정보보호제품 ‘보안성 지속 서비스 대가 인정’ 초읽기

정보보호 제품 ‘보안성 지속 서비스 대가 인정’이 시행 초읽기에 들어갔다. 제대로 인정받지 못하던 적정 서비스 비용이 제품 구매 예산에 반영된다.

보안 업계 전반에 기대감이 부풀었다. 반면에 제품을 공급받는 수요 기업은 추가 비용 발생 우려로 당혹감을 감추지 못하는 모습이다.

정부는 지난 6월 ‘정보보호산업의 진흥에 관한 법률’을 제정, 이달 23일 시행한다. 올해 초 미래창조과학부가 제시한 ‘K-ICT 시큐리티 발전전략’에 따라 정보보호 제품 보안성 지속 서비스 대가 인정 등 내용을 포함한 법안이다.

보안성 지속 서비스 항목 및 내용(자료:KISA)
보안성 지속 서비스 항목 및 내용(자료:KISA)

법안 시행령은 13일 공표 예정이다. 한국인터넷진흥원(KISA)도 정보보호 서비스 대가 산정 가이드를 발표하고 법률 시행에 맞춰 개정판과 표준 계약서 등을 배포한다.

보안성 지속 서비스 대가 인정은 정보보안 업계가 오랫동안 바라던 숙원 중 하나다. 보안제품은 자체 결함을 조치하는 일반 소프트웨어(SW) 유지보수와 다르다. 보안성을 지속 유지하는데 악성코드 분석, 보안 업데이트, 정책관리, 사고 조사 등 사후 대응에 많은 공을 들여야 한다. 기본 유지관리 외에 정상적 보안 기능을 위해 제공하는 서비스 대가도 인정해달라는 게 보안업계 요구다.

보안업계와 달리 수요 기업은 표정이 밝지 않다. 법안 시행이 불과 2주 앞으로 다가왔지만 보안제품을 공급받는 민간 수요 기업은 여전히 납득하지 않는다. 한정된 IT·보안 예산에 추가 비용이 발생해 부담이 커진다. 기존 유지보수요율에서 이미 보안성 지속 사항을 거래 내용에 포함해 지불했다는 주장이다.

대기업 정보보호 담당 팀장은 “기존에도 충분한 비용을 지불했다고 생각한다”며 “보안 업데이트 항목 패턴이나 업데이트 제공, 원격 문의 대응 등 이미 다 계약 단위 안에 포함해 운영 중”이라고 말했다. 오히려 법안 시행으로 같은 항목 중복 지출이 발생할 우려가 있다는 설명이다.

민간 기업 간 계약 사항을 법으로 강제하는 부분에 거부감도 적지 않다. 연간 예산 확보가 사전에 필요한 공공 부문은 이해되지만 민간 적용은 시기상조라는 입장이다. 일각에선 산업 규모에 비해 업체 수가 많은 상황에서 ‘한계기업을 보호하는 정책’이라는 지적도 나온다.

기업 보안 관계자는 “공급받는 입장에서는 금액이 올라가는 것이 가장 큰 우려”라며 “발주자가 납득하도록 충분한 검토와 설득이 이뤄져야 한다”고 강조했다.

제도 실효성 지적도 나온다. 장밋빛 전망에 물든 보안 업계 기대와 달리 처벌 규정 등이 없어 실질적 대가 반영으로 이어지기 어렵다는 분석이다. 도입가 자체를 낮춰 총 구입비용은 법안 시행 이전과 대동소이할 가능성이 높다.

국산 제품보다 글로벌 업체 제품을 많이 이용하는 민간 기업 시장 여건상 수혜 범위가 크지 않다는 시각도 있다.

정보보호 전문업체 관계자는“오는 23일 개정되어 나오는 가이드라인에 다양한 업계 입장과 우려를 반영한 합리적 안이 제시될 것”으로 기대하며 “처벌규정은 없지만 정보보호 인식과 적정한 대가 인정에 사회적 공감대를 형성해 나가는 것이 중요하다”고 말했다.

박정은기자 jepark@etnews.com