• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[신년기획-1] 정보보호 제품 유지보수요율 개선해야 2012.01.05

적정 요율로 질 좋은 서비스 유지...정보보호 기업은 경쟁력 강화

정보보호 SW 분리발주 제도와 병행돼야 시너지 효과  

 

지난해 정보보안 분야는 크고 작은 보안사고로 그 어느 때보다 숨 가쁘게 달려왔습니다. 이제 차분하게 2012년을 준비해야 할 때입니다. 이와 관련해 보안뉴스는 정보보안 분야에서 올해 우선적으로 풀어야할 과제라는 주제로 설문조사를 진행하고 있습니다. 여기에 맞춰 보안뉴스는 2012년 신년기획도 진행합니다. 본지에서 꼽은 몇 가지 주제를 바탕으로 현재 실태와 문제점, 그리고 그 대안을 제시해보고자 합니다. 세부 주제는 정보보안 솔루션의 유지보수 요율 개선과 보안전문 인력의 정규직 확대, 정부 및 기업의 보안예산 확충, 국민 개개인의 보안의식 제고 등입니다. 독자 여러분들께서도 많은 관심을 가져주시기 바랍니다. 설문조사 항목 외에 또 다른 과제에 대한 다양한 의견도 수렴하고자 합니다. [편집자주(editor@boannews.com)] 

 

[보안뉴스 김태형] 2012년 정보보호 산업 분야에서 개선이 필요한 부분은 정보보호제품의 유지보수요율이라고 할 수 있다. 지난 몇 년간 이 문제는 업계의 화두가 되고 있다. 특히, 지난 2009년 7.7 DDoS 대란 이후 공공기관의 정보보호 S/W 유지보수요율을 현실화해 보안 시스템도 강화하고 보안업계 경쟁력도 높여야 한다는 목소리가 있었다.


현행 적정 유지보수요율은 10% 내외의 공공기관 유지보수율보다 2배 가량 높은 15% 정도이다. 이와 같이 공공기관의 낮은 유지보수요율을 개선하려면 예산 당국인 기획재정부와의 협의가 필요한 상황. 하지만 여러 가지 여건상 많은 어려움이 있다.


     


이에 따라 현재 유지보수요율은 발주기관과 계약업체간의 협의를 거쳐 요율을 정하도록 되어있다. 하지만 지금까지 공공예산 부족의 이유로 기준보다 낮은 유지보수요율로 계약이 진행되어 왔다.


해외에서는 적정한 수준의 요율 책정이 보다 높은 정보보호 서비스가 제공될 수 있는 기반이라 생각한다. 미국의 경우 정부가 S/W 사용자와 공급자간 SLA(Service Level Agreement)를 활용해 도입가의 평균 20~30%를 유지보수 비용으로 책정한다.


또한, 일본의 경우에는 정보보안 유지보수 항목을 구체화하고 항목별로 소요비용을 제공하는 방법을 통해 유지보수요율을 현실화함으로써 정보보호 수준을 높이고 있다.


이렇게 20% 이상의 유지보수요율로 계약을 체결하고 발주요건에 명시해 발주하는 미국과 일본에 비해 국내는 단독(직접)계약보다는 통합발주 계약 형태로 진행되는 추세이며 단독 계약시에는 관행처럼 10% 내외로 일괄적으로 계약하고 있는 실정이다.


이와 관련 정보보호 전문업체의 한 관계자는 “공공부문 유지보수요율이 몇 년 전까지만 해도 평균 7~8%, 민간부문이 12~13% 정도였는데, 현행은 공공이 10% 내외, 민간이 15%까지 상향 조정됐다”며 “이것도 적정 수준에는 한참 못 미친다. 전문 업체 입장에서 공공은 15~18%, 민간은 20% 이상은 되어야 한다고 본다. 이를 위해서는 정부는 정책적으로 기준을 마련하고 이를 준수하도록 해야 한다”고 말했다.


통합발주 계약에 있어서도 마찬가지이며 대부분의 정부기관이 통합유지보수를 하기 때문에 H/D 요율과 S/W 요율을 동시에 합산한 평균 요율을 적용하고 있다. 특히, 일반 S/W의 경우 소프트웨어 개발비의 10~15% 내에서 비율을 책정하고 있는 소프트웨어 사업의 대가 기준을 지식경제부에서 고시하고 있음에도 불구하고 정보보안 소프트웨어는 일반 S/W 기준을 준용해 추가적인 서비스는 발주기관과 협의해 결정하는 등 현장에서는 적용되지 않는 것이 대부분이다.


즉, 정부 발주시 보안 S/W를 탑재한 H/W 일체형 제품은 H/W 기준의 요율을 적용해 제품 성격이 상이한 S/W의 적정 대가를 요구하기 어려운 상황인 것. 이를 해결하기 위해서는 유지보수 통합발주를 지양하고 정보보안 시스템 구축 업체와 직접 계약을 하고 유지보수 대가 산정시 기준을 정가로 적용해야 한다. 또 S/W를 탑재한 H/W 일체형 보안 제품을 S/W로 보는 인식의 전환이 절실하다.    


이에 대해 지식경제부의 한 관계자는 “정보보호 제품의 유지보수요율은 정부의 예산편성 지침에 포함되어야 한다. 이 예산편성은 기획재정부에서 주관하기 때문에 요율에 대한 문제는 기획재정부와 협의가 필요한 부분”이라면서 “올해 협의를 통해 이러한 지침을 마련하게 되면 내년부터는 이를 적용할 수 있다”고 말했다.


이처럼 정보보안 S/W는 일반 S/W 유지보수에 비해 보안정책 지원 등 추가적인 서비스를 수행하고 있기 때문에 일반 S/W와 동일한 유지보수 요율 적용으로 기업의 경쟁력 약화를 초래할 수 있다. 이에 따라 정보보안 S/W의 특성에 따른 적정 수준의 유지보수 대가가 적용될 수 있도록 관련 고시의 개정이 시급하다고 할 수 있다. 이를 통해 정보보호 제품의 유지보수요율도 점진적으로 현실화될 수 있는 것이다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>