보안 분야, 벤더 잡기 ‘하늘의 별 따기’

보안 인력 부족·프로젝트 집중으로 심화

글로벌 대형 벤더의 경우만큼은 아니지만 보안에 있어서도 유저와 벤더의 양상은 과거와 달라졌다. 보안컨설팅 및 보안솔루션 시장의 수요가 공급을 앞지르기 시작하면서 유저와 벤더 관계가 변화하고 있기 때문이다. 각종 보안 프로젝트에 대한 수요는 폭발적으로 증가하는 데 비해 벤더사들은 인력 부족으로 이러한 수요를 원활히 대응하지 못하고, 결국 프로젝트를 ‘골라가며’ 수주하는 현상까지 벌어지고 있다.

연보라 기자 bora@ciociso.com

벤더가 유저를 선택, 가격 협상도 어려워
오라클이나 MS와 같은 글로벌 대형 벤더들은 막강한 제품 장악력을 토대로 높은 가격과 유지보수 요율을 고수하고 있어 업계에서 ‘갑’ 같은 ‘을’로 통한다. 인프라 구축에 있어 마땅히 다른 대안이 없는 국내 기업들(이하 고객사)은 이들의 요구를 일방적으로 수용할 수밖에 뾰족한 도리가 없는 상황이다.
고객사들은 이제껏 크게 보안업체들에 의해 좌지우지된 적은 없다고 말하면서도 한편으로는 일반 IT 영역에 비해서는 주도권이 넘어간 느낌이라고 전하고 있다.

▲ “평소에 자주 얼굴도장을 찍던 영업사원이 있었는데 막상 당장 솔루션 도입을 검토해야 해서 연락했더니 사람이 없다는 대답뿐이었다. 그들도 경제원리를 준수하기에 이득이 많은 쪽으로 움직이는 것이 당연하지만 불쾌한 심정은 어쩔 수 없다” - 김종섭 메리츠금융정보서비스 정보보호팀장

기업들이 공통적으로 호소하는 것은 원하는 때에 지원을 받지 못한다는 것이다. 보안업체에 연락을 할 때마다 업체들은 ‘사람이 없다’는 말로 지원을 미루거나 거부한다는 것. 만약 동시에 두 개 이상의 고객사들이 업체에 요청을 할 경우, 사업 규모가 크거나 업계 1~3위로 레퍼런스에 도움이 되는 고객사를 업체가 선택 진행한다. 즉, 고객사가 공급업체를 선택하는 것이 아닌 업체가 고객사를 선택하는 기현상이 발생하는 것이다.
이러한 현상은 연말에 더욱 심해진다. 연말에는 IT 프로젝트는 물론 정보보호 프로젝트가 한꺼번에 몰리는 시기이기 때문에 보안업체들의 인력 부족 현상이 더욱 심화된다. 따라서 이 시기에 프로젝트를 진행할 벤더사를 잡는 것이 기업 측으로서는 여간 어려운 일이 아니다. 최근 들어서는 연말, 연초도 없이 1년 내내 동일한 상황이라고 업계는 토로한다. 특히 보안사고가 터지거나 감독당국에서 지침이라도 내려지면 관련 보안 업체들로 고객사들의 요청이 쇄도하고 이렇게 되면 원활한 지원은 어렵게 된다.
A사의 경우 조직개편을 앞둔 연초에는 프로젝트가 없기 때문에 이 시기에 보안 계획을 수립하곤 한다. 이 때 간혹 보안 컨설턴트를 요청하는데 올해에는 연초임에도 남는 컨설턴트가 없다며 업체에서 거부해왔다.
또한 이 기업은 기존 도입했던 시스템에 대해 유지보수 계약을 체결해 서비스를 받고 있던 중 해당 시스템에 문제가 생겨 업체에 연락을 취했으나 인력이 없어 당장은 지원해줄 수가 없다는 응답을 받았다. 또한 보안 프로젝트는 다른 IT 프로젝트에 비해 가격 협상력이 현저히 낮다. 일반 비즈니스 관련 시스템이나 솔루션의 경우 가격 협상이 많게는 50% 이하까지도 이뤄진다. 벤더 입장에서는 레퍼런스를 많이 확보하는 것이 차후 비즈니스에 더욱 이득이기 때문에 다소 큰 폭의 인하를 하더라도 프로젝트를 진행하고자 하는 것이 일반적이다.
그러나 최근 보안 프로젝트의 경우는 다르다. 공급이 수요에 못 미치기 때문에 시장가격이 높게 형성될 수밖에 없으며 가격 협상도 폭이 좁을 수밖에 없다.
B 공사는 올해 초 보안 컨설팅 사업을 검토했으나 가격이 너무 높아 사업을 무기 보류했다. D 공사의 정보보호팀장은 “맨먼스(Man-Month)로 환산해 봐도 보안컨설팅 프로젝트의 견적이 일반 컨설팅보다 50%는 더 높게 형성돼 있는 듯하다”고 토로했다.

