[넋두리 4] 6. 보안컨설팅의 부활을 기대하며

통찰력의 향상이 필요하다

   한 분야에서 오랫동안 일하면서 일반인들이 상상하기 어려운 경지에 이른 사람. 우리는 그런 사람을 '달인' 또는 '명장'이라고 부른다. 자로 재지 않고 눈으로 보지 않아도 그저 손끝의 감각, 눈대중 만으로도 귀신같이 간격을 맞추기도 하고, 소리만 듣고도 상태를 바로 맞히기도 한다. 사람들은 그저 경외와 놀라움으로 감탄하지만 그건 그들이 투자했던 무수한 시간과 노력의 결과이다. 결코 하루아침에 뚝딱하고 갖게 된 실력이 아닌 수없이 흘렸던 눈물과 땀의 결정체이며, 오랜 투자의 결과로 누구나 인정할 수밖에 없는 전문가의 경지에 이르게 된 것이다. 이렇게 뛰어난 솜씨를 보여야만 사람들은 전문가라고 인정해 준다.

  전문가 영역에 속하는 직무 중 기업을 대상으로 조언을 제공하는 직무를 '컨설팅'이라 하고, 컨설팅을 직업으로 하는 사람들을 '컨설턴트'라고 부른다. 개인적인 조언(혹은 자문)을 얻고자 하는 경우라면 그저 주변인의 의견과 경험만으로도 충분할 것이다. 그러나 조언을 구하는 대상이 기업이라면 단순히 주변인의 의견과 경험에 기대어 조언을 얻는 것은 바람직하지 않다. 더구나 대가성 조언이라면 더욱 신중해야 한다. 그 조언으로 인해 기업 경영과 업무에 미칠 영향이 너무 세기 때문이다. 자칫 잘못된 조언으로 인해 기업이 곤란한 상황에 처할 가능성도 있으므로 기업 대상의 조언인 경우 상당한 전문성을 필요로 한다. 그 전문성을 갖추었다는 사람들이 바로 컨설턴트들이고 그들이 기업 대상의 컨설팅서비스를 제공한다. 따라서 컨설턴트는 특정 분야에 있어서 적어도 타인들에게 '전문가'로 인정되는 수준이어야 한다. 그중 정보보안 분야에서 활동하는 사람들을 '보안컨설턴트'라고 부른다.

  최근 몇 년간 주변에서 보이는 보안컨설팅 시장의 상황은 개인적인 판단으론 그리 낙관적이지 않다. 물론 단순히 겉으로 보이는 것만 따지면 외부적인 분위기는 좋다. IT분야 스타트업들이 많아지고 전통의 기존 대기업들이 신사업으로 IT서비스 분야에 대거 진출해 정보보안 관련된 사업의 발주가 많아진 영향이다. 외려 보안컨설턴트가 없어 컨설팅 사업을 못한다고 할 정도로 나름의 특수를 누리고 있기도 하다. 여하튼 전반적인 보안컨설팅 시장의 양적인 규모가 커지고 있음은 확실하다.

  그럼에도 시장의 미래를 낙관할 수 없는 이유는 질적인 성장이 함께하지 못하고 있기 때문이다. "양보다 질"이라고 했지 않은가! 현재의 보안컨설팅 시장은 겉으로 보이는 규모는 성장하는데 정작 그 속은 자라지 못한 반쪽짜리 시장이라는 것이 나의 견해이다. 그래서 오랫동안 보안컨설팅 시장을 경험해 온 전문가들 중에는 보안컨설팅 시장에 대한 비관적인 의견도 상당히 많다. IT와 보안분야 양쪽에서 모두 컨설팅을 수행해 본 경험에 비추어 그에 대한 몇 가지 이유를 설명해보고자 한다.

1. 고객들의 수준 향상

  기업의 IT도입이 꾸준히 진행되어 온 지난 시간 동안 기업의 보안조직에게도 큰 변화가 있었다. 바야흐로 외부 전문가들이 보안조직으로 유입되기 시작한 것이다. 그중 상당수는 기업들에게 보안컨설팅을 제공하던 컨설팅 회사로부터 영입되었다. 어제의 을이 오늘의 갑이 된 경우로 갑의 입장에서는 같이 일해보고 검증된 뛰어난 수준의 인재 영입을 통해 보안조직의 수준을 짧은 시간 안에 대폭 향상한 것이다.

  하지만 이런 상황은 역으로 컨설팅 서비스를 제공하는 회사들에게는 악재로 작용되었다. 흔히 "아는 놈이 더하다"라고 하지 않던가! 컨설팅 회사에서 영입된 인재들은 자신들이 익히 경험하고 잘 알고 있는 뻔한 기존의 방법론 말고 뭔가 참신하고 새로운 것을 컨설팅 회사가 제공해 주길 요구하고 기대했다. 그러나 컨설팅 회사의 수준은 전과 비슷하거나 유능한 인재들의 유출로 오히려 하락해 버려 고객이 원하는 수준을 만족시킬 수 없는 처지로 내몰려버렸다. 결국 이러한 상황은 고객들의 컨설팅(결과)에 대한 실망으로 표출되어 컨설팅과 컨설턴트에 대한 기대치를 낮추게 만들었다.

