엔시스가 바라보는 컨설팅(Consulting)이란?

Security Consulting 2009. 7. 23. 13:34

반응형

우리는 흔히 컨설팅(Consulting)이란 표현을 많이 사용합니다. '보안컨설팅', '자산컨설팅','경영컨설팅'등등...하지만 실제로 제대로 컨설팅 하는 사람은 많지 않다는 느낌을 가지는 것은 왜일까요?

                                                        <이미지출처:  여기 >

엔시스가 나름대로 생각하는 컨설팅을 가상 시나리오를 통해 한번 생각해 보았습니다.


어느날 한 학생이 질문을 합니다.

학생: " 저... 저는 보안컨설팅을 하고 싶습니다" " 보안컨설팅을 하려면 어떻게 하면 될까요?"

엔시스: 잠시 고민에 빠졌다가 이렇게 답해 주었습니다.

           "컨설팅이란 아무것도 모르는 사람이 어떤 대안을 찾고자 의뢰를 해 왔을때 우린 그 사람이 
            컨설턴트가 제시하는 대안 중에서 최적의 대안을 선택하게 끔 제시해 줄수 있는 능력" 
            이라고 말합니다.



컨설팅이란 말은 많이 하지만 컨설팅에 대한 명확한 정의(define)가 없다면 컨설팅을 해 줄 수 없는 것이겠지요. 이런 사례들은 주변에서 흔히 많이 볼 수 있습니다. 어느날 갑자기 한 고객이 이렇게 말합니다.

고객:  " 제가 사업을 이제 시작하려고 하는데 웹사이트가 하나 필요합니다. 그에 따른 비용과 어떤것
           이 필요한지 컨설팅 좀 하려구요"

컨설턴트: " 아..그래요? 그런데 사업을 어떻게 하시려는 것이죠. 조금 구체적으로 말씀해 주시죠?"

고객: " 처음이라 저도 잘 모르고 그냥 일반적인 수준이나 향후 성장성을 보아 적절한 수준에서 시작
          하려구요"

컨설턴트: "그러시군요.. 사실 웹사이트는 돈 많이주면 잘 만들어 주고 서버도 돈만 많으면 좋은거
               쓸수 있지요..결국 비용이 문제입니다."

혹시 여러분은 이렇게 응대 하지는 않습니까?  고객이 어떤 것을 컨설팅을 받고 싶어 하는 것은 잘 모르기 때문입니다. 이렇게 이야기 하면 고객은 어떤 감정을 느낄까요? 아마도 이러겠지요..

" 왜 이래 ~~ 아마추어 같이"

그렇습니다. 스스로 프로라고 느낀다면 그렇게 이야기 해서는 안됩니다. 아마도 이렇게 답변 하면 어떨까요? 

고객:  " 제가 사업을 이제 시작하려고 하는데 웹사이트가 하나 필요합니다. 그에 따른 비용과 어떤것
           이 필요한지 컨설팅 좀 하려구요"
엔시스:   " 아..그래요? 그런데 사업을 어떻게 하시려는 것이죠. 조금 구체적으로 말씀해 주시죠?"

엔시스: 우선 두가지 방안이 있습니다. 1안은 서버 한대에 웹사이트와 각종 데이터를 모두 관리
           할수 있게 하는 방법으로 비용은 약 달에 서버 운용비만 30만원 정도 나갑니다. 그리고 
           웹사이트는 중소기업용에 맞게끔 제작 한다면 약 50 -100만원 수준으로 맞출수 있습니다.
           
           2안은 조금 더 효율적인 방법으로 향후 기업성장성을 고려하여 미리 웹사이트를 분리하여 
            몇대에 나누어 운용관리를 할수 있으며 비용은 서버 운용비만 60만원
           이 되고 웹사이트 제작은 향후  유지보수를 생각하여 200만원 정도 들어가겠습니
           다.

           1안과 2안을 한번 고려해 보시고, 최적의 답을 찾을 수 있도록 도와드릴테니 더 필요한 사항 
           이 있으시면 말씀해 주시면 친절하게 안내해 드리겠습니다.



그렇습니다. 명확하게 대안을 제시를 하고 선택을 고객이 잘 할 수 있도록  대안을 잘 제시해 주는 것이 컨설팅이라 생각을 합니다.

한참 돌아 왔습니다만, 절대 웃고 넘길 일이 아닙니다,. 주변에서 이런일이 비일비재  많고 실재 필자도 그 황당한 경우가 있기에 당했기에 더욱 잘 알고 있습니다,. 특히 이런 말은 절대 조심하여 사용하여야 합니다.

