정보보호산업법 시행 1년이 지났지만 전국 공공기관과 지방자치단체, 기업 등에서 보안 제품 도입 후 `보안성 지속 서비스` 대가를 책정한 곳을 찾기 어렵다. 대부분 보안성 지속 서비스 세부 요율이 명시되지 않아 주기 어렵다는 반응이다.
미래창조과학부는 올해 안에 기획재정부와 협의, 보안성 지속 서비스 요율을 마련할 계획이다. 내년도 예산 편성 지침이 확정되기 전까지 요율을 정하고 반영할 수 있을지는 미지수다. 새해 공공기관 예산에 보안성 지속 서비스 대가가 편성되지 않으면 업계는 또 1년 넘게 제값을 받지 못한다.
보안성 지속 서비스는 사이버 보안 업계의 최대 숙원 사업이다. 업계는 지난해 12월 정보보호산업법이 시행되는 등 근거 법이 마련돼 대가를 받을 것으로 기대했다. 그러나 법 시행 1년이 넘도록 보안성 지속 서비스 대가를 준 곳은 서귀포시 정도다. 서귀포시는 지자체 스스로 보안 제품 특성을 반영, 2016년도 예산을 편성했다. 대다수 공공기관과 기업은 보안성 지속 서비스 대가에 관심을 기울이지 않았다. 근거 법이 마련됐지만 강제할 규정이 없는 탓이다.
정보보호산업법은 공공기관과 기업이 정보 보호 제품 도입 때 보안성 지속 서비스 대가를 지불해야 한다고 명시했다. 정보 보호 제품은 기존의 상용 소프트웨어(SW)와 달리 최신 사이버 위협이 나타나면 신속히 패턴을 업데이트해야 한다. 업데이트 지속이 제품의 성능을 좌우한다. 이런 이유로 SW에 없는 보안성 지속 서비스 항목을 신설했다.
미래부가 6월 내놓은 SW 사업 대가 산정 가이드에 따르면 `보안성 지속 서비스=최초 제품 구매 계약금액×서비스 요율`이다. 아직 서비스 요율은 확정되지 않았다. 미래부는 기재부와 협의를 진행한다. 업계는 서비스 요율로 10~15%를 요구한다. 기재부는 업계가 제시한 요율 적정성 검증에 나섰다.
정보 보호 산업 실태 조사에 따르면 보안 기업은 유지관리와 보안성 지속 서비스를 포함해 공공에서 9.1%, 민간에서 10.3% 정도 대가를 받는다. 상용 SW 유지 보수율이 10%인 점을 감안하면 보안성 지속 서비스 대가는 전혀 못 받는다는 말이다.
A 보안 기업 대표는 “근거 법은 생겼지만 수요처는 관련 내용을 모르거나 예산이 없다며 외면한다”면서 “서비스 요율도 확정되지 않은 상태여서 기업이 수요처에 요구할 수도 없는 구조”라고 하소연했다.
허성욱 미래부 정보보호정책과장은 “기재부가 요율 적정성을 따지는 태스크포스를 만들었다”면서 “이 과정을 거쳐야 보안성 지속 서비스 대가를 받을 수 있을 것”이라고 해명했다.
김인순 보안 전문기자 insoon@etnews.com