'컨설팅의 목적'에 해당되는 글 1

  1. 2008.09.04 What a consultant to do is NOT to sell products but to give a customer right directions
컨설팅에 대한 잘못된 시각 하나에 대해서 얘기해보고자 한다. 

경영 컨설팅이든 보안 컨설팅이든 컨설팅에 대해서 잘못 이해한 사람들은 “컨설팅을 단순히 솔루션을 도입하는 수단”으로 생각하고 있다. 컨설팅이란 대상을 진단하여 문제점을 파악하고 이에 대한 최적의 대안을 제시하는 것이다. 하지만 언젠가부터 컨설팅이 영업의 수단으로 악용되면서, 많은 보안 기업들은 컨설팅을 자사의 솔루션을 판매하는 수단으로써 착각하고 있다. 

“중이 염불엔 관심이 없고 잿밥에만 마음이 있는 것이다.”

현재 보안 컨설팅에 대한 냉소나 대우는 이러한 잘못된 변화에 의해서 생긴 것이라고 주변 사람들과 자주 이야기 하게 된다. 보안 컨설팅과 보안 솔루션은 문제점 도출과 해결 방안이라는 상호보완적인 이해 관계를 가지고 있다. 만약 보안 컨설팅이 단순히 자사 또는 특정 보안 솔루션(서비스)을 도입시키기 위한 목적으로 사용된다면, 그것은 더 이상 보안 컨설팅이 아니라 제품 영업인 것이다. 

보안 컨설팅의 목적은 제품을 판매하기 위한 목적이 아니라, 고객의 문제점을 파악하여 이들의 문제점을 고쳐주기 위한 것이다. 따라서 컨설턴트는 보안 솔루션을 도입하는 계획을 수립하는 것이 아닌, 고객이 미처 알지 못했던 문제점을 깨우쳐 주고 올바른 방향으로 이끌어주기 위해서 노력해야 한다. 이러한 방향 제시와 실행에 있어서 가장 즉각적이고 표면적인 것이 보안 솔루션이기 때문에, 고객뿐만 아니라 컨설턴트들도 이러한 외향적인 모습에 착각하고 있는 것 같다. 

보안 컨설팅을 통해서 도출되는 마스터 플랜이라는 것이 방화벽, 침입차단시스템, 웹 방화벽, VPN 등의 고가의 보안 장비를 도입하는 “보안 솔루션 도입 계획”이 아닌, 현재 존재하는 문제점과 앞으도 닥쳐올 위험들을 고려하여 이를 대비할 수 있는 방법들이 되어야 한다. 대비하는 방법으로는 즉각적으로 보안 솔루션을 도입할 수도 있을 것이고 조직을 변경할 수도 있을 것이며, 네트워크 구성을 바꾸거나 애플리케이션을 변경할 수도 있을 것이다. 이러한 것들은 고객사의 환경이나 특성에 따라서 고려되고 다양한 대안들 중에서 최적의 대안이 선택되어져야 하는 것이다. 단순히, “방화벽이 없으니 방화벽을 사야합니다” 등과 같은 다분히 영업적인 방안이 제시되어서는 안된다. “로마로 갈 수 있는 길은 수백가지가 될 수 있다.” 우리가 고려해야 하는 것은 로마로 가는 그 사람이 어떤 사람인가를 반드시 알아야 한다는 것이다. 그후에 그는 걸어서 갈 수도 있을 것이고 비행기 일등 클래스에 앉아서 편안하게 갈 수도 있는 선택할 수 있을 것이다.

보안 컨설팅을 수행할 때 세 가지를 당부하고 싶다. 

