[디지털데일리 이민형기자] 국가 사이버안보 확립을 위해 보안솔루션 정보보호서비스(유지관리) 비용 정상화가 필요하다는 주장이 또 다시 제기됐다.

유지관리 비용 정상화 문제는 수년전부터 국내 보안업체들 사이에서 제기돼 왔으나 크게 개선되지 않고 있는 상황이다. 정부가 오는 2017년까지 요율을 15%까지 높이겠다고 밝힌 바 있으나 부족하다는 지적이다.

3일 서울 포스트타워에서 열린 ‘사이버안심 국가 실현을 위한 정보보호 대토론회’에서 이재일 한국인터넷진흥원(KISA) 본부장은 유지관리 비용을 정상화해야 한다고 주장했다.

정보보호는 제품 도입 이후의 대응이 더 중요하기 때문이다. 사고 분석, 악성코드 분석, 보안패치 적용 등의 일련의 서비스가 제품 공급 이후에도 지속적으로 이뤄지고 있기때문에 이러한 기술, 인력, 시간에 대한 댓가가 필요하다는 지적이다.

이 본부장은 “해외에서는 정보보호 제품에 대한 사후서비스 개념이 현업에서 받아들여지고 있다. 우리나라도 이러한 비용을 산정해줘야 할 것”이라며 “이와 더불어 정보보호 시장 확대를 위한 정보보호산업진흥법 제정이 시급하다”고 전했다.

패널토의에서 보안업계와 학계에서는 정부의 ‘원천봉쇄적인 보안정책’ 완화, 정보보호 예산 독립, 유지관리 분리발주, 유지관리 비용 현실화 등을 대안으로 꼽았다.

심종헌 지식정보보안산업협회장(유넷시스템 대표)은 “정부는 사고가 발생할 수 있는 환경 자체를 애초에 만들지 않기 위해 ‘원천봉쇄적인 보안정책’을 펼치고 있는데 이는 모순이 있다”며 “이를 해결하기 위해서는 충분한 예산이 지원돼야 하고, 이를 위해서는 정보화예산과 정보보호 예산을 분리해야 한다”고 말했다.

현재 정보보호 예산은 연간 2700억원 수준이며 이 역시고 정보화예산에 포함돼 있다. 정보보호 예산을 정보화예산에서 분리해야 예산을 확충할 수 있다는 지적이다.

박동훈 닉스테크 대표는 보안솔루션 유지관리 사업을 예산 등의 이유로 통합으로 발주하는 행태를 비판했다. 그는 “정부는 예산 절감을 위해 보안솔루션에 대한 유지보수를 통합발주하고 이를 최저가입찰로 해결하려고 한다. 하지만 정작 보안업체는 그 금액으로는 유지관리를 수행할 수 없다. 오히려 이를 두고 우월적직위 남용이라고 공정거래위원회에 제소하기도 했다”며 “SW분리발주처럼 정보보호도 분리발주를 할 수 있도록 검토해달라”고 제언했다.

장항배 중앙대 교수도 보안솔루션의 원초적인 특징을 반영해 공공기관에서의 단가를 높여야 한다고 지적했다. 그는 “보안솔루션은 기존 SW와 달리 난이도와 리스크를 갖고 있어 유지관리가 특수성을 갖는다. 따라서 단가를 높여 선순환 생태계를 만들 필요가 있다”고 설명했다.

한창규 안랩 시큐리티대응센터장도 장 교수의 지적에 동의를 나타냈다. 정보보호사업 수행에 따른 비용을 제대로 책정해야 한다는 주장이다. 그는 “정보보호제품과 서비스에 대한 적절한 단가가 형성되지 않은 경우가 많다. 사람이 직접 투입돼 진행되는 사업들에 대해서는 적절한 비용을 지불해줘야 할 것”이라고 말했다.

고도화된 공격 기법의 등장으로 언제든지 외부로부터의 공격(인바운드, inbound)을 허용할 수 있다는 것이다.

신 전무는 “기업은 우선 뚫릴 수 있다는 관점에서 접근해야 한다. 앞으로는 뚫리는 것을 걱정하지 말고 데이터가 나가는 것을 걱정해야 한다”며 “내부에서 정보가 유출될 수 있는 것을 최소화해야 하며, 이를 위해서는 임직원들로부터 발생하는 보안이슈를 최소화할 수 있는 방안이 필요하다”고 강조했다.

또 변화하는 보안 패러다임에 발맞추기 위해 단편적인 보안솔루션 중심 대응에서 취약점 분석에 초점을 잡아야 한다고 신 전무는 지적했다.

그는 “이제는 공격을 막는 것보다 공격이 어떻게 들어왔는지를 분석하는게 더 중요한 시점이다. 보안취약점 분석에 대한 인프라와 인력을 키워야 한다”고 제언했다.

이와 관련 조주봉 라온화이트햇센터 팀장은 “침해사고 이후 피해규모 산정에만 매달리고 있는 상황은 바람직하지 않다. 소 잃고 외양간을 제대로 고치기 위해서는 어떻게 악성코드가 침입했는지 등을 파악할 수 있는 능력을 키워야 할 것”이라고 덧붙여 설명했다.

임직원들의 보안의식 강화가 기업 정보보호 강화로 이어지므로 이를 위한 대책을 마련해야 한다는 주장도 나왔다.

이준호 네이버 정보보호최고책임자(CISO)는 기업 정보보호의 핵임이 임직원들의 보안의식에 있다고 강조했다. 그는 “우리나라는 현재 외부에 의한 공격 대응에만 치중하고 있다. 하지만 해킹의 포인트는 내부에 더 많다”며 “보안캠페인, 강연 등을 통해 임직원들의 보안수준을 높여야 한다. 보안팀 직원들의 보안의식보다 시스템 엔지니어의 보안의식이 더 높아야 사고 발생이 최소화될 수 있다”고 설명했다.

백기승 KISA 원장은 패널토의를 마무리 하며 “정부에서 인터넷과 정보보호를 최상단에 놓고 정책을 펼쳐야 할 것 같다”며 “KISA에서도 정보보호산업 활성화를 위해 다양한 방안을 고민해보겠다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr