[보안 101] 더보기 ▶

매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.
복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념부터 최신 이슈까지 차근차근 풀어갑니다.

보안이 알고 싶을 땐, 보안 101으로 시작해 보세요.
물음표를 느낌표로 바꾸는 여정을 이글루코퍼레이션이 함께합니다.

01. 왜 지금 ‘정보보호 컨설팅’인가?

디지털 전환과 함께 공격자가 노릴 만한 공격 표면(Attack Surface)이 확장되면서, 대한민국 내 주요 전자금융 및 정보통신기반시설, 공공·정부 기관, 산업 별 주요 기업을 대상으로 하는 정보보호 규제 역시 전반적으로 강화되고 있습니다. 단순한 규정 추가를 넘어, 책임 범위가 확대되고 사후 처벌이 강화되며 공급망까지 아울러 리스크를 관리하는 형태로 규제의 방향이 변하고 있는 추세입니다.

인증 통과 수단에서 핵심 경영 도구로 전환

정보보호 규제 준수는 시장에 진입하고 사업을 유지하기 위한 필수 조건입니다. 때문에 과거에는 인증 취득을 위한 일회성의 프로젝트로 ‘정보보호 컨설팅’을 인식하는 조직도 있었습니다.

[ 전자금융업 ]
전자금융감독규정, 금융보안원 가이드라인 준수 없이는 서비스 운영 불가

[ 주요 정보통신기반시설 ]
기반보호법에 따른 취약점 분석·평가 미이행 시 과태료 부과·지정 취소 가능

[ 공공·산업기반 분야 ]
조달·입찰 참여 시 ISMS/ISMS-P, 국가·국제 인증 보유 필수

[ 개인정보 처리 기업 ]
개인정보보호법 위반 시 과징금·형사처벌, 국외이전 제한 등 강력 제재 적용

그러나, 고도화된 사이버 위협이 조직의 흥망을 좌우할 수 있게 된 지금, ‘정보보호 컨설팅’은 조직의 리스크를 관리하고 시장 내 신뢰를 확보하기 위한 핵심 경영 도구로 자리 잡게 되었습니다. 인증 획득만으로는 빠르게 변화하는 위협과 규제 변화에 대응할 수 없으며, 인증 획득 과정에서 도출한 실행가능한 인사이트를 실제 운영 환경에 내재화하는 것이 더 중요하기 때문입니다.

이번 보안101에서는 핵심 경영 도구로 떠오른 ‘정보보호 컨설팅’의 개념과 발전 과정, 주요 서비스 영역을 하나씩 짚어보겠습니다.

02. 정보보호 컨설팅이란 무엇인가요?

‘정보보호 컨설팅’은 조직의 자산·업무·기술 환경에 대한 위협과 취약점 식별을 토대로, 조직에 부합하는 거버넌스와 프로세스, 기술과 인력 배치 방안을 설계하고 구현하는 전문 서비스입니다. 일정 규모 이상의 핵심 정보보호 중추 기업, 기관이 의무적으로 충족해야 하는 규제 준수는 물론, 조직을 노리는 리스크를 경감하고, 비즈니스 연속성을 유지하는 데 그 목적을 두고 있습니다.

‘정보보호 컨설팅’에 대한 관점의 변화를 이끈 주요 동인은 무엇일까요? 크게 ▲클라우드 전환과 ▲모바일·핀테크 확산, ▲개인정보보호 강화 흐름을 꼽을 수 있습니다.

[ 클라우드 전환 ]
조직의 인프라가 내부 구축(온프레미스)에서 클라우드로 이동하면서, 클라우드 거버넌스와 접근 통제, 데이터 주권까지 점검해야 하는 변화가 일어났습니다.

[ 모바일·핀테크 확산 ]
모바일 앱 중심의 금융 서비스 재편에 따라 새로운 취약점이 등장하면서, 금융보안 규제 준수는 물론 사용자 경험과 보안의 균형을 맞춰야 하는 과제에 직면하게 되었습니다.

[ 개인정보보호 강화 ]
개인정보와 연관된 규제 준수 실패가 막대한 금전 손실과 기업 평판 하락 리스크로 직결되면서, 동의서와 정책 점검을 넘어 데이터 수명 주기와 비식별 처리, 국외 이전 통제까지 컨설팅 범위가 확대되었습니다.

이러한 환경 변화를 반영하여 ‘정보보호 컨설팅’은 인증 취득을 위한 비용 요소가 아니라, 조직이 직면한 리스크를 최소화하고, 조직의 서비스 연속성과 자산 안정성을 확보하여 기업 신뢰도를 높이는 ‘핵심 가치’로 자리 잡게 되었습니다.

