[넋두리] 6. 소 잃고도 안 고치는 외양간

싼 게 비지떡이 맞다

오래전 SK컴즈의 개인정보 유출 사고가 발생했을 때 나에게 한통의 전화가 걸려 왔다. 한국인터넷진흥원으로부터 걸려온 전화였다. 내용인즉 SK컴즈 정보유출 사고와 관련해 확인할 것이 있으니 방송통신위원회로 출두하라는 내용이었다. 갑작스러운 요청에 황망함을 느껴 사유를 물으니 그보다 이전 1년쯤 전에 SK컴즈에 대해 정보보호 컨설팅 사업을 수행한 이력이 발견되어 출두 대상이 되었다는 것이다.

아닌 밤중에 날벼락이 따로 없었다. 전화를 끊고 나서 기억을 더듬던 나는 피식피식 새어 나오는 웃음을 멈출 수가 없었다. 내가 수행했던 사업은 보통 1주 내지는 2주의 짧은 기간 동안 수행되는 안전진단이라는 사업이었기 때문이었다. 지금은 ISMS 제도에 통합되어 사라졌지만 그 시기에는 법으로 강제하던 제도여서 많은 기업들이 매년 1회 정보보호 안전진단을 받아야만 했으므로, 적은 예산과 짧은 기간으로 최소한의 형식만을 갖추어 수행하던 사업이었다.

그 시기 기업들에게는 아직 망분리와 같은 개념이 정립되기 전이어서 인터넷 작업용 PC와 업무용 PC 분리를 요구하지 않던 시기였다. 함께 안전진단을 수행했던 직장동료와 함께 방송통신위원회에 출두한 나는 안전진단이라는 사업의 특성에 대해 1시간여에 걸친 힘든 항변을 수행해야만 했다. 2주간의 짧은 기간 동안 진단과 보고서 작업까지 마무리해야 하는 소규모 컨설팅 사업이었다는 사실을 설득하기 위해서 말이다. 그리고 거듭 강조했었다. 2명이서 투입되어 수행하는 2주짜리 작은 사업에서 많은 문제점을 발견하기는 어렵다는 점을 말이다. 그러고도 한편으로는 걱정되지 않을 수 없었다. 나와 내 동료가 사고 발생의 책임을 누군가에게 돌리기 위한 희생양이 되지 않을까 하는 걱정이 한동안 나의 머릿속을 떠나지 않았던 것이다.

지금도 대부분(실제로는 거의 모든) 기업과 기관들이 정보보안 사업을 발주할 때 최저가 입찰을 선호하고 있다. 우리나라 기업이나 기관이 발주하는 사업에 적용하고 있는 '최저가 낙찰제'란, 발주에 참여한 모든 업체 가운데 가장 적은 금액을 제출한 업체를 수행업체로 선정하는 방식이다. 가장 싼값에 제품이나 서비스를 팔겠다고 제시한 업체를 선정하는 것이다. 즉, 처음부터 보안과 관련된 제품이나 서비스를 '싸게 사겠다'라고 선언하고 시작하는 것이다.

물론 선정기준에 있어서 무조건 가격만으로 판단하지는 않는다. 제안업체의 수행능력과 가격을 함께 검토하는 것이 일반적이다. 대체로 수행능력 80%, 가격 20%의 비율로 적용된다. 이 과정에서 전문적 수행능력이 부족한 업체는 탈락하고, 나머지 업체들이 경쟁하게 된다. 여기까지만 보면 큰 문제는 없어 보인다.

그러나 일부 미흡한 업체들을 제외한 나머지 전문업체들이 제안한 기술적 차이를 짧은 시간 안에 심사위원들이 구분해내기 쉽지 않으므로 점수 차이가 나지 않게 된다. 결국은 가격으로 귀결된다는 것이 함정이다. 어떤 과정을 거치더라도 결과는 가장 적은 금액을 제시한 업체가 선정되는 것이므로 처음부터 싸게 사겠다고 선언하고 시작하는 것과 차이가 없어진다.

