MSP 계약서에서 보이는 위험 신호

좋은 관리형 IT 계약서는 구체적이어야 합니다. 제공업체가 무엇을 하는지, 보통 얼마나 빨리 응답하는지, 무엇이 포함되지 않는지, 청구는 어떻게 이뤄지는지, 그리고 어느 쪽이든 계약을 종료하는 방법이 무엇인지가 명확히 적혀 있어야 합니다.

나쁜 계약서는 중요한 부분을 폭넓은 표현으로 숨기는 경우가 많습니다. 흔한 경고 신호는 길게 자동 연장되는 조항, 애매한 지원 범위, 세부 설명이 없는 보안 약속, 테스트를 언급하지 않는 백업 문구, 그리고 도움이 필요해진 뒤에야 나타나는 수수료입니다.

관리형 IT는 보통 MSP(Managed Services Provider, 관리형 서비스 제공업체)가 판매합니다. MSP는 매달의 이용료를 받는 독립 회사로, 비즈니스 기술을 원격으로 지원하고 유지보수합니다. 계약서는 중요합니다. 월 비용만으로는 실제로 무엇을 구매하고 있는지 알 수 없기 때문입니다.

제공업체가 계약 내용을 평이한 언어로 설명하지 못한다면, 그것만으로도 경고 신호입니다. 명확한 조건을 기대하는 데 기술 지식이 필요하지는 않습니다.

내용은 넓게 들리지만 실제로는 거의 말하지 않는 범위를 조심하세요. “완전한 IT 지원”이나 “완벽한 사이버보안” 같은 문구만으로는 부족합니다. 헬프데스크, 장비 설정, 패치 적용, 백업 점검, 벤더 조율, 사용자 온보딩 및 오프보딩 같은 실제 서비스를 계약서에서 구체적으로 명시해야 합니다.

패치(patching)는 승인된 소프트웨어와 시스템 업데이트를 적용하는 것을 뜻합니다. 엔드포인트(endpoint)는 노트북, 데스크톱, 서버, 태블릿, 전화기처럼 비즈니스에서 사용하는 장치입니다. 계약서가 “엔드포인트당(per endpoint)” 요금을 청구한다면, 어떤 장치가 포함되는지와 여분 장비, 키오스크, 개인 기기가 포함되는지도 명확히 적혀 있는지 확인하세요.

응답 시간 표현도 주의해야 합니다. SLA는 서비스 수준 계약(Service Level Agreement)입니다. 이는 문제 수준에 따라 목표 응답 시간과 때로는 해결 시간까지 설명합니다. 계약서에 제공업체가 “우선 지원(priority support)”을 제공한다고만 되어 있고 시간 범위, 영업시간, 야간 규칙이 없다면, 측정하기 어려운 약속에 비용을 지불하고 있을 수 있습니다.

보안 문구에도 세부가 필요합니다. MFA는 다단계 인증(multi-factor authentication)으로, 비밀번호 외에 두 번째 로그인 단계를 추가합니다. EDR은 엔드포인트 탐지 및 대응(endpoint detection and response)으로, 비즈니스 장치에서 의심스러운 활동을 탐지하고 조사하는 데 도움이 되는 소프트웨어입니다. RMM은 원격 모니터링 및 관리(remote monitoring and management)로, 많은 제공업체가 장치 상태를 지켜보고 정기적인 유지보수를 수행하기 위해 사용하는 소프트웨어입니다. 계약서에 이런 용어를 나열하면서도 누가 배포하는지, 어디에 적용되는지, 어떻게 검토하는지, 무엇이 제외되는지를 말하지 않는다면 질문하세요.

백업 문구 역시 문제가 숨어들기 쉬운 부분입니다. 계약서에는 백업이 제공된다고만 쓰고, 얼마나 자주 실행되는지, 데이터는 얼마나 오래 보관되는지, 사본은 어디에 저장되는지, 그리고 복구가 테스트되는지 여부는 말하지 않을 수 있습니다. 3-2-1 백업 방식은 데이터를 3개의 사본으로 유지하고, 서로 다른 2종류의 저장소에 보관하며, 그중 1개는 오프사이트(offsite)에 두는 접근입니다. 이것이 모든 상황에서 복구를 보장하진 않지만, 이해하기 유용한 표준입니다. 신뢰할 수 있는 제공업체라도 무정전(0 downtime), 해킹 불가능한 네트워크, 모든 시나리오에서의 보장 복구 같은 약속은 하지 않습니다.

또한 소유권과 종료(오프보딩) 조건도 검토하세요. 비즈니스는 자신의 데이터, 도메인 이름, 본인이 결제한 소프트웨어 라이선스, 행정(관리) 기록에 대한 권리를 명확히 가져야 합니다. 계약서는 오프보딩 시 어떤 일이 일어나는지, 데이터가 어떻게 반환되는지, 전환 수수료가 있는지, 그리고 자동 연장이 어떻게 중단될 수 있는지를 설명해야 합니다.

계약이 약하면, 실제로 도움이 필요해지는 바로 그 순간에 혼란이 생길 수 있습니다. 직원이 일을 못 하거나 인터넷이 불안정하거나, 벤더 간 기술 조율이 필요한 상황에서 지원 범위가 애매하면 단순한 요청이 “포함인지 여부”를 둘러싼 논쟁으로 바뀔 수 있습니다.

