보안컨설팅 분야 ‘가격 후려치기’ 성행으로 시장과 비용 상당히 왜곡
보안컨설팅(컨설턴트)만의 단가 기준 연구해 표준안 만들 필요 있어
[보안뉴스= 신현구 한국기업보안협의회 회장] 우리나라 기업은 보안컨설팅 회사를 결정하는데 있어 인맥을 통하는 경우가 상당수를 차지한다. 그러나 보안 컨설턴트나 보안컨설팅 회사가 전문적일수록 그들이 수행할 수 있는 업무범위가 더 좁아진다는 사실을 간과하는 경우가 많다. 대부분의 컨설턴트들은 전문화되어 있으므로 모든 보안업무를 수임할 수는 없다. 따라서 기업 입장에서는 보안컨설팅을 결정하기까지의 과정과 이유, 그리고 수행범위에 적합한 컨설팅 회사나 컨설턴트를 선택해야 하는 어려운 문제가 있다.
[이미지=utoimage]
좋은 컨설팅 업체나 컨설턴트를 찾는 방법 중 하나는 동종업계에 근무하는 동료로부터 추천을 받는 방법을 비롯해 보안관련 주무부처(과기정통부, 산업부, 중기벤처부 등)에서 선정한 업체나 혹은 정부산하 보안관련 기관에 문의하는 방법 등이 있다.
그러나 중소기업은 컨설팅 수행에 필요한 예산을 쉽게 투입하기가 어려운 현실이므로 전문컨설팅에 앞서 우선적으로 중소기업에게만 무료로 지원하는 ‘간이취약점 진단서비스’(일명 전문가 상담자문) 등을 활용하는 방법이 있다. 또한, 중기벤처부, 특허청, 산업부 등에 문의하면 많은 예산을 들이지 않고도 간단하게 진단을 받을 수 있는 제도를 활용할 수 있다. 이 뿐만 아니다. 정부는 기업의 기술보호를 위한 상담과 보안교육 등 각종의 보안관련 서비스를 무료로 제공하기도 한다.
컨설팅이 활성화되어 있는 선진국에 비해 우리나라의 보안컨설팅 비용은 큰 차이가 난다. 미국의 컨설팅 비용은 흥정 없이 평판이 좋은 컨설턴트가 고객으로부터 높은 서비스 비용을 받고 있는데 반해 우리나라는 ‘주먹구구’ 그 자체라고 해도 과언이 아닐 정도다. 시간과 질을 따져 수임료가 결정되는 선진국과 달리 우리나라는 몇몇 대기업과 국내에 진출한 글로벌 경영/회계 컨설팅 기업을 제외하고는 시간과 질이 기준이 아닌 수주를 위한 ‘가격 후려치기’가 성행하다 보니 컨설팅 시장과 비용이 상당히 왜곡되어 있다. 규모가 있는 컨설팅 회사에서 어느 정도 경력을 쌓아 퇴사한 후, 설립한 군소 보안컨설팅 회사가 난립함으로써 컨설팅 품질과 능력을 가늠할 수 없는 컨설턴트들의 저가 출혈경쟁이 심각할 지경에 와 있다는 얘기다. 컨설팅 회사가 너무 낮은 수임료를 제시하면 그에 비례해 품질도 낮아지고 목표한 바를 이룰 수 없을 뿐더러 다른 의도가 있는지도 의문을 가져야 한다. 컨설팅 회사가 제시하는 청구서는 시간당 인건비와 출장비 같은 직접 비용 외에 사무실 임대비, 직원 고용비, 보고서 인쇄비, 세금 등 간접비용이 모두 포함한다.
보안컨설팅 전문업체가 확대되고 재지정되는 상황임에도 불구하고, 사용자 입장에서는 보안 컨설팅의 낮은 품질 문제를 제기하고 있고, 컨설팅 업체 입장에서는 낮은 가격단가로 인해 어려움을 호소하고 있다. 보안컨설팅 분야의 이러한 문제와 관련해 전문가이신 모 교수님은 이렇게 진단하고 있다. 컨설팅 프로젝트 계약상의 문제로 예를 들면 실제 고객인 A사와 실제로 컨설팅을 제공하는 B사와 직접 계약이 성사되는 경우보다는 중간에 최소 1~2개사가 개입되기 때문에 최종 컨설팅 기업에서 받는 금액이 낮아 이로 인해 투입되는 컨설턴트도 단가가 낮은(경험이 적은) 컨설턴트가 투입되기 때문이라는 설명이다. 심지어는 상주인력이 부족해 컨설턴트의 입·퇴사를 컨설팅 기간에 맞춰 반복하기도 하는 등 컨설팅사 선정 시 단가가 가장 중요한 요소(때때로 유일한 요소)이기 때문에 이러한 폐단이 반복되고 있다는 것이다.
