보안업계가 보안성 지속 서비스 대가 요율을 9.9%로 요구했다.
정보보호 제품은 최신 사이버 위협이 발생하면 이에 맞춰 패턴을 업데이트한다. 기존 소프트웨어(SW)와 달리 보안성 지속 서비스가 제품 성능을 좌우한다.
정부는 2015년 '정보보호산업의 진흥에 관한 법률(정보보호산업법)'을 시행해 보안성 지속 서비스 대가 관련 법적 토대를 마련했다. 법 시행 2년 반이 넘었지만 과기정통부와 업계는 구체적 대가 요율을 산출하지 못해 보안성 지속 서비스 비용을 받지 못했다. 이번에 보안성 지속 서비스 대가를 받을 수 있을지 주목된다.
18일 과학기술정보통신부는 지난해 한국정보보호산업협회(KISIA)에서 수행한 보안성 지속 서비스 관련 연구조사결과를 바탕으로 요율 명시화 작업에 착수했다. 과기정통부는 이른 시일 내 보안성 지속 서비스 제공을 기존 '상호 협의'가 아닌 구체적 요율로(%) 명시해 'SW산업 대가 산정 가이드'에 반영할 계획이다.
연구조사결과 인건비 등을 감안한 산정 대가는 9.9%다. 용역 결과대로 보안 지속성 서비스 요율이 확정될 경우 보안업계는 최대 10% 이상 추가 비용을 받는다.
과기정통부 관계자는 “이미 SW 대가 산정 가이드에 보안성 지속 서비스가 반영됐지만 정확히 몇 퍼센트를 지불해야 한다는 것은 없었다”면서 “보안성 지속 서비스 요율을 구체적으로 명시하는 것을 빠른 시일 내 추진하고 명확한 수치를 제시할 것인지 1~2% 내외 여유를 둘 것인지에 대해서는 고민 중”이라고 말했다.
보안성 지속 서비스 대가는 SW 유지관리 서비스와 별도로 산정하는 체계다. 패턴, 운용체계(OS) 등 IT환경 변화에 따른 보안 업데이트뿐 아니라 △보안정책관리 △위험·사고분석 △보안성 인증효력 유지 △보안기술 자문 등 보안체계를 유지하기 위해 기업은 솔루션 판매 이후에도 별도 투자를 지속한다.
업계 관계자는 “정보보호제품은 신규 취약점에 대응하기 위한 패턴·시그니처 등 적시 업데이트가 필요하며 해당 업데이트를 사용자 상황에 맞추는 과정도 지속 요구된다”면서 “보안성 지속 서비스 예산은 보안성 유지에 직접 영향을 주기 때문에 별도 예산으로 책정해야 한다”고 설명했다.
정부는 2015년 '정보보호산업의 진흥에 관한 법률(정보보호산업법)'이 제정·시행을 통해 정보보호 제품·서비스 적정대가를 견인할 제도를 운영하는 법적토대를 마련했다. 이후 미래부(현 과기부) 'K-ICT 시큐리티 발전전략'과 'SW산업업 대가산정 가이드'에 보안성 지속 서비스 내용이 포함됐다. 하지만 서비스 요율을 명확히 하지 않았다.
업계는 보안성 지속 서비스 대가 요율이 확정되지 않아 솔선을 보여야 할 공공기관도 외면한다고 설명한다. 보안성 지속 서비스 대가 지불이 상호협의 등 기준이 없어 수요처가 너무 많거나 적은 비용을 지불하면 감사 대상이 될 수 있다. 이 때문에 상호협의 조차 거부한다. 실제 공공기관에서 보안성 지속 서비스 대가를 지불한 곳은 제주도 서귀포시가 유일하다.
보안업계 고위 관계자는 “보안성 지속 서비스가 '상호협의' 사안이어서 공급사는 고객 요구를 들을 수밖에 없다”면서 “보안성 지속 서비스 적용 요율이 적용되지 않거나 낮으면 보안 기업은 그만큼 재투자가 어렵고, 서비스를 유지가 어려운 악순환을 만든다”고 말했다.
정영일기자 jung01@etnews.com
