• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[시큐리티 Q&A] 보안컨설팅 전문업체 질적 향상방안 2014.04.19

Q. 보안 컨설팅 전문업체가 확대되고 재지정되는 상황에 있다. 그럼에도 불구하고 사용자 입장에서는 보안 컨설팅의 품질문제를 제기하고 컨설팅 업체 입장에서는 낮은 가격단가로 인해 어려움을 호소하고 있다. 보안 컨설팅 분야의 질적 및 양적 성장을 위한 법제도 차원에서의 지원대책이 있을까?



A-1. 우선, 일단 따놓고 보자는 식으로 사업수주를 하고 그 결과 인력이 모자라서 급한대로 초급인력을 프로젝트에 투입해서 서비스 질에 대한 문제를 야기하고 있다. 사업수주에 제한을 두고 프로젝트에 투입 인력의 투명화 및 인력 표준화 측면의 개선이 필요해 보인다. 또한 만일 고급인력이 확보되더라도 고객사에서 가격을 낮추기 때문에 고급인력 투입에 어려움이 있다.

따라서 프로젝트 규모에 따른 정확한 가격 산출 가이드라인이 필요하다. 마지막으로, 내부교육을 통해 인력들을 스킬업 시켜서 서비스 만족도를 향상시키려고 하나 교육의 종류나 교육 지원이 부족하다. 내부교육에 대해서도 노동부 과정에 포함시켜주는 정책이 필요해 보인다. 또한, 스킬업을 위한 외부교육도 실무에 바로 적용 가능한 좀 더 다양한 교육프로그램이 필요할 것으로 판단된다.

(강순근 쿠팡 보안기술팀장)


A-2. 2가지 이유 때문에 발생하는 문제라고 생각된다. 첫째는 컨설팅 프로젝트 계약상의 문제이다. 예를 들면 실제 고객인 A사와 실제로 컨설팅을 제공하는 B사와 직접 계약이 성사되는 경우보다는 중간에 최소 1개사 때에 따라서는2개사가 개입되기 때문에 최종 컨설팅 회사에서 받는 금액이 낮아서 이로 인해 투입되는 컨설턴트도 단가가 낮은(경험이 적은) 컨설턴트가 투입되기 때문이다.


두 번째 이유는 컨설팅회사의 선정 시 단가가 가장 중요한 요소(때때로 유일한 요소)이기 때문이다. 만약 최종 고객이 컨설팅사의 선정 시 비용보다는 실제로 투입되는 컨설턴트의 경험(품질)을 가장 중요한 요소로 평가하게 된다면 위의 문제를 해결하는데 도움이 될 것 같다. 이러한 상황이 발생하는 이유에 대해 다음 2가지를 들 수 있다.


첫 번째는 컨설팅사들의 과열 경쟁으로 인한 낮은 단가 제시를 들 수 있다. 모든 기업들이 가능하면 적은 비용을 들여서 최대의 효과를 얻고자 하는 것은 당연한 입장이다. 국내 기업들의 담당자들이 컨설팅 사업 내부품의 시 주변에 유사한 컨설팅을 받아본 기업, 혹은 컨설팅사의 영업사원들에게 어느 정도의 비용이면 가능한지를 확인하는 과정 등을 통해 내부 예산을 잡는다. 즉 턱없이 낮은 금액으로 예산을 잡지는 않는다는 것이다. 따라서 컨설팅업체는 자신들이 정한 기준으로 참여함으로써 국내 기업들은 컨설팅 회사들이 기대하는 최소한의 수준으로 비용은 지불할 가능성이 높아질 것이다.


① 컨설팅 단가의 기준 조사 및 제시

현재 컨설팅 단가의 기준은 소프트웨어 개발 기준을 준용하고 있는 실정이다. 물론 소프트웨어 개발이나 컨설팅 등 지적인 내용을 가지고 하는 업무라 비슷하다고 할 수도 있다. 컨설팅 분야의 단가에 대한 새로운 기준이 필요한지 등 관련 연구를 정부차원에서 수행해볼 만하다고 생각한다.


② 소프트개발 단가로라도 제대로 지불

현재 소프트웨어 개발단가를 기준으로 하고 있고 제안한 금액을 그대로 고객이 지불한다면 지금보다는 나을 것이다. 그러나 실제로 정해지는 금액은 정부 기준 금액에서 30~50% 할인된 금액으로 거래되는 것으로 알고 있다. 보다 정확한 수치는 정보보호 전문업체 관련자들에게 확인하면 알 수 있다.


③ 컨설턴트들의 역량

컨설턴트들의 역량(적격성-결국은 품질에 영향을 주는) 확보에 얼마나 많은 시간과 비용을 컨설팅 회사들이 투입하고 있는지를 향후 정보보호 전문 업체 평가 시에 반영하는 것이다. 물론 현재에도 있지만, 지금보다는 평가 항목의 중요도를 획기적으로 높일 필요가 있다.

(박태완 한국뷰로베리타스 선임심사원/taewan.park@gmail.com)


A-3. 정보통신산업진흥법 시행규칙 개정안이 시행되면서 보안컨설팅 전문업체가 대폭 늘어났다. 보안컨설팅 자격요건으로 자기자본을 기존 20억원 이상에서 5억원으로 낮추고 기술인력 수도 기존 15명에서 10명 이상으로 완화했다. 이에 따라 보안 컨설팅 전문업체가 안랩, SK인포섹 등 기존 7개 업체에서 11개 업체가 추가 지정돼 총 18개 업체로 늘어났다.

시행규칙이 개정된 이유는 정보통신기반시설이 크게늘어남에 따라서 200여개의 시설을 기존 7개 업체가 수행하기 어렵기 때문이다. 보안컨설팅 신규업체 수 증가가 시장 활성화를 야기해 시장을 성숙하게 키울 수 있으며, 전체적인 품질 향상으로 귀결되는 것이 목표이다. 산업통상자원부는 품질저하는 일축하며 3년마다 철저한 사후관리를 통해 업체를 재지정함으로써 품질 수준을 유지시킬 수 있다는 입장이다. 또한 단순히 늘어난 수요를 맞추기 위해 업체 수를 늘리는 것이 아닌 컨설턴트 인력양성을 지원하는 쪽에 관심을 기울일 예정이다. 실제로 박근혜 정부는 소프트웨어 산업을 국가 전략산업으로 키우기 위한 ‘SW 혁신전략’을 공개했으며, 보안SW을 포함한 SW관련 인력과 시장 생태계를 아우르는 범정부 대책으로, 인력 양성방안 등도 담겨 있다.

(왕재윤 한국산업기술보호협회 관제운영팀 연구원 /jywang@kaits.or.kr)

[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>