올해 개정될 소프트웨어(SW) 대가산정 가이드에 보안 소프트웨어(SW)의 '보안성 지속서비스' 금액 산정 기준이 8% 요율로 명시된다. 향후 국가·공공기관의 보안SW 제품 도입 사업에 이를 고려한 추가 예산이 편성될 전망이다.
과학기술정보통신부 박준국 정보보호산업과장은 26일 서울 중구 포스코타워 '정보보호 산업분야 제도개선 세미나'에서 정부의 정보보호 산업분야 제도개선 추진현황을 설명하며 이같이 밝혔다.
박 과장은 "보안SW 제품에는 보안업데이트와 같은 보안성 지속서비스의 비용이 항상 발생하기 때문에 보안SW 제공사가 그 대가를 받을 필요가 있다는 지적이 제기돼 왔다"며 "현재 SW대가산정기준에도 보안성 지속서비스 대가를 받을 수는 있게 돼 있지만, 별다른 산정기준 없이 '당사자간 협의'로 한다는 부분이 문제였다"고 설명했다.
이어 "어떤 기준이 없다보니, (발주처와 사업자에게) 실제 대가를 산정해 주고받기가 서로 부담스러웠고 결국 꽤 오랫동안 (대가 지급이) 이행되지 않았다"며 "3년 전부터 기획재정부와 이 부분을 협의하면서 한국정보보호산업협회(KISIA)와 함께 여러 근거로 원가분석을 진행해, 최종적으로 8% 정도 금액(요율) 기준을 담는 내용으로 대가산정 가이드를 개정하기로 했다"고 말했다.
그는 "올해는 어려울 수 있지만 내년도 예산 작업 과정이나 편성 시기에 이를 고려할 수 있을 것"이라며 "사례가 많아지면 업계 숙원이었던 보안성 지속서비스 대가를 받는 시대가 열리지 않을까 생각한다"고 언급했다. 이어 "제도가 바뀌는 것만으로 시장 변화를 보장할 수는 없고 (제도를) 널리 알리고, 지속되는지 모니터링해야 한다"며 "그런 작업 계속해 나가겠다"고 덧붙였다.
박 과장은 이날 SW대가산정 가이드에 추가되는 보안SW 제품의 보안성 지속서비스 대가 요율뿐아니라 GS인증과 CC인증의 중복 부담 문제, 보안관제분야 제값받기 문제, 보안관제 전문기업의 사업 양수도에 따른 계약 변경 문제, 정보보호 공시제도 부담 문제 등 개선됐거나 개선 중인 제도 변경 현황을 함께 설명했다. 정보보호분야 인력양성, 해외진출 업무 위탁기관 범위를 확대하기 위해 지난 4월 '정보보호산업의 진흥에 관한 법률 시행령'을 개정했다는 점도 언급했다.
■ CC인증 받은 보안SW 제품, GS인증 중복 부담 완화
보안SW 업체는 국가계약법상 국가·공공기관에 수의계약으로 제품 공급시 보안솔루션 제품에 필요한 CC인증뿐아니라 일반SW 제품에 요구되는 GS인증까지 받아야 하는 이중인증 부담을 안고 있었다. 과기부는 기획재정부와 협의를 통해 국가계약법 시행령을 개정하도록 했다.
박 과장은 "기재부가 (GS인증을 받지 않고) CC인증을 받은 제품도 수의계약 대상에 포함하는 국가계약법 시행령 개정안을 입법예고해 법제처 협의만 남아 있고, 관계부처와 의견수렴하면서 이견이 없었다"며 "개정되면 6월 기준 CC인증만 받은 보안SW제품 151개가 수의계약을 할 수 있게 돼, 절차적 부담을 간소화할 수 있을 것"이라고 말했다.
■ 보안관제 제값받기 후속조치·계약변경 근거 마련
보안관제 분야 제값받기는 과기부가 지난해 7월 '보안관제사업 계약 가이드'를 배포하고 그 후속조치로 추진 중인 가이드 준수, 적정대가 지급실태 점검 활동 얘기다. 지난해 개정된 근로기준법에 따라 주 52시간 근로제가 시행되면서 추가업무 적정대가 지급이 강조되고 있다. 보안관제사업 계약 가이드는 사이버 침해사고 발생에 따라 비상근무와 추가업무 등이 수시로 발생하는 분야 특성을 고려하도록 했다.
