[김국배기자] 백신(Anti-Virus) 소프트웨어(SW)의 정기적인 악성코드 분석 및 패턴 업그레이드의 '정당한 대가'를 지급받을 수 있게 되나?
오는 23일 시행되는 '정보보호산업의 진흥에 관한 법률(이하 정보보호산업법)'에 따른 보안성 지속 서비스 대가 산정 실현 여부에 업계의 관심이 쏠리고 있다.
보안성 지속 서비스는 말그대로 보안 제품이 계속해서 보안 기능을 발휘할 수 있도록 해주는 추가 서비스로 일반적인 유지관리 서비스와는 다르다. 백신 소프트웨어로 치면 악성코드 분석 및 패턴 업데이트 등이 해당된다.
하지만 지금까지는 이에 대한 별도의 대가가 지급되지 않는 것이나 마찬가지였다. 유지보수 비용이 낮은데다 일반 SW가 아닌 정보보호 솔루션인데도 유지보수 비용에 포함되는 경우가 많아 업계에서는 사실상 '보안성 지속서비스 대가'는 거의 없는 수준이라고 말한다.
업계는 보안성 대가산정이 미흡한 것이 결국 이용자의 보안성을 취약하게 만들 뿐 아니라 보안기업의 수익 악화로 이어져 신규 제품 개발 부진, 정보보호 인력 유출 등의 악순환을 일으킨다고 주장하고 있다.
실제로 지난해 정보보호산업 실태조사에 따르면 국내의 경우 유지관리와 정보보호서비스를 포함해 공공사업이 9.1%, 민간사업이 10.3%의 대가를 지급했다. 반면 미국·일본·유럽 등 글로벌 기업은 유지관리 비용을 빼고도 10~20%의 대가를 인정받는다.
정보보호업계에는 이번 법률 시행을 계기로 숙원(宿願)인 보안성 지속 서비스 대가를 인정받을 수 있을 거라는 기대감이 흐른다.
열악한 업계 사정상 보안성 지속 서비스 대가로 '제값 받기'가 가능해진다면 그나마 숨통이 트일 수 있다는 얘기도 나온다. 국내는 서비스 개념이 없어 제대로된 비용 산정이 안 됐다.
정보보호산업법에는 '정보보호제품 및 정보보호서비스의 대가(제10조)'에 대한 내용이 담겨있다. 이에 따라 한국인터넷진흥원(KISA)은 법 시행에 맞춰 정보보호 서비스 대가 가이드라인 개정판과 표준계약서를 만들어 내놓을 예정이다.
법이 시행되기 전이지만 공공 분야에서 먼저 좋은 신호도 나왔다. 제주도 서귀포시는 2016년 정보보호예산에 보안성 지속 서비스 대가 예산을 이미 확보했다. 규모가 크진 않지만 정보보호예산(13억원) 비중도 IT예산(40억원)의 34%로 급증했다.
서귀포시 정보지원과 오상익 주무관은 "시장, 부시장, 국장 등 고위관리자가 최고정보보호책임자(CISO) 등 정보보호 관련 출신으로 (정보보호 체질개선을) 지속적으로 유도하고 있다"고 말했다.
서귀포시는 최근 정보보호 수준향상에 기여한 공로로 미래창조과학부로부터 'K-ICT 정보보호대상 우수상'을 받기도 했다.
다만 기대감이 실망감으로 바뀔 수 있다는 회의적인 시각도 적지 않다. 강제성이 없기 때문에 과연 정보보호 제품 구매 기업이나 기관의 충분한 공감을 얻을 수 있을 지, 그에 따라 예산 확보로 이어질 가능성은 얼마나 될 지 알 수 없다고 말한다.
여전히 '보안 수요자'는 투자 동인을 느끼지 못하는 상황에서 추가 비용을 들일 가능성이 적다는 것이다.
가격경쟁에 대한 쓴소리도 나왔다. 업계 관계자는 "정보보호 업계가 기술경쟁보다는 가격경쟁을 하는 상황에서 보안성 지속 서비스 대가를 지급 받더라도 이를 포함한 전체 제품 공급가가 떨어진다면 소용없을 것"이라고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기