보안컨설팅의 이해
1. 보안 컨설팅 정의
보안 컨설팅은 소프트웨어, 컴퓨터 시스템 및 네트워크의 취약성을 평가한 다음 해당 조직의 요구에 맞는 최상의 보안 솔루션을 설계하고 구현하는 것.
전문 보안 지식을 바탕으로 다양한 사이버 위협에서 기업 자산을 보호하는 서비스이다.
컨설턴트들이 공격자와 피해자의 역할을 모두 수행하며 취약성을 찾아 잠재적으로 악용하도록 요청받는다.
컨설턴트들은 현재 기업의 정보보호수준을 기업 전체를 대상으로 평가하고 그 다음에 그 기업에 맞는 정보보호 계획을 수립하는 절차를 수행한다. 보안 컨설팅은 해당 기업의 보안 수준 평가와 계획수립에 도움을 준다.2001년 7월 1일 부터 시행된 정보통신기반보호법의 제정과 함께 국내 정보보안 컨설팅 시장이 활성화 되기 시작했다.
모의해킹과 같은 기술적 보안진단에 초점이 되어 해킹 위협으로부터 주용 정보자산을 보호하고자 시작된 정보보안 컨설팅이 이제는 해킹 위협으로부터 주요 정보자산을 보호하고자 시작되던 정보보안 컨설팅이 이제는
정보통신기반 보호법, 개인정보보호법, SOX, BAZEL-II와 같은 Compliance 측면에서 기업의 법/제도적 준수를 위한 체계수립 컨설팅에서부터 ISO27001, KISA/ISMS와 같은 국내외 정보보호관리체계인증을 준비하고 획득하기 위한 컨설팅으로 폭이 넓어짐.
보안은 기업의 자산, 인적자원, 정보 등이 어떤 의도되거나 인위적으로 조작된 불안전성이나 위험으로부터 상대적으로 예상가능한 안전한 상태나 상황을 유지하는 활동으로 정의된다.
컨설팅은 조직의 목적을 달성하는데 있어서 경영 • 업무상의 문제점을 해결하고 새로운 기회를 발견 • 포착하고, 학습을 촉진하며, 변화를 실현하는 관리자와 조직을 지원하는 독립적 자문서비스를 말한다. 그러므로 보안 컨설팅은 보안업무 추친을 지원하는 자문서비스 활동이라고 말할 수 있다.
목적
보안 컨설팅의 목적은 크게 네 가지로 상정할 수 있다. 조직의 목표 달성, 경영상의 문제 해결, 변화의 실행 및 학습의 증대 등이 있다.
먼저, 조직의 목표를 달성하는데 있어 전산시스템과 네트워크 등의 정보기술 자산과 조직에 일어날 수 있는 위험과 취약점을 분석하고 이에 대한 대책을 수립함으로써 관리자와 조직이 그 대책을 실현할 수 있도록 지원할 수 있으며, 궁극적으로 고객의 가치를 증진시키는데 기여할 수 있다.
둘째, 경영자 등 의사결정권자가 보안과 관련하여 당면한 문제를 올바르게 해결할 수 있도록 지원할 수 있다.
문제는 반드시 이루어져야할 바람직한 상태와 현재 상태와의 차이를 의미하며 보안컨설팅은 보안 경영의 다양한 분야에 관련된 문제들을 확인하고 이를 해결하기 위한 전문적인 도움을 제공하는 것.셋째, 현재의 치열한 시장환경 속에서 기업이 성장 • 발전하기 위해서는 컨설팅 결과를 구현하는 과정이나 컨설팅 결과를 정리해 나가는 단계에서 구성원과 조직의 성공적인 변화를 관리하고 우도할 필요가 있다. 보안 컨설팅은 고객 조직으로 하여금 변화를 이해시키고 변화와 함께 생활하며 생존을 위해 지속적인 변화를 성공적으로 수행할 수 있도록 지원하는 것이다.
마지막으로 고객 조직과 임직원들이 그들 스스로를 위해 자신이 조직을 더욱 잘 운영해 나갈 수 있도록 교육 시킬 수 있다.
내용
① 기능
사이버 공격은 정부 데이터베이스, 금융 기관 네트워크 또는 개인용 컴퓨터를 겨냥하든 관계없이 매년 막대한 시간과 비용 손실을 초래한다.
예를 들어 해커가 신용카드 회사의 네트워크에 침입하면 몇 분 만에 수백만 달러의 손실이 발생할수 있다. 민감한 군사 정보는 잘못된 손에 있을 때 매우 위험할 수 있다.
아주 작은 기업이라도 고객의 데이터를 안전하게 유지하여 브랜드를 보호해야 한다. IT 보안 컨설팅은 소프트웨어, 컴퓨터 시스템 및 네트워크의 취약성을 평가한 다음 조직의 요구에 맞는 최상의 보안솔루션을 설계하고 구현해준다.
