2024.05.12 (일)
보안 분야, 벤더 잡기 ‘하늘의 별 따기’
보안 인력 부족·프로젝트 집중으로 심화
글로벌 대형 벤더의 경우만큼은 아니지만 보안에 있어서도 유저와 벤더의 양상은 과거와 달라졌다. 보안컨설팅 및 보안솔루션 시장의 수요가 공급을 앞지르기 시작하면서 유저와 벤더 관계가 변화하고 있기 때문이다. 각종 보안 프로젝트에 대한 수요는 폭발적으로 증가하는 데 비해 벤더사들은 인력 부족으로 이러한 수요를 원활히 대응하지 못하고, 결국 프로젝트를 ‘골라가며’ 수주하는 현상까지 벌어지고 있다.
연보라 기자 bora@ciociso.com
벤더가 유저를 선택, 가격 협상도 어려워
오라클이나 MS와 같은 글로벌 대형 벤더들은 막강한 제품 장악력을 토대로 높은 가격과 유지보수 요율을 고수하고 있어 업계에서 ‘갑’ 같은 ‘을’로 통한다. 인프라 구축에 있어 마땅히 다른 대안이 없는 국내 기업들(이하 고객사)은 이들의 요구를 일방적으로 수용할 수밖에 뾰족한 도리가 없는 상황이다.
고객사들은 이제껏 크게 보안업체들에 의해 좌지우지된 적은 없다고 말하면서도 한편으로는 일반 IT 영역에 비해서는 주도권이 넘어간 느낌이라고 전하고 있다.
▲ “평소에 자주 얼굴도장을 찍던 영업사원이 있었는데 막상 당장 솔루션 도입을 검토해야 해서 연락했더니 사람이 없다는 대답뿐이었다. 그들도 경제원리를 준수하기에 이득이 많은 쪽으로 움직이는 것이 당연하지만 불쾌한 심정은 어쩔 수 없다” - 김종섭 메리츠금융정보서비스 정보보호팀장 |
공공, 선택 폭 좁고 벤더 의존도 높아
공공기관의 경우 보안 업체들의 주도권 비중이 다른 일반 산업보다 다소 높은 것으로 보인다. 공공기관은 보안제품을 도입할 때 국정원의 CC인증 제품 외에는 사용할 수 없도록 돼있다. 어떤 품목의 경우 인증 제품이 제한돼 있다 보니 기관으로서는 선택의 폭이 좁을 수밖에 없고 이로 인해 벤더사들이 주도권을 쥐게 되는 경우가 왕왕 있다.
만약 선택의 폭이 넓다면 가격 협상을 하거나, 혹은 제품에 여러 가지 기능에 대한 커스터마이징 요구를 할 수 있을 텐데, 이러한 부분들이 잘 이뤄지지 않고 있다. 업체들도 CC인증 제품이 자사 제품 외에 소수라는 점을 빌미로 삼는 것이다.
▲ “연초 정보보호관리체계 및 마스터플랜 수립 사업 공고를 냈는데 정보보호 분야의 인력난이 극심해서인지 지원하는 사업체가 없거나 한 곳뿐이어서 2회나 사업이 유찰됐다. 가까스로 수의시담을 통해 프로젝트를 현재 진행해오고 있으나 업체의 인력과 경험이 부족해 정보보호거버넌스 차원에서의 이해의 폭이 좁은 것은 사실이다” - 김홍근 한국농어촌공사 정보화추진처장 |
수요 공급 불균형이 핵심 원인
유저와 벤더의 관계에서 이상 현상이 발생하게 된 데에는 수요는 많은데 공급은 부족한 것이 핵심적인 이유일 것이다.
각종 보안사고와 이에 따른 법 제정 등으로 인해 준비 없이 갑자기 이 시장이 열렸기 때문에 업체 수도 부족하고 보안 인력이 부족하며 업체 규모 또한 큰 곳이 많지 않은 것이다.
한 보안 담당자는 “보안 솔루션 하나를 도입하려고 업체들을 찾아보면 몇 개 없다”며 “보안 업체는 상당히 제한돼 있는 상황에서 많은 기업들이 해당 솔루션에 몰린다면 공급은 더욱 부족해질 것이다”고 설명했다.
게다가 보안 솔루션은 특성상 검토 과정이 많기 때문에 이를 대응해줄만한 인력이 충분치 않다는 지적이다. 보안 솔루션은 한 번 도입하면 기업 내 모든 영역에 영향을 미치고 엔드유저에게 상당한 불편을 주는 중요한 사안이므로 기술검증 과정이 타 프로젝트에 비해 길게 소요되기 때문이다.
수행 인력이 부족한 상태에서 정보보안에 대한 제도들이 단기간에 강화 돼 인력 수급 확대가 요구되나 이 또한 녹록치 않은 상황이다. 인력 수급에 대한 산업적인 여건이 마련되지 않았기 때문이다. 더불어 보안업체로서도 극심한 인력난에도 불구하고 채용 확대를 섣불리 결정할 수가 없는 것이 이 시장이 장기적으로 확대될 것이라는 보장이 없기 때문이다.
연말, 이슈 발생 시 수요 집중, 인력 부족 심화
보안이든 IT든 준비기간이 몇 개월씩 걸리기 때문에 하반기에 사업이 몰리게 돼있다. 게다가 보안은 현안성에 있어서 우선순위가 밀리다보니 연말에 집중되는 경향이 크다.
▲ “아직은 보안 관련 제도와 아키텍처가 정립돼가는 단계라 완전한 틀이 세워져 있지 않다 따라서 수시로 지침과 가이드라인이 떨어지기 때문에 이에 따라 프로젝트가 발생되고 수요가 몰릴 수밖에 없다. 향후 장기적인 마스터플래닝을 통해 이를 해소할 필요가 있다” - 김학인 한국농수산식품유통공사 정보보호팀장 |
“유저가 많이 알수록 시장 주도권 잡는다”
유저와 벤더의 현격한 정보격차도 벤더에게 주도권이 이동하는 한 원인이 될 수 있다.
병이 나서 아픈 환자에게 의사는 신에 가까운 존재가 되는 것은 정보격차가 심하기 때문이다. 이와 마찬가지로 유저가 벤더에게 보안 관련 기술적 운영이나 개발 등을 위탁할 때 기술 및 정보에 있어 업체들이 우위에 있기 때문에 그들 없이는 보안업무가 돌아가지 않는 경우가 있다. 업계 보안 담당자들은 “벤더사보다 우위에 처하려면 기술적 요소의 80%는 이해하고 있어야 한다”고 조언한다.
보안인력 양성, 장기적 마스터플래닝 수립 시급
고객사가 벤더에게 주도권이 넘어가게 되는 가장 근본적인 원인인 인력 부족 현상을 해소하기 위해서는 무엇보다 인력 양성이 답일 것이다.
대학이나 정부기관 등에서 정책적 지원을 통해 단기간 내에 인력을 육성해내는 접근법이 필요하다고 업계는 말한다.
이에 한 공공기관의 정보화추진처장은 일정 규모 이상의 조직의 경우 정보보안 컨설팅을 의무화하도록 하는 방안을 제안했다. 이렇게 하면 계획에 따라 소요되는 인력규모가 도출될 수 있다는 것이다. 안정적인 시장이 예상되면 보안업체들도 그 규모에 맞게 채용을 늘릴 수도 있다.
또한 연말이나 특정 이슈가 발생했을 때만 프로젝트가 집중되는 현상을 해소해야 한다. 이를 위해서는 장기적인 정보보호 마스터플래닝을 통해 스케줄에 따른 사업 추진을 해야 한다. 미리 전체적인 그림이 나오면 벤더사들의 스케줄에 맞춰 다른 유관 프로젝트를 먼저 진행하는 등 스케줄 조율이 가능하기 때문이다.