" 고객분이 원하시는 대로 해 드리겠습니다"  " 어떻게 원하시죠? "

이것은 정석이 아니지요. 원하는대로 다 해 줄 수도 없거니와 그 원하는 것을 알것 같으면 컨설팅 안 받겠죠..자신이 스스로 알아서 하지 왜 비싼 돈 주고 컨설팅 받을까요. 잘못된 착각에서 빠져 나와야 합니다.

필자는 이러한 생각을 화두(頭)만 던져 봅니다. 이것은 하나의 예에 불과 하지만 많은 사람과 사람을 응대하면서 여러가지 대안을 제시할때에는 한번 더 컨설팅이란 개념은 상기하면 좋겠지요..응용은 여러분들이 알아서 하셔야 겠지요. 혹시 다른 좋은 생각들이 있으시면 댓글 달아 주시기 바랍니다. 전 피드백을 좋아합니다..  @엔시스.

반응형

'Security Consulting' 카테고리의 다른 글

2009년 세계보안소프트웨어 시장 8% 성장 - 가트너 발표  (0) 2009.09.22
KISA에서 배포하는 컨설팅 뉴스레터  (1) 2009.08.03
정보보호 컨설팅 뉴스레터 -KISA제공  (0) 2008.12.08
정보보호컨설팅 뉴스레터 10월호 -KISA배포  (0) 2008.11.18
정보보호 컨설팅 뉴스  (0) 2008.11.03
,

[칼럼-90] 7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언

Lecture&Column 2009. 7. 20. 07:02

반응형

필자는 두렵다. 그것은 또 '보안'이라는 것이 '정보보호'라는 것이 사람들 관심에서 사라질것이라는 것 때문이다. 그럼 현실을 냉정하게 바라보고 미래에 대응할수 있는 방법에 대하여 살펴보도록 하자.

국내에서도 보안전문가들이 많이 있다.  실무에서 여러가지 체험을 하면서 노력하는 분들도 있고 학계에서 선도하시는 분들 그리고 이제 막 이러한 이슈가 터질때마다 국민적 이슈로 부상을 하기에 미래 장미빛 청사진을 가지고 이제 막 공부를 시작하는 분들도 있다. 필자는 커뮤니티를 운영하면서 이러한 질문을 상당히 많이 받는다. 어떻게 하면 보안전문가가 될수 있는지..과연 필자가 그런 답을 할만한 위치에 있는지 또는 그런 정도에 실력은 보유하고 있는지..하지만 늘 그런 고민을 하면서 필자라도 그렇게 하지 않으면 아무도 하지 않을꺼 같아 비록 부족하고 그릇도 안되지만 필자 역량에 맞게 조언을 해 준다. 이제 보안에 대한 시각을 바로 가져 보도록 하기 위한 몇가지 제언을 해 보고자 한다.

1. CEO가 보안에 관심을 가지고 실천을 해야

이러한 몸소 실천을 제일 잘 하고 있는 분이 바로 안랩의 김홍선 대표이다. '김홍선의 IT와세상' 을 통하여 보안 1세대 답게 '소통'을 하고 있는 것이다. 김대표는 보안업계에서 잔뼈가 굵었기 때문에 무엇보다 보안 현실에 대하여 잘 알고 있다. 그러한 사항을 블로그를 통하여 솔직하게 소통을 하고 있는 것이다. 실로 진실되어 보인다. 자신의 얼굴을 걸고 이야기 하는 것이기에 다른 말을 할수 없는 것이다,. 그것은 필자가 블로그 메인에 얼굴을 걸고 하는 것이나 마찬가지일 것이다. 최근 화제가 된 글 몇개를 링크걸어 보겠다.
안철수연구소 CEO가 바라 본 DDoS 대란 (1)
안철수연구소 CEO가 바라본 DDoS 대란 (2) : DDoS 공격의 성격
3D 업무에 한숨짓는 보안인력의 현실 : 안철수연구소 CEO가 바라본 DDoS 대란 (3)

물론 국내에서 보안을 대표하는 안랩 CEO라서 그런게 아니라 그런 솔직한 마인드를 가지는게 중요한 것이다. 스스로 현실을 냉철하게 분석하게 이야기 할 사람이 몇이나 되겠는가? 그것도 국내 보안 대표CEO가.

대통령도 보안에 관심을 가져야 하고 조직에 장도 보안에 대하여 관심을 가져야 한다. 모르면 전문가의 조언을 들어서라도 들어야 한다.  조직의 장이 보안에 관심이 없으면 결국 스스로 자멸하는 길임을 꼭 기억을 하여야 한다.

