[김국배기자] 보안관제 서비스를 제공하는 기업들의 고민이 깊어지고 있다. 관제 서비스에 대한 제대로된 대가산정 기준이 없어 정당한 대가를 받지 못하고 있다는 생각 때문이다.
보안관제란 기업·기관의 내부 시스템과 네트워크, 보안장비 등에 대한 모니터링, 운영, 침해사고 분석·대응 등을 지원하는 서비스를 말한다. 사전 징후를 찾아내 보안사고를 예방하고, 사고가 나면 신속히 대응하는 체계를 갖추는 차원에서 중요성이 커지고 있다.
7일 보안업계에 따르면 현재 보안관제 서비스 인력 대가는 이미 '폐지된' 소프트웨어(SW) 노임단가 기준을 활용하고 있다.
통상 보안관제 서비스 대가는 SW 노임단가를 활용한 직접 인건비와 제경비(직접 인건비의 110~120%), 기술료(직접 인건비+제경비의 20~40%)를 더해 산정되고 있다.
원래 의도와 달리 SW 개발자의 '최저 임금'을 보장하기는커녕 '최고 임금'처럼 변질되면서 SW 업계를 멍들게 하는 주범으로 지목돼 온 SW 노임단가를 SW 사업도 아닌 보안관제 서비스 사업에 적용하고 있는 것이다.
업계 관계자는 "기술료나 제경비도 예가에 맞춰 직접 인건비의 20% 수준으로 하향 제시하는 실정"이라고 말했다.
특히 보안관제 서비스 대가에서 출장비 등 직접 경비는 인정되지 않아 보안관제 서비스 사업자가 떠안는 구조라고 보안관제 서비스 업체들은 입을 모은다.
업계 관계자는 "사이버위기 경보는 연 평균 4회 이상 발령되고 이렇게 되면 고객사의 비상대응체계에 따라 추가 인력을 투입하지만 야근수당, 당직수당 등 직접 경비를 받지 못한다"며 "지방 소재 기관에서 해킹사고가 발생하거나 취약점 진단 업무를 수행하기 위해 지방출장을 가도 마찬가지"라고 설명했다.
다른 관계자는 "사업 수행 초기에 업무 범위, 일정, 투입공수 등을 정의한 수행계획서를 제출해 발주기관와 합의를 거쳐 확정하지만 사업 수행 중 지속적인 추가 요구사항이 생기고 이에 대한 비용은 서비스 제공자가 부담하는 식"이라고 덧붙였다.
이 때문에 업계에서는 정보보호 제품에 대한 서비스와 별도로 보안관제 서비스 대가 기준을 마련해야 한다는 요구가 나온다. 계약 방식 역시 '머릿 수'가 아닌 기능·서비스별 산정방식으로 전환해야 한다는 의견이다.
현재 정부와 한국인터넷진흥원(KISA)은 '정보보호 서비스 대가 산정 가이드라인'를 마련 중이나 범위가 확정되지 않은 상태다. 이 가이드라인에는 정보보호 제품 자체에 대한 유지관리 서비스 대가와 사고조사, 룰 셋팅 등 수시로 생기는 현장 서비스에 대한 대가에 대한 내용이 주다.
인터넷진흥원 관계자는 "이르면 이달 중 초안이 나올 예정이나 보안관제 등이 포함될 지는 아직 확정되지 않았다"고 설명했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기