▲한국기업보안협의회 신현구 회장[사진=보안뉴스]
만약 최종 고객이 컨설팅사 선정 시 비용보다는 실제로 투입되는 컨설턴트의 경험(품질)을 가장 중요한 요소로 평가하게 된다면 앞서의 문제를 해결하는데 도움이 될 수 있다. 컨설팅기업들이 과열 경쟁으로 인해 낮은 단가를 제시하고, 가능하면 적은 비용을 들여 최대의 효과를 얻고자 하는 기업의 이해가 맞아떨어져 발생되는 문제이기 때문이다.
따라서 이러한 불편한 진실을 개선하기 위한 노력으로 가장 먼저 컨설팅 단가의 기준을 현행처럼 소프트웨어(SW) 개발단가 기준이 아닌 보안컨설팅(컨설턴트)만의 단가 기준을 연구해 표준안을 만들 필요가 있다. 이를 바탕으로 컨설턴트 등급별로 공표하고 보안전문가라면 누구나 이 등급을 적용토록 하는 방안이다. 이를 위해서는 관련 협회를 만들거나 유사 기관에 위임해 보안전문가 등급을 인증하고, 컨설턴트의 역량을 높이는 역할을 부여하는 전문기관의 설립(기존 유사기관의 활용 포함)도 필요하다고 본다. 현재도 정보보호산업법에 의거한 기술인력의 자격기준이 있지만 인증이나 자질 향상을 위한 역할은 부족한 게 사실이다. 또한, 일부 국가공인 자격기준이 인정되지 않는 측면이 있어 개선이 필요하다고 할 수 있다.
[글_ 신현구 한국기업보안협의회 회장/중부대학교 경찰경호학부 교수]
필자 소개_ 신현구 한국기업보안협의회 회장은 경기대학교에서 보안관리학 박사학위를 취득했으며, 창립멤버로 참여한 한국산업기술보호협회 기술보호전략실장과 산업보안 컨설팅 업체 피앤에스파트너스 대표를 역임한 후, 현재는 중부대학교 경찰경호학부 교수로 재직하고 있다. 지난해에는 기술보호 유공자로 중소벤처기업부장관상을 수상한 바 있다.
보안컨설팅(컨설턴트)만의 단가 기준 연구해 표준안 만들 필요 있어
[보안뉴스= 신현구 한국기업보안협의회 회장] 우리나라 기업은 보안컨설팅 회사를 결정하는데 있어 인맥을 통하는 경우가 상당수를 차지한다. 그러나 보안 컨설턴트나 보안컨설팅 회사가 전문적일수록 그들이 수행할 수 있는 업무범위가 더 좁아진다는 사실을 간과하는 경우가 많다. 대부분의 컨설턴트들은 전문화되어 있으므로 모든 보안업무를 수임할 수는 없다. 따라서 기업 입장에서는 보안컨설팅을 결정하기까지의 과정과 이유, 그리고 수행범위에 적합한 컨설팅 회사나 컨설턴트를 선택해야 하는 어려운 문제가 있다.
[이미지=utoimage]
좋은 컨설팅 업체나 컨설턴트를 찾는 방법 중 하나는 동종업계에 근무하는 동료로부터 추천을 받는 방법을 비롯해 보안관련 주무부처(과기정통부, 산업부, 중기벤처부 등)에서 선정한 업체나 혹은 정부산하 보안관련 기관에 문의하는 방법 등이 있다.
그러나 중소기업은 컨설팅 수행에 필요한 예산을 쉽게 투입하기가 어려운 현실이므로 전문컨설팅에 앞서 우선적으로 중소기업에게만 무료로 지원하는 ‘간이취약점 진단서비스’(일명 전문가 상담자문) 등을 활용하는 방법이 있다. 또한, 중기벤처부, 특허청, 산업부 등에 문의하면 많은 예산을 들이지 않고도 간단하게 진단을 받을 수 있는 제도를 활용할 수 있다. 이 뿐만 아니다. 정부는 기업의 기술보호를 위한 상담과 보안교육 등 각종의 보안관련 서비스를 무료로 제공하기도 한다.
