Offcanvas

CSO / 리더십|조직관리

'싸고 긴 3년, 유연한 1년'··· 보안 벤더 계약, 적정 기간은?

2022.07.14 Mary K. Pratt  |  CSO
보안 비즈니스의 세계는 변화무쌍하다. 민첩성, 안정성 그리고 비용 사이에서 적절한 균형을 찾는 방법에 대해 여러 보안 전문가가 전한 조언을 들어보자. 
 
ⓒDepositphotos

스테파니 베노이트 커츠는 이전 회사에서 CISO로 일할 때, 한 서비스형 취약성 관리 제공업체와 3년 계약을 체결했다. 당시만 해도 괜찮은 거래라고 생각했다.

그는 회사의 보안 운영 팀이 기능을 십분 활용할 것이라고 생각하면서 계약을 체결했다. 하지만 그는 이내 팀이 사용하는 기능의 비율은 60%에 그친다는 사실을 발견했다. 

큰 곤경이었다. 회사에 적합하지 않은 제품에 비용은 계속 나가고 있었고, 계약을 끝낼 방법은 없었던 것이다. 

현재 피닉스대학교(University of Phoenix)의 CIST(College of Information Systems&Technology)에서 책임 교원을 맡고 있는 베노이트 커츠는 “업체를 찾아가 ‘이 모듈이 필요 없으니 환불을 받을 수 있는가?’라고 말하기가 어려웠다”라고 회상했다. 대화 자체를 원치 않는 것 같았다”라고 그는 말했다.

그는 이런 일화에서 크게 배웠다고 말했다. 이처럼 초기에 비용을 조절하기 위해 협상하고, 기업의 미래 상태를 살펴 벤더의 서비스가 정말 적합한지 판단하는 법을 배우는 것은 매우 중요하다.  

또한 그는 이런 경험을 통해 최적의 계약 기간을 결정하는 게 얼마나 어려운지 깨달을 수 있었다고 전했다. 일반적으로 계약 기간이 길어질수록 비용이 내려가지만, 민첩성, 유연성 등 회사의 상황에 맞게 그때그때 수정할 권한을 타협해야 하므로 까다로운 의사결정 과정이 될 수밖에 없다고 그는 설명했다.  

섬세한 문제
적절한 업체를 선택하고, 최상의 계약 조건과 기간을 협상해내는 것은 모두에게 매우 어려운 일이다. 하지만 특히 보안 임원들은 이런 일을 처리할 때 다른 부서의 리더들보다 더 어려움을 겪는 경우가 많으며, 적절한 계약 기간을 결정해야 할 때 더욱 그렇다. 

이유는 다음과 같다. CISO는 매일 쏟아지고 변화하는 온갖 보안 위협과 씨름하며, 동시에 이에 대응할 수 있는 스킬, 도구와 정책을 고안해야 한다. 그 결과, CISO는 변화의 물결에 올라탄 업체와 도태되는 업체 리스트와도 씨름해야 한다. 빠르게 혁신하거나 합병하여 성장하는 벤더일 수도, 변화를 따라잡지 못해 잊혀지는 벤더일 수도 있다.  

이와 함께, CISO는 구매하는 제품을 구현, 구성 및 관리하는 데 투입될 자원과 절차의 복잡성도 고려해야 한다. 흔히 말하는 비즈니스적 가치를 극대화하는 것은 고사하고 실제 결과물을 보기까지 수개월은 족히 걸리곤 한다. 
 
ⓒDepositphotos

이렇게 복잡다단한 고려사항은 CISO로서 떠안아야할 고유한 문제다. 이런 처지에서 그들이 최적의 가격, 필요한 서비스 수준에 대한 합의 등, 통상적인 비즈니스 계약 협상 요소까지 동등히 고려하기는 힘들다. 

게다가 벤더와 회사 간의 상충되는 요구 사이에서 균형을 맞춰야 하는 경우 적절한 계약 기간을 선택하는 일은 종종 더 큰 난제가 된다.  

그럼에도 CISO, 임원 자문가, 컨설턴트 집단은 모든 계약에서 이 모든 요소를 고려해야만 한다고 입을 모았다. 특히 회사에 가장 유리한 계약 기간을 파악하기 위해서는 회사의 서비스 조달(procurement pro?)팀 및 재무팀과 미리 협업해야 한다고 조언했다.

컨설팅 기업 K&KI(Kroll&a Kroll Institute) 소속의 위험 관리 활동 상무이사 앨런 브릴은 “만병통치약은 없다. 상황마다 다르고 회사마다 다르다. 모든 회사가 길고 복잡한 도입 프로세스를 거쳐야 한다는 것은 아니지만, 반드시 고려해야 할 체크리스트는 있다”라고 말했다.

