국제 금융위기가 국내 정보보호 업계에 때아닌 경영한파를 몰고 오고 있다..
올해 유난히 개인정보보호 등과 관련된 사건, 사고가 많아 국내 정보보호업계는 때아닌 호황(?)을 누릴 것으로 예상했으나 미국 금융위기로 촉발된 세계 경제 위기가 실물경기로 전이되면서 국내 기업들이 정보보호 투자비 삭감이라는 된서리를 맡게될 듯 싶다.
내년에 시장 위축으로 어려움이 가중되고 있는 가운데 국내 보안소프트웨어업계를 더욱 힘들게 하는 것은 제값을 쳐주지 않는 수요처 관행과 인건비도 건지기 어려운 4~8%선에 머물고 있는 유지보수율이다. 일반 SW의 유지보수율이 10~15%인 것에 비추어 볼때 정보호보SW 유지보수율은 턱없이 낮은 수준이다.결국 보안 소프트웨어 업계는 시장위축,제품 단가 인하,지극힌 낮은 유지보수율 등 3중고의 대한파 앞에 노출된 셈이다.
이처럼 어려움을 겪고 있는 국내 정보보호업계를 살리기 위해 한국정보보호산업협회가 구원투수로 나섰다.
협회가 궁지에 몰린 업계의 숨통을 트기 위해 내세운 정책 제안 카드는 침해대응 준비금(ERF: Emergency Response Fee)제도다.
또 협회는 비현실적으로 적용돼온 정보보호 산업 유지보수 비율의 현실화도 시급하다고 목청을 높이고 있다.
정보보안업계의 2대 민생고를 해결하기 위해 발벗고 나선 박동훈 한국정보보호산업협회 회장을 만나 저간의 이야기를 들어봤다.
▲ 정보보호 침해대응 준비금이란.
Emergency Response Fee, 명칭 그대로 정보보호 사고에 대비해 일정 비율의 금액을 준비해 사후 취약점에 대한 서비스 대가로 산정해두자는 금액이다.
보안이란 보험과 같아서 사고가 발생하기 전에 사고를 예비하는 시스템이다. 보험도 보험금을 매달 납부하고 사고를 미연에 방지하기 위해 준비하듯이 정보보호도 사고를 대비해 일정 금액을 사고 발생을 대비해 적립해두는 것이 좋다.
하지만 정보보호 사고 대비 예비금이란 개념을 이해시키기 힘들어 아예 ERF라는 단어를 정보보호산업협회에서 만들게 됐다.
유지보수는 연구소의 개발 로드맵에 의해 지속적으로 투입되는 금액이지 특별한 사고가 발생했을 때 대처하기 위한 비용이 아니다.
즉 ERF는 유지보수와 별도로 사고를 대비하기 위한 대금을 따로 산정해달라는 뜻이다.
▲ ERF를 제안하게 된 배경은.
정보보호 예산은 각 부처별로 기획재정부와의 정보화 예산 편성시 결정되며 2007년의 경우 2.9%, 2008년 4.3%로 매년 비율이 증가하고 있다.
특히 올해는 옥션, GS칼텍스 등의 개인정보 유출 사건 등이 사회적인 이슈가 되며 정보보안에 대한 관심이 높아져 내년도 정부 예산 비율도 높아질 것으로 기대되고 있지만 문제는 정보보호 관련 정보화 예산이 구체적으로 명시돼 있지 않다는 점이다.
이에 따라 예산 집행시 일반 정보화 예산으로 집행되는 경우가 다수 발생하며 정보보호 예산은 각 부처별, 지자체별로 정보화 수준과 보안 수준이 다르므로 예산 분리, 정보보호 평규 예산 수준 설정이 곤란하며 예산 책정의 범위 또한 다양하다.
정보보호산업협회는 협회 차원에서 이를 개선하기 위해 국가 공공기관의 정보보호 예산 운영 실태를 명확히 파악하고 점검할 수 있도록 정보화 예산 비용에 정보보호 예산 항목을 명기하도록 정부 예산 편성 지침에 반영할 것을 요구하고 있다.
또한 수시로 발생하는 새로운 유해 트래픽 패턴에 신속히 대응하고 침해사고 혹은 시스템 장애 시 복구지원에 필요한 침해대응준비금(ERF)를 별도 신설토록 비목 신설 및 예산 운용 편성에 반영할 것을 정부에 건의하기 위해 준비중이다.
▲ 보안 SW 유지보수 비율도 조정이 필요하다던데.
현재 소프트웨어 산업을 보호하기 위해 구 정보통신부 고시로 제정된 ‘소프트웨어 산업 대가의 기분’은 1988년 1월 이후 12 차례에 거쳐 개정이 이뤄졌으며 현재 소프트웨어 개발비의 10%에서 15% 범위 내에서 소프트웨어 유지보수 비율을 책정토록 지정됐다.
하지만 2003년 슬래머 웜에 의한 인터넷 침해사고 이후 정보보호의 중요성은 더욱 커지고 있으나 대부분의 정보보호 기업들은 소프트웨어 사업대가 기준의 최저에도 못미치는 4~8% 수준에서 유지보수율을 인정받고 있는 상황이다.
더욱이 일반 소프트웨어 유지보수와 달리 정보보호 유지 보수는 패턴 업데이터, 납품 기관의 취약점 분석 지원, 시스템 장애시 복구 지원 등의 업무를 추가 수행하므로 권장 수준에도 턱없이 못미치는 현재의 유지보수율 관행은 정보보호업계의 허리를 휘게하고 있다.
이에 행정안정부 장관 고시로 선진국 수진인 개발비, 구매가의 20~30%를 정보보호 유지보수율 범위로 지정해 정보보호 유지보수 업무의 질적 고도화 촉진 및 IT 안전 신뢰성을 높여야 된다는 게 업계의 주장이다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr