보안 컨설팅

https://brunch.co.kr/@flyingcity/38

컨설팅(consulting)

조언을 주다, 비즈니스에서는 단순히 조언을 제공하는 것을 넘어 

'문제(Problems)를 파악하고 솔루션(Solution)을 제시하는 것'으로 넓게 정의하고 있다.

 

여러  컨설팅 정의를 참고해보면, 컨설턴트의 업무와 요구 역량은 다음의 5가지로 추려진다.

1) 소속되지 않고 제 3자의 시각을 보장받기 위한 '독립된 입장'

2) 전문 분야의 지식 또는 업무 경험 축적을 위한 특별한 훈련과 자질 (주로 MBA학위로 입증된다_효과 2년)

3) 명확한 자문의 제공을 위한 커뮤니케이션 스킬(Communication Skiils)

4) 문제를 파악하고 분석하기 위한 전문적인 기법 또는 도구를 사용할 수 있다

5) 문제의 해결과 수행의 측면에서 창의적인 아이디어가 필요하다

6) 기간 내에 업무를 마칠 수 있는 높은 집중력이 요구된다.

 

다시 정의하자면, 컨설턴트란 "학문적 지식과 현장 경험을 통해 의뢰자의 문제를 분석해서 현재(As-ls)보다 더 나은 미래(To-Be)를 모델로 제시하여 기업의 경쟁력 강화에 도움을 주는 사람" 이다

 

현장에서 몸소 느끼는 직원이 제시한 답과 유학파 컨설턴드가 제시한 답에 차이는 없을 수 있다.

하지만 "어떻게 보고되느냐"에 따라 가치가 달라진다

컨설턴트는 그들의 지식과 경험을 제대로 전달하기 위해 보고서 작성(Documentation)과 프레젠테이션(Presentation)에 많은 공을 들인다.

 

컨설팅 서비스의 관점

1. 의사(Doctor)

기업이 제대로 운영되고 있는지 등 경영에 대한 전반적인 상황 파악, 문제점에 대한 처방

- 비전(Vision), 중장기 경영 전략(Corporate Strategy), 사업 포트폴리오(Business Portfolio) 등 기업 경영의 큰 그림 구상과 그 목표 달성을 위한 과제 수립

 

2. 탐정(Detective)

기업 진단, 의사보다 더 세밀하게 - 특정 부분을 파고들어 근원적인 문제들을 해결

ex) 프로세스 컨설팅(재무, 인사, 마케팅/영업, 구매, 조달, 생산, 물류, IT 등 기업의 다양한 프로세스를 개선 또는 혁신)

 

3. 영업(Salesperson)

의사 - 탐정 역할의 컨설팅이 수행되면 다양한 과제들이 도출된다

이러한 과제들의 상세한 개발이나 실질적인 추진을 컨설턴트가 맡기도 한다

 

신규 사업 개발, 신규 고객 발굴과 같은 새로운 영역을 개척하기도 한다.

비즈니스에 관심이 많은 컨설턴트들은 신사업 발굴 컨설팅을 하고 고객 기업으로 옮겨 해당 사업을 직접 맡는 경우O

 

4. 용역 대행(Agent)

과거 사내 분위기를 위해 구조조정을 대신 행하는 것으로, 이미지가 이렇게 굳혀짐

 

---

각 컨설턴트의 성향에 따라 아래와 같이 나뉘어질 수 있다.

객관적 조언자 / 선의의 중재자 / 문제해결사 / 코치(교육가)

비버(Beaver): 엄청난 노력파, 과거지향적, 프로세스 개선이나 혁신에 강점

여우(Fox): 현재의 문제해결(Trouble-shooting)에 강점

올빼미(Owl): 통찰력이 뛰어나 미래에 관심이 많고 전략 수립이나 기업의 큰 그림(Big Picutre)구상에 강점

돌고래(Dolphin): 관계지향적, 미래에 관심이 많고 조직문화, 코칭, 교육 쪽에 관심이 많음

 

필요한 자질(Skills)

1) 문제해결 능력(Problem Solving skills)

객관성의 정도, 끝없는 호기심, 귀납적 추리력, 분석 및 종합 능력

사실에 기반한(Fact-based) 사고, 가설지향적인(Hypothesis-driven) 사고, MECE적 사고,

로직 트리(Logic Tree), 벤치마킹(Benchmarking)

2) 프로젝트 관리 능력(Project Management skills)

컨설팅 프로젝트를 위한 가장 기본적인 능력이다. *프로젝트 관리와 관련된 국제 표준[4]도 있음

팀 내 또는 팀 간 플레이와 관계된 협업, 고객 관계 등이 중요

3) 의사소통 능력(Communication skills)

- 타고난 성격과도 관계가 깊어 노력으로도 향상이 잘 되지 않으면 직업으로 취하지 않는 것이 좋음

인터뷰(Interview)나 청취(Listening)를 통해 민감한 커뮤니케이션을 효과적으로 해야 하며,

탁월한 문장력으로 문서를 작성(Documentation)해야 한다.

