[디지털데일리 이유지기자] 그동안 저평가돼 있는 정보보호 제품의 서비스 가치를 인정받을 수 있는 법제도적 기반이 마련됐지만 갈 길은 멀다.

정보보호업계에서는 지난 10여년 동안 줄기차게 정보보호 제품 유지보수요율 등의 서비스 대가기준을 개선해야 한다는 목소리를 내왔지만 현실은 녹록치 않았다. 그에 비하면 올해 ‘정보보호산업진흥법’이 제정되고 ‘정보보호 서비스 대가 산정 가이드’가 발표된 것만으로도 진일보한 성과로 평가된다.

업계에서도 일단은 기대감을 나타냈다. 정보보호 제품과 서비스 제값받기는 영세한 정보보호 산업 체질을 개선하고 업체들이 연구개발 투자에 집중할 수 있는 여력을 확보해 기술 경쟁력을 제고하는 선순환 구조를 만드는데 기여할 수 있다는 점에서다.

정보보호 제품과 서비스에 대한 저평가는 정보보호 기술 경쟁력 저하, 신규 제품 개발 부진, 이용자 보안성 약화 등으로 이어지는 악순환이 반복된다는 지적은 관련업계 안팎에서 꾸준히 제기돼 왔다.

문제는 선언적인 ‘구호’나 ‘문구’에 그치지 않고 현실에서 변화를 이끌어내느냐에 달렸다. 가이드라인에 그치지 않고 실제로 발주처에서 정보보호 제품 구매시 보안성 지속 서비스에 대한 적정 대가를 산정·지급할 수 있도록 현실화할 방안이 마련돼야 한다는 의견이 나오고 있는 이유다.

업계 입장에서는 강제성을 띠는 정부의 정책적 조치가 이뤄진다면 금상첨화이겠지만 정보보호산업진흥법 조항도 이를 의무화할 수 있는 수준은 아니다. 대신에 정부는 공공시장에서부터 선도적인 전환을 이끌 수 있도록 기획재정부의 예산편성지침에 반영할 수 있도록 협의하는 것을 비롯해 여러 방안을 고심, 추진하고 있다.

국내 10여개 주요업체들에 의견을 취합한 결과, 보안성 지속 서비스 별도 산정·지급을 공공부문에서만이라도 필수요건으로 강제화해야 한다는 요구를 제외하면 ‘정보보호 서비스 대가 산정 가이드’ 등에 ‘보안성 지속 서비스’ 비율을 제시해야 한다는 의견이 많았다. 최소한 하한요율이라도 기준을 제시해야 한다는 것이다. 또 제품·서비스 항목별로 합리적인 서비스 요율체계와 요율표를 구체적으로 정해져야 한다는 점도 공통적으로 강조했다.

가이드가 강제성을 띠고 있지 않은데다 ‘보안성 지속 서비스’ 요율을 10%로 ‘예시’한 차원으로는 부족하다는 것이다.

특히 ‘정보보호산업진흥법’ 시행령 등에 관련내용을 담아 공공부문에서 선도적으로 적정한 정보보호 서비스 대가 산정체계를 기준으로 예산을 잡을 수 있도록 기반을 만들어야 한다는 요구도 많이 나왔다.

한 업체 관계자는 “가이드에 보안성지속 서비스 비율을 10%로 예시한 정도로는 현실화되기 어렵다. 예시가 아니라 ‘최소요율 10% 이상’과 같이 최소요율을 정하거나 예산을 잡을 수 있도록 구체적인 시행령이 조속히 마련돼야 할 것”이라고 말했다.

다른 업체 관계자는 “대부분 제품 공급 첫 해는 무상 유지관리 서비스가 제공되고 2년차부터 유지관리 계약을 맺고 있다. 현재 유지관리 요율도 제대로 적용 받지 못하는 상황에서 유지관리와 보안성 지속 서비스 대가산정이 제품 도입 1차년도부터 이뤄지기는 쉽지 않을 것”이라며 “시장 선순환을 위한 정부의 뒷받침이 있어야 한다”고 말했다.

현재 정보보호 제품에서 상시 이뤄지는 ‘보안성지속 서비스’는 그 대가를 제대로 인정받지 못하고 있는 현실이다. 악성코드 분석·보안업데이트, 보안정책 적용·변경 등이 이뤄지는 정보보호 제품은 일반 소프트웨어 제품과는 다르다. 제품 자체 결함 등 관리에 필요한 유지보수 계약에 유지관리와 더불어 이같은 보안성지속 서비스가 포함돼 체결되지만 이마저도 제품 공급 후 1~2년이 지난 뒤에야 10% 미만의 요율이 적용되는 일이 다반사다.

크고 작은 침해사고가 발생하거나 다른 IT제품으로 인한 장애시에는 고객사가 부르면 즉각 원인 조사나 분석, 대응에 투입돼 해결될 때까지 지원하기도 했지만, 손에 쥐는 것은 별로 없었다.

2014년도 정보보호산업 실태조사에 따르면, 국내에서 유지관리와 정보보호서비스 비용을 포함해 공공사업은 9.1%, 민간사업은 10.3%의 대가만 지급하고 있다.

업체들에게 직접 물어보니 공공기관의 경우는 공급가액 대비 9~10%, 민간업체의 경우 유지보수요율은 10~15%가 대부분이다. 공공부문의 경우 평균 5~7%, 금융 5~6%, 기업 8% 수준으로 평균 8% 미만의 유지관리 서비스 요율을 적용하고 있다는 곳도 있었다.

이에 반해 미국, 일본, 유럽 등 글로벌 기업들은 정보보호 서비스 가격을 유지관리 비용 외에 10~20% 정도 높게 책정해 정보보호 서비스의 가치를 인정하고 있다는 내용이 ‘정보보호 서비스 대가 산정 가이드’에 담겨 있다.

한 업체는 “실제 15~20%를 책정하고 있어도 계약시에는 4~5%대에 계약되는 경우도 발생하고 있다. 또 적은 예산을 이유로 유지보수 계약 자체를 하지 않는 경우도 있어 유지보수 계약률조차도 떨어지는 실정”이라며 “정부 정책이 제대로 실행되기 위해서는 먼저 유지보수 서비스 요율에 대한 인식 개선과 유지보수 요율 현실화가 이뤄져야 한다”고 강조했다.

<이유지 기자>yjlee@ddaily.co.kr