보안SW 유지보수예산↑..."일석삼조 효과"

보안업계가 정보보안 소프트웨어(SW)에 대한 정부의 유지보수예산을 높여야 한다는 의견에 재차 힘을 싣고 있다. 지난 5년 간 말로만 그쳤던 예산 확대를 촉구하는 한편 보안업계 스스로도 차별화된 보안 서비스를 제공하겠다고 나섰다. 이를 통해 보안업계에 활기를 불어넣는 동시에 고용 창출, 양질의 보안 서비스를 제공하는 등 일석삼조 효과를 노린다는 계획이다.

4일 보안업계에 따르면, 공공부문에서 연구개발 및 기타 프로젝트에 대규모 예산을 투자하는 것보다 유지보수예산을 늘리는 것이 인력 품귀현상을 빚고 있는 전체 보안SW 생태계에 고용유발 효과를 이끌어 낼 수 있을 것으로 기대하고 있다.

지식정보보안산업협회(KISIA)는 지난 달 30일 서울 종로구 소재 센터마크 호텔에서 기자간담회를 열고, '유지관리 대가 합리화를 통한 국내 보안산업 경쟁력 제고'라는 정책건의서를 정부, 국회, 18대 대선 후보들에게 전달했다.

KISIA는 정책건의서를 통해 보안 분야의 유지보수율을 선진국 수준으로 높이고, 공공부문 입찰 시 가격이 아니라 기술만으로 경쟁하며, 1년간 무상유지보수 관행을 없애야 한다고 주장했다. ■보안업계 공공부문 입찰 구조 어떻길래...

현재 공공부문에서의 보안 솔루션 구축 사업 중 규모가 큰 사업의 경우 보안 시스템 통합(SI) 회사들이 수주하면 협력업체들이 각각 솔루션을 공급하는 형태로 이뤄져있다. 예를 들어 'S1'이라는 보안시스템 구축 사업에 A1, A2, A3, A4, A5 등 5개 보안SI 회사가 입찰 경쟁이 붙는다고 하면 벤치마크테스크(BMT)와 가격을 합산한 점수를 높게 받는 회사가 사업을 수주하게 된다.

문제는 이 과정에서 가격경쟁이 너무 과열되고 있다는 점이다. 국내 모 보안회사 대표는 보안SI회사를 통해 사업을 수주하더라도 그 밑에서 솔루션을 공급하는 일반 보안회사들은 그만큼 낮아진 가격을 감수해야 한다고 밝혔다.

선진국의 경우 공공부문에서 통상 전체 프로젝트 수주 금액의 20% 선에서 유지보수예산이 책정된다. 그러나 국내 회사들은 약 8% 남짓한 비용이 책정되는데 그친다. 아직 한국에 비해 보안 후진국인 태국만 하더라도 12%~20% 사이의 유지보수율이 책정되고 있다.

국내 공공부문 입찰 과정에서 보안솔루션의 성능과 가격의 점수 비중은 업계 평균 8대2 수준이다. 그럼에도 불구하고 대부분 가격에 따라 입찰이 좌우되는 것이 현재 상황이다. 국내 보안업계 관계자는 아무리 BMT 점수 비중이 높다고 해도 결국엔 성능보다는 가격이 얼마냐로 수주여부가 판가름나는 것이 현실이라고 지적했다.

이 때문에 보안SI에 솔루션을 공급하는 회사들은 낮은 입찰 가격 부담을 고스란히 떠안게 된다. 보안솔루션을 업데이트하고, 고객에 맞게 최적화 해주며, 문제가 생기면 수정해주는 등의 유지보수 업무에 드는 비용은 자연스레 낮게 책정될 수밖에 없는 구조다. 더구나 KISIA에 따르면 공공부문이 보안업계 전체 매출의 34%를 차지하고 있는 상황이라 낮은 가격은 곧 보안솔루션, 보안회사의 경쟁력 저하로 이어진다.

이 과정에서 심지어는 서로 다른 보안시스템 구축 사업에 대한 유지보수만 전문으로 해주는 회사들도 생겼다. S1이라는 보안시스템 구축 사업을 A1이라는 회사가, S2를 A2라는 회사가 수주했다고 하면 A1, A2 등의 회사가 직접 수행해야할 유지보수 업무를 B1, B2 전혀 별개의 회사에 발주하는 식이다.

공공 부문 고객 입장에서는 예산을 절감하는 효과를 노린 것이다. 유지보수전문 회사들은 A1, A2 등의 솔루션에 관한 기본적인 지식 없이 유지보수 업무를 대행한다. 서비스 품질이 저하되는 한편 기존 A1, A2 회사들에게 보안솔루션을 공급하는 회사들은 유지보수비용을 전혀 받을 수 없게 되는 구조다.