컨설팅이 활성화되어 있는 선진국에 비해 우리나라의 보안컨설팅 비용은 큰 차이가 난다. 미국의 컨설팅 비용은 흥정 없이 평판이 좋은 컨설턴트가 고객으로부터 높은 서비스 비용을 받고 있는데 반해 우리나라는 ‘주먹구구’ 그 자체라고 해도 과언이 아닐 정도다. 시간과 질을 따져 수임료가 결정되는 선진국과 달리 우리나라는 몇몇 대기업과 국내에 진출한 글로벌 경영/회계 컨설팅 기업을 제외하고는 시간과 질이 기준이 아닌 수주를 위한 ‘가격 후려치기’가 성행하다 보니 컨설팅 시장과 비용이 상당히 왜곡되어 있다. 규모가 있는 컨설팅 회사에서 어느 정도 경력을 쌓아 퇴사한 후, 설립한 군소 보안컨설팅 회사가 난립함으로써 컨설팅 품질과 능력을 가늠할 수 없는 컨설턴트들의 저가 출혈경쟁이 심각할 지경에 와 있다는 얘기다. 컨설팅 회사가 너무 낮은 수임료를 제시하면 그에 비례해 품질도 낮아지고 목표한 바를 이룰 수 없을 뿐더러 다른 의도가 있는지도 의문을 가져야 한다. 컨설팅 회사가 제시하는 청구서는 시간당 인건비와 출장비 같은 직접 비용 외에 사무실 임대비, 직원 고용비, 보고서 인쇄비, 세금 등 간접비용이 모두 포함한다.
보안컨설팅 전문업체가 확대되고 재지정되는 상황임에도 불구하고, 사용자 입장에서는 보안 컨설팅의 낮은 품질 문제를 제기하고 있고, 컨설팅 업체 입장에서는 낮은 가격단가로 인해 어려움을 호소하고 있다. 보안컨설팅 분야의 이러한 문제와 관련해 전문가이신 모 교수님은 이렇게 진단하고 있다. 컨설팅 프로젝트 계약상의 문제로 예를 들면 실제 고객인 A사와 실제로 컨설팅을 제공하는 B사와 직접 계약이 성사되는 경우보다는 중간에 최소 1~2개사가 개입되기 때문에 최종 컨설팅 기업에서 받는 금액이 낮아 이로 인해 투입되는 컨설턴트도 단가가 낮은(경험이 적은) 컨설턴트가 투입되기 때문이라는 설명이다. 심지어는 상주인력이 부족해 컨설턴트의 입·퇴사를 컨설팅 기간에 맞춰 반복하기도 하는 등 컨설팅사 선정 시 단가가 가장 중요한 요소(때때로 유일한 요소)이기 때문에 이러한 폐단이 반복되고 있다는 것이다.
▲한국기업보안협의회 신현구 회장[사진=보안뉴스]
만약 최종 고객이 컨설팅사 선정 시 비용보다는 실제로 투입되는 컨설턴트의 경험(품질)을 가장 중요한 요소로 평가하게 된다면 앞서의 문제를 해결하는데 도움이 될 수 있다. 컨설팅기업들이 과열 경쟁으로 인해 낮은 단가를 제시하고, 가능하면 적은 비용을 들여 최대의 효과를 얻고자 하는 기업의 이해가 맞아떨어져 발생되는 문제이기 때문이다.
따라서 이러한 불편한 진실을 개선하기 위한 노력으로 가장 먼저 컨설팅 단가의 기준을 현행처럼 소프트웨어(SW) 개발단가 기준이 아닌 보안컨설팅(컨설턴트)만의 단가 기준을 연구해 표준안을 만들 필요가 있다. 이를 바탕으로 컨설턴트 등급별로 공표하고 보안전문가라면 누구나 이 등급을 적용토록 하는 방안이다. 이를 위해서는 관련 협회를 만들거나 유사 기관에 위임해 보안전문가 등급을 인증하고, 컨설턴트의 역량을 높이는 역할을 부여하는 전문기관의 설립(기존 유사기관의 활용 포함)도 필요하다고 본다. 현재도 정보보호산업법에 의거한 기술인력의 자격기준이 있지만 인증이나 자질 향상을 위한 역할은 부족한 게 사실이다. 또한, 일부 국가공인 자격기준이 인정되지 않는 측면이 있어 개선이 필요하다고 할 수 있다.
[글_ 신현구 한국기업보안협의회 회장/중부대학교 경찰경호학부 교수]
필자 소개_ 신현구 한국기업보안협의회 회장은 경기대학교에서 보안관리학 박사학위를 취득했으며, 창립멤버로 참여한 한국산업기술보호협회 기술보호전략실장과 산업보안 컨설팅 업체 피앤에스파트너스 대표를 역임한 후, 현재는 중부대학교 경찰경호학부 교수로 재직하고 있다. 지난해에는 기술보호 유공자로 중소벤처기업부장관상을 수상한 바 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