국내에서 일어나는 사건사고는 국내에서 어느정도 대한민국 국민으로 해결을 하면된다.하지만 국내 보안의식과 정보보호수준이 후진국이라서 미국이라든지 해외 나라로부터 사이트를 차단을 당하거나 미리 국내에서 차단을( 2009/07/16 - [Security Skill&Trend] - KISA, 어도비(adobe)社 웹사이트 일방적 차단 논란 )하게 된다면 이 얼마나 민망하고 얼굴 부끄러운 일인가? 세계12-13하는 경제국가가..이젠 정말 정신 차리자.

2.  법과 제도가 정비가 안되면 처벌할 법적근거가 없어

법에 대한 정비와 제도 운영도 미흡하긴 마찬가지이다. 이번엔 DDoS공격 때문에 이런저런 말들이 많았지만 지난해에는 개인정보보호 유출때문일때도 말이 많았다. 그때에도 사회적 이슈가되었지만 결국 처벌할 법적근거를 마련하지 못해 불기소처분이 되었다. 이렇듯 그때만 반짝하는 것은 이젠 일상화가 되어 버렸다. 17대 국회에서 '개인정보보호법'이 통과가 되지 못하였고 18대 국회에서도 '개인정보보호법'도 그 진척이 미진한 것 같다.  그러다가 이번에 DDoS공격을 당하고 나니 갑자기 예산을 200억편성을 하여 긴급 지원하겠다고 한다.  또한 '정보통신망 이용촉진 및 정보보호에 관한 법률 (일명 -망법)'의 개정에도 관심이 없는가 보다. 오죽하면 이런 광고도 냈을까 싶다. 2009/07/09 - [Security Skill&Trend] - '정보보호' 얼마나 급했으면 이런 광고까지.


3.  보안인력 양성과 개인들의 정보보호 인식제고에 힘써야

보안인력을 붕어빵처럼 찍어내라는 소리가 아니다. 우리나라는 '해커'라는 용어에 대해서는 관대하지 못하다. '해커'라고 하면 우선 왜곡된 시각으로 보고 사건이 터지고나면 이런 저런 대안을 봇물처럼 쏟아내곤한다. 여러가지 노력은 하고 있지만 아직까지 미흡한 것은 사실이다. 이러한 부분에 있어서 좋은 조언을 해 준 기사가 있어서 링크를 건다. http://www.boannews.com/media/view.asp?idx=17136&kind=0
요약을 해본다면
  • 부처별 정보보호과 신설
  • 청와대 국가사이버 총괄 코디네이터 필요
  • 국내 대학교에 정보보호학과 신설

민간이 아무리 주도적으로 하여도 국가기관에서 정책적으로 이루어지지 않으면 결국 스스로 포기하게 된다. 그것은 많은 수의 국내 대학에 '사이버경찰과'나 '정보보호학과'를 개설 하였다가 제대로 지원이 되지 않아 결국 학과를 통폐합 하는 경우도 있었다.  이러한 사항은 2009/04/29 - [Security Data] - 2008 정보보호 실태조사, 개인편 2009/04/29 - [Security Data] - 2008년 정보보호 실태조사, 기업편 에서도 알수 있으며 기업에 대한 현황은 2009/03/10 - [Security Statistics] - 2008 매출로 분석한 정보보호산업 현황 을 참고 하면 되겠다.


정보보호가 정보처리만도 못하는 현실은?  이젠 '처리'보단 '보호'를 해야 할때

흔히 우리는 전문가라고 한다면 관련 분야에 오랜동안 업무를 해오거나 전문가 반열에 올라서 관련 '자격증'을 취득 하였을때 인정을 한다. 늘 자격증이야기가 나오면 같이 등장하는것이 자격증 유무론에 대한 이야기인데 '자격증'이 있다고 해서 반드시 전문가는 아니다. 하지만 그 보안의 지식을 가늠하는 척도가 되거나 자격증 공부를 하면서 이론적 공부를 하게 되는 것이다. 그런 관점에서 본다면 다음과 같은 점을 개선 하였으면 한다.

