원가보다 2% 부족한 보안성 지속서비스 권장 요율

제품가격에 '인증효력 유지비용' 반영 전제…공공시장 경쟁 현실과 괴리

컴퓨팅입력 :2019/07/02 18:28    수정: 2019/07/02 18:53

수시로 변화하는 사이버 위협 트렌드에 따른 업데이트, 정책 관리, 위험 분석 보고 등을 뜻하는 '보안성 지속서비스'에 대한 대가 산정 기준 요율이 처음으로 마련됐다.

그러나 보안 기업이 원가 분석을 통해 파악한 보안성 지속서비스 적정 요율은 10%였다. 대가기준에 명시된 요율은 그보다 2% 부족한 8%다.

대가 산정 기준에서 제외되는 '인증효력 유지' 항목을 고려한 결과다. 보안업계가 타 업계와 동일하게 제품의 인증효력 유지 비용을 제품 가격에 반영하라는 차원에서 바뀐 내용이다.

그러나 치열한 공공 분야 수주 경쟁 현황을 고려할 때 업체들이 인증효력 유지 비용을 제품 가격에 곧바로 반영하긴 어려울 것이라는 지적이 나온다.

아울러 인증효력 유지 비용이 상황에 따라 유동적으로, 타 업계보다 많이 투입되는 보안업계의 특성을 고려하지 못한 조치라는 비판도 제기됐다.

■원가 기준 적정 요율 10% - '인증효력 유지' 2% = 가이드 기준 8%

지난달 28일 발표된 '소프트웨어(SW) 사업 대가 산정 가이드' 2019년 개정판에서는 보안성 지속서비스 대가 산정 기준 요율이 8%로 명시됐다.

SW 사업 대가 산정 가이드는 국가·공공기관 등에서 SW 관련 사업에 대한 예산 수립, 사업 발주, 계약 시 적정 대가 산정 기준을 제공하기 위해 매년 제공되고 있다.

이번 보안성 지속서비스 대가 기준 요율 마련을 위해 한국정보보호산업협회(KISIA)와 과학기술정보통신부, 기획재정부가 함께 원가분석을 진행했다. KISIA에 따르면 업계를 대상으로 보안성 지속서비스 대가 수준을 조사했을 때 나온 평균 요율은 10% 수준이다.

업계의 원가 기준 평균 요율보다 가이드 상의 기준 요율이 2% 적게 마련된 셈이다.

2019년 SW 사업 대가 선정 가이드 상의 보안성 지속 서비스 대가 산정 내역 예시.

이는 가이드 개정판에서 보안성 지속서비스 대가 구성 항목 중 '인증효력 유지' 항목이 제외된 점을 반영한 조치다.

KISIA 관계자는 "원가분석 과정에서 보안 서비스에 투입되는 인력, 시간 등을 위주로 연간 투입 현황을 조사했다"며 "10% 정도가 평균 수준으로 분석됐고, 인증효력 유지 비용이 빠진 점을 고려해 낮춰 잡은 것"이라고 설명했다.

■경쟁 치열한 공공 시장...업계 "제품 가격 선뜻 올리기 어렵다"

공공기관에 도입되는 정보보호 제품은 공통평가기준(CC) 인증, 소프트웨어 품질(GS)인증 등이 요구된다. 인증제품의 형상이 변경됐을 때 그 영향을 분석해 변경 내용을 승인하거나, 영향이 주요한 경우 재평가를 통해 새 인증서를 발급받을 필요가 있다. 이 과정에 투입되는 비용이 인증효력 유지 항목에 반영돼왔다.

향후 KISIA는 이를 보안성 지속서비스 대가가 아닌, 제품 가격에 반영되도록 업계에 안내하겠다는 방침이다. 타 업계와의 형평성 문제 때문이다.

SW 사업 대가 산정 가이드 상 보안성 지속 서비스 항목에는 인증효력 유지 항목이 포함돼왔다. 개정판에서는 해당 내용이 제외됐다.

KISIA 관계자는 "보안 제품은 인증효력 유지 비용이 타 업계 대비 월등히 많이 필요하고, 이런 부분은 항상 주장을 해왔다"면서도 "타 업계와 달리 보안 업계만 인증효력 유지 비용을 서비스 비용에 포함하는 것은 형평성에 문제가 있다는 의견 때문에 이처럼 가이드 내용을 수정하게 됐다"고 밝혔다.

그러나 업체들이 인증효력유지 비용을 제품 가격에 반영하기 쉽지 않을 것이라는 전망이 나왔다. 제품 간 기술 수준 차이가 크지 않아 공공 시장에 납품하는 SW 제품 평가 과정에서 가격이 수주 여부를 좌우하는 요인으로 작용하고 있기 때문이다.

정보보안 업계 관계자는 "만약 경쟁사가 제품 가격에 인증효력 유지 비용을 반영하지 않을 경우 가격 경쟁력 측면에서 차이가 나게 된다"며 "결과적으로 업계 눈치싸움이 될 것"이라고 전망했다.

업계 다른 관계자는 "경쟁 구도에 놓여 있는 제품들의 가격대가 이미 일정 수준으로 형성돼 있다"며 "제품들의 가격 차이가 어느 정도인지 업계와 구매기관이 알고 있는 상황인데 제품 가격을 갑자기 올리기도 어렵다"고 언급했다.

관련기사

사이버 위협에 즉각적으로 대응해야 하는 보안 제품의 경우 인증효력 유지 비용을 제품 가격에 정확히 고려하기 어렵다는 문제도 있다.

업계 다른 관계자는 "인증효력 유지는 상황 변화에 따라 상당한 비용 부담이 된다"며 "원가 산정 기준이 되는 제품 가격에 인증효력 유지 비용을 반영하는 것은 적합치 않다"고 말했다.