정보보호 서비스 제값받기 본격 시동

내년부터는 공공기관이나 기업들이 정보보호 서비스를 제공받을 때 지금보다는 제값을 쳐줄 가능성이 커졌다.

소프트웨어(SW) 대가 산정 가이드에 정보보호 서비스에 대한 항목들이 추가되면서 공공기관은 물론 기업들도 이러한 비용을 고려해야하는 입장이 됐기 때문이다.

그만큼 정보보호업계에서도 해당 공공기관, 기업들을 설득해 추가로 비용을 지급받을 수 있도록 이전보다 높은 수준의 제품, 서비스를 제공해야한다는 책임감을 안게 됐다.

9일 미래창조과학부, 한국정보보호산업협회(KISIA) 관계자들에 따르면 지난해 말 '정보보호산업 진흥에 관한 법률'이 시행되면서 정보보호업계에서 오랜 숙원사업으로 꼽히는 정보보호 서비스 제값 받기가 내년부터는 공공기관을 대상으로 본격적으로 실행될 것으로 예상된다.

지난달 기획재정부는 미래창조과학부 등 관계부처의 의견을 반영해 내년도 예산편성세부지침을 개정했다. 이전까지 정보화 사업 예산에 두루뭉술하게 포함돼 있었던 정보보호 관련 예산 집행 항목을 보다 구체적으로 명시하도록 했다. 정보보호 분야에 책정된 예산이 해당 기관 내 다른 부문에 집행되는 등 관행을 개선한 것이다.

이와 함께 예산편성세부지침은 SW 대가산정 가이드를 준용하도록 명시하고 있는데 새로 개정된 지침에서는 이전에는 포함되지 않았던 보안성 지속 서비스, 보안관제에 대한 항목이 추가됐다.

정보보호전문회사들은 구체적으로 공공기관이 내년에 어떤 정보보호제품이나 서비스를 도입할 지에 대한 보다 구체적인 수요를 파악할 수 있으며, 수요기관, 기업들은 그동안 SW유지관리에 포함된다는 이유로 별도 예산을 책정하지 않았던 보안성 지속 서비스 등에 대해 추가적인 비용을 부담할 수도 있다는 사실을 고려해야하는 입장이 된 것이다.

그동안 SW유지관리에 애매모호하게 포함돼 있다가 보안성 지속 서비스로 재분류된 항목은 ▲보안업데이트 ▲보안정책관리(사용자 환경에 따라 보안정책을 수립/변경) ▲위험 및 사고분석(침해사고전후대응, 제품군별 위험분석보고 등) ▲보안성 인증효력 유지(보안적합성 검증 등 보안성 인증 유지 및 보안수준 관리) ▲보안기술자문(모의훈련대응, 원격문의 대응, 보안감사 지원, 보안동향 제공 등)이다.

단순히 SW나 서비스를 공급하는 것으로 그치는 것이 아니라 끊임없이 새로운 보안위협에 대응해 보안업데이트를 제공해야하고, 각종 해킹사고에 대응해야하는 보안제품 및 서비스의 특수성을 반영한 것이다. 때문에 보안성 지속 서비스에 대해 SW유지관리와 분리해 별도로 비용을 지불하도록 가이드는 권고했다.

SW 대가산정 가이드에 새로 포함된 보안성지속서비스 항목. (자료=한국소프트웨어산업협회)

보안관제의 경우 밤이든 낮이든, 휴일이든 관계없이 24시간 365일 대상 공공기관이나 기업에 상주하면서 대응해야한다는 점을 반영해 실제로 3교대로 근무하게 되는 순환근무자에 한해 기존 월별 21일을 기준으로 대가를 산정(man/month)했던 것에서 벗어나 하루 24시간 근무한다는 점을 기준으로 대가를 지급(man/hour)키로 했다.

SW대가산정 가이드에 이 같은 항목이 포함되면서 정보보안업계가 이전보다 현실적인 제품, 서비스 공급과 각종 침해사고대응, 보안업데이트 등을 반영한 추가 비용을 받을 수 있는 길이 열리게 된 것은 맞지만 권고사항인 만큼 수요기관, 기업 입장에서는 추가 비용을 지불할 수도 있고, 그렇지 않을 수도 있다.

때문에 정보보호업계가 정보보호 서비스에 대해 제값을 받을 수 있을 만큼의 역량을 갖췄느냐가 앞으로 이 같은 가이드가 제대로 안착하기 위한 전제조건이 될 것으로 예상된다.