■정부 보안 유지보수 예산 확대해야

이 같은 구조를 개선하기 위해 KISIA가 제안한 건의서는 먼저 일반 소프트웨어와 다른 보안제품의 특성을 인정해 유지관리대가 예산을 확대하고, 적정한 유지보수율 수준을 유지해야 한다는 것이다.

유지보수율은 전체 수주 금액에 대한 하자보수와 유지관리 비용의 비율을 말한다. 시스코, 오라클 등 글로벌 IT회사들의 경우 국내 공공 사업 수주시 약 22%에 가까운 유지보수율을 받는 반면 국내 회사들은 8% 남짓한 수준에 그치는 실정이다. 더구나 국내 보안 회사들은 제품 자체에 문제가 생겼을 경우 일종의 애프터서비스(AS) 차원에서 1년간 무상으로 품질보증을 선다.

문제는 같은 기간 유지관리에 대해서도 무상으로 서비스를 제공한다는 점이다. 제품 자체에 문제가 생긴 것이 아니라고 해도 공공부문 고객들의 입맛에 맞게 보안 솔루션을 최적화하거나, 제품을 업데이트 하는데 필요한 비용을 최소 1년 간은 무료로 지원해야한다는 것이다.

글로벌 IT기업들의 경우 유지보수 부문이 전체 매출의 절반 가량을 차지하는 것을 고려하면 국내 회사들에게 적용되는 관련 분야 매출 비중은 턱없이 낮은 수준이다. 조규곤 KISIA 회장은 하자보수는 무상지원한다고 하더라도, 유지관리 비용 만큼은 제 값을 받아야 국내 업계의 경쟁력을 높일 수 있다고 말했다.

KISIA에 따르면 오는 12월 1일부터 공공부문 고객과 업체 사이에 'SW유지관리 표준하도급계약서'를 작성하도록해 제품 업그레이드 등에 대한 무상유지보수 관행을 금지하고 있으나 여전히 이면계약 등을 통해 무상유지관리가 지속되고 있어 개선할 필요한 실정이다.

이 같은 유지보수율 높이기는 보안SW업계의 고용창출로 이어질 가능성이 높다. 이석우 펜타시큐리티 대표는 유지보수율은 곧 인건비가 얼마냐에 대한 문제이며, 이 비율이 높을수록 보안회사들의 수익성이 높아지고 그만큼 양질의 서비스를 제공하기 위한 인력도 많이 채용하게 된다고 밝혔다.

■공공 보안부문 입찰 순수 기술만 평가해야

두번째로 KISIA는 입찰 시 아예 가격 부문을 빼고 순수하게 기술만으로 경쟁하도록 유도할 것을 제안했다. 기존에 공공부문 보안시스템 구축사업은 대개 가격만을 놓고 경쟁한다.

그러나 조 회장은 최종 입찰 과정에서는 결국 낮은 가격을 제시하는 회사가 수주한다는 점을 지적했다. 보안 분야 특성상 성능과 가격을 고려했을 때 우선권을 둬야 하는 것은 성능이다. 주요 전산시스템이 해킹돼 뚫리는 것보다는 높은 가격을 지불하고서라도 고성능의 제품을 지불하는 것이 보안시장의 특성이기 때문이다.

일부에서는 가격경쟁을 하지 않는 입찰이 어디 있냐고 되묻는 경우도 있다. 이에 대해 조 회장은 정부 및 공공기관에서는 매년 보안부문예산이 별도로 책정되기 때문에 관련 예산이 모두 보안 분야에 집행되는지, 가격경쟁을 통해 절감한 비용을 다른 사업 예산에 추가로 투입하는지를 봐야한다고 밝혔다.

이러한 주장은 전체 SW업계에서 보안 분야만 특수성을 고려해 예산을 높게 책정해달라는 식으로 비춰질 수 있다. 이에 대해 조 회장은 SW업계 전체에 유지보수율을 높여야 한다는 생각에는 이견이 없고, 큰 틀에서는 SW산업협회와도 공조하고 있다며 KISIA의 입장을 대변한 것일 뿐이라고 말했다.

■업계 자구 노력 병행할 것

KISIA는 보안 업계 스스로 노력이 필요하다는 점도 강조했다. 선진국 수준의 유지보수율을 받기 위해서는 그에 맞는 '보안 서비스'를 제공해야 한다는 것이다. 조 회장은 그동안 보안업체들도 낮은 유지보수율을 받으면서도 구체적인 서비스의 품질이나 수준을 높이려는 노력은 미약했다며 구체적인 서비스 항목을 만들고, 그에 맞는 비용을 받을 수 있도록 대책을 마련해야한다고 밝혔다.

한국인터넷진흥원(KISA)에 따르면 국내 정보보안시장은 작년 기준 매출규모가 1조 5천억원에 달한다. 정보보안, 물리보안 기업들을 포함한 기업 수는 278개사에 이르며 종업원은 9천명 수준이다.