'정보보호 서비스 대가를 현실화하자.'
한국정보보호산업협회(KISIA, 회장 이민수)가 협회 설립 20주년을 맞아 산업계 현안 과제 설문을 조사한 결과, 정보보호 서비스 대가 현실화 요구가 높았다. KISIA는 1998년 설립돼 올해 20주년을 맞았다. 시장 형성 20년을 맞은 업계는 여전히 정보보호 서비스 대가를 제대로 받지 못했다(62.5%). 공정한 발주문화가 정책돼야 한다는 응답도 12.5%를 차지했다.
업계는 고객과 발주처가 '정보보호 서비스에 대한 인식이 부족'(45%)하고 '예산 반영이 미흡'(26.3%)하다고 지적했다. 정부는 소프트웨어(SW) 대가 산정 가이드에 보안성 지속 서비스를 반영했다. 정보보호 제품은 SW 유지관리 서비스와 별도로 보안성 지속 서비스 대가를 산정한다.
보안성 지속 서비스는 △제품 보안 업데이트 △보안 정책관리 △위험사고 분석 △보안성 인증효력 유지 △보안기술자문 등이 포함된다. 보안 제품은 SW와 달리 급증하는 사이버 위협에 대응해 유기적으로 기능을 업데이트해야 한다. 특수성을 감안해 솔루션 판매 이후에도 지속 투자가 필요하다.
정부는 2015년 '정보보호산업의 진흥에 관한 법률(정보보호산업법)'을 시행했다. 정보보호 제품·서비스 적정대가를 받을 수 있는 법적 토대를 마련했다. 당시 미래창조과학부가 만든 'K-ICT 시큐리티 발전전략'과 'SW산업 대가산정 가이드'에 보안성 지속 서비스 내용이 포함됐다. 법 시행 3년이 지났지만 보안성 지속 서비스 대가를 책정한 기관이나 기업을 찾기 힘들다. 내년 정부 예산에도 보안성 지속 서비스 대가가 반영될지 미지수다.
과학기술정보통신부는 KISIA가 수행한 보안성 지속 서비스 연구조사 결과를 바탕으로 요율 명시화 작업을 시작했다. 연구조사 결과 인건비 등을 감안한 산정 대가는 9.9%다. 용역 결과대로 보안 지속성 서비스 요율이 확정되면 보안업계는 최대 10% 이상 추가 비용을 받는다. 업계는 정보보호 예산이 늘지 않는 이유도 '낮은 정보보호 의식'(60%)을 꼽았다. 침해사고 발생에 대한 낮은 처벌(26.2%)도 언급했다.
정보보호 스타트업 육성 방안 질문엔 정책지원자금, 기존 기업과 교류 확대, 마케팅과 투자 유치 지원을 꼽았다. 업계는 정보보호 전문인력 수급 불균형 해소를 위해 분야별 특화 인력양성(31.3%), 신규 정보보호 인력 양성 및 공급 활성화(26.2%), 산업계 실무자 연계 맞춤형 인력양성 프로그램 강화(22.5%)를 해야 한다고 답했다.
해외 시장 진출 확대를 위해 기업 규모와 형태별로 차별화된 지원 제도 운영(45%)을 촉구했다. 정부 공적개발원조(ODA) 사업과 연계 강화(26.2%), 해외 전시회 참가지원과 바이어 발굴 수출상담회 확대(20%) 순으로 나타났다.
이민수 KISIA 회장은 “정보보호 제품은 살아 움직이는 유기체”라면서 “지속해서 사이버 위협 요소를 업데이트해야 한다”고 말했다. 이어 “연구용역 통해 보안성 유지 대가를 9%대로 산정했다”면서 “서비스 요율이 명시돼 예산에 반영되길 기대한다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com
