[디지털데일리 이유지기자] 정보보호 제품 도입시 유지관리 비용 외에 별도의 보안성 지속 서비스 대가 산정·지급이 권장된다.

보안성 지속 서비스는 보안업데이트, 보안정책관리, 위협·사고분석, 보안성 인증 효력 유지, 보안기술자문 등이 해당된다.

한국인터넷진흥원(KISA, 원장 백기승)은 정보보호 제품·서비스 특성을 고려, 정당한 서비스 대가 산정체계 도입을 위해 ‘정보보호서비스 대가 산정 가이드’를 마련했다고 11일 밝혔다. 이는 미래창조과학부가 지난 4월 발표한 ‘K-ICT 시큐리티 발전전략’ 일환이다.

이 가이드에 따르면, 보안성지속 서비스에 대한 대가를 정상화하고자 제품 공급가액의 일정 비율을 정해 지급해야 한다. 보안성 유지에 직접적인 영향을 주지 않기 위해선 제품 도입 및 구축비뿐만 아니라 일반적인 소프트웨어(SW) 유지관리와는 별도로 대가를 산정하도록 가이드라인을 제시했다.

2014년도 정보보호산업 실태조사에 따르면, 국내에서 유지관리와 정보보호서비스 비용을 포함해 공공사업은 9.1%, 민간사업은 10.3%의 대가만 지급하고 있다. 이에 반해 미국, 일본, 유럽 등 글로벌 기업들은 정보보호 서비스 가격을 유지관리 비용 외에 10~20%정도 높게 책정해 정보보호서비스의 가치를 인정하고 있다.

정보보호 서비스는 보안성지속 서비스, 정보보안 컨설팅, 보안 관제 서비스로 구분된다. 이 가운데 보안성지속 서비스는 보안제품 설치 후, 정보보호 전문가 악성코드 분석, 보안 패턴 업데이트, 보안제품 정책관리 등 제품 보안기능을 발휘하기 위해 추가 제공하는 서비스이다.

제품 자체결함에 대한 조치가 중심인 일반적인 소프트웨어(SW)의 유지관리와 달리 해킹, 악성코드 등 외부요인으로부터 보안성을 확보하기 위한 사후대응이 중심이다.

새로운 신규 보안취약점, 신규 악성코드가 하루에도 수없이 만들어지는 상황에서 정보보호 제품의 업데이트는 필수다. 외부 공격요인을 분석해 반영하기 위한 추가적인 보안성 유지 노력도 아주 중요하다.

그럼에도 그동안 정보보호 기업들은 악성코드 분석 및 보안업데이트, 보안정책관리, 사고 조사 등 제품의 보안성 확보에 필요한 대가를 별도로 지급받지 못했다. 이로 인해 이용자 보안성 약화, 정보보호 기술 경쟁력의 저하, 신규 제품 개발 부진 등 악순환이 반복된다는 지적이 제기돼 왔다.

또한 적정 비용이 반영되지 못해 정보보호 제품 및 서비스의 보안성이 취약해지는 부담을 고스란히 고객들이 떠안게 된다는 우려의 목소리도 있었다.

이번 ‘정보보호 서비스 대가 산정 가이드에는 보안성 지속 서비스에 대한 ▲적용 범위 및 원칙 ▲서비스 항목 ▲계약 방식 등을 담았다.

KISA는 공공분야에서 보안성 지속 서비스에 대한 적정 대가를 산정, 향후 예산에 반영할 수 있도록 기획재정부와 협의하고 있다. 향후 제품 유형별로 보다 구체적인 산정 모델을 제시할 방침이다. 아울러 보안성 지속 서비스 외에도 정보보안 컨설팅, 보안 관제 서비스 분야에 대한 세부기준을 올 하반기까지 추가해 가이드를 마련할 계획이다.

KISA측은 “이번 가이드 마련을 통해 국내에서도 안전한 정보보호 제품 및 서비스를 지속 이용하기 위해 정보보호 서비스에 대해 적정 가격을 지급하는 구조로 개선될 것으로 보인다”고 밝혔다.

<이유지 기자>yjlee@ddaily.co.kr