  요약하면 '전문가'로서 고객을 설득하고 방향을 주도해야 하는 보안컨설턴트들이 되려 더 전문가인 고객에게 이끌림 당하고 끌려가는 상황으로 전락해 버렸다.

2. 천편일률적인 수행 방법

  초기의 보안컨설팅 시장은 몇 개 업체들이 시장을 이끌어가는 분야였다. 아직 시장이 활성화되지도 않았고 기업들도 보안에 대해 직접 진단하거나 판단할 수준이 되지 못해 컨설팅 업체에게 전적으로 의존하던 시기. 신규 컨설팅 업체들은 시장을 이끌어가는 선두업체들이 보유한 수행 방법론을 기를 쓰고 입수해 베껴가며 시장에 진출하기 위해 노력하던 때였다.

  그로부터 수십 년의 시간이 지난 지금에 이르러서는 상황이 달라졌다. 그 옛날 멋있던 방법론은 이제 구시대의 유물이 되었고, 너도나도 베끼던 그 유물로 인해 대부분 컨설팅 업체들의 방법론은 지금도 천편일률적으로 똑같다. 그리고 현재도 대부분의 컨설팅 업체들이 같은 구시대의 유물을 사용해 사업을 이어가고 있다. 이제는 너무 많이 접하고 익숙하고 뻔해서 그냥 보안 수준 진단을 위한 절차 정도로 받아들여지고 있는 현실이다. 거창한 컨설팅 사업에서 단순 진단용역사업으로 전락해 버린 것이다.

  요약하면 시대의 변화에 따른 새로운 수행방법론 개발에 실패하면서 고객에게 신선함과 차별화를 보여주지 못하고 뻔하다는 식상함을 안겨주었다.

3. 컨설턴트들의 통찰력(Insight) 부재

  가장 큰 문제는 대부분의 컨설턴트들에게 전문가로서의 통찰력이 보이지 않는다는 것이다. 누군가에게 조언(및 자문)을 제공하는 자라면 적어도 해당 분야에 대한 경험을 바탕으로 한 본인만의 철학과 신념 그리고 이를 타인에게 전파하기 위한 논리적 설득력을 갖추어야 한다. 대체로 이것은 오랜 실전경험과 고련 속에 다듬어지고 형성되지 일조일석에 이루어지지 않는다.

  그러나 컨설팅 회사들은 실전경험을 통해 다듬어진 전문가 영입보다는 당장의 매출을 위해 투입 가능한 낮은 단가의 제법 괜찮은 학벌을 가진 초급 인력들을 대거 채용하는데 집중해 왔다. 그러나 아무리 공부 잘하고 똑똑한 인재이면 무엇하겠는가? 관련 분야에 대한 업무경험이 없으니 그저 검색된 자료를 토대로 교과서적인 과제 도출만이 이루어질 뿐으로 해박한 분야 지식과 경험에 기초한 통찰력은 애당초 기대하기 어렵다.

  더 큰 문제는 앞으로도 컨설턴트들에게 통찰력을 기대하기 어렵다는 데 있다. 5년 아니 10년이 지나도 상황은 개선되기는 어려워 보인다. 이유는 간단하다. 현장에서 직접 몸으로 뛰어본 경험이 없기 때문이며, 앞으로도 없을 것이기 때문이다. 예를 들어 직접 업무를 분석해 프로그램을 개발해 본 적이 없는 IT컨설턴트, 보안과 관련된 실무활동(개발/기획/구축/설치/운영/분석) 중 어느 것도 해 본 경험이 없는 보안컨설턴트. 지금 기업들이 만나고 있는 컨설팅 수행의 주축들이다.

  요약하면 현장경험을 거치지 않고 컨설팅 실무에 바로 투입되어 실질적이고 실효적인 통찰력 제공이 어려운 컨설턴트들이 대규모로 컨설팅에 투입되고 있다.

  고객이 컨설팅을 통해 자문을 받고자 할 때는 컨설턴트가 나보다 더 잘 알고 더 경험이 많아서 이를 토대로 무언가 참신한 견해를 제시해 줄 것을 기대하기 때문이다. 나보다 모르고 경험도 적으면서 뻔한 의견만 나온다면 무엇을 기대하고 무엇을 얻고자 하겠는가. 그저 실망으로 이어질 수밖에 없다. 설령 경력은 부족하더라도 참신한 의견과 견해를 나름의 논리를 통해 제시할 수 있다면 그것도 괜찮다. 그러나 익히 알고 있지 않은가! 참신한 의견과 견해라는 통찰력은 직접 경험해보지 않고서는 나오기 어려운 것임을. 흔히들 쉽게 짬밥이라고 말들 하지만 살다 보면 이것이 굉장히 중요함을 깨닫게 된다. 고객이 진정으로 컨설팅에 기대하는 것은 오랜 짬밥을 통해 불쑥 튀어나오는 통찰력이기 때문이다.