컨텐츠로 건너뛰기
검색
ITWorld 언론사 이미지

‘가성비’만 좇는 조달, 사이버 회복탄력성 갉아먹는 선택

ITWorld
원문보기

‘가성비’만 좇는 조달, 사이버 회복탄력성 갉아먹는 선택

속보
삼성바이오로직스, 연매출 4.5조·영업익 2조 돌파

조달팀이 작은 축하 자리를 열었다. 공급업체 예산에서 수백만 달러를 절감한 덕분이다. CFO가 환하게 웃고, 이사회도 박수를 보낸다. 그러나 6개월 뒤, 사이버 사고와 공급망 차질이 발생하면서 그 절감 효과는 며칠 만에 사라진다. 축배의 열기는 금세 사그라든다.


이 이야기는 허구가 아니다. 조달을 회복력 확보가 아닌 비용 절감의 사냥터 정도로 취급하는 이사회에서 매년 반복되는 현실이다. 비용 절감이 최우선이 되는 순간, 회복력은 뒷전으로 밀려난다. 사이버 회복력이 가장 큰 타격을 받는다.


곳곳에서 이 같은 현상이 발생한다. 많은 조직이 분기 실적 자료에 보기 좋은 수치를 만들기 위해 조달을 최적화한다. 가장 낮은 가격을 얻기 위해 협상하고, 공급업체를 통합하며, 글로벌 소싱의 가격 차익을 추구한다.


이런 전략은 예기치 못한 사태가 발생하기 전까지는 그럴듯하게 보인다. 하지만 업체 한 곳이 랜섬웨어 공격으로 마비되거나, 서드파티 침해 사고로 고객 데이터가 유출되거나, 지정학적 충격으로 디지털 공급망이 흔들리는 순간 상황은 달라진다. 준비되지 않은 취약한 생태계로부터 발생하는 손실이 그동안 아낀 비용을 순식간에 압도한다.


재무, 리스크, 조달, 보안을 이끄는 이사회라면 분명하게 인식해야 한다. 단기 비용 절감에 기반한 조달 전략은 회복력을 갉아먹는다. 그리고 사이버 공격이 조직의 작은 틈까지 노리는 시대에, 이런 취약성은 생존을 건 위험한 내기와 다름없다.


이 문제의 흐름과 이를 해결할 수 있는 접근법을 소개한다.


조달팀이 바용을 최우선으로 삼는 이유

조달 조직은 주어진 인센티브에 따라 움직인다. 그리고 대부분 인센티브는 한 방향, 즉 비용 절감을 가리킨다.


이사회는 즉각적인 성과를 요구하고, 주주는 분기마다 수익성을 살핀다. 조달의 핵심 지표 역시 협상 절감액, 공급업체 할인, 계약 효율성처럼 비용 중심에 집중된다. 사실상 단일한 기준으로 성과를 평가하는 구조이기 때문에 회복탄력성을 높였다고 인정받는 경우는 없다.


사이버 회복탄력성은 조달 대시보드에서 거의 다뤄지지 않는다. 가령 더 저렴한 클라우드 스토리지를 제공하는 업체는, 더 강력한 보안 체계를 갖춘 경쟁사를 단지 ‘가격이 낮다’는 이유만으로 이길 수 있다. 이사회 역시 이러한 시각에 힘을 더한다. 분기 보고 체계는 위험 감소라는 보이지 않는 가치를 반영하지 못하고, 단기 비용 절감에만 보상을 준다. 주주는 공급업체가 백업을 암호화하는지, 취약점을 적시에 패치하는지 등을 묻지 않는다. IT 계약에서 얼마를 절감했는지만 묻는다.


글로벌 소싱은 문제를 더 악화시킨다. 기업은 개발이나 데이터 처리 업무를 비용이 낮은 지역으로 이전하는데, 이들 국가나 지역은 개인정보 보호 규제가 취약하거나 보안 감독이 충분하지 않은 경우가 많다. 스프레드시트에서는 상당히 효율적으로 보일 수 있지만, 실제로는 모래 위에 집을 짓는 것과 크게 다르지 않다.


조달의 구조적 한계도 존재한다. 담당자는 서버 단가 같은 항목은 쉽게 비교하지만, 업체의 사고 대응 역량이나 보안 성숙도를 제대로 평가하기는 어렵다. 조달 의사결정 과정에 사이버 전문성이 없다면 선택은 자연스럽게 가장 저렴한 업체로 쏠린다. 비용이 이기고, 보안은 후순위로 밀린다.


이런 방식으로 기업은 눈앞의 작은 비용을 아끼는 데 몰두한다. 그러나 공격이 더 빈번해지는 지금, 이러한 선택은 결국 더 큰 위험과 손실을 불러오는 결과를 낳는다.


