[서울=뉴스핌] 양태훈 기자 = 최근 사이버 위협이 고도화되며 보안관제와 컨설팅의 업무 범위와 책임은 크게 확대됐지만, 이에 대한 대가 산정 구조는 여전히 인력 투입 중심에 머물러 있다는 지적이 제기됐다. 특히, 보안 업계는 인력 투입 중심의 대가 산정과 불공정한 발주·계약 관행이 인력난과 품질 저하로 이어지고 있다며, 보안 서비스를 '사람 파견'이 아닌 '서비스 가치' 기준으로 평가하는 구조 전환이 필요하다고 강조했다.

◆ 보안관제 대가 16년째 제자리…"서비스 기반 전환 필요"

김덕수 SK쉴더스 상무는 23일 서울 강남구 과학기술컨벤션센터에서 열린 '정보보호ISC 2025 정보보호인재포럼'에서 "보안 사고와 관제 이벤트는 급증했지만 보안관제 서비스 대가는 (국내 보안 관제 체계가 마련된) 2009년 이후 크게 오르지 않았다"며 "인력 투입 중심의 대가 산정 구조를 서비스 기반으로 전환해야 품질과 안전을 담보할 수 있다"고 강조했다.

그는 "공공과 금융은 관제 전문업체 중심으로 수행되는 반면, 기업은 시장 구조가 다르고 외국계 기업의 국내 진출도 늘어 제도 정비가 필요하다"며 "나아가 최근 3년간 시장에서 매출이 증가하는 흐름에도 관제 인력은 오히려 감소하는 양상"이라고 전했다.

또한 "과거에는 방화벽·웹방화벽 중심으로 외부에서 내부로 들어오는 공격을 보는 수준이었다면, 이제는 내부 인프라 장비, 내부에서 외부로 나가는 트래픽, APT와 제로트러스트 환경까지 관제 범위가 확장됐다"며 "단가 정체는 숙련 인력 이탈과 신입 비중 확대를 낳고, 결과적으로 고객사 관제 품질 저하로 이어질 수 있다"고 우려했다.

[사진=한국정보보호산업협회 유튜브 채널]

김 상무는 공공 발주 관행을 중심으로 한 불공정 계약도 문제로 지적했다. 경력자 수준의 일을 시키면서 신입 가격만 주고, 시간이 지나 숙련돼도 끝까지 가격을 안 올려주는 구조가 반복되고 있다는 것.

이에 대해 김 상무는 "초급 등급을 요구하면서도 1~2년 경력자를 요구하는 등 시장 현실과 맞지 않는 조건이 빈번한데, 장기 사업에서 인력 등급이 상향돼도 단가 반영이 이뤄지지 않는 경우가 있다"며 "사이버 위기경보 단계 상향 시 추가 야간·주말 근무를 요구하면서도 비용이나 휴식 보장이 뒤따르지 않는 점도 문제"라고 지적했다.

또 "패널티 조항은 두는 반면 인센티브 조항은 거의 없는데, 관제 업무와 직접 관련이 적은 홍보영상 제작, 견학 대응, 해외 사례 조사 등을 관제 범위에 포함하는 관행은 배제할 필요가 있다"며 "계약 해지·만료 이후에도 차기 사업자가 선정될 때까지 기존 사업자가 무기한 수행하도록 하는 조항도 과도하다"고 덧붙였다.

김 상무는 단가 중심에서 서비스 대가 중심으로의 전환을 해법으로 제안했다. 보안 서비스를 사람 파견이 아니라 명확한 '서비스 상품'으로 계약하고, 일의 범위·책임·보상을 공정하게 맞추자는 것이다.

김 상무는 "해외는 '사람 투입'이 아니라 '서비스 단위'로 역할과 범위를 명확히 하고, 범위 초과 시 추가 비용을 반영하며, 성과에 따라 패널티뿐 아니라 인센티브도 적용한다"며 "기획재정부의 공공기관 예산안 편성 가이드에는 정보화 사업 항목에 보안관제와 컨설팅이 빠져 있어 예산 반영의 근거가 약하다. 가이드에 '보안관제 및 컨설팅 사업 예산은 소프트웨어 사업 대가 산정 가이드를 적용해 반영한다'는 문구가 들어가야 한다"고 강조했다.