첫째, “수행하고 있는 컨설팅의 목적이 무엇인가?”를 고민해보기 바란다. 이는 “해당 컨설팅을 진행하고 있는 이유를 명확히 인지해야 함”을 말한다. 컨설팅을 수행하면서 고객의 이해관계나 목적을 인지하지 못한 체 진행된 그 작업의 결과물은 무엇을 담을 수 있을까? 어느 고객사나 동일한 명칭으로 진행되는 보안 진단(시스템 진단, 네트워크 진단,  기타)은 그 진단의 1차 수행 목적이 아닌 전체 컨설팅의 목적을 이해하고 있어야만, 제대로된 문제점과 대응방안을 담은 결과물이 될 수 있다.   

둘째, 문제 인지 능력과 해결 능력을 키워야 한다. 땅에 있는 보초병은 바로 앞에 보이는 숲에서 다가오는 위험밖에 보지 못하지만, 기구를 타고 하늘 위에 있는 보초병은 전체 숲을 관망하면서 전략을 세우고 대비할 수 있다. 그리고 이러한 능력을 가지고 있어야만이 고객에게 단순히 남들도 다 도입한 불필요한 보안 솔루션을 제안하는 것이 아닌, 현재 그리고 미래에도 필요한 올바른 방향을 제시해줄 수 있다. 대응방안이 꼭 보안 솔루션으로 제시되어야 하는 것은 아님을 알아야 한다. 보안 솔루션의 가장 큰 장점 중에 하나는 즉각성이다. 곧 다가올 위험에 즉각적으로 대응할 수 있지만, 조금만 시간이 지나면 무용지물이 되거나 애물단지가 될 수 있는 위험성이 존재한다. 따라서 제품 도입보다는 해결 방안이 먼저 고려되어야 한다. 

셋째, 자신이 주인이다. 컨설턴트로서 회사로 인해 본인의 존재가 알려지는 것이 아니라, 본인이 존재함으로 인해서 회사가 빛나게 해야 한다. 이를 위해서는 꾸준한 노력이 필요하며, 하루 아침에 이루어지는 것도 아니다. 또한 이루기도 힘들다. 강조하고 싶은 것은 이러한 마음 가짐이다. 본인이 아무런 생각없이 도입시키거나 판매한 솔루션으로 인해서 미래 어느날 부끄러워지지 않으란 법이 없다. 그리고 그 미래에 본인이 속한 회사는 바뀌어 있을지도 모른다. 
컨설턴트도 특정 회사에 속해있는 직원의 입장으로서 회사의 이해관계를 반영하지 않는다는 것은 어렵다. 그렇다면 어떻게 해야할까? 첫째, 회사에게 눈앞의 이익을 탐하는 것보다 고객의 신뢰를 얻어 꾸준한 파트너 관계를 이어가는 것이 이익임을 알려야 한다. 둘째, 문제가 되는 제품의 문제가 되는 기능이 무엇인지가 명확하므로, 그 기능을 개선시킬 수 있도록 내부적으로 인지시켜 제품의 기능을 향상 시켜라. 셋째, 그러한 당신의 노력을 모두 무시하고 회사의 이익만을 탐하는 회사가 있다면, 자신의 미래를 심각하게 고민해보라. 

과거와 달리 고객사의 보안담당자로 있는 사람들은 보안 컨설팅 업계에서 컨설팅을 수행하다가 이직한 사람들이 많이 있다. 이들 중에는 보안 컨설팅 회사에 있는 컨설턴트보다 능력이 뛰어난 사람들도 많다. 과거와 같이 보안 컨설팅이라는 미사어구로 이들을 속일 수는 없다. 보안 회사들도 단기적으로 이득을 탐하기 보다는 장기적으로 파트너쉽을 가져간다는 생각에서 영업 수단으로서의 컨설팅이 아닌, 문제 해결 수단으로서의 컨설팅 수행을 독려해야 할 것이다. 

“보안 컨설턴트는 보안 제품을 도입할 계획을 세우는 것이 아닌, 고객이 미처 알지 못한 필요성을 알려주고 추후 준비해야 할 위험에 대한 올바른 방향성을 제시해야 한다.”
신고
이전 1 다음

티스토리 툴바