2025년 12월 10일

조달, 비용 절감 넘어 회복탄력성 확보를

Tech

Share

by

조달, 비용 절감 너머 회복탄력성을 확보해야 하는 이유

조달팀의 노력으로 예산을 절감했다는 소식은 언제나 환영받습니다. CFO의 미소와 이사회의 박수는 당연하겠죠. 하지만 만약 그 절감액이 사이버 공격이나 공급망 문제로 인해 순식간에 사라진다면 어떨까요? 안타깝게도 이런 상황은 단순히 상상 속 이야기가 아닙니다. 많은 기업들이 조달을 회복탄력성 확보가 아닌 단순 비용 절감의 수단으로만 여기기 때문에 발생하는 현실입니다.

비용 절감, 달콤하지만 위험한 유혹

조직의 최우선 목표가 비용 절감이 되는 순간, 회복탄력성은 자연스럽게 뒷전으로 밀려나게 됩니다. 특히 사이버 회복탄력성이 가장 큰 타격을 받습니다. 많은 기업들이 분기별 실적을 좋게 보이려고 조달을 최적화합니다. 최저가를 찾아 협상하고, 공급업체를 통합하며, 글로벌 소싱을 통해 가격 차익을 얻으려 합니다. 이러한 전략은 예상치 못한 문제가 발생하기 전까지는 꽤나 효과적으로 보입니다.

하지만 랜섬웨어 공격으로 협력업체가 마비되거나, 제3자 업체에서 개인 정보가 유출되거나, 지정학적 갈등으로 공급망이 흔들리는 순간 상황은 급변합니다. 준비되지 않은 취약한 환경은 예상치 못한 손실을 초래하며, 이는 그동안 절감했던 비용을 무색하게 만듭니다. 이사회는 재무, 위험 관리, 조달, 보안 담당자들과 함께 이 점을 명확히 인식해야 합니다. 단기적인 비용 절감에만 초점을 맞춘 조달 전략은 결국 기업의 회복탄력성을 약화시키는 결과를 초래합니다.

조달팀, 왜 비용에만 집중할까?

조달 조직은 결국 주어진 인센티브에 따라 움직입니다. 그리고 대부분의 인센티브는 비용 절감이라는 하나의 목표만을 향하고 있습니다. 이사회는 즉각적인 성과를 원하고, 주주들은 분기별 수익성에 집중합니다. 따라서 조달팀의 핵심 성과 지표 역시 협상 절감액, 공급업체 할인, 계약 효율성과 같이 비용 중심적인 지표들로 채워지게 됩니다. 이러한 평가 구조에서는 회복탄력성을 높이기 위한 노력이 제대로 인정받기 어렵습니다. 사이버 회복탄력성은 조달 관련 대시보드에서 거의 다뤄지지 않습니다.

예를 들어, 더 저렴한 클라우드 스토리지를 제공하는 업체는 더 강력한 보안 체계를 갖춘 경쟁사보다 '가격이 낮다'는 이유만으로 선택받을 수 있습니다. 이사회 역시 이러한 시각에 힘을 실어줍니다. 분기별 보고 체계는 위험 감소라는 눈에 보이지 않는 가치를 제대로 반영하지 못하고, 단기적인 비용 절감에만 보상을 제공합니다. 주주들은 공급업체가 백업을 암호화하는지, 취약점을 적시에 패치하는지 등을 묻지 않고, IT 계약에서 얼마를 절감했는지에만 관심을 가집니다.

글로벌 소싱, 숨겨진 위험을 키우다

글로벌 소싱은 이러한 문제를 더욱 심화시킵니다. 많은 기업들이 개발이나 데이터 처리 업무를 비용이 저렴한 지역으로 이전합니다. 하지만 이러한 지역들은 개인 정보 보호 규제가 미흡하거나 보안 감독이 충분하지 않은 경우가 많습니다. 스프레드시트 상에서는 효율적으로 보일 수 있지만, 실제로는 모래 위에 집을 짓는 것과 같습니다. 조달 담당자는 서버 단가와 같은 항목은 쉽게 비교할 수 있지만, 업체의 사고 대응 역량이나 보안 성숙도를 제대로 평가하기는 어렵습니다.

