정보보호 제품 구입시 유지관리료 외에 `보안성 지속 서비스` 필수

관련 통계자료 다운로드 보안성 지속 서비스 항목 및 내용

앞으로 정보보호 제품을 설치한 기관과 기업은 설치 후 기존 유지관리료 외에 ‘보안성 지속 서비스’ 대가를 별도 지급해야 한다. 보안업데이트, 위협·사고분석, 기술자문 등이 이 서비스에 포함된다.

한국인터넷진흥원(KISA·원장 백기승)은 11일 ‘정보보호서비스 대가 산정 가이드’를 발표했다. 미래창조과학부가 4월 발표한 ‘K-ICT 시큐리티 발전전략’ 일환이다.

2014년도 정보보호산업 실태조사에 따르면 국내에서는 유지관리와 정보보호 서비스 비용을 포함해 공공사업은 9.1%, 민간사업은 10.3% 대가만 지급했다. 미국·일본·유럽 등 글로벌 기업은 정보보호 서비스 가격을 유지관리 비용 외에 10~20% 추가 책정해 가치를 인정한다.

정보보호 제품 구입시 유지관리료 외에 `보안성 지속 서비스` 필수

가이드는 기업·기관이 보안성 지속 서비스 예산을 유지관리와 별도 편성하도록 했다. 관련 예산은 보안성 유지에 직접 영향을 줄 수 있어 다른 예산을 전용하면 안 된다.

정보보호 서비스는 보안성지속 서비스, 정보보안 컨설팅, 보안 관제 서비스로 구분된다. 가이드는 보안성지속 서비스의 △적용 범위·원칙 △서비스 항목 △계약 방식도 담았다.

일반 소프트웨어는 제품 자체 결함을 조치하는 유지관리비를 받는다. 이와 달리 정보보호 제품은 보안성을 확보하기 위한 사후대응이 필수다. 그동안 정보보호 기업은 악성코드 분석, 보안업데이트, 보안정책관리, 사고 조사 등 제품 보안성 확보에 필요한 대가를 별도로 받지 못했다. 적정 비용이 반영되지 않아 제품과 서비스 보안성이 취약해지는 부담을 고객이 떠안았다.

이용필 KISA 팀장은 “정보보호 제품마다 보안성 지속 서비스 대가가 다르다”며 “일괄적으로 대가를 확정하지 않았지만 10% 이상이 될 것”이라고 설명했다. 또 “하반기 제품별 보안성 지속 서비스 대가를 산정·발표할 예정”이라고 덧붙였다.

정부는 가이드 제정으로 정보보호 서비스 적정 가격 지급구조가 정착될 것으로 기대한다. 연내 정보보안 컨설팅, 보안관제 서비스 분야 세부 기준도 추가할 계획이다.

[정보보호 솔루션의 구성]

정보보호 제품 구입시 유지관리료 외에 `보안성 지속 서비스` 필수


김인순기자 insoon@etnews.com