회복탄력성과 맞바꾼 보이지 않는 대가

비용 절감은 위험을 없애지 못한다. 위험을 다른 곳으로 떠넘길 뿐이다. 오늘 효율적으로 보인 선택이 내일의 취약한 지점이 된다. 그리고 사이버 회복탄력성은 그 과정에서 가장 먼저 희생되는 영역이다.


  • - 취약한 공급망 : 사이버 위협은 집중된 구조에서 더 빠르게 확산된다. 조달이 비용 절감을 이유로 디지털 서비스를 한 업체에 집중시키면, 단 한 번의 침해 사고가 전체 운영에 연쇄적인 충격을 줄 수 있다. 가격 경쟁력이 강한 클라우드 서비스 업체도 한 차례 장애나 랜섬웨어 공격만으로 수많은 고객 비즈니스를 동시에 멈춰 세울 수 있다.
  • - 사이버보안 약화 : 업체 선정 기준이 비용에 쏠리면, 보안 심층 방어 체계를 갖춘 곳은 뒤로 밀린다. ‘저렴한’ 소프트웨어는 종종 기본적인 모니터링이나 암호화가 부족하다. 공격자가 이 업체의 네트워크를 침해하면, 그들의 고객 시스템은 순식간에 2차 피해자가 된다. 조달은 몇 달러 아끼는 데 성공했을지 모르지만, 그 과정에서 해커에게 문을 열어준 셈이다.
  • - 운영 경직 : 저렴한 비용만을 강조하는 업체는 회복탄력성을 계약에 포함하지 않는다. 이들은 이중화된 데이터센터를 유지하지 않으며, 침해 대응 모의훈련도 수행하지 않고, 몇 시간 내 복구를 보장하지도 않는다. 보통 ‘며칠 내 복구’ 수준을 제시하는 데 그친다. 그러나 랜섬웨어가 발생하면 이 공백이 곧바로 장시간의 다운타임 비용으로 돌아온다. 그동안 절감했던 비용보다 손실이 훨씬 크다.
  • - 문화적 위험 : 거래 중심 문화는 투명성을 떨어뜨린다. 업체가 지속적인 가격 압박을 받으면 큰 사고로 이어질 뻔했던 ‘근접 실패(near-miss)’ 사건조차 제때 알리지 못하는 경우가 많다. 계약 해지를 우려하기 때문이다. 이 지연은 침해 확산을 막을 골든타임을 빼앗는다. 위기 시 협력은 계약서만으로 이루어지지 않는다. 신뢰가 기반이 돼야 한다.

조달팀은 비용을 절감했다고 생각한다. 그러나 실제 구매한 것은 효율로 위장된 취약성이다.


값싼 조달이 초래하는 실제 비용

값싼 조달이라는 신화는 스트레스 상황에서 쉽게 무너진다. 최근 사례만 봐도 그 현실은 매우 냉혹하다.


  • - 솔라윈즈 침해 사건 : 수천 곳의 조직이 비용 효율적인 IT 업체에 의존했다. 공격자는 해당 업체의 업데이트 과정에 악성 코드를 주입했고, 전 세계 정부와 기업이 동시에 침해됐다. 조달팀은 수백만 달러를 절감했을지 모르지만, 피해 규모는 수십억 달러로 불어났다.
  • - 카세야 랜섬웨어 공격 : 많은 중견 기업이 저렴하다는 이유로 카세야의 원격 관리 도구를 사용했다. 공격자는 이 도구를 장악해 수백 곳 고객사에 랜섬웨어를 일시에 퍼뜨렸다. 조달 관점에서 보면 ‘저렴하고 단일화된 도구’가 공격자에게는 대규모 확산을 가능하게 하는 무기가 됐다.
  • - 콜로니얼 파이프라인 해킹 : 다중 인증(MFA)조차 없는 단일 VPN 계정이 침해되면서 핵심 인프라가 멈춰 섰다. 조달은 핵심 시스템을 보안 검증 없이 외주화했고, 실제 비용은 몸값이 아니라 광범위한 운영 차질과 평판 악화였다.
  • - 코로나19 이후의 디지털 취약성 : 병원과 정부기관은 원격 근무 환경을 빠르게 확대하기 위해 IT 서비스를 찾았다. 많은 곳이 저가 공급업체를 선택했고, 몇 달 뒤 공격자는 취약한 VPN, 미패치 시스템, 보안 설정이 불완전한 협업 도구를 집중적으로 노렸다. 초기 절감액은 곧 잇따른 사이버 사고로 상쇄됐다.
  • - 자동차 업계 반도체 부족과 사이버 공격 : 칩 공급업체가 소수로 통합되면서, 단일 제조사에 대한 랜섬웨어 공격이 글로벌 생산 체계를 뒤흔들었다. 조달의 ‘슬림한 소싱’ 전략은 충격 반경을 몇 배로 키우는 결과가 됐다.

