[김국배기자] 정보보호 제품과 서비스의 정당한 대가 산정체계 도입을 위한 종합 지침이 처음 제시됐다.
한국인터넷진흥원(KISA·원장 백기승)은 '정보보호서비스 대가 산정 가이드'를 마련했다고 11일 발표했다.
이번 가이드라인에는 보안성지속 서비스에 대한 ▲적용 범위 및 원칙 ▲서비스 항목 ▲계약 방식 등이 담겼다. 이에 따르면 보안성지속 서비스 대가는 제품 공급가액의 일정 비율을 정해 지급해야 하고, 제품 도입 및 구축비와는 별도로 산정해야 한다.
또 제품 공급과 동시에 계약이 이뤄져야 하며 도입된 정보보호 제품이 폐기 또는 변경되기 전까지 계약이 유효하도록 관리해야 한다. 사고 시 긴급 대응 등 고객의 특정 요구에 따라 추가로 제공되는 서비스의 경우에는 서비스 투여시간, 인건비 등에 따라 별도로 책정할 수 있다.
통상 정보보호 서비스는 보안성지속 서비스, 정보보안 컨설팅, 보안 관제 서비스로 구분되는데, 이중 보안성지속 서비스는 보안제품 설치 후 보안기능을 발휘하기 위해 추가로 제공되는 서비스로 정보보호 전문가의 악성코드 분석 및 보안 패턴 업데이트, 보안제품 정책관리 등이 포함된다.
보안성지속 서비스는 제품 자체결함에 대한 조치가 중심인 일반적인 SW의 유지관리와 달리 제품의 보안성을 유지하기 위한 사후대응이 중심이지만 정보보호 기업들은 이에 대한 대가를 별도로 지급받지 못했다.
이로 인해 이용자 보안성 약화 및 기업의 수익성 악화뿐만 아니라 정보보호 분야에 대한 투자가 저조해 정보보호 전문인력 유출, 기술 경쟁력 저하, 신규 제품 개발 부진 등 악순환이 반복된다는 지적이 제기돼 왔다.
또한 적정 비용이 반영되지 못해 정보보호 제품과 서비스의 보안성이 취약해지는 부담을 고스란히 고객들이 떠안게 된다는 우려의 목소리도 있었다.
실제로 지난해 정보보호산업 실태조사에 따르면 국내의 경우 유지관리와 정보보호서비스 비용을 포함해 공공사업은 9.1%, 민간사업은 10.3%의 대가만 지급하고 있는 것으로 조사됐다.
이에 반해 미국, 일본, 유럽 등 글로벌 기업들은 정보보호 서비스 가격을 유지관리 비용 외에 10~20%정도 높게 책정하고 있는 상태다.
KISA 측은 "이번 가이드 마련을 통해 국내에서도 정보보호 서비스에 대해 적정 가격을 지급하는 구조로 개선이 이뤄질 것"이라며 "올 하반기까지 정보보안 컨설팅, 보안관제 서비스 분야에 대한 세부기준을 추가할 계획"이라고 말했다.
정보보안 컨설팅 서비스와 보안관제 서비스의 경우 별도의 대가산정 기준이 마련되기 전까지 'SW사업 대가산정 가이드라인'의 정보보안컨설팅, 소프트웨어 운영비 항목을 각각 참고해 산정해야 한다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기