크고 작은 보안사고가 끊이지 않는 가운데 국내 정보보호산업계 육성에 힘을 쏟아야 한다는 목소리가 나온다. 첫 단추로 유명무실한 '보안성 지속 서비스' 정상화 등 유지보수 제값받기가 거론된다.
19일 한국정보보호산업협회(KISIA)는 정보보호 제품 유지관리(유지보수) 요율과 별도로 보안성 지속 서비스 요율을 받아야 한다고 요구하고 있다.
보안성 지속 서비스는 정보보호제품을 활용해 정보의 훼손·변조·유출 등을 방지하기 위한 기술 기반 서비스를 말한다. 보안 업데이트, 보안정책관리, 위협·사고 분석, 보안기술자문, 보안성 인증효력 유지 등이 포함된다.
정보보호 제품은 일반적인 소프트웨어(SW) 패키지와 달리 제로데이(Zero Day) 등 신규 취약점에 대응하기 위해 패턴·시그니처 등을 적시에 업데이트해야 한다. 이 때문에 별도의 보안성 지속 서비스비를 책정하는 것이다.
한국인공지능·소프트웨어산업협회가 발간한 'SW사업 대가산정 가이드'에서도 '보안성 지속 서비스비와 유지관리비는 각각 산정해 예산을 편성해야 한다'고 명시하고 있다. 하지만 현장에선 제대로 작동하지 못하고 있는 게 현실이다.
KISIA 관계자는 “보안성 지속 서비스비는 잘 지급되지 않고 '유지관리'라는 큰 카테고리에 통합해 예산이 책정된다”며 “이마저도 요율이 6~8%로 해외 벤더의 유지보수율(약 20%)과 비교하면 낮다”고 말했다.
이어 “국내 정보보호제품도 유지관리율 10%, 보안성 지속 서비스율 10%를 각각 책정하면 외산과 비슷한 수준의 유지관리율을 받을 수 있을 것”이라고 덧붙였다.
정보보호산업계는 유지관리 제값받기를 통해 연구·개발(R&D) 등 산업 육성의 단초를 마련할 수 있다고 강조한다. 특히 공공부문이 나서 정보보호 제품 유지관리 제값받기 문화를 민간으로 확산해야 한다고 입을 모은다. 예산 편성 주무 부처인 기획재정부가 보안성 지속 서비스비를 편성해야 한다는 것이다. 실제 미국의 경우 예산관리국(OMB)이 연방기관의 '제로 트러스트 아키텍처' 도입을 주도했다.
김진수 KISIA 수석부회장(트리니티소프트 대표)은 “정보보호산업의 특수성을 고려해 별도의 보안성 지속 서비스비를 지급해야 한다는 데 공감대가 형성됐다”며 “정당한 대가를 받아야 정보보호기업의 R&D 투자, 재무적 건전성 등 선순환 구조가 만들어 질 것”이라고 말했다.
조재학 기자 2jh@etnews.com
![[전문가 칼럼] 글로벌 ESG 규제 대응, 디지털 전환으로](https://www.hellot.net/data/photos/20250834/art_17555266955313_d144a4.jpg?iqs=0.14293003145862093)
