SK컴즈의 개인정보 유출 사고가 발생했을 때 필자에게 한통의 전화가 걸려 왔다. 한국인터넷진흥원으로부터 걸려온 전화였다. 내용인즉슨 SK컴즈 정보유출 사고와 관련해 확인할 것이 있으니 방송통신위원회 관련부서로 출두하라는 내용이었다. 황당해 사유를 물으니 1년쯤 전에 SK컴즈에 대해 정보보호컨설팅 사업을 수행한 적이 있어 출두 대상이 되었다고 한다.

전화를 끊고 나서 기억을 더듬던 필자는 새어나오는 웃음을 멈출 수가 없었다. 왜냐하면 필자가 수행했던 사업은 보통 2주라는 짧은 기간 동안 안전진단을 수행하는 사업이었기 때문이었다. 그리고 예산도 얼마 되지 않는 작은 사업이었다. 그 시기는 일반 기업들에게는 아직 망분리와 같은 개념이 확산되기 전이었던 만큼 방송통신위원회에 출두해 관련 내용에 대해 1시간여에 걸친 힘든 항변을 수행해야만 했다. 그리고 거듭 강조했던 기억이 난다. 필자가 수행한 사업은 2주짜리 작은 사업이라는 것을 말이다.

임홍철 사이버안전팀장

지금도 대부분(실제로는 거의 모든) 기업과 기관들이 정보보안 사업을 발주할 때 최저가 입찰을 선호하고 있다. 이왕이면 싼값에 서비스를 받겠다는 것은 나쁘지 않다. 다만, 그 전제는 제대로 된 서비스를 받을 수 있어야 한다는 것이다. 제대로 된 서비스를 받지 못하는 경우 그로 인한 피해 역시 해당 기업과 기관에게 돌아가기 때문이다. 그리고 그런 일들이 벌어지고 있다.

정보보안업체는 봉사단체가 아니므로 최저가로 입찰을 따내게 되면 손해를 보지 않기 위해 발버둥 칠 수밖에 없다. 양보다 질을 선택해 대리급 2명을 차장급 1명으로 교체해 작업하는 등의 선택도 보안업체에게는 불가능하다. 대부분의 기업과 기관들은 인력에 대해서는 질보다 양을 선호하고 있어 사람 수를 많게 하는 것이 중요하기 때문이다. 이제 보안업체는 별수 없이 인력 교체나 일감 병행하기, 수행기간 줄이기 등의 각종 편법을 동원하게 된다. 지식과 경력이 적은 싼 인력을 투입하는 등의 방법을 통해 고객의 최저가 입찰 전략에 대응하는 것이다.

결과는 명약관화하다. 최저가 입찰로 인한 최저의 결과물이 나오게 된다. 보안업체에게 다행인 건 아직도 많은 기업과 기관에게 이러한 최저 결과물을 제대로 검증할 만한 전문가가 부족하다는 것이다. 따라서 사업은 잦은 불협화음에도 불구하고 마무리되게 된다. 그리고 동일한 과정이 매년 반복되는 악순환의 고리가 또 하나 생성된다.

필자는 매번 보안컨설팅을 수행하면서 우리 조상들의 현명함에 대해 생각하게 되는데, ‘뿌린 대로 거둔다‘ 또는 ’싼 게 비지떡‘과 같은 격언 때문이다. 어쩜 그리 맞는 말이란 말인가. 적정한 예산으로 적정한 인력들이 투입된 보안컨설팅 사업은 대부분 잡음 없이 무난히 수행되는 반면, 최저가로 무리하게 수행되는 보안컨섵팅 사업의 경우 첫걸음부터 삐걱하게 마련이며, 아니함만 못한 경우를 숱하게 보게 되는 것이다.

소를 잃었으면 외양간을 고쳐야 한다. 고치지 않는 것보단 천만 배 나은 일이기 때문이다. 그럼에도 최저가 전략은 고쳐지지 않는다. 또 소를 잃고 싶은 것인가. 아니면 혹시 정말로 비지떡을 좋아하는 것일까.

키워드

#N
저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지