분이다.

 

그렇기 때문에 관련하여 상당히 전문적인 지식을 요하고

고객사와의 만남도 잦기 때문에 의사소통 능력도 필수다.

정보보호 관련 법률에 대해서도 숙지하고 있어야 하고

최신 보안 이슈에도 언제나 관심을 가지고 인지해야 한다.

어떻게 보면은 보안회사의 마케팅 분야라고 볼 수도 있지 않을까?

 

정보보안 컨설팅에 대해서 더 자세히 알아보자.

먼저 정보보호 컨설팅이 필요한 이유는

보안이 필요한 회사가 어떻게 보안을 설계해야 할 지 잘 모르기 때문이다.

고객사에 어떤 부분에 어떤 솔루션이 필요한지 잘 모르고

또한 정보보호 법률에 대해서도 잘 모르는 경우가 빈번하다.

그리고 일정 기준의 회사는 KISA의 ISMS 인증 또한 받아야 한다.

그렇기 때문에 잘 아는 전문가에게 의뢰를 맡기는 것이 컨설팅이라고 할 수 있다.

 

일반적으로는 회사가 설립될 때 보안 컨설팅이 진행되고 나면

실제로 더 할 일이 없다고 생각할 수 있겠지만

회사가 일정 규모 이상 커진다던가 사업을 늘린다던가

새로 보안 시스템을 구축해야할 필요가 생기는 경우도 있고

사람들의 정보를 다루기에 안전하다고 정보보안 인증을 필요로 하기도 한다.

그렇기 때문에 자사의 보안 점검을 받고 싶어한다던가

혹은 심사, 인증이 필요하거나 자사 규정을 세우고 싶은 회사들이

정보보안 컨설팅의 주 고객이라 할 수 있겠다.

 

정보보호 컨설팅의 과정

 

보통의 정보보호 컨설팅 과정에 대해서 말해보자면

첫번째로는 '환경분석'이다.

고객사에서 요구하는 보안 수준이나 목표라던가

고객사의 경영정보 등을 파악하는 단계이다.

 

두번째 단계는 '자산분석 및 위협분석'이다.

고객사의 자산들을 파악하고 자산의 중요도를 평가하며

기술적 취약점 및 위험분석을 진행하는 단계이다.

 

세번째 단계는 '보안대책 수립'이다.

어느 부분에 어떤 솔루션을 적용할지 결정하고

관제가 필요한 부분을 설정하기도 한다.

고객사별 보안 정책을 수립하기도 하고

보안 운영에 대한 문서를 작성하기도 하는 등

실질적으로 보안이 운영되는데 필요한 부분 전반을 설정하는 단계이다.

 

그리고 마지막 단계는 '점검 및 사후관리'이다.

실제 업무에 지장이 없는 범위에서

보안이 잘 이루어지고 있는지 점검하고 관리하는

유지보수의 단계라고 생각하면 되겠다.

 

위의 네 단계는 실제로 업무가 돌아가는 형태를 보고

내 나름대로 정리를 해본거라 틀릴 수 있지만

각 정보보안 회사마다 컨설팅 진행 절차가 존재한다는 점!

(컨설팅이 필요한 회사는 정보보안 회사에 연락해서

미팅을 가지고 어떻게 보안을 구축하는지 충분히 들어보시길!)

 

여튼 실제 컨설팅 업무에 일하는 사람들을 보면

컨설팅을 진행하는 도중에는 휴가도 못쓰고 바삐 일하지만

컨설팅을 진행하던 회사에서 컨설팅이 끝나면

그동안 못쓰던 휴가를 몰아서 써버리기 때문에

보통을 2,3주 길면 막 한달씩 휴가를 가기도 한다.

(이런 점 때문에 컨설팅을 하시는 분도 있겠지?!)

 

여튼 정보보안 회사의 수입을 만들어줄 수단

정보보호 컨설팅에 대해서 알아보았다.

 

 

※내용에 대한 지적이나 댓글은 언제나 환영입니다.