특히, 언어적 표현 능력은 대단히 중요하다(Presentation & Meeting)

 

직무에 대한 다양한 지식과 경험

1) 산업 지식(Industry Knowledge)

전자, 화학, 통신, 은행, 보험, 자동차 등 다양한 산업 도메인 지식

2) 업무 프로세스 지식(Business Knowledge)

구매, 생산, 제조, 판매, 재무, 회계, 인사 등 기업 가치사슬(Value Chain) 프로세스 지식

3) 정보통신기술 지식(ICT Knowledge)

최근 산업을 견인하는 정보기술 트렌드

 

태도(Attitude)

'불편부당성(Impartiality)’ - 어떤 것을 기록할 때 객관적인 입장을 취하지만, 기록물 생산자의 입장이 반영되어 있다는 의미(모순적이게도, 이미 객관적이 아니라는 말이기도 함)

‘고객의 이익은 나의 이익’,

‘할 수 있는 것과 할 수 없는 것’

‘넓은 시각’, ‘긍정적이고 적극적인 사고’

‘예의 바름’

‘변화의 수용’

‘지속적인 학습’

‘Know-why’, ‘Know-what’, ‘Know-where’, ‘Know-how’

 

정리

• Consultant has: 목표와 비전, 도전 정신, 창의력, 열정, 논리적 사고
• Consultant should have: 고객지향 마인드, 독립성, 객관성, 리더십, 친화력, 협동심
• Consultant has above all: 불굴의 정신력, 강인한 체력

---

보안 컨설팅

모든 기업은 각기 다른 비즈니스 환경을 가지고 있습니다. 따라서 기업마다 보안 환경, 중요 이슈, 주안점 등 환경을 고려한 설계가 무엇보다 중요하며, 최적화된 보안 전략을 실행하기 위해서는 전문가의 분석과 설계, 지원이 필요합니다.

이것이 바로 기업이 보안컨설팅을 받아야 하는 이유입니다.

 

대외적 가치

보안 수준 향상에 따른 기업 이미지 제고 및 신뢰성 확보

보안 수준에 대한 객관적 평가로 조직 간 거래 시 보안에 대한 전제조건 해결

 

대내적 가치

중요 경영정보 및 사용자 정보 유출 방지를 통한 손실비용 절감

보안 관리체계를 통한 관리 비용 절감

안정적 IT인프라 확보를 통한 신규 서비스의 운용 및 서비스 이용자 확대

 

• 조직 내 정보보호에 대한 위협요소를 종합적으로 파악할 수 있음
• 도출된 이행 과제에 대한 개선을 위해 소요되는 예산규모 및 상세방안을 인지하게 됨
• 정보보호 로드맵 수립에 의해 계획적이고 체계적인 예산편성 및 자원투자가 가능

---

SK인포섹 https://m.blog.naver.com/skinfosec2000/221650752636 

보안 사고 예방 / 법적 의무사항(컴플라이언스) 준수를 위해 정기적으로 인증, 평가 과정을 거쳐야 한다

첫째, 컴플라이언스 컨설팅

국가가 정한 법적 의무 사항 준수를 위해 주기적인 시행이 필요

인증 대상이 누구냐에 따라 세부적으로

공공기관 대상의 ‘주요 정보통신 기반시설에 대한 취약점 분석·평가’ 컨설팅,

금융기관 대상의 ‘전자금융 기반시설에 대한 취약점 분석·평가’ 컨설팅 등

이 외에도 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법 등

각종 법령 준수를 위한 대응방안을 마련하는 컨설팅도 있습니다.

 

둘째, 정보보호 관리체계 컨설팅

인증 컨설팅은 기업의 인증 획득 및 유지를 목적

인증 컨설팅은 법적 인증 필수 대상이 아니라도 정보보호 수준 강화를 위해 시행하기도 합니다.

[종류]

​1. 정보보호 국제 표준 인증 ISO27001 - 국외 사업을 같이 영위하는 기업에 적합

2. 정보통신망법에 근거해 ISMS 인증을 의무적으로 획득해야 하는 경우 원활한 인증 획득이 가능하도록 지원

3. IaaS, SaaS 를 제공하는 클라우드 사업자를 위한 클라우드 보안인증 컨설팅

 

​셋째, 개인정보보호 컨설팅

회사 자체 혹은 자회사, 수탁사 등에서 개인정보를 취급하는 경우

개인정보의 유출 및 오남용이 발생하지 않도록 보호하기 위한 방안과 체계를 수립

[종류]

1. 개인정보보호에 대한 완전한 체계를 구현하고 있음을 증명해 보일 수 있는 ISMS-P 인증 컨설팅

2. 개인정보 영향평가를 실시하는 컨설팅 서비스

3. 유럽의 일반 개인정보보호법인 GDPR을 대응할 수 있는 컨설팅도 있습니다.

