한국정보보호산업협회(KISIA)는 지난 8일 ‘정보보호 제도개선 협의체 4차 회의’를 개최했다고 밝혔다.
이 협의체는 초대 의장을 맡은 문성준 엔시큐어 대표를 중심으로 국내 주요 정보보호기업 8개사 대표가 모여 주제별 현행 제도에 대한 기업 대응 현황과 애로사항을 공유하고 제도 개선을 위한 전략의 제시와 실행방안 마련을 위해 설립됐다.
이번 회의에서는 정보보호제품의 직접구매(분리발주)에 관해 논의했다. 소프트웨어(SW) 직접구매는 발주기관이 공공 정보화 사업 추진 시 하드웨어(HW)·SW구매, 시스템통합(SI) 등 사업에 상용SW 구매를 포함하여 발주하는 것이 아니라, 상용SW만을 별도로 발주, 평가·선정, 계약하는 제도다.
정보보호SW도 이 제도 적용을 받고 있다. 다만 방화벽(FW), 침입방지시스템(IPS) 등 일체형 정보보호 제품은 제도상 HW로 분류돼 직접구매 대상이 아니라 대부분 SI 사업으로 진행돼 제도의 사각지대에 놓여 있다는 것.
일체형 정보보호 제품은 일반 네트워크 장비와 달리 최신 사이버 위협에 대응하기 위해 지속적인 SW 업데이트 및 보안 정책 관리가 요구된다. 즉, 일체형 정보보호 장비의 HW는 SW가 정상적으로 작동할 수 있도록 보조하는 역할로 실제적인 정보보호 활동은 SW에서 이뤄진다. 협회에서 자체적으로 정책 연구를 통해 조사한 결과에서도 일체형 정보보호제품의 HW와 SW 원가비율은 27대 73으로 나타나 SW가 압도적으로 높은 비중을 차지했다.
그러나 현재 일체형 정보보호제품은 HW로 분류돼 결국 SI기업의 하도급으로 참여해 가격을 하향 조정하는 폐해가 지속되고 있다는 것이다.
이에 협의체에서는 'SW 사업 계약 및 관리감독에 관한 지침'에 직접구매 대상에 SW뿐만 아니라 일체형 정보보호 제품도 포함하거나 또는 '정보보호 산업의 진흥에 관한 법률⌟을 개정해 ‘정보보호 직접구매’ 제도를 신설하자는 의견이 제시됐다.
문성준 협의체 의장은 “디지털 전환이 가속화되면서 동시에 사이버위협도 고도화되고 있으나 사이버위협을 방어할 정보보호 제품의 적정 대가 지급은 아직까지 이뤄지지 않고 있는 것이 현실”이라며 “급변하는 디지털 환경 속에서 새로운 위협에 대응하고 국내 정보보호 산업의 경쟁력 강화를 위해 정보보호 직접구매는 꼭 필요한 제도가 될 것”이라고 강조했다.