예산에도 영향을 줄 수 있습니다. 많은 소유자가 “모든 것이 포함된 IT(all-inclusive IT)”를 산다고 생각했다가, 신규 사용자 설정, 야간 작업, 클라우드 지원, 방화벽 변경, 프로젝트 작업, 현장 방문, 또는 인터넷 및 소프트웨어 벤더 대응에 대해 별도 청구가 붙는다는 사실을 나중에 발견하기도 합니다. 추가 비용이 자동으로 잘못인 것은 아니지만, 사전에 예상 밖이 되어서는 안 됩니다.

또한 계약 문구가 좋지 않으면 제공업체를 비교하기도 어렵습니다. 한 회사는 보안 도구와 정기 계획 회의를 포함할 수 있고, 다른 회사는 이를 별도로 책정할 수 있습니다. vCIO는 virtual chief information officer(가상 최고 정보 책임자)로, 보통 외부 제공업체가 제공하는 전략 계획 지원을 의미합니다. 한 제안서에는 vCIO 미팅이 포함되고 다른 제안서에는 포함되지 않는다면, 월 비용이 비슷해 보이더라도 같은 조건이 아닐 수 있습니다.

책임이 불명확할 때는 비즈니스 리스크도 생깁니다. 예를 들어 계약서가 “규정 준수(compliance)를 지원한다”고만 하고 방법을 설명하지 않으면, 실제로 제공하는 것보다 더 많은 것을 기대하게 될 수 있습니다. HIPAA는 미국의 의료 분야 개인정보 및 보안 법인 Health Insurance Portability and Accountability Act입니다. PCI는 결제 카드 데이터를 다루는 기업을 위한 요구 사항 집합인 Payment Card Industry Data Security Standard입니다. SOC 2는 많은 소프트웨어 제공업체가 보안 통제(Security controls)를 어떻게 처리하는지 보여주기 위해 사용하는 보고 프레임워크입니다. 요구 사항은 산업과 주(州)에 따라 달라서, 계약서는 제공업체의 역할을 평이한 문장으로 명시해야 하며, 포괄적인 규정 준수 범위를 암시만 해서는 안 됩니다.

바쁜 사무실 관리자나 소유주라면 명확성이 시간을 절약해줍니다. 일상적인 이슈를 누가 처리하는지, 직원들이 무엇을 기대해야 하는지, 어떤 시스템이 포함되는지, 그리고 조건이 맞지 않을 때 어떻게 떠날 수 있는지를 알고 싶을 겁니다.

미국의 소규모 및 중견 기업의 경우, 완전 관리형 IT는 보통 사용자(1인)당 월 $100~$250 정도에서 시작하는 경우가 많으며, 서비스 모델에 따라 때로는 장치당 기준일 수도 있습니다. 일부 시장이나 더 높은 수준의 보안 및 규정 준수 요구가 있는 경우에는 그보다 더 높을 수 있습니다. 아래 범위는 견적(quote)이 아닙니다.

실제 금액은 인원 수, 장치 수, 지점 수, 클라우드 앱, 서버 필요, 보안 도구, 지원 시간, 그리고 지역에 따라 달라집니다. 저렴해 보이는 계약은 중요한 작업을 그냥 빼놓고, 나중에 프로젝트나 예외로 청구할 수 있습니다.

또한 큰 변경 사항에 대해 설치 비용(setup fee), 온보딩 비용(onboarding fee), 또는 별도 프로젝트 비용이 붙는 경우도 있습니다. 이것은 흔한 일입니다. 중요한 것은 계약이 반복적으로 제공되는 지원과 1회성 작업을 명확히 구분하는지 여부입니다.

계약에 소프트웨어가 포함된다면, 항목별(라인 바이 라인) 목록을 요청하세요. 월 요금에 MFA, EDR, 백업 소프트웨어, 이메일 보안, Microsoft 365 관리 같은 도구가 포함되는지, 별도로 청구되는지, 아니면 제3자가 소유하는지 알아야 합니다.

장기 계약이 항상 나쁜 것은 아니지만, 실제 이점과 맞아야 합니다. 제공업체가 2년 또는 3년의 약정을 원한다면, 예를 들어 온보딩 비용 절감, 장비 롤아웃 지원 포함, 가격 안정 같은 “대가로 무엇을 받는지”를 물어보세요. 명확한 이점이 없다면 더 짧은 초기 기간이 더 안전할 수 있습니다.

서명하기 전에 제공업체에 요청해 계약서의 각 섹션을 평이한 영어로 하나씩 설명해달라고 하세요. 목표는 “깔끔하게 포장된 표현”이 아니라 “명확한 답”이 있는지 듣는 것입니다. 무엇이 포함되는지, 무엇이 추가인지, 그리고 관계가 끝나면 어떻게 되는지를 설명하지 못한다면 계속 다른 곳을 찾으세요.

최소 두세 가지 옵션을 나란히 비교하는 것이 도움이 됩니다. 제공업체마다 동일한 질문을 사용해 지원 범위(scope), 지원 시간(support hours), 보안 도구, 백업 방식, 계약 기간(contract term), 종료 프로세스(exit process)를 비교할 수 있도록 하세요. 저희의 services와 answers 페이지는 누구와 이야기하기 전에 기본을 익히는 데 도움이 될 수 있습니다.

원하시면 NodeBridge IT가 귀하의 규모, 예산, 필요에 맞는 독립적인 관리형 IT 제공업체를 찾는 데 도움을 드릴 수 있습니다. 저희는 무료 매칭 서비스입니다. 시스템을 관리하거나 귀하의 계정에 접근하지 않습니다. 제공업체와 연결될 수 있도록 하기 위해 귀하의 비즈니스와 연락처 정보를 사용할 뿐입니다. 준비가 되면 언제든지 매칭받기를 할 수 있습니다.