사이버보안 업계 숙원 사업인 `보안성 지속 서비스` 대가 산정 가이드라인이 제시됐다. 하지만 세부 요율이 명시되지 않아 서비스 대가 실효성은 미지수다.
27일 관련업계에 따르면 정보보호 제품의 보안성 지속 서비스 대가는 지난해 12월 정보보호산업법이 시행되면서 법적 근거를 갖췄다. 앞으로 공공기관과 기업은 정보보호 제품 도입 시 보안성 지속 서비스의 대가를 지불해야 한다. 업계는 당초 법 시행과 함께 보안 제품 제값 받기가 정착될 것으로 예상했다. 6개월이 지나도록 이렇다 할 변화는 없다. 업계는 길게는 5년 이상 보안성 지속 서비스 대가를 받을 수 없을 것이라는 우려까지 제기한다.
정보보호 제품은 살아 숨 쉬는 유기체처럼 최신 사이버 위협이 나타나면 이에 맞춰 패턴을 업데이트해야 한다. 기존의 소프트웨어(SW)와 달리 지속 업데이트가 제품의 성능을 좌우한다. 이 때문에 SW에는 없는 보안성 지속 서비스비 항목을 신설했다.
SW사업 대가 산정 가이드에 따르면 `보안성 지속서비스=최초 제품 구매 계약 금액×서비스 요율`이다. 그러나 이번 가이드에 어떤 서비스 요율도 명시하지 않았다. 단순히 정보보호 제품군별 서비스 항목 특성을 고려해 요율을 결정한다는 설명만 나온다. 가이드는 보안성 지속 서비스 항목을 △보안업데이트 △보안정책관리 △위험·사고분석 △보안성 인증효력 유지 △보안기술자문 등으로 구분했다.
한국정보보호산업협회 관계자는 “기업 서비스 정책에 따라 보안성 지속 서비스 요율이 다를 수 있다”면서 “해당 정보보호 제품과 서비스 특성을 검토해 발주 기관과 업체가 상호 협의 아래 요율을 정한다”라고 밝혔다. 각종 공공기관 정보보호 솔루션 구축 사업은 대부분 기술과 가격 평가로 결정 난다. 기술이 대동소이한 상황에서 결정 요인은 가격이다. 어떤 기업도 보안성 지속 서비스비 항목을 추가할 수 없는 구조다.
처음 시행되는 보안성 지속 서비스비를 받기 힘든 이유다. A 보안기업 대표는 “기존 제품의 유지보수료와 별도로 보안성 지속 서비스비를 받을 것으로 기대했지만 발주 기관과 협의해 요율을 결정하는 구조는 사실상 서비스비가 없는 것과 같다”고 설명했다.
B기업 대표는 “정보보호산업진흥법이 지난해 12월 시행됐지만 공공기관 등 발주처는 보안성 지속 서비스비 예산을 편성하지 않은 곳이 대부분”이라면서 “올해는 물론 내년에도 관련 비용을 받을 수 있을지 미지수”라고 지적했다. 그는 “독점 지위에 있는 기업만 대가를 받을 수 있는 구조가 될 것”이라고 덧붙였다.
한국정보보호산업협회 관계자는 “올해 안에 보안성 지속 서비스 산정 요율을 명시화하는 작업을 진행하겠다”면서 “정보보호산업진흥법 제정으로 우선 법적 근거를 만든 데 의미를 두며, 업계가 실질 혜택을 보도록 노력하겠다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com