정보보호 서비스 해킹 대응 업데이트 비용, 10% 받는다

[이데일리 김현아 기자] 앞으로 기업들이 백신이나 방화벽 같은 정보보호 제품을 도입할 때 처음 공급가 외에 해킹에 대응하기 위한 업데이트 비용 등을 별도로 내야 하게 됐다.

한국인터넷진흥원(원장 백기승, 이하 KISA)은 정보보호 제품·서비스 특성이 고려된 정당한 서비스 대가 산정체계 도입을 위해 ‘정보보호서비스 대가 산정 가이드’를 마련했다고 11일 밝혔다.

정보보호 서비스는 보안성지속 서비스, 정보보안 컨설팅, 보안 관제 서비스로 구분된다. 특히 보안성지속 서비스에 대한 △적용 범위 및 원칙 △서비스 항목 △계약 방식 등을 담은게 눈에 띈다.

보안성지속 서비스란 보안제품 설치 후, 정보보호 전문가의 악성코드 분석 및 보안 패턴 업데이트, 보안제품 정책관리 등 제품 보안기능을 발휘하기 위해 추가로 제공하는 서비스를 의미한다.

KISA는 제품공급가에 일정 비율(예 10% 이상)을 적용해 보안성 지속 서비스 대가를 별도로 산정토록했다.

▲보안 지속 서비스 계약 예시. 보안성 지속 서비스 대가 = 제품공급가 * 비율. 1차년도부터 정보보호 제품 도입 및 구축비(공급가)와 별도로 일정비율(예 10% 이상)을 보안성 지속 서비스 대가로 산정하여 계약한다.

이 같은 조치에 나선 것은 제품 자체결함에 대한 조치가 중심인 일반 SW와 달리 정보보호 제품은 사후대응이 중심이나 지금까지 악성코드 분석 및 보안업데이트, 보안정책관리, 사고 조사 등에 필요한 대가를 별도로 지급받지 못했기 때문이다.

이로 인해 이용자의 보안성 약화 및 기업의 수익성 악화뿐만 아니라 정보보호 분야에 대한 투자가 저조해 정보보호 전문인력의 유출, 기술 경쟁력의 저하, 신규 제품 개발 부진 등 악순환이 반복된다는 지적이 제기돼 왔다.

적정 비용이 반영되지 못해 정보보호 제품 및 서비스의 보안성이 취약해지는 부담을 고스란히 고객들이 떠안게 된다는 우려의 목소리도 있었다.

실제로 2014년도 정보보호산업 실태조사에 따르면 국내의 경우, 유지관리와 정보보호서비스 비용을 포함하여 공공사업은 9.1%, 민간사업은 10.3%의 대가만 지급하고 있는 것으로 조사되기도 했다.

하지만 미국, 일본, 유럽 등 글로벌 기업들은 정보보호 서비스 가격을 유지관리 비용 외에 10~20% 정도 높게 책정해 정보보호서비스의 가치를 인정하고 있다.