핵심 고려사항
파크뷰 헬스(Parkview Health)의 정보 보안 부사장 대럴 킬링은 한 업체 또는 기술에 얽매일 기간을 결정할 때, 실제로 참고하는 체크리스트가 있다고 말했다. 

그는 “우리 회사에서 가장 중요하게 여기는 것은 타이밍과 전략적 방향이다”라고 그는 전했다. 

예를 들어, 부상하는 특정 기술이 있다고 가정해보자. 킬링은 해당 기술이 어떻게 시장의 변화에 발맞춰 갈지 살펴본다. 또 해당 기술을 활용하는 벤더의 로드맵을 검토한다. 이후 회사가 계약 기간 동안 필요하게 될 지원, 서비스, 업데이트를 해당 벤더가 문제없이 제공할 수 있는지 확인한 뒤에 계약 기간을 결정짓는다고 그는 설명했다. 
 
ⓒDepositphotos

또한 킬링은 구매하려는 솔루션이 곧 다른 여러 벤더도 제공할 일반적인 서비스가 될지를 따져본다고 덧붙였다. 그렇다고 예측할 경우, 3년 미만의 짧은 계약 기간을 선택한다. 

그리고 다른 업체와의 합병 가능성도 검토 요소다. 이때도 그는 합병한 회사의 우선순위에서 밀려날지도 모르는 제품에 얽매이지 않도록 짧은 계약 기간을 선호한다. 

하지만 킬링은 고려사항에 가격도 물론 포함된다고 강조했다. 특히 가격 상승이 아예 없거나 비용 상한선이 책정된다면 3년짜리 계약도 기꺼이 검토한다고 밝혔다.

전반적으로, 그는 민첩성과 안정성, 그리고 가격 사이의 균형을 맞추려 끊임없이 고민하여 때에 따라 단기 혹은 장기 계약 모두가 최적의 선택이 될 수 있다고 말했다. 

이런 유연적 사고는 매우 현명하다고 컨설팅 기업 가이드하우스(Guidehouse)의 ‘상급 솔루션을 위한 사이버 보안 팀(Advanced Solutions Cybersecurity Practice)’의 파트너 마이클 에버트는 평가했다.

에버트는 “어떤 계약이든 회사의 요구사항, 역량, 그리고 해당 솔루션에 얼마나 익숙한지와 같은 각종 기준을 꼼꼼히 따져야 한다”라며 “회사의 상황에 적합한가? 회사가 얻을 것으로 예상되는 효용 대비 가격이 적당한가?”라고 되물으라고 덧붙였다.

스윗 스팟 찾기는 어려운 작업
전문가들에 따르면, CISO는 체결하는 계약마다 최적의 조건을 따로 판단해야 한다. 하지만 그럼에도 5년 이상은 너무 길며 피해야 한다는, 기본적인 방침 정도는 있다. 실제로도 5년 계약은 드물며 이보다 더 긴 계약은 거의 전무한 수준이다.  

그럴 만한 이유가 있다고 포레스터 리서치의 부사장 겸 수석 분석가 제프 폴라드는 설명했다. 기술, 보안 및 비즈니스는 5년 계약을 체결하기에는 너무 빠르게 변화하는 영역이기 때문이다. 최악의 경우 보안팀은 회사의 보안에 더 이상 유용하지 않더라도 비용이 낮다는 이유만으로 구식 서비스를 계속 써야 하는 난처한 상황에 놓이기도 한다. 

이렇듯 너무 긴 계약은 지양해야 한다는 기본 방침이 존재하지만, 최적의 계약 기간에 대해서는 답이 엇갈린다.
보안 리더들은 다른 계약 옵션(1, 2, 3, 4년 옵션 등)의 경우 각기 장단점이 있다고 전했다. 제품의 성숙도부터 회사의 성숙도, 가격 등 다양한 요소가 달라진다.

예를 들어, 폴라드는 1년 계약 옵션의 경우 신기술을 도입하거나 보안 팀의 기술을 업그레이드해야 할 때 적합한 경향이 있다고 말했다. 또한 짧은 계약 기간은 새로운 문제를 해결할 때도 좋은 결정이 될 수 있다. 그는 “자신에게 지금 당장 주어진 문제를 해결해야 한다거나, 모든 문제에 관해 알지 못한다거나, 긴급히 해결해야 하는 문제에 봉착하는 경우가 있다. 이럴 때는 이 문제나 도입할 솔루션이 장기적으로 유지될지 모르더라도, 일단 무언가를 하는 것에 의미가 있다. 최소한 그 순간에는 문제를 해결할 수 있기 때문이다”라고 말했다.

그 후, 보안팀도 맞닥뜨린 문제와 새 기술을 평가할 시간을 벌게 된다. 다음 행보에 대한 감을 잡게 해주는 정보를 얻게 되는 것이다.  
 
ⓒDepositphotos

하지만 이는 단기 계약의 단점이 되기도 한다. 폴라드는 “이 모든 과정을 처음부터 되풀이해야 하는 최악의 시나리오가 현실화될 수 있다. 그것도 훨씬 더 이른 기간 내에 말이다. 몇 개월 안에 다시 ‘업체 쇼핑’을 거쳐 대안 업체를 찾아야 하는 고생을 할 수 있다”라고 말했다.

그다음으로 긴 옵션은 2년 계약이다. 2년 계약은 문제와 솔루션이 더욱 완전히 정의되고 정량화되어, “이 두 가지를 깊이 이해하고 한동안 존재할 것이라고 합리적으로 확신하며, 시장을 신속하게 재평가할 필요가 없다고 판단되는 경우”에 좋을 수 있다고 폴라드는 조언했다. 

물론 그는 2년 계약에도 단점이 있다고 말하면서 기술이 어떤 이유에서든 기업의 요구사항을 충족시키지 못하게 되더라도 “2년이 지나지 않고서는 바꿀 수 없다”라는 점을 지적했다.

일반적인 3년 계약에 대해, 폴라드는 벤더가 일반적으로 최적의 가격을 제시하기 때문에 가장 큰 이점이 비용이라고 말했다.

한편, 그를 비롯한 다른 전문가들은 3년 계약의 종속성을 경계해야 한다고 당부했다. 보안 팀이 기업의 요구와 전반적인 보안 시장의 변화에 발맞춰 발전하고 있는지 상관없이, 계약한 솔루션을 장기간 사용할 수밖에 없다는 한계점이 있다는 지적이다. 게다가 3년 동안 계속 부서의 예산이 소요돼 그들은 특히 경제 침체에 대한 공포가 커지는 요즈음 이런 장기 계약은 큰 부담이 될 수 있다고 이들은 덧붙였다. 

추가 팁 
가상 CISO 및 사이버 보안 컨설팅 기업 TCE 스트래터지(TCE Strategy)의 CEO 브라이스 오스틴은 제품의 ‘고착성(stickiness)’을 고려한다고 밝혔다. 

그는 “고착성이 있거나, 대체하기 어렵거나 상당한 구성이 필요한 제품의 경우 나는 다년 계약을 선호한다”라고 말했다.
 
ⓒDepositphotos

CISO가 이런 제품의 계약 기간을 정할 때, 해당 기술을 구성 및 배치하는 데 보통 많은 자원이 투여된다는 점을 따져봐야 한다고 그는 전했다. 오스틴은 이런 투자의 큰 규모 때문에 회사가 이익을 볼 때까지 더 오랜 시간이 걸릴 가능성이 높다고 강조했다. 

대신 그는 대부분 단기 계약을 선호한다며 그 이유를 설명했다. 업체를 다른 기업이 인수하거나, 업체가 포트폴리오의 다른 제품을 발전시키기 위해 리소스를 이동하는 경우, 짧은 계약을 맺어야 CISO가 품질 또는 서비스 저하에 대응하기 더 용이할 것이라고 그는 전했다. 

오스틴은 일반적으로, 가격 동결 보장 같이 특별히 매력적인 비용 제안이 있을 때만 3년 계약을 고려한다고 말했다.
하지만 그렇다고 하더라도, 벤더는 CISO가 요구한 성능 및 서비스 요건을 항상 충족할 수 있음을 입증해야 한다고 그는 강조했다. 여기에 더해, 그는 한쪽이 고지 없이 계약을 종료할 수 있는 계약 조건을 더한다면 추가적인 안정망이 구축된다고 전했다. 

ECG(Encore Capital Group)의 부사장 겸 CISO 스콧 킹은 갱신 옵션이 포함된 1년 및 2년 계약을 선호한다고 말했다. 이런 계약 방식이 그와 회사 모두에게 가장 최적의 균형을 제공한다고 보기 때문이다.

동시에, 그는 무조건 위와 같은 조건으로 모든 계약을 진행하지는 않는다고 덧붙였다. 다양한 계약 조건을 비교해보는 것은 기본이라고 그는 말했다. 

킹은 “장기적으로 필요한 기술과 단기적으로 필요한 기술의 유형이 무엇인지 알아야 한다. 혹은 기술 플랫폼이 곧 더욱 발전된 기술로 대체될지, 얼마나 혁신적인지, 도입에 얼마나 많은 시간이 소요될지 파악해볼 수 있다. 업체의 경쟁우위가 뒤처지고 있지는 않은지도 확인해야 한다”라고 말했다.

그는 이어 “최상의 조건으로 계약을 맺고자 한다면 상당한 정성을 들여야 한다. 자산이 묶이고 큰 매몰 비용이 발생할 수 있다. 효과가 없는 다년 계약을 해지해야 하는 불상사가 일어나지 않기를 바란다”라고 말했다. ciokr@idg.co.kr
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.