03. 대한민국 ‘정보보호 컨설팅’ 발전 과정

대한민국에서 ‘정보보호 컨설팅’은 언제부터 그 중요성이 부각되기 시작했을까요? 또한 어떻게 발전해 왔을까요? 2001년부터 현재까지 제도와 명칭의 변화를 짚어보겠습니다.

① 정보통신기반보호법에 따라 ‘정보보호 컨설팅 전문업체’ 지정 제도 신설 (2001) 2000년 대 초, 인터넷·정보통신망이 국가 기간산업과 공공·금융 서비스의 핵심 인프라로 자리 잡으면서, 이를 노리는 사이버 위협도 출현하게 되었습니다. 이에 대한민국 정부는 ‘정보통신기반보호법’을 토대로 ‘정보보호컨설팅 전문업체’ 지정 제도를 신설합니다. 주요 정보통신기반시설 (CII, Critical Infrastructure)와 중요 정보시스템의 취약점을 분석·평가할 수 있는 전문 업체를 국가 차원에서 지정하여 관리하기 시작한 것이지요. 법령상 ‘정보보호 컨설팅’이 공식 명칭으로 사용됩니다. ② ‘지식정보보안 컨설팅 전문업체의 지정 등에 관한 고시’ 전면 개정 (2009년 8월) 단순 네트워크·서버 중심의 IT 환경이 지식정보화 형태로 확장되면서, 정보보호 컨설팅 범위가 기존 정보통신기반시설에서 전자정부, 전자금융, 산업 전반으로 확대됩니다. 이에 따라, ‘정보보호 컨설팅 전문업체’에서 ‘지식정보보안 컨설팅 전문업체’로 지정업체의 명칭도 변경되었습니다. 지정·평가 기준 역시 수행 실적, 기술 인력 자격, 품질관리 체계를 포괄하는 형태로 구체화되는 변화가 있었습니다. ③ ‘정보보호산업의 진흥에 관한 법률’ 제정·시행 (2015년 12월) 정보보호를 단순 규제·보안 기능이 아닌 산업으로 육성하고자 하는 국가 전략에 따라, ‘정보보호산업진흥법’, ‘정보통신기반보호법’ 등에 산재된 정보보호 산업 규정이 통합된 ‘정보보호산업의 진흥에 관한 법률’이 2015년 12월 시행되었습니다. ‘정보보호 컨설팅’ 역시 컨설팅 외 취약점 진단, 모의 해킹, 보안 아키텍처 설계, 인증 획득 지원, 교육·훈련 등 전문 기업이 수행하는 종합 서비스 영역으로 정의되면서, 이때부터 ‘정보보호 전문서비스(컨설팅)’이 공식 명칭으로 자리 잡게 되었습니다. 업계 내 ‘정보보호 컨설팅’, ‘보안컨설팅’이라는 표현으로도 통용되고 있습니다.

2025년 9월 기준, 과학기술정보통신부 지정 ‘정보보호 전문서비스(컨설팅)’ 기업 자격을 획득한 곳은 이글루코퍼레이션을 포함해 총 29개 기업입니다. 정보보호 전문서비스 기업 지정 현황과 관련 자료는 한국인터넷진흥원(KISA)에서 운영하는 ‘정보보호산업진흥포털’ 내 정보보호 전문서비스 기업 안내 페이지에서 확인하실 수 있습니다.

04. 핵심 ‘정보보호 컨설팅’ 서비스 4대 영역

이제, 핵심 ‘정보보호 전문서비스(컨설팅)’ 영역에 대해 알아보겠습니다.

1) 기반시설 취약점 분석·평가(주요정보통신/전자금융 등)

『기반시설 취약점 분석·평가 정보보호 컨설팅』은 참가 기관의 전자금융기반시설, 주요정보통신기반시설 등에 대한 자산 분석, 취약성 분석 등을 통해 해당 시설의 전자적 위협 요인을 파악한 뒤, 위협요인에 대한 취약점을 식별하고 파급 영향을 분석하여 정보보호 대책 수립을 지원하는 서비스입니다.

[ 정보통신기반시설 ] 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 정보통신망 [ 주요 정보통신기반시설 ] 정보통신기반시설 중 규정된 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설 [ 전자금융기반시설 ] 전자금융거래에 이용되는 정보처리시스템 및 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣ 제2조제1항제1호에 따른 정보통신망 ▲자산 식별 및 분류, ▲정보 시스템과 웹 애플리케이션에 대한 취약점 진단, ▲위험도 분석을 주요 골자로 하여, 기반시설에 대한 기술적, 관리적, 물리적 보안 취약점 진단이 이뤄집니다. 해당 시설에 대한 사이버 공격이 성공할 시에는 국가 안보와 국민 안전과 직결되는 피해가 발생할 수 있습니다. 때문에, 진단 계획 수립부터, 현황 분석 및 점검 대상 분석, 취약점 점검, 점검 결과 위험도 분석, 보안 대책 제시 및 이행 점검까지 아우르는 검증된 기반시설 컨설팅 수행 방법론이 반드시 뒷받침되어야 합니다.

