[디지털데일리 이유지기자] ‘정보보호산업진흥법’ 제정으로 국가 사이버안보와 직결되는 정보보호 산업 경쟁력 제고와 정보보호 투자 확대로 관련시장 활성화 기대감이 높아지고 있다.

더욱이 ‘정보보호 제품·서비스 제값받기’라는 정보보호산업계의 오랜 숙원과제를 해결할 물꼬가 트였다는 평가가 나오고 있다.

정보보호산업진흥법(제10조)에는 정보보호제품 및 서비스의 적정 대가 지급 노력과 불공정 발주관행 개선을 위한 발주 모니터링체계 운영 등이 규정됐다. 정보보호제품과 서비스에 제값을 주고받을 수 있는 환경을 조성하고 불합리한 발주관행을 개선할 수 있는 제도를 운영할 법적근거가 마련됐다.

지난 4월 미래창조과학부가 마련한 ‘K-ICT 시큐리티 발전전략’에도 정보보호 산업 체질을 개선하기 위한 방안으로 정보보호 제품 시장을 성능 중심으로 전환한다는 것과 정보보호 서비스 대가 정상화를 위한 산정체계 도입 내용이 담겼다.

한국인터넷진흥원(KISA)은 그 후속조치로 최근 ‘정보보호 서비스 대가 산정 가이드’를 마련했다.

이 가이드에는 신규 위협에 대응할 보안 서비스를 상시 제공해야 하는 정보보호 제품 특성을 반영해, 기능 유지를 위한 일반 유지관리 서비스와는 별도로 ‘보안성 지속 서비스’ 산정체계를 수립했다.

‘보안성 지속 서비스’는 보안제품 설치 후 정보보호 전문가의 악성코드 분석, 보안 패턴 업데이트, 보안제품 정책관리 등 제품 보안기능을 발휘하기 위해 추가로 제공하는 서비스를 말한다.

시시각각 수없이 발견되는 신규 악성코드 등 새로운 보안위협이 출몰하는 상황에서 이를 막기 위한 보안 업데이트가 이뤄지지 않으면 보안제품은 무용지물이 된다.

‘보안성 지속 서비스’는 ▲패턴 업데이트나 단말·시스템 패치 등의 보안업데이트 외에도 ▲사용자 환경에 따른 보안정책 수립·변경 등 관리 ▲침해사고 대응 등 위협·사고 분석 ▲국제공통평가기준(CC)인증 등의 보안성 인증효력 유지 모의훈련·정보보호교육·보안감사 지원같은 보안기술자문이 모두 포함된다.

가이드에 따르면, ‘보안성 지속 서비스’는 보안성 유지에 직접적인 영향을 줄 수 있기 때문에 제품공급과 동시에(1차년도부터) 계약이 이뤄져야 하고 관련예산은 유지관리와 별도로 편성해야 한다. 발주처는 이 ‘보안성 지속 서비스’ 대가로 보안제품 공급가에 일정비율을 산정해 지급해야 한다. 그 비율은 ‘10% 이상’으로 예시했다.

지난 3월 미래부가 발표한 ‘2016년 국가정보화시행계획 작성지침’에도 정보보호 서비스의 적정 대가는 정보보호 제품의 특성을 고려해 제품 공급가의 10% 이상 반영해야 한다는 점이 권고돼 있다.

정보보호업계에서는 ‘정보보호산업진흥법’ 관련조항을 근거로 향후 시행령과 시행규칙에 정보보호 서비스 적정대가 산정·지급이 이뤄질 수 있도록 구체화된 내용이 담길 수 있길 기대하고 있다.

KISA는 우선 제품 유형별로 보다 구체적인 ‘보안성 지속 서비스’ 산정 모델을 제시할 방침이다. 이를 위해 지식정보보안산업협회, 관련업체들과 함께 연구, 논의 중이다.

아울러 정보보호제품 외에도 정보보안 컨설팅, 보안관제 서비스 분야에 대한 세부기준을 올 하반기까지 추가해 가이드를 마련할 계획이다.

미래부와 KISA는 공공분야에서 ‘정보보호 서비스 대가 산정 가이드’를 예산편성지침에 반영할 수 있도록 기획재정부와 협의를 지속적으로 진행할 방침이다. 2017년 예산에 반영하는 것이 목표다.

정한근 미래부 정보보호정책관은 “정부는 정보보호 중요성을 인지해 확고한 육성 의지를 갖고 있다”며 “정보보호 제품·서비스 적정대가 지급 등에 대해 기획재정부도 원칙적으로 공감대를 형성하고 있다”고 말했다. 하지만 심각한 정부예산 부족 상황 등에 따라 예산을 추가 편성하는데 나서는 장애물을 단기간에 걷어내는 일이 쉽지는 않아 보인다. 현재 기재부도 난색을 표하고 있는 상태다.

<이유지 기자>yjlee@ddaily.co.kr