공공, 선택 폭 좁고 벤더 의존도 높아
공공기관의 경우 보안 업체들의 주도권 비중이 다른 일반 산업보다 다소 높은 것으로 보인다. 공공기관은 보안제품을 도입할 때 국정원의 CC인증 제품 외에는 사용할 수 없도록 돼있다. 어떤 품목의 경우 인증 제품이 제한돼 있다 보니 기관으로서는 선택의 폭이 좁을 수밖에 없고 이로 인해 벤더사들이 주도권을 쥐게 되는 경우가 왕왕 있다.
만약 선택의 폭이 넓다면 가격 협상을 하거나, 혹은 제품에 여러 가지 기능에 대한 커스터마이징 요구를 할 수 있을 텐데, 이러한 부분들이 잘 이뤄지지 않고 있다. 업체들도 CC인증 제품이 자사 제품 외에 소수라는 점을 빌미로 삼는 것이다.

▲ “연초 정보보호관리체계 및 마스터플랜 수립 사업 공고를 냈는데 정보보호 분야의 인력난이 극심해서인지 지원하는 사업체가 없거나 한 곳뿐이어서 2회나 사업이 유찰됐다. 가까스로 수의시담을 통해 프로젝트를 현재 진행해오고 있으나 업체의 인력과 경험이 부족해 정보보호거버넌스 차원에서의 이해의 폭이 좁은 것은 사실이다” - 김홍근 한국농어촌공사 정보화추진처장

보안업계의 인력 부족으로 인해 공공기관의 정보보호 관련 사업이 유찰되는 사례도 있다. C 기관은 올해 초 정보보호관리체계 및 마스터플랜 수입 사업을 위한 사업자 모집 공고를 냈다. 헌데 1차에서는 아예 지원자가 없었고 2차에서 단 한 개 업체가 지원해 사업이 2회 유찰됐다. 결국 그 업체와 수의시담을 해야 했다.
계약 시부터 다소 껄끄러운 면이 있었는데, 글로벌 기업인 그 업체는 본사 차원에서 계약의 룰이 명확히 있어 책임소재를 상세하게 명기하고자 했다. 공공기관은 국가계약법 기준으로 계약을 해왔고, 또 C 기관 나름의 내부 규정이란 것도 있음에도 업체는 이를 수용하지 않았다. 본래 C 기관의 과업 내역서에는 사업결과물에 대한 모든 지적소유권을 공사가 갖는다고 명기돼 있다. 그러나 벤더사는 이를 일부 사용할 수 있도록 조항 변경을 요구했다. 또한 지체상환금도 10%의 상한선을 두도록 하는 등 벤더사에게 유리한 몇 가지 조항들이 추가됐다.
공공기관 보안점검에 있어서도 유사한 문제점이 발견된다. 공공기관들은 국정원, 행정안전부 혹은 상위기관으로부터 수시로 보안감사나 평가 및 모니터링을 받는데, 이때 주무부처가 전문성 문제로 보안전문업체와 협력해 진행하는 경우가 많다. 보안업체가 보안감사를 하다 보니 기관으로서도 업체들의 눈치를 안 볼 수 없다고 관계자들은 토로한다. 한 공사 정보보호팀장은 “본래 감사나 평가는 이해관계가 없는 쪽에서 수행하는 것이 바람직한데, 전문성 문제 때문에 감사 틀이 변하고 있다”고 지적했다.
더불어 현재 행안부에서는 민간기업 대상으로 보안업체들이 보안감사를 실시하는 정보보호전문업체 정보보안감사제도를 검토 중인 것으로 알려져 있어, 이 제도가 시행되면 이러한 현상은 민간으로도 확대, 심화될 것으로 전망된다.