이들 사례는 예외가 아니다. 조달 과정에서 사이버 회복탄력성을 무시할 때 나타나는, 충분히 예상 가능한 결과다. 회복탄력성 확보에 드는 비용은 ‘절감 효과’라는 환상을 훨씬 능가한다. 매출 손실, 규제 벌금, 평판 훼손, 고객 이탈 등 진짜 비용은 언제나 훨씬 크다.


비용과 회복탄력성의 균형을 맞추는 방법

비용 절감을 포기하라는 이야기가 아니다. 사이버 회복탄력성이 없는 비용 효율성은 결국 거짓된 경제성이라는 점을 인정하라는 의미다. 조달의 과제는 비용 효율성과 사이버 회복탄력성이 서로를 상쇄하지 않고 강화하도록 조달 방식을 재설계하는 데 있다.



위험 기반 조달


조달은 ‘가성비 경쟁’이 아니라 위험 관리의 관점에서 다뤄야 한다. 모든 공급업체는 기업 시스템으로 들어오는 또 하나의 출입구다. 어떤 문은 자물쇠·경보·감시장치를 덧대지만, 어떤 문은 반쯤 열려 있다. 조달이 위험 점수를 고려하지 않은 채 최저가만 추구하면, 공격자가 걸어 들어올 수 있는 출입문을 직접 열어놓는 셈이다.


실행 방안은 다음과 같다.


  • - 모든 RFP(Request for Proposal) 과정에서 사이버보안 실사를 필수로 요구한다. 패치 주기, 사고 대응 프로세스, SOC 2·ISO 27001 준수 여부, 제로 트러스트 적용 현황 등을 확인한다.
  • - 업체를 위험 등급별로 분류한다. 문구류 공급업체에 클라우드 서비스 사업자와 동일한 검증을 요구할 필요는 없다.
  • - 최소 보안 수준을 설정한다. MFA·암호화·취약점 관리 같은 기본 통제조차 충족하지 못하는 업체는 가격과 무관하게 자격 대상에서 제외한다.

이 과정은 비용 상승이 아니라 비용 예방이 목적임을 기억하라.



회복탄력성 지표


절감액만 측정하면 조달은 절감만 제공한다. 평가 지표를 넓혀야 한다. 회복탄력성 KPI에는 다음 항목이 포함될 수 있다.


  • - 평균 탐지 시간(MTTD) : 공급업체가 사고를 얼마나 빨리 인지하는가?
  • - 평균 대응 시간(MTTR) : 침해를 얼마나 신속하게 차단하는가?
  • - 복구 목표 시간(RTO) : 시스템·서비스가 얼마나 빨리 복구되는가?
  • - 패치 관리 주기 : 중대한 취약점을 해결하는 데 걸리는 평균 시간.
  • - 신고 속도 : 공급업체가 침해나 노출 사실을 얼마나 빠르게 보고하는가?

이 지표를 분기별 조달 성과와 함께 이사회에 보고한다고 상상해보라. 조달 책임자는 회복탄력성을 번거로운 절차가 아니라 자신의 역할 일부로 인식하게 된다.



부서 간 거버넌스


조달팀은 사이버 위험을 관리할 수 없다. CFO, CRO, CIO, CISO가 한자리에 모여야 한다.


  • - CFO는 절감과 잠재 손실을 균형 있게 고려해 사업 타당성을 검증한다.
  • - CRO는 업체 선정이 기업의 위험 허용 수준과 맞는지 관점에서 판단한다.
  • - CIO와 CISO는 디지털 서비스 업체가 조직의 사이버 및 운영 회복탄력성 기준을 충족하는지 검증한다.

이런 정렬이 없다면 조달은 비용 중심 사고에 갇힌다. 그러나 정렬되면 조달 결정은 전략에 기반하게 된다.



전략적인 파트너십


관계가 회복탄력성을 만든다. 업체를 소모품처럼 대하면, 그들도 소모품처럼 행동한다. 위기 상황에서는 계약서에 적힌 최소한만 제공한다.


전문 산업 매체 프로큐어먼트 매거진(Procurement Magazine)은 조달이 단순 거래 중심 모델에서 벗어나 신뢰·가치 공유·회복탄력성을 중시한 심층적 파트너십 모델로 이동하고 있다고 분석했다. 이런 관계가 조달 조직이 혁신을 촉진하고 위험을 관리하며 지속적인 비즈니스 효과를 만드는 기반이 된다는 설명이다.


