치과에서 들은 한마디가 IT/보안 투자에 던진 질문
"싸고 좋은 게 있으면 저도 알려주세요"
아내가 대학병원 치과 교수님 앞에 앉았던 날, 나는 그 대화를 전해 듣고 한동안 멍했다.
"치아 상태가 왜 이런가요?"
"동네 치과에서 타 제품 대비 저렴하면서 더 좋은 재료를 사용한다고 해서 치아를 이렇게 만들어 놓았네요."
그러자 교수님이 말했다.
"세상에 싸고 좋은 게 있나요? 있으면 저도 알려주세요. 저는 이 세상에 싸고 좋은 제품을 본 적이 없습니다."
짧고 냉정한 말이었다. 그런데 이상하게 머릿속에서 계속 맴돌았다.
얼마 전 인테리어를 맡겼던 업체 사장님도 비슷했다. "다시 찾아줘서 감사하다"며 파격 할인을 제안했다. 솔직히 말해 그 제안은 꽤 매력적으로 들렸다. 비용을 줄이기 위해 내가 할 수 있는 부분은 직접 셀프로 작업하고, 설비나 전문 공정만 업체에 맡길 생각을 하고 있던 상황이었기 때문에 감사한 마음에 별다른 의심 없이 수락했다. 결과는 예상대로였다.
완성도 부족
마감 불량
마무리 작업 지연
그때 문득 치과 교수님의 말이 떠올랐다.
"싸고 좋은 건 없다."
IT 시장도 다르지 않다 — 오히려 더 심각하다
개인의 선택에서 끝나면 그나마 다행이다. 문제는 조직의 IT 의사결정에서 같은 일이 반복될 때다. 정부기관, 공공기관, 일반 기업을 막론하고 IT 시스템 도입 과정에서 흔히 벌어지는 일이다. 예산을 줄이기 위해 생각했던 기준보다 눈높이를 낮추어 제품을 선택한다. 특히 RFP(제안요청서)에서 가격 배점이 높을수록 이런 일이 자주 발생한다.
입찰 경쟁이 치열해진다
낙찰가는 계속 내려간다
품질은 반대로 떨어진다
그리고 진짜 문제는 도입 이후 발생한다. 예를 들어 이런 상황이다.
장애가 발생했는데 유지보수 인력이 없다
보안 패치가 몇 달씩 늦어진다
기술지원은 계약 범위 밖
그리고 사고가 발생하면 돌아오는 말은 이것이다.
"관리 소홀"
그 책임은 대부분 실무자에게 돌아온다.
보안 사고는 결국 비용 절감의 청구서다
보안 영역에서는 이 문제가 더 명확하게 드러난다. 대표적인 보안 솔루션을 보면 다음과 같다.
EPP(Endpoint Protection Platform)
EDR(Endpoint Detection & Response)
XDR(eXtended Detection and Response)
겉으로 보면 거의 비슷하다. UI 화면도 비슷하다. 보고서도 비슷하다. 기능 설명도 비슷하다. 그래서 가격이 낮은 제품이 합리적인 선택처럼 보인다. 하지만 사고가 발생하면 상황이 완전히 달라진다. 평소에는 보이지 않던 차이가 드러난다.
✔ 탐지율의 차이 → 사고 발생 후에야 알게 된다
✔ 대응 속도의 차이 → 로그 분석 과정에서 드러난다
결국 비용 절감의 결과는 이렇게 돌아온다.
보안 사고 대응 비용
시스템 복구 비용
기업 평판 손실
실제로 중소기업 랜섬웨어 사고 사례를 보면 초기 보안 투자 비용의 수십 배에 해당하는 피해가 발생하기도 한다. 아낀 돈이 아니라 나중에 청구되는 비용이 된 셈이다.
그렇다면 IT/보안 투자 의사결정은 어떻게 해야 할까
그렇다고 비싼 제품이 무조건 답이라는 의미는 아니다. 핵심은 하나다.
가격이 아니라 가치 기반(Value-based) 의사결정
IT/보안 제품 도입 전 반드시 확인해야 할 기준이 있다.
1. 총소유비용(TCO) 기준으로 판단하라
초기 도입 비용만 보면 안 된다. 유지보수, 기술지원, 업그레이드, 운영 인력 비용, 회계 상 감가상각 기준으로 5년 TCO로 비교해야 한다. 초기 비용이 싼 제품이 오히려 더 비쌀 수 있다.
2. 기술지원 SLA를 계약서에 명시하라
계약서에는 반드시 다음 내용이 있어야 한다.
장애 발생 시 응답 시간
문제 해결 목표 시간
에스컬레이션 절차
3. 예산이 부족하다면 범위를 줄여라
전체 시스템을 저품질로 구축하는 것보다
✔ 핵심 영역부터 검증된 제품 도입
✔ 단계적 확장 전략
이 방식이 훨씬 안전하다.
의사결정자가 알아야 할 불편한 진실
IT/보안 투자는 ROI가 눈에 잘 보이지 않는다. 사고가 나지 않으면 이렇게 말한다.
"괜히 돈 썼네."
그래서 예산이 계속 줄어든다. 하지만 사고가 발생하면 상황은 완전히 바뀐다. 치과 교수님의 말이 결국 이 구조를 설명한다.
싸고 좋은 것은 없다.
싼 것은 싼 이유가 있다.
그 이유를 모른 채 선택하면 비용은 나중에 돌아온다. 그것도 훨씬 무거운 형태로.