[디지털데일리 이유지기자] 정보보호 서비스 대가를 제대로 인정받기 위해서는 시장 전반에서 정보보호 중요성과 서비스 가치에 대한 인식 변화가 필요하다. 정보보호산업진흥법 등 새롭게 시행되는 법제도와 정부의 정책적 뒷받침이 인식 전환과 더불어 실천 수준의 변화를 이끌어내는데 기여할 것으로 전망된다. 

무엇보다 정보보호업계 스스로 각고의 노력이 요구되는 상황이다. 시장에 팽배한 외산 선호, 국산 역차별 인식을 바꾸고 정보보호 제품과 서비스 구매를 안전에 투자한다는 개념으로 개선할 수 있도록 성능과 품질 향상에 더욱 힘을 기울여야 한다.

이용필 한국인터넷진흥원(KISA) 정보보호산업지원팀장은 “정보보호 제품의 보안성 지속 서비스 대가는 수요처에서 인정해주지 않으면 받을 수가 없다”며 “수요처에서는 서비스 품질은 똑같은데 돈만 더 받으려 한다고 생각할 수 있기 때문에 정보보호 서비스 적정 대가 산정, 제값받기와 정보보호 제품 성능 향상은 함께 이뤄져야 한다. 이에 따라 정부는 성능평가 중심의 경쟁 환경 조성을 위한 정책을 함께 진행하고 있다”고 설명했다. 

업계의 과도한 경쟁으로 가격을 후려치는 거래 문화나 최저가입찰 환경도 정보보호 서비스 대가 제값받기에 걸림돌로 지적된다. 정보보호 제품에서 제공되는 보안성 지속 서비스 가치가 인정되더라도 공급업체들의 출혈경쟁으로 정작 공급가격을 낮추면 결국에는 이전과 같은 상황이 되기 때문이다. 반대로 발주처에서는 이같은 경쟁상황을 악용할 수 있다는 우려도 나오고 있다.

한 정보보호업체는 “만일 솔루션 공급가와 유지보수 가격, 보안성 지속서비스를 아우르는 견적을 요구해 총액 최저가로 사업자를 선정하면, 결국은 솔루션 납품가와 유지보수요율의 저하를 초래할 수밖에 없다”며 “이는 견적항목만 늘어날 뿐, 사이버보안 생태계를 위한 장기적 발전 목표라는 정책취지를 전혀 살릴 수 없는 결과를 초래할 것이다. 정책시행 초기에는 보안성 지속 서비스 요율도 적정요율을 적용할 방안 등 보완책이 필요하다”고 지적했다.

이 업체는 또한 “제도의 확충, 고객 인식변화와 함께 서비스대가 현실화를 위해서는 가장 중요한 요소가 보안업계가 서비스 질(SLA) 향상을 위한 노력과 책임이 필요함을 인식해야 한다”며 “고객이 대가를 지불하는 만큼 서비스에 대한 요구사항과 기대치가 높아지는 만큼 보안기업들이 그에 걸맞는 서비스를 제공해야만 선순환 구조로 자리잡게 될 것”이라고 강조했다. 

이같은 상황을 방지, 개선하기 위해 지식정보보안산업협회는 ‘표준계약서’를 만들어 배포할 예정이다. ‘표준계약서’는 제품 공급 및 서비스 계약을 맺을 때 정보보호 제품과 유지관리 서비스, 보안성 지속 서비스 항목과 요율, 금액 등의 항목을 별도 표기할 방침이다.

정보보호 서비스 대가 산정 가이드에 맞춰 업계에서는 제품 가격정책, 서비스 계약체계와 서비스 수준 정비에 돌입했다. 대부분 오는 12월 23일 정보보호산업진흥법 시행을 기준으로 그 이후 전환을 준비하고 있다. 

윈스의 경우엔 이미 회사 홈페이지에 제품관련, 기술지원 등 유지관리뿐만 아니라 보안업데이트, 보안정책관리, 위협·사고분석, 보안성 인증효력 유지, 보안기술자문 등을 아우르는 보안지속성 대가 서비스 구성과 등급을 명시해 놨다. 앞으로 고객이 실제로 관련요율을 적용해 도입하게 될 경우 현재보다 각 사업부가 유기적으로 협력해 질 높은 서비스를 제공할 수 있도록 체계를 전환할 계획이다.

이글루시큐리티도 가이드에 명시돼 있는 보안성 지속 서비스 제공을 위해 보안관제정보공유센터(Knowledge Center)를 중심으로 관제 룰 셋 업데이트, 시나리오 기반의 다차원 상관분석, 최신 위협정보 업데이트 등의 다양한 서비스를 제공하는 등의 서비스 체계 전환을 진행 중이다.

지니네트웍스는 보안성 지속 서비스 체계로 전환하기 위해 단말 식별을 위한 GPDB(Genian Platform Database)서비스, 패치 업데이트, 제품 라이선스 서비스 등을 준비하고 있다. 실제 시행 시점은 고객사 현업에서 정보보호 서비스 대가 산정 가이드를 인지하는 시기 등을 감안해 2015년 하반기 안내 후 2016년 적용을 예상하고 있다.

현재 유지관리 요율을 3등급으로 나눠 서비스 계약을 체결하고 있는 파수닷컴도 정보보호 서비스 대가 산정 가이드에 따라 유지관리와 보안성 지속 서비스 대가를 분리해 재구성할 계획이다.

심종헌 지식정보보안산업협회장(유넷시스템 대표)은 “정보보호산업진흥법 제정으로 정보보호를 정보화의 일부가 아니라 새로운 틀에서 볼 수 있게 됐다. 정보보호의 가치를 인정해주는 가장 첫 요소가 서비스 대가”라며 “우리나라 현실에서 보안성 지속 서비스 대가를 현실화하는 것이 쉽지 않지만 정착할 때까지 업계가 통일적으로 노력을 벌여야 할 것이고, 일정부분 희생도 필요하다”고 말했다.

이에 관해 심 회장은 “앞으로 제품 공급계약시 기존 제품 판매가격이 100원이라면 그 가운데 15원은 보안지속성 서비스 대가를 지불한 것이라는 것을 명시할 필요가 있다. 이후 1, 2년이 지나면 그만큼의 서비스 대가를 지불받게 되면서 자리잡힐 것으로 기대한다”며 “이를 위해 협회 차원에서 표준계약서를 만들어 배포할 예정”이라고 밝혔다.

<이유지 기자>yjlee@ddaily.co.kr