아울러 "향후 '기본료'에 자산 가중치, 기술 복잡도(온프레미스·클라우드 차이), 운영 가산금 등을 더하는 방식의 대가 모델을 제안한다"며 "보안관제는 인건비가 아니라 기술 서비스다. 사고가 없었다는 성과가 '당연한 일'로만 취급되면 투자와 품질이 지속되기 어렵다. 제값을 주는 구조가 마련돼야 안전이 유지될 수 있다"고 덧붙였다.

◆ 보안 컨설팅, 대가 산정 기준 부재에 인력난 심화

전원석 씨드젠 이사는 "보안 컨설팅은 IT 용역의 한 분야가 아니라 로펌이나 회계법인과 같은 전문 서비스"라며 "현재 국내에는 보안 컨설팅에 대한 독립적인 대가 산정 기준이 없어 산업과 인력이 함께 고갈되고 있다"고 지적했다.

전 이사는 "국내 정보보호 산업 전체 기업은 약 1천780곳이지만, 이 중 보안 컨설팅을 수행하는 기업은 약 200곳에 불과하다"며 "보안 컨설팅 시장 규모는 약 6천400억원 수준으로 전체 정보보호 산업 대비 크지 않은데, 컨설팅 인력은 약 2천명 수준으로 기업당 평균 10명 안팎에 그친다"고 말했다. 이어 "인력 구조 자체가 매우 얇다"고 덧붙였다.

보안 컨설팅 산업 내 인력난이 심화된 배경으로는 '대가 산정 구조의 부재'가 꼽힌다. 이에 대해 전 이사는 "국내에는 보안 컨설팅만을 위한 대가 산정 기준이 존재하지 않아 IT 컨설팅 대가 산정 가이드에 종속돼 있다"며 "실제 현장에서는 업무량과 무관하게 기재부 예산 한도에 맞춰 사업비가 정해지는 경우가 많다"고 설명했다.

나아가 "이 같은 구조에서는 제대로 된 인력을 투입할 수 없고, 결국 수주 가능한 사업만 선택적으로 수행할 수밖에 없다. 최근에는 들어오는 사업 10건 중 3~4건만 수행하는 상황까지 나타나고 있다"며 "해외에서는 보안 컨설팅을 로펌이나 회계법인과 같은 전문 서비스로 인식해 국내 대비 2~3배 수준의 비용을 지불하는데, 서비스의 질에 대한 인식 차이가 비용 차이로 이어질 수 있다"고 말했다.

[사진=한국정보보호산업협회 유튜브 채널]

전 이사는 업무량 기반 보안 컨설팅 대가 산정 모델을 해법으로 제시했다. 투입 인력 수가 아니라 업무 내용을 기준으로 대가를 산정하자는 것이다. 전 이사는 "현황 분석, 자산 분석, 수준 진단, 위험 분석·대책 수립 등 5단계로 업무를 정의하고, 자산 규모와 조직 특성, 대상 서비스 영역 등을 반영해 산출하는 구조를 예로 들 수 있다"며 "주요정보통신기반시설, ISMS·ISMS-P, 전자금융, 개인정보 영향평가, 취약점 진단·모의해킹 등 다양한 컨설팅 유형을 동일한 기준으로 비교·산정할 수 있도록 모델을 설계하고 있다"고 밝혔다.

아울러 "궁극적으로는 공공기관 담당자가 보안 전문 지식이 없더라도 내부 현황만 입력하면 합리적인 대가를 산정할 수 있는 구조를 만드는 것이 목표"라며 "정당한 비용이 지급돼야 품질 높은 컨설팅과 지속 가능한 인력 양성이 가능하다"고 강조했다.