보안관제 전문업체가 타사와의 법인 합병, 사업 양수도를 할 경우, 국가·공공기관 대상으로 보안관제서비스 계약을 체결 도중 그에 맞게 계약서를 변경하기 어려운 문제가 있었다. 계약서 변경 근거를 명확하게 확인해 줄 수 있는 기관이 없었기 때문이다. 과기부는 '보안관제 전문기업 지정 등에 관한 공고'에 이런 절차규정을 신설한 개정안을 6월 행정예고한 상태다.
박 과장은 "행정예고 기간이 지나 (개정이) 마무리되면 보안관제 사업 양수도나 합병시 이를 과기부에 신고하고, 일정 요건을 확인하는 절차를 밟아 종전의 (관제서비스업체) 지위를 승계한 것으로 본다는 조항을 넣었다"며 "관제 기업도 경쟁력을 강화하기 위해 M&A나 사업 양수도를 통해 성장에 도움이 될 것으로 보고, 이르면 7월 초부터 시행될 수 있다"고 말했다.
■ 정보보호 공시 사전 회계검증 부담 완화
정보보호 공시는 기업의 정보보호 관련 투자, 인력, 활동내용을 공개하는 제도다. 정부는 올해 1월 '정보보호 공시 가이드'를 개정해 기업이 스스로 내용을 확인해 정보보호 공시를 하고 사후검증 하는 방식으로 절차를 개선했다. 과거엔 정보보호를 공시하려면 사전에 비용을 들여 외부 회계검증을 받아야 했다.
박 과장은 "가이드에 사전 검증 절차 의무화 내용이 들어 있었는데 이것으로 수천만원의 비용이 발생했는데, 다른 형태의 공시제도를 보면 사전 회계검증을 필수로 요구하지 않고 사후 모니터링형태로 운영하는 경우가 많았다"며 "관련 사례와 전문가 의견을 통해 사전 회계검증 의무를 폐지하고 사후 모니터링을 강화하는 방향으로 전환했다"고 말했다.
■ KISIA, 조달청 백신SW 다수공급자계약 전환방침 대응 중
아직 명확한 해결 실마리가 보이지 않는 문제도 있다. 올해 조달청 업무계획에 포함된 백신SW의 다수공급자계약(MAS) 전환 방침과 관련된 문제다.
현재 조달납품되는 백신SW는 수의계약방식으로 공급되고 있는데, 조달청은 여러 제품간 경쟁하는 MAS 방식을 적용할 계획을 내놨다. 보안업계는 MAS 방식이 저가경쟁을 조장할 것이라 우려 중이다. 조달청은 MAS 적용 대상을 백신SW뿐아니라 단계적으로 일반 상용SW까지 확대하려 한다.
KISIA 조연호 산업지원실장은 '공공조달 계약제도 및 서비스 대가 개선' 주제로 발표를 진행하며 MAS 전환 방침에 대해 협회 차원에서 "업계 의견 수렴을 진행 중"이라며 "상용SW 협회나 다른 단체와도 함께 대응할 계획"이라고 언급했다.
■ "대가산정가이드 '인증효력유지' 빠져…제품 가격에 넣어야"
관련기사
- KISIA 정총... "보안 솔루션·서비스 대가 정상화 주력"2019.06.26
- "올해 보안업계 주52시간 대응 및 인증 중복 해결에 매진"2019.06.26
- KISIA "국내 정보보호서비스 제값 받아야"2019.06.26
- 정보보호 서비스 제값받기 본격 시동2019.06.26
조 실장은 과기부에서 예고한 보안성 지속서비스 대가 관련 SW대가산정 가이드 변경 내용을 좀 더 구체적으로 설명하기도 했다. 그는 "지난 2015년 들어간 보안성 지속서비스 대가는 '상호협의'로 표기돼 이런 형태로는 예산 반영을 할 수 없다는 반응이 많아 명시적인 요율 표기로 변경하게 됐다"며 "공공기관 담당자가 이를 근거로 예산을 편성하면 (업계 제값받기 문제가) 개선될 것이라 생각한다"고 말했다.
이어 "서비스 비용에 '인증' 비용을 넣는 것은 맞지 않는다는 지적이 있어 기존 정보보호 서비스 대가산정가이드의 다섯 가지 항목 중 하나였던 '인증효력유지'가 빠지게 됐다"며 "이 부분을 협의하면서 앞으로 인증비용을 제품 가격에 넣는 형태로 가야하지 않느냐는 얘기를 했고, 업계가 보안제품 도입(제안) 가격에 인증비용 포함시키는 준비를 해 줬으면 좋겠다"고 언급했다.