  • 정보처리 - 국가기술자격증으로 노동부 산하 한국산업인력공단에서 관리를 하며 국가공공기관이나 지자체 각종 공무원시험과 공공기관 진출이나 통신업무를 하고 있는 것에 경력관련 척도로 사용이 되고 있어 해마다 많은 사람들이 시험에 응시를 하고 있다.  이것은 초창기 컴퓨터와 인터넷이 등장하면서 '정보'를 생산해 내기 위한 목적과 처리 하는 과정을 이해하기 위하여 마련된 자격증이라 생각을 한다. 하지만 지금은 '정보의 처리'는 물론이고 '보호'까지 해야 하는 시대로 발전이 되었다.  지금 집집마다 컴퓨터 보급이 되고 초고속 인터넷이 보급 된 만큼 '정보를 처리'하지 못하는 사람은  많지 않다. 각종 게임과 인터넷이 익숙한 학생들은 오피스와 워드를 쉽게 접하고 활용하는 것이다.
  • 정보보호 - 이젠 '정보를 처리'를 하는것도 중요하지만 '정보를 보호'하는 일이 더 크게 되었다. 누구나 정보를 생산,가공,처리,폐기를 할수 있는 능력을 가지고 있다. 하지만 그런 소중한 정보를 '보호'하는 데에는 아직도 인색하고 귀찮은 일로 생각을 한다. 이러한 부분을 일정한 자격제도로 운영을 하여 국가 기술로 인정을 해 주어야 한다.
  • SIS 국가기술자격 승격화 - 필자는 늘 이러한 부분을 제안하고 요청해 오고 있다. 또한 이러한 사항은 2009/01/18 - [Security Policy] - 지경부, 보안산업 강화를 위한 중기 계획 어떻게 이끌어 갈 것인가?  2009/05/09 - [Security Policy] - 공공·민간의 정보보호 종합대책 발표 - 2008.7.22
    에서 정부주도로 SIS 자격증을 국가기술 자격증으로 만들겠다고 발표를 하였다. 이제는 조금 더 앞당겨 이러한 분위기가 무르익었을때 논의를 해서 집행을 해야한다. 그것은 이러한 분위기가 사라지면 또 그 시점에 이슈에 밀려 흐지부지 되는것은 자명한 일이고 또 그렇게 되어 왔다. 하지만 이번만은 꼭 이루어지길 제안한다. 한 언론에 따르면 SIS자격증을 국가기술자격증으로 승격하려면 '노동부'소관이라 부처간 협조가 이루어져야 한다고 한다. 하지만 빨리 움직이길 바랄뿐이다. 그렇지 않으면 다음엔 또 관련부처가 DDoS공격을 당하거나 담당자가 문책을 당할 수도 있는 것이다.

SIS자격증이 국가기술자격증이 된다면

SIS자격증이 국가기술자격증이 되면 인센티브가 많이 부여가 될것이다., 우선 공무원 시험에 가점을 부여를 하고 그러면 많은 사람들이 자격증을 취득을 하게 되고 그러한 자격증이 있는 인력을 각 부처에 우선 배치하고 정보보호에 대한 업무를 담당하게 된다.  기존에 있던 공공에 대한 인력은 이러한 자격증을 취득 함으로 인하여 정보보호에 대한 인식도 높이고 승진 가점을 주어 '정보를 보호' 한다는 것이 얼마나 중요한 것인지를 같이 인식하게 만드는 선순환 구조를 만드는 것이다.

이러한 현상은 자연히 민간으로 가게 되어 각종 프로젝트시에 입찰 할땐 국가기술 자격증인 SIS 자격증 소지자를 기본 기준으로 하면 각 기업은 또한 이러한 공급을 위하여 정보보호 인력을 수요하게 된다.

 
4.  국정원이나 KISA는 블로그를 운영하여 '발빠른 소통'을 해야

각 정부 기관에서는 지금 블로그를 운영을 하고 있다. 하지만 아직까지 본질을 이해하면서 운영하기엔 많은 부분이 미흡하다. 이번 DDoS 공격 당시에도 민간 기업에 근무하는 연구원들이 자신의 블로그에 자세히 분석해서 기록 함으로 인하여 빠른 상황 전파를 할 수 있었다. 이렇듯 방통위에서 '두루누리'를 운영하고 있지만 아무런 반응이 없었고, 국정원에서도 그렇고, 사실, 공격에 대응하기 바쁘기 때문에 이러한 부분을 신경쓸 겨를이 없었겠지만 중요한 것은 쓰고 안쓰고를 이야기 하는 것이 아니라 그렇게 국민들에게 알려줄수 있는 '소통'의 공간이 없다는 것이다. 이러한 사항을 홈페이지 메인을 수시로 장식하면서 올리는 일도 사실 부담스러운 일이다.

