그동안 일반 기업/기관들이 별도로 비용이 지불하지 않고 제공 받았던 보안업데이트, 보안정책관리, 위협/사고분석 서비스 등에 대해 앞으로는 제품도입액의 일정 비율만큼 추가비용을 내야한다.
최신 보안위협에 대해 대응하고, 사고발생시 적절한 대응과 사후분석 등을 필요로 하는 정보보호서비스는 일반 소프트웨어(SW)와 달리 한번 구축하면 끝나는 것이 아니라 지속적인 업데이트 및 관리를 핵심으로 하는 '서비스'에 가깝다. 그러나 이전까지 이러한 비용은 별도로 산정되지 않은 채 솔루션 도입 비용만 책정되는 경우가 많아 업계에서 '제 값을 받지 못하고 있다'는 하소연이 많았다.
이러한 의견을 반영해 미래창조과학부는 4월22일 'K-ICT 시큐리티 발전전략'을 통해 정보보호 제품, 서비스의 특성을 고려해 정당한 서비스 대가를 추가로 산정하도록 했다.
이와 관련 지난달 미래창조과학방송통신위원회 소속 권은희 의원(새누리당)이 대표발의한 '정보보보호산업 진흥에 관한 법률안'이 국회 본회의를 통과하면서 정보보호 제품에 대한 제값주기 및 서비스 대가 도입에 힘이 실리고 있다.
한국인터넷진흥원(KISA)은 이러한 방침에 따라 '정보보호서비스 대가 산정 가이드'를 마련했다고 12일 밝혔다.
정보보호 서비스는 크게 보안성 지속 서비스, 정보보안 컨설팅, 보안 관제 서비스로 구분된다. KISA가 마련한 가이드는 이들 중 보안성 지속 서비스에 대한 ▲적용 범위 및 원칙 ▲서비스 항목 ▲계약 방식 등을 담고 있다.
보안성 지속 서비스는 보안제품을 설치한 뒤 정보보호 전문가의 악성코드 분석 및 보안 패턴 업데이트, 보안제품 정책관리 등 제품 보안기능을 발휘하기 위해 추가로 제공되는 서비스를 말한다. 예를들어 백신의 엔진업데이트 등이 여기에 해당한다.
일반SW의 경우 제품 자체에서 발견된 결함에 대한 중심인 반면 보안성 지속 서비스는 제품 도입 자체보다도 이후 지속적으로 보안성을 보장하기 위한 대응업무가 핵심이다. 그럼에도 불구하고, 정보보호 기업들은 악성코드 분석 및 보안업데이트, 보안정책관리, 사고조사 등 제품의 보안성 확보에 필요한 대가를 별도로 지급받지 못했다.
새로운 신규 보안취약점 및 신규 악성코드가 하루에도 수없이 만들어지는 상황에서 정보보호 제품 및 서비스는 제품 자체의 업데이트와 함께 외부 공격요인들을 분석해 반영하기 위한 추가적인 보안성 유지 노력은 필수다.
그럼에도 불구하고 이전까지 업계에서는 사용자의 보안성 약화 및 기업의 수익성 악화뿐만 아니라 정보보호 분야에 대한 투자가 저조해 정보보호 전문인력의 유출, 기술 경쟁력의 저하, 신규 제품 개발 부진 등 악순환이 반복된다는 지적이 제기되어 왔다.
더구나 적정 비용이 반영되지 못해 정보보호 제품 및 서비스의 보안성이 취약해지는 부담을 고스란히 고객들이 떠안게 된다는 우려의 목소리도 있었다.
지난해 정보보호산업 실태조사에 따르면 국내의 경우 유지관리와 정보보호서비스 비용을 포함해 공공사업은 9.1%, 민간사업은 10.3%의 대가만 지급하고 있는 것으로 조사됐다.
이와 달리 미국, 일본, 유럽 소재 글로벌 기업들은 정보보호 서비스 가격을 유지관리 비용 외에도 10%~20% 정도로 별도 책정해 보안성 지속 서비스에 대한 가치를 인정하고 있다.
관련기사
- 사물인터넷 시대, 정보보안 스타트업 육성한다2015.06.11
- 금융권, 자율 보안 제대로 대응하고 있나2015.06.11
- 정보보호산업진흥법, 국회 본회의 통과2015.06.11
- 정보보안 산업 15조 규모로 확 키운다2015.06.11
가이드는 보안성지속 서비스에 대한 대가를 정상화하고자 제품 공급가액의 일정 비율을 정해 지급하도록 했고, 보안성 유지에 직접적인 영향을 주지 않기 위해 제품 도입 및 구축비와는 별도로 대가를 산정하도록 하는 방안을 담았다.
KISA측은 가이드를 통해 국내에서도 안전한 정보보호 제품 및 서비스를 이용할 수 있도록 적정 가격을 지급하는 구조로 개선될 것으로 전망하며, 올 하반기까지 정보보안컨설팅, 보안관제서비스 분야에 대해서도 가이드를 마련한다는 계획이다.