 

넷째, 모의해킹 컨설팅

주로 기업/기관의 외부망에 오픈 되어 서비스가 되는 웹/모바일 앱이 주 대상 (=어플리케이션 취약점 진단)

그 외에 IoT, Fin-tech, 기업 망분리 환경에 대한 침투 테스트, 소스코드 진단 등 다양한 대상

​

다섯째, 개발보안 컨설팅

​대규모 차세대 개발 프로젝트가 수행되는 사업군의 경우

개발 초기단계부터 보안에 대한 요건을 수립하여 반영하고 보안에 안전한 어플리케이션이 개발될 수 있도록

또한, 인증/접근통제/암호화/로깅 등의 핵심 보안 요구사항에 대한 구체적인 설계를 통해

정보보호 아키텍처를 수립하는 컨설팅 서비스도 존재

 

여섯째, 종합 정보보호 컨설팅입니다.

고객이 원하는 영역들을 종합하여 발주하는 형태의 정보보호 전문가 서비스

기업 내부에 내재되어 있는 보안 문제점을 도출해 이에 대한 해결책을 과제화하는 정보보호 마스터 플랜 수립 컨설팅

---

안랩

 

---

삼성SDS https://www.samsungsds.com/kr/security-consulting/security-consulting.html

보안 관리 영역별 성숙도 파악

- 준수 여부만이 아닌 성숙도까지 파악 가능

 

중복 투자 사전 방지

- 영역별 성숙도 파악하여 투자해야 할 특정 영역의 우선순위를 결정하여

불필요한 중복 투자를 사전에 방지 가능

- - - - - - - - - - - - - - 

보안테스팅

전문 화이트 해커에 의한 침투 테스트를 통해 다양한 출시 제품 및 서비스, 웹, 모바일 앱에 대해 제품의 안전성을 진단

보안관제 수준 진단

4개 영역, 8개 도메인으로 구성된 삼성 고유의 보안관제 수준 진단 지표를 통해 보안관제 아키텍처 체계를 진단

IT취약점 진단

IT인프라, 응용시스템 등에 대해 16개 영역 333개 통제항목으로 구성된 삼성 고유의 체크리스트를 기반으로 화이트해커에 의한 모의해킹 및 대응수준을 진단

- - - - - - - - - - - - - - 

보안관제서비스

보안시스템의 로그를 실시간 수집 및 상관분석을 통해 지능화, 고도화되고 있는 보안 위협을 탐지하고, 발생 원인 분석을 통한 조치 및 재발방지 가이드를 통해 보안사고에 대응할 수 있는 서비스를 제공

클라우드 보안 서비스

클라우드의 안전한 사용과 편의성을 극대화하는 최적의 보안서비스로, 클라우드와 보안 전문성을 동시 보유한 삼성SDS의 클라우드 보안서비스를 제공합니다.

보안솔루션

최신 외부해킹으로부터 정보자산을 보호하고 효율적인 관제 운영을 위한 머신러닝 기반 보안관제 솔루션 및 산업제어 시스템의 보안 위협과 침입을 분석하고 탐지하는 위협관리 솔루션을 제공합니다.

 

---

이글루 시큐리티

---

caist http://casit.co.kr/29 

소스코드 취약점 진단 컨설팅

(개발 단계) 안전한 코딩 - 취약한 함수 사용 금지

입력 값 검증

프로그램 정보 노출 방지 - 자세한 소스코드 표현 금지, 에러페이지 시스템 노출 금지

취약점 점검 - 취약점 진단, 모의해킹

 

무선 취약점 진단 컨설팅

• MAC Spoofing Aps
• WEP Key Crack
• Denial of Service Attack
• 비인가 Wi-Fi 네트워크 접속
• Client MAC도용
• Honeypots MAC 도용
• Ad-hoc 1:1 통신

요구사항 분석 - 무선 AP 및 무선 네트워크 망 자료 수집

무선 랜 보안 분석 - 무선 AP의 구조적 문제점 검토

보안수준평가 - 발견된 취약점과 적용된 보안통제를 검토하여 보안 수준 평가

대응방안 수립 - 무선 AP의 보안 통제를 고려한 권고 사항 도출

 

모바일 취약점 진단 컨설팅

정보보안감사 대비