2) 기술적 보안취약점 진단(정보시스템, 웹/앱, 모의해킹, 소스코드)

『기술적 보안 취약점 진단 정보보호 컨설팅』은 조직이 운영하고 있는 주요 정보 시스템에 대한 기술적 보안 취약점 수행을 통해, 잠재적인 위협을 도출하고 이에 대한 맞춤형 보호 대책을 제시하는 서비스입니다. 컨설팅 범위는 크게 다음 네 가지로 구분됩니다.

① 정보시스템 취약점 진단 정보시스템 전반 (서버, 네트워크 장비, 데이터베이스관리 시스템, 방화벽 등)을 대상으로 취약점을 탐지하고, 각 항목별로 발견된 문제를 비즈니스 영향도 혹은 기술 난이도에 따라 분류한 뒤, 이에 대한 기술적·운영적 개선 방안을 보고서 형태로 제공합니다: - 소프트웨어 보안 취약점의 심각도를 정량적으로 평가하고 표준화된 방식으로 표현하는 CVSS를 토대로 취약점의 우선순위를 정합니다. - 시스템 설정·오류를 점검하고, 계정·권한 관리와 인증 체계를 검토합니다. - 로그 수집부터 모니터링, 백업 체계 현황을 파악하고 그 가용성을 검증합니다. ② 웹/애플리케이션 취약점 진단 동적 분석(DAST)과 정적 분석(SAST)을 통해 취약점을 분석합니다. 로그인·세션·인증 논리를 점검하고, XML 처리와 파일 업로드, 웹 프로그래밍 인터페이스(API) 보안을 검토합니다. 보안 구성 최적화 여부를 점검하고, 오류 메시지 노출 방지 방안을 검토합니다. ③ 모의해킹·모의침투 공격자가 사용하는 실제 기법을 시뮬레이션하는 형태로 방어력을 종합 검증하고, 결과 분석을 통해 대응 절차를 개선할 수 있는 방안을 제시합니다: - 외부 침투와 내부 침투 상황을 모사한 공격 시나리오를 수행합니다. - 무선 환경 및 사이버 물리 시스템(CPS)을 노린 공격 시나리오를 수행합니다. - 스피어피싱, 비즈니스 이메일 침해 등 사회공학적 기법이 연계된 시나리오를 수행합니다. ④ 소스코드 취약점 진단 행정안전부 고시 제2025-1호에 따라, 2025년 1월 2일부터 시행된 ‘행정기관 및 공공기관 정보시스템 구축·운영 지침’에서는 행정기관 및 공공기관이 개발·운영하는 소프트웨어 개발 시 보안약점 점검을 의무화하고 있습니다 (제52조). 이에 발맞춰, 소스코드 내 보안 취약점을 사전에 식별하고 제거하는 소스코드 취약점 진단의 중요성도 부각되고 있습니다. 일반적으로, 입력 데이터 검증 누락, 인증 및 접근제어 오류, 에러처리 미흡, 코드 오류, 캡슐화 실패 등의 보안약점 유형에 따라 소스코드 점검을 시행하고 이에 대한 개선책을 제시하고 있습니다.

3) 정보보호 인증컨설팅(ISMS, ISMS-P, ISO 27001/27017·27018/27701/23806 등)

『정보보호 인증지원 컨설팅』은 정보보호 및 개인정보보호 관리체계에 대한 국내외 인증 획득을 필요로 하는 조직을 대상으로 사전 준비부터 인증서 획득까지 전 과정에 대한 컨설팅을 수행하는 서비스입니다. 획득 수요가 높은 주요 인증은 다음과 같습니다:

인증·표준	내용
ISMS (Information Security Management System)	국내 정보통신서비스 제공자의 정보보호 체계 구축/운영/관리를 평가하는 인증제도
ISMS-P (ISMS + Personal Information Protection)	ISMS요건에 개인정보보호법 기반 항목을 추가한 인증제도
ISO/IEC 27001	정보보호 관리체계(ISMS)에 대한 국제 표준
ISO/IEC 27017·27018	클라우드 서비스 제공자·이용자를 위한 보안 통제 가이드/ 클라우드 내 개인정보(PII) 보호를 위한 프라이버시 통제 가이드
ISO/IEC 27701 (Privacy Information Management System)	ISO 27001 기반 위에 개인정보보호 정보관리체계(PIMS) 요구사항을 추가한 국제 표준
ISO 23806	선박 사이버 안전 관리체계를 국제 표준에 맞춰 인증하는 제도

