![[이슈분석]정보보호 제품 드디어 제값 받나?](https://img.etnews.com/news/article/2015/06/22/article_22171126585129.jpg)
정보보호 업계 최대 숙원 사업인 ‘서비스 제값 받기’가 실현될 수 있을지 관심이 모인다.
미래창조과학부가 지난 4월 내놓은 K-ICT 시큐리티 전략에서 언급한 대로 한국인터넷진흥원(KISA)은 ‘정보보호 서비스 대가산정 가이드’를 내놨다. 그동안 정보보호 제품에 제값을 주자고 목소리만 높였던 것에서 진일보해 구체적인 대가산정 가이드를 마련한 것만으로도 의미가 크다. 업계는 올해 말 ‘정보보호산업진흥에 관한 법률’까지 본격 시행되면 정보보호 서비스에 정당한 대가 산정과 지급이 가능해질 것으로 잔뜩 기대하고 있다.
![[이슈분석]정보보호 제품 드디어 제값 받나?](https://img.etnews.com/photonews/1506/697556_20150622160358_490_0005.jpg)
◇정보보호 서비스 대가는 왜 줘야 하나
그동안 국내 정보보호 기업은 제품은 팔았지만 보안성 지속 서비스 대가를 받지 못했다. 정보보호제품은 살아 숨 쉬는 유기체와 같다. 새로운 사이버 위협이 나올 때마다 관련 정보를 제품에 업데이트해야 제 기능을 유지한다. 기업은 지속적으로 제품에 최신 사이버 위협 정보를 업데이트하고 사고를 분석하는 서비스를 해왔지만 비용은 제대로 받지 못했다. 심지어 일부 기업은 정보보호 서비스 대가는 고사하고 제품에 문제가 생겼을 때만 일회성으로 유지관리비를 주는 계약을 한다.
정보보호 솔루션은 제품과 기능 유지를 위한 일반적인 유지 관리와 외부 위협요인으로부터 보안성 유지를 위한 보안성 지속 서비스로 구성된다. 제품과 유지관리로만 이뤄진 상용 소프트웨어와 다르다. 이 때문에 보안성 지속 서비스가 필요하다.
보안성 지속 서비스란 정보보호 제품을 활용해 정보 훼손, 변조, 유출 등을 방지하기 위한 기술 기반 서비스를 말한다. 보안성 지속 서비스는 △보안업데이트 △보안정책관리 △위협·사고분석 △보안성 인증효력 유지 △보안기술 자문 서비스 등이 포함된다.
![[이슈분석]정보보호 제품 드디어 제값 받나?](https://img.etnews.com/photonews/1506/697556_20150622160358_490_0004.jpg)
최근 기업은 보안성 강화 차원에서 수많은 보안 솔루션을 도입한다. 그러나 신규 취약점에 대응할 수 있는 패턴이나 시그니처 등을 빠르게 업데이트하지 않으면 아무리 훌륭한 보안 솔루션이라도 무용지물이 되고 만다. 공격자는 알려지지 않은 취약점을 이용해 기업 네트워크에 파고든다. 빠르게 해당 업데이트 패턴을 유효하게 반영해야 피해를 최소화할 수 있다.
◇언제쯤 받을 수 있나
정보보호 서비스 대가 산정 가이드가 나왔지만 당장 효과가 나오는 것은 아니다.
우선 정부공공기관이 관련 예산을 책정해야 하는데 갈 길이 멀다. 예산을 책정한 후에도 발주 단계에도 많은 변화가 있어야 한다. 발주자는 제품별 특성에 따라 다르지만 제품가 10% 이상을 서비스 대가 예산으로 편성해야 한다. 보안성 지속 서비스 발주를 구분해 명기하고 1차 연도 이후 연간 단위로 계약한다. 발주기관은 원·하도급자 간 보안성 지속 서비스 계약 체결과 지급 여부를 확인해야 한다.
![[이슈분석]정보보호 제품 드디어 제값 받나?](https://img.etnews.com/photonews/1506/697556_20150622160358_490_0001.jpg)
이용필 한국인터넷진흥원 팀장은 “당장 올해 정보보호산업법이 시행된다고 정보보호 서비스 대가를 받을 수 있는 것은 아니다”며 “이 문제를 해결하기 위해 기획재정부 예산 편성 지침에 반영하도록 노력하고 있다”고 설명했다. 2017년 예산편성 지침 반영이 목표다.
미래부도 정보보호 서비스 대가를 조기에 받을 수 있도록 노력을 기울인다. 미래부는 정보화시행계획 작성 지침에 관련 내용을 넣었다. 정부가 나서 가이드에 따라 정보보호 서비스에 제값을 쳐줘야 민간으로 자연스럽게 확산된다. 상당수 국내 보안기업은 공공시장에 의존한다. 한 보안 기업 대표는 “10여 년간 공공기관에 솔루션을 납품했지만 팔아도 이윤이 남지 않는 이상한 구조에 빠져들었다”며 “보안성 지속 서비스 대가를 받지 못하면서 연구개발(R&D)이 뒤처지고 글로벌 경쟁력이 약화되는 악순환이 반복됐다”고 토로했다.
◇얼마나 줘야 하나
![[이슈분석]정보보호 제품 드디어 제값 받나?](https://img.etnews.com/photonews/1506/697556_20150622160358_490_0002.jpg)
보안성 지속 서비스는 제품 공급과 동시에 제공돼야 한다. 도입된 정보보호 제품이 폐기되거나 변경되기 전까지 제공돼야 지속적인 보안성 확보가 가능하다. 앞으로 기관과 기업은 보안성 지속 서비스 예산을 유지관리와 별도로 편성해야 한다.
KISA는 아직 구체적인 보안성 지속 서비스 비율을 정하진 않았지만 제품가격 대비 10% 수준으로 예상된다. 대부분 보안 시스템은 지속적으로 발견되는 공격 기법을 시그니처로 변환해 공격 패턴 비교 방식 메커니즘을 쓴다. 보안 시그니처 업데이트를 지속적으로 관리하면 보안성을 높일 수 있다. 신규 운용체계(OS)나 시스템, 단말, 신규 표준이나 프로토콜 반영 등 IT 환경 변화에 대한 패치도 보안 업데이트에 포함된다.
![[이슈분석]정보보호 제품 드디어 제값 받나?](https://img.etnews.com/photonews/1506/697556_20150622160358_490_0003.jpg)
이미 설치된 보안 제품에 대한 정책 변경도 포함된다. 웹 방화벽은 보호할 웹 애플리케이션 소스나 구조가 변경되면 보안 정책 변경이 필요하다.
해킹인 악성코드에 대한 정보 제공도 대가를 줘야 한다. 침해사고 대응이나 분석 보고서 제공 등이 해당된다. 보안성 인증 효력을 유지하는 비용도 들어간다. 국제공통평가기준(CC) 인증, 보안적합성 검증, 암호검증 등이 포함된다. 정보보호 제품 최초 개발단계부터 폐기까지 전 주기에 걸쳐 지속적으로 관리돼야 하기 때문이다. 이외에 발주기관 침해사고 모의훈련대응, 정보보호 교육지원 등 긴급한 문제 해결을 요청한 경우도 대가가 산정된다.
김인순기자 insoon@etnews.com