따라서 가볍게 소통할수 있는 도구을 활용해 주고 '대국민요령'을 어떻게 대처해 주어야 하는지를 먼저 알려 줄수 있는 것이 공공기관이 할 일이고 대응해야 하는 것이다. 그래서 힘든 것이다. 국민은 내부 사정은 잘 모른다. 그냥 결과만 가지고 이야기 할 뿐이다. 그렇기 때문에 컨트롤 타워가 없었네 어떻네 이야기를 하는 것이다. 결국 고생은 고생대로 했지만 인정을 받지 못하는 것은 국민이 어떻게 대응하고 대처했는지를 모르기 떄문이다. 실시간으로 일어나는 일을 하나씩 알려 주면서 '위기관리'에 대처를 했다면 지금처럼 이야기 하지는 않을 것이다.

5. 국민 개개인도 제발 보안에 대한 인식을 가지길.

조직에서 일하던 사람도 집으로 돌아오면 하나의 '개인'이요. '국민'인 것이다. 개개인의 보안마인드가 되어있다면 조직에서도 잘 행동하고 실천하는 것이지만 그렇지 않으면 결국 조직이든 집이든 개인의 마인드 문제이다. 따라서 대 국민 보안의식 계몽을 위하여 필자가 나름대로 제안을 해 본다.

  • 매주 수요일은 최신 백신으로 내PC 점검 하는 날
  • 매달 15일은 운영체제 및 어플리케이션 업데이트 하는 날
  • 각 조직에서는 업데이트가 되지 않은 PC는 업데이트 후에 인터넷 접속 유도
  • 각 ISP에서 업데이트 되지 않은 PC에는 경고문을 보내어 업데이트를 유도
  • 대 국민 홍보를 각 방송과 언론을 통하여 계몽 운동을 할 것. (정보보호 홍보대사 활용)
  • 보안 솔루션 도입시 세제 감면과 각종 인센티브 제공
  • 패치와 업데이트, 백신으로 점검을 하면 인센티브 제공 (각종 보험료 20% 할인 -부족분은 정부에서 대납, 유명음식점,영화 관람권 20% 할인) - 안해서 그렇지 국민을 유도 하는 방법은 많음 이렇게 해서라도 대 국민 계몽을 펼치지 않으면 몇달 지나면 또 사람들 기억속에서 사라지는 보안의식.

 

마무리글

지금까지 3회에 걸쳐서 이번 7.7 DDoS 사태에 대하여 필자가 생각하는 것을 가감없이 한번 포스팅 해 보았다. 아는 이야기도 있고, 다소 황당한 제안일수도 있겠지만 누군가가 자꾸 이야기하고 공감하고 실천해 나가지 않으면 절대 이루어질수 없는 부분이기에 다소 무리를 해 보았다.  이글을 적는데에만에도 주말을 다 보냈다. 그만큼 필자는 마음이 절실한 것이다. 보안 업계가 힘들다고 외면하지 말고, 그렇다고 이제 막 입문 하고자 하는 사람들에게 미래의 청사진만 제시 하지도 말고 힘들지만 어렵지만 희망의 끈을 놓지 않고 한번 제대로 대한 민국이 '정보보호 후진국'이 아닌 '보안 선진국'으로 바꾸어 보고 싶다.  그리고 충분히 그럴 가능성도 있고 할 수도 있다. 다만 하지 않아서 못할 뿐이다.

다시 한번 부탁하건데 그냥 그들 만의 외침이라 절대 생각하지 말고 '내 건강 내가 지키듯이' '내 정도 내가 지킨다'는 마음으로 꼭 이글을 읽는 이들에게 부탁하고자 한다. 이제는 모르면 그냥 있는 것이 아니라 주변에 전문가에게 조언을 구하여 꼭 안전한 IT세상 만들기에 동참해 주었으면 하는 바램을 가져 본다. 필자가 알고 있는 말 중에 가슴에 와 닿는 말이 있어 마지막으로 적으면서 이 포스팅을 마감 하고자 한다.

아인슈타인은 이런 말을 했다고 한다. 개인적으로 가장 좋아 하는 말이기도 한다.

"같은 행동을 반복하고도 다른 결과를 원하고자 하는 사람은 정신병자나 마찬가지이다"

같은 사건사고를 되풀이 하지 않길 바라면서 이 글을 맺고자 한다.  @엔시스.

관련포스팅

 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS


반응형

'Lecture&Column' 카테고리의 다른 글

[칼럼-92] 정보보호 컨트롤 타워 없으면 같은일 또 당한다.  (5) 2009.07.31
[칼럼-91] 국회 전자투표, 대리투표는 안되는 줄 알았는데  (22) 2009.07.24
[칼럼-89] 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS  (4) 2009.07.19
[칼럼-88] 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?  (5) 2009.07.19
[인터뷰-4] 노컷뉴스 라디오 인터뷰 -DDoS관련  (10) 2009.07.12
,

티스토리툴바