수요 공급 불균형이 핵심 원인
유저와 벤더의 관계에서 이상 현상이 발생하게 된 데에는 수요는 많은데 공급은 부족한 것이 핵심적인 이유일 것이다.
각종 보안사고와 이에 따른 법 제정 등으로 인해 준비 없이 갑자기 이 시장이 열렸기 때문에 업체 수도 부족하고 보안 인력이 부족하며 업체 규모 또한 큰 곳이 많지 않은 것이다.
한 보안 담당자는 “보안 솔루션 하나를 도입하려고 업체들을 찾아보면 몇 개 없다”며 “보안 업체는 상당히 제한돼 있는 상황에서 많은 기업들이 해당 솔루션에 몰린다면 공급은 더욱 부족해질 것이다”고 설명했다.
게다가 보안 솔루션은 특성상 검토 과정이 많기 때문에 이를 대응해줄만한 인력이 충분치 않다는 지적이다. 보안 솔루션은 한 번 도입하면 기업 내 모든 영역에 영향을 미치고 엔드유저에게 상당한 불편을 주는 중요한 사안이므로 기술검증 과정이 타 프로젝트에 비해 길게 소요되기 때문이다.
수행 인력이 부족한 상태에서 정보보안에 대한 제도들이 단기간에 강화 돼 인력 수급 확대가 요구되나 이 또한 녹록치 않은 상황이다. 인력 수급에 대한 산업적인 여건이 마련되지 않았기 때문이다. 더불어 보안업체로서도 극심한 인력난에도 불구하고 채용 확대를 섣불리 결정할 수가 없는 것이 이 시장이 장기적으로 확대될 것이라는 보장이 없기 때문이다.

연말, 이슈 발생 시 수요 집중, 인력 부족 심화
보안이든 IT든 준비기간이 몇 개월씩 걸리기 때문에 하반기에 사업이 몰리게 돼있다. 게다가 보안은 현안성에 있어서 우선순위가 밀리다보니 연말에 집중되는 경향이 크다.

▲ “아직은 보안 관련 제도와 아키텍처가 정립돼가는 단계라 완전한 틀이 세워져 있지 않다 따라서 수시로 지침과 가이드라인이 떨어지기 때문에 이에 따라 프로젝트가 발생되고 수요가 몰릴 수밖에 없다. 향후 장기적인 마스터플래닝을 통해 이를 해소할 필요가 있다” - 김학인 한국농수산식품유통공사 정보보호팀장

이렇듯 대부분의 기업들이 연말에 보안 프로젝트를 진행하다보니 업체들로서도 폭발적인 수요를 다 감당하기가 버거운 것이다.
혹은 보안 사고나 금융당국의 지침 등 이슈가 발생할 때에도 마찬가지로 특정 솔루션으로 일시적인 수요 집중이 발생한다.

“유저가 많이 알수록 시장 주도권 잡는다”
유저와 벤더의 현격한 정보격차도 벤더에게 주도권이 이동하는 한 원인이 될 수 있다.
병이 나서 아픈 환자에게 의사는 신에 가까운 존재가 되는 것은 정보격차가 심하기 때문이다. 이와 마찬가지로 유저가 벤더에게 보안 관련 기술적 운영이나 개발 등을 위탁할 때 기술 및 정보에 있어 업체들이 우위에 있기 때문에 그들 없이는 보안업무가 돌아가지 않는 경우가 있다. 업계 보안 담당자들은 “벤더사보다 우위에 처하려면 기술적 요소의 80%는 이해하고 있어야 한다”고 조언한다.

보안인력 양성, 장기적 마스터플래닝 수립 시급
고객사가 벤더에게 주도권이 넘어가게 되는 가장 근본적인 원인인 인력 부족 현상을 해소하기 위해서는 무엇보다 인력 양성이 답일 것이다.
대학이나 정부기관 등에서 정책적 지원을 통해 단기간 내에 인력을 육성해내는 접근법이 필요하다고 업계는 말한다.
이에 한 공공기관의 정보화추진처장은 일정 규모 이상의 조직의 경우 정보보안 컨설팅을 의무화하도록 하는 방안을 제안했다. 이렇게 하면 계획에 따라 소요되는 인력규모가 도출될 수 있다는 것이다. 안정적인 시장이 예상되면 보안업체들도 그 규모에 맞게 채용을 늘릴 수도 있다.  
또한 연말이나 특정 이슈가 발생했을 때만 프로젝트가 집중되는 현상을 해소해야 한다. 이를 위해서는 장기적인 정보보호 마스터플래닝을 통해 스케줄에 따른 사업 추진을 해야 한다. 미리 전체적인 그림이 나오면 벤더사들의 스케줄에 맞춰 다른 유관 프로젝트를 먼저 진행하는 등 스케줄 조율이 가능하기 때문이다.