여기서 끝이 아니다. 최저가를 제시한 업체는 힘들게 우선협상대상자로 선정돼 고객과 기술협상을 시작한다. 그리고 할인의 압박을 받게 된다. 대부분의 기업에는 가격협상을 위한 담당자가 존재한다. 기업에 따라 조금씩 차이가 있지만 이들의 주요 과제는 협상을 통해 업체가 제출한 금액의 5%~10% 정도를 할인하는 것이다. 이 목적을 달성하지 못하면 협상 담당자는 업무를 완수하지 못한 것이며, 결과는 평가에 반영된다. 협상 담당자는 목적 달성을 위해 적극적이게 되고, 조금이라도 할인을 얻어내기 위해 최선을 다한다. 업체 역시 힘들게 최저가를 제시해 선정됐는데 또다시 할인의 압박을 견뎌내야만 한다. 견뎌내지 못하면 금액을 낮춰 주어야 한다. 최저가에서 할인 과정을 거쳐 싸구려로 탄생하는 순간이다.

정보보안업체는 봉사단체가 아니다. 사업을 영위하여 돈을 벌어 회사를 운영하고 소속 직원(보안 컨설턴트)들에게 급여를 지급해야 하는 영리 단체이다. 따라서 최저가에 할인까지 더해 싸구려로 계약하고 나면 손해를 보지 않기 위해 발버둥 칠 수밖에 없다. 양보다 질을 선택해 대리급 2명을 차장급 1명으로 교체해 작업하는 등의 선택으로 인건비를 대체하는 방식도 보안업체에게는 불가능하다. 대부분의 기업들은 인력에 대해서는 질보다 양을 선호하고 있어 컨설팅 사업에 투입되는 사람 수를 많게 하는 것이 실적이라고 생각하는 잘못된 오류를 범하고 있기 때문이다.

이제 보안업체는 할 수 있는 모든 수를 동원하기 시작한다. 별수 없이 인력 교체나 일감 병행하기, 수행기간 줄이기 등의 각종 편법을 동원하게 된다. 지식이 적고 경력이 짧은 인력을 투입하여 인건비를 줄이는 등의 방법을 통해 고객의 최저가 낙찰 전략에 대응하게 된다.

결과는 명약관화하다. 최저가 낙찰로 인한 최저 수준의 결과물이 나오게 된다. 보안업체에게 다행인 건 아직도 많은 기업에게 이러한 최저 결과물을 제대로 검증할 만한 전문가가 부족하다는 것이다. 설사 그런 전문가가 있다고 하더라도 최저가 입찰로 수행된 사업에서 최고 수준의 결과물을 기대하는 따위는 애초(사업 발주 시)부터 바라지도 않는다. 보안컨설팅과 같은 유형의 사업은 수행인력의 수준에 따라 결과물의 수준이 좌우됨을 알기 때문에 그저 법에서 요구하는 최저 수준의 충족이면 족하다. 따라서 사업은 과정에서의 잦은 불협화음에도 불구하고 마무리되게 된다. 그리고 동일한 과정이 매년 반복되는 악순환의 고리가 하나 생성된다.

많은 기업들을 대상으로 보안컨설팅을 수행하던 그때의 나는 종종 우리 조상들의 현명함에 대해 생각하곤 했는데, '뿌린 대로 거둔다' 또는 '싼 게 비지떡'과 같은 격언 때문이다. 어쩜 그리 맞는 말인지 새삼 가슴으로 느끼곤 했다. 대체로 적정한 예산으로 적정한 수준의 인력들이 투입된 보안컨설팅 사업은 대부분 잡음 없이 양질의 결과물을 도출하면서 무난히 수행되는 반면, 최저가로 무리하게 수행되는 보안컨설팅 사업의 경우 첫걸음부터 삐걱하는 소리가 들려오는 것이 일반적이었다. 때로는 아니함만 못한 경우를 숱하게 보기도 했다.

소를 잃었으면 외양간을 고쳐야 한다. 고치지 않는 것보단 천만 배 나은 일이기 때문이다. 그럼에도 최저가 전략은 고쳐지지 않는다. 이쯤 되면 또 소를 잃고 싶은 것인지 아니면 정말로 비지떡을 좋아하는 것인지 궁금해지게 된다.