정보보호서비스 업계에서 아웃소싱 계약기법인 ‘서비스수준협약(SLA)’에 대한 표준안 정립이 시급하다는 지적이 일고 있다.
23일 관련업계에 따르면 정보보호 서비스업체와 고객사들이 관제서비스 등을 위한 계약을 체결할 때 확정하는 서비스가 체계화된 기준과 법률적 검토 없이 이뤄지면서 사고발생시 책임소재가 불분명해 크고 작은 논란을 불러일으키고 있다. 또 고객들의 ‘서비스는 공짜’라는 인식이 팽배해 SLA를 체결하고도 적정한 비용지불 없이 추가서비스를 무료로 제공해줄 것을 요구하는 사례가 많아 정보보호서비스의 질을 떨어뜨리는 결과를 초래하고 있다.
△무료서비스 요구=정보보호 서비스를 제공하는 A사는 지난해 한 고객사와 1주 5일간 근무시간에만 지원하기로 계약을 체결했다. 그런데 고객사 시스템이 계약시간이 아닌 지난 토요일 밤에 사고가 발생, A사 담당 엔지니어가 밤샘작업으로 이를 해결했다. 당시 A사는 계약과 별도로 추가서비스를 제공한 것에 대한 비용지불을 요구했으나 고객사측에선 “공짜로 해주는 것 아니냐”며 거절했다. 고객사는 또 “다른 업체는 반값에 더많은 서비스를 제공하더라”고 말해 A사는 더 이상 서비스비용을 요구하지 못했다.
△책임소재 범위 불확실=SLA를 적용할 때 그 책임범위를 정확하게 결정하지 않아 정보보호 서비스업체들의 책임이 아닌 경우에도 울며 겨자먹기 식으로 무조건 서비스를 제공하기도 한다.
올들어 한 콘텐츠 제공업체의 전산시스템에 불법침입 사고가 발생했다. 이 업체는 정보보호 서비스 B업체로부터 월 20만원에 방화벽 서비스만을 이용하고 있었다. 지난해 B사와 계약을 체결할 때 내부자 해킹에 의한 사고 부분은 제외돼 있었다. 그러나 올해 발생한 침해사고가 내부자 해킹인지 아닌지가 판별되지 않았다. B사는 완전히 규명되지 않아 법적으로 책임져야할 근거가 없다고 설명했으나 콘텐츠 제공업체는 법적인 책임 근거를 떠나서 일단 보안사고가 발생했으니 B사가 책임을 져야 한다고 주장했다. 결국 B사는 도의적인 책임을 지고 1년간 무상 서비스를 제공하기로 합의했다.
△가격상승과 기준안 미비가 주원인=국내 정보보호서비스 시장에 올바른 SLA를 적용하기 어려운 이유는 크게 ‘비용상승’과 ‘정확한 잣대 미비’에 있다. 미국의 경우 정보보호 서비스가격이 국내보다 6∼7배 가량 높고 그 내용도 매우 간소하다. 국내에서도 서비스 아이템별로 각각 가격을 책정해 SLA를 제대로 적용할 경우 고객사들은 현재보다 훨씬 높은 비용을 지불해야 한다. 그러나 고객사들이 이를 쉽게 받아들이지 않고 또 정보보호업체들은 고객확보를 위해 낮은 금액으로 계약을 체결하게 된다. 따라서 철저한 SLA를 적용하는 것이 어렵고 계약 내용도 모호하게 결정하는 악순환이 계속되고 있다.
게다가 성숙한 SLA 마련을 위해서는 특정수준 이상의 서비스를 보장하기 위한 객관적인 비용산정의 기준이 필요한데 대부분의 국내 정보보호 서비스업체들은 이를 제대로 준비하지 못하고 있다.
업계 전문가들은 “SLA가 정착된 엔터프라이즈 업계의 경우 대형 외산업체들은 서비스 부문 매출이 전체의 30∼40%를 차지하고 있으며 그 비중도 높아가고 있다”며 “그러나 국내 정보보호 서비스는 시장형성 초기단계인데다 치열한 경쟁으로 인해 무리하게 저가나 무료서비스하고 있어 결국 ‘제살 깎아먹기’가 되고 있다”고 말했다. 또한 “이는 고객들의 인식부족도 원인이지만 서비스업체들의 준비부족도 한몫을 하고 있다”고 지적했다.
<서동규기자 dkseo@etnews.co.kr>