장기 파트너십을 구축하면 공급업체는 공동 회복탄력성에 투자한다. 사고를 빠르게 공유하고, 위협 정보를 제공하며, 복구 우선순위에서도 협력한다.


구체적인 실행 방안은 다음과 같다.


  • - 가동시간, 대응 시간, 침해 통보 기준을 포함한 회복탄력성 중심 SLA를 체결한다.
  • - 분기별 공동 보안 검토를 실시한다.
  • - 합동 레드팀 훈련 또는 테이블탑 훈련을 수행한다.
  • - 위기 시 CISO·CTO까지 직접 연결되는 긴급 소통 채널을 마련한다.

파트너십은 초기 비용이 더 들지만, 혼란이 닥쳤을 때 그 가치는 훨씬 크게 돌아온다.



시나리오 기반 스트레스 테스트


조달 결정은 스트레스 테스트를 견뎌야 한다. 계약이 위기 상황에서도 유효할 것이라 가정해서는 안 된다. 예를 들어 다음과 같은 시나리오 기반 테스트를 실시해야 한다.


  • - 클라우드 서비스 업체가 랜섬웨어 공격을 받으면 어떤 이링 발생하는가?
  • - SaaS 업체는 노출 사고를 얼마나 빨리 통보하는가?
  • - 외주 개발자가 데이터를 유출하면 접근을 얼마나 신속히 차단할 수 있는가?
  • - 물류 파트너는 항만의 사이버 사고를 피해 경로를 재구성할 수 있는가?

이 테스트는 큰 피해가 발생하기 전에 취약성을 미리 드러내 개선할 기회를 제공한다. 동시에 업체에 회복탄력성은 협상 가능한 항목이 아니라 기본 요구사항이라는 메시지를 분명하게 전달한다.


조달 문화에 사이버 회복탄력성을 내재화하라

사고방식을 바꾸는 일이 가장 어렵다. 조달팀은 오랫동안 비용을 핵심 성과 지표로 여겨왔기 때문이다. 이제 이 내러티브를 다시 써야 한다.


  • - 비용 절감 성과와 동일한 수준으로 회복탄력성 확보 성과를 인정한다.
  • - 공급업체의 강력한 보안 역량이 어떻게 운영 중단을 막았는지 조명한다.
  • - 조달 담당자가 MFA, 패치 주기, 제로 트러스트가 실제로 무엇을 의미하는지 이해하도록 기본적인 사이버 교육을 제공한다.
  • - 회복탄력성을 경력 성장의 일부로 포함하고, 단순한 절감액이 아니라 지속 가능한 가치를 만들어낸 조달 리더를 평가·보상한다.

문화적 변화가 조달을 단순한 ‘저가 구매자’에서 ‘회복탄력성 구축자’로 전환시킨다. 그리고 이 방식만이 회복탄력성을 지속 가능한 체계로 만드는 길이다.


회복탄력성이 가져오는 실질적 보상

조달 과정에 사이버 회복탄력성이 자리 잡으면 손실을 피하는 수준을 넘어서 경쟁 우위를 확보하게 된다. 경쟁사보다 빠르게 복구하고 고객 신뢰를 지키며, 다른 기업이 흔들릴 때도 운영을 유지할 수 있다. 이는 추가 비용이 아니다. 명백한 경쟁력이다. 회복탄력성은 전략적 보험으로서 미래에 발생할 수 있는 침해 사고에서 절감액을 유지해준다.


단기적인 조달 절감액은 이사회 보고서에서 보기 좋게 보일 수는 있다. 그러나 사이버 사고가 발생하면 그 절감액은 종종 손실로 바뀐다. 수백만 달러를 아낀 뒤 수십억 달러의 피해를 설명해야 하는 상황을 만들고 싶지 않을 것이다.


결론은 분명하다. 비용 효율성과 회복탄력성은 상충하는 개념이 아니다. 적절한 거버넌스 아래에서는 서로를 강화하는 요소다. 조달은 ‘가장 저렴한 공급업체 선정’에서 ‘가장 지속 가능한 파트너 선정’으로 진화해야 한다.


리더에게 필요한 결단도 명확하다. 조달의 역할을 재정의하고, 비용뿐 아니라 사이버 회복탄력성을 성과 지표에 포함해야 한다. 의사결정을 스트레스 테스트하고, 조달을 단순한 흥정의 역할에서 회복탄력성을 구축하는 전략적 기능으로 끌어올려야 한다.


눈앞의 비용만 아끼다 더 큰 손실을 겪는 것은 가볍게 넘어갈 실수가 아니다. 기업의 존립을 위협하는 문제다.


dl-itworldkorea@foundryco.com



Maman Ibrahim editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.