조달 의사 결정 과정에 사이버 보안 전문성이 결여되어 있다면, 선택은 자연스럽게 가장 저렴한 업체로 쏠리게 됩니다. 비용이 이기고, 보안은 뒷전으로 밀리는 것입니다. 이러한 방식으로 기업은 눈앞의 작은 비용을 아끼는 데 몰두하지만, 공격이 더욱 빈번해지는 현실 속에서 이는 결국 더 큰 위험과 손실을 초래하는 결과를 낳게 됩니다.

회복탄력성과 맞바꾼 보이지 않는 대가

비용 절감은 위험을 없애는 것이 아니라, 단지 다른 곳으로 옮기는 것일 뿐입니다. 오늘 효율적으로 보이는 선택이 내일의 취약점이 될 수 있으며, 사이버 회복탄력성은 그 과정에서 가장 먼저 희생되는 영역입니다. 조달이 비용 절감을 이유로 디지털 서비스를 특정 업체에 집중시키면, 단 한 번의 침해 사고가 전체 운영에 연쇄적인 영향을 미칠 수 있습니다. 저렴한 클라우드 서비스 업체에서 발생하는 장애나 랜섬웨어 공격은 수많은 고객의 비즈니스를 동시에 멈추게 할 수 있습니다.

또한, 업체 선정 기준이 비용에만 맞춰지면 보안 수준이 높은 업체는 선택받기 어렵습니다. 저렴한 소프트웨어는 기본적인 모니터링이나 암호화 기능이 부족한 경우가 많습니다. 만약 공격자가 이러한 업체의 네트워크를 침해한다면, 그들의 고객 시스템은 순식간에 2차 피해자가 될 수 있습니다. 조달팀은 몇 달러를 아꼈을지 모르지만, 그 과정에서 해커에게 문을 열어준 것과 같습니다.

비용과 회복탄력성의 균형, 어떻게 맞춰야 할까?

비용 절감을 포기하라는 의미가 아닙니다. 다만 사이버 회복탄력성이 없는 비용 효율성은 결국 거짓된 경제성이라는 점을 인정해야 합니다. 조달의 핵심 과제는 비용 효율성과 사이버 회복탄력성이 서로를 상쇄하는 것이 아니라, 오히려 강화하도록 조달 방식을 재설계하는 데 있습니다. 모든 공급업체를 기업 시스템으로 들어오는 하나의 '출입구'로 간주하고, 각 출입구의 위험 수준을 평가해야 합니다.

위험 기반 조달을 위해서는 모든 RFP(Request for Proposal) 과정에서 사이버 보안 실사를 의무화해야 합니다. 패치 주기, 사고 대응 프로세스, SOC 2 또는 ISO 27001 준수 여부, 제로 트러스트 적용 현황 등을 확인해야 합니다. 또한, 업체를 위험 등급별로 분류하고, 최소 보안 수준을 설정해야 합니다. MFA, 암호화, 취약점 관리와 같은 기본적인 통제를 충족하지 못하는 업체는 가격과 관계없이 자격 대상에서 제외해야 합니다. 이러한 과정은 비용 상승이 아니라 비용 예방을 목표로 해야 합니다.

맺음말

이제 조달은 단순히 '저렴한 공급업체'를 찾는 것을 넘어, '지속 가능한 파트너'를 선택하는 방향으로 진화해야 합니다. 비용 효율성과 회복탄력성은 상충되는 개념이 아니며, 오히려 적절한 거버넌스 아래에서는 서로를 강화하는 요소가 될 수 있습니다. 눈앞의 비용만 쫓다가 더 큰 손실을 겪는 것은 단순한 실수가 아니라, 기업의 존립을 위협하는 문제임을 명심해야 합니다.

이것도 좋아하실 수 있습니다...