[ 갭 분석 ] 인증 기준과 조직의 현행 보안 체계를 비교하여 미비점을 식별하고, 비즈니스 영향도 및 위험도에 기반해 개선 우선순위를 도출합니다. [ 체계 수립 ] 갭 분석 결과를 토대로 정보보호 정책 수립, 위험평가 및 처리 계획, 통제 항목 적용을 포괄하는 관리 체계를 구축합니다. [ 증적 정비 ] 구축 체계가 실제로 잘 운영되고 있음을 입증할 수 있는 매뉴얼과 증빙 자료, 문서 관리 체계 등을 체계화합니다. [ 내부 심사/모의 심사 ] 실제 인증 심사에 앞서 충족 여부를 점검하고, 발견된 부적합 사항에 대한 개선 후 재검검을 수행합니다. [ 사후 운영 고도화 ] 인증 획득 후에도 관리 체계를 지속적으로 유지, 개선 및 보고하고, 최신 위협과 기준을 적시 반영하여 안정적인 보안 태세를 유지합니다.

4) 개인정보보호(영향평가, 수준진단 및 관리체계 수립 등)

『개인정보보호 컨설팅』은 조직 내 개인정보 처리로 인해 발생할 수 있는 위험을 최소화하는 데 초점을 맞추고 있습니다. 크게 『개인정보영향평가(Personal Information Impact Assessment) 컨설팅』과 『개인정보보호 수준 진단·관리체계 수립 컨설팅』으로 구분됩니다.

개인정보영향평가는 개인정보파일을 운용하는 신규 정보 시스템 도입 혹은 기존에 운영 중인 개인정보처리시스템의 중대한 변경 시, 이러한 시스템 구축·운영·변경이 개인정보에 미치는 영향을 사전에 조사·예측·검토하여 개선방안을 도출하는 절차를 의미합니다. 개인정보보호법에 따라, 일정규모 이상의 개인정보를 전자적으로 처리하는 공공기관 또는 개인정보 처리 사업자는 개인정보영향평가 대상에 포함될 수 있습니다. 그리고, 대상에 포함된 조직은 반드시 이를 이행해야 합니다. 자체 평가가 어려울 시에는 개인정보보호위원회로부터 ‘개인정보영향평가기관’ 자격을 획득한 외부 전문 기업, 기관의 자문을 받을 수 있습니다. 개인정보영향평가 대상이 아닌 조직 역시, 개인정보보호 수준 진단·관리체계 수립 컨설팅을 통해 개인정보처리 환경에 대한 신뢰도를 유지하고, 조직의 영속성에 영향을 미치는 침해사고를 예방할 수 있습니다. 개인정보 취급 업무 흐름 분석을 통해 개인정보 침해 요인과 취약점을 도출하고 그에 대한 개선방안을 수립하는 형태로 조직의 보안 태세를 강화할 수 있습니다.

05. 비즈니스 연속성과 경쟁력 확보를 위한 전략적 투자, 정보보호 컨설팅

정보보호 컨설팅은 더 이상 ‘규제 대응’만을 위한 활동이 아닙니다. 비즈니스 연속성과 경쟁력 확보를 위한 전략적 투자입니다. 하루가 다르게 변화하는 오늘날, 우리가 해야 할 일은 명확합니다.

✅ 위험과 기회를 동시에 보는 시각을 갖추고,
✅ 환경 변화와 규제, 기술, 비즈니스를 이해하는 파트너와 함께 하며,
✅ 보안 성과를 측정, 개선할 수 있는 체계를 구축하는 것입니다.

이제, 정보보호 컨설팅은 기업의 미래를 지키는 핵심 경영 자산입니다.
그 선택이 향후 1년, 3년, 10년 뒤 기업의 생존과 성장을 결정지을 수 있습니다.

정보보호 컨설팅, 인증을 넘어 경영 전략으로! 지금 상담받기💡 ① 기반시설 취약점 분석·평가(주요 정보통신/전자금융 등) ② 보안취약점 진단(정보시스템, 웹/앱, 모의해킹, 소스코드 등) ③ 정보보호 인증컨설팅(ISMS, ISMS-P, ISO 27001/27017&18/27701/23806 등) ④ 개인정보보호(영향평가, 수준진단 및 관리체계 수립 등)

💌 후속 콘텐츠, 계속 받아보세요 ▶