• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보호서비스 대가 산정, 어떻게 준비되고 있나? 2015.10.02

“보안성 지속 서비스 20%로 가이드라인에 반영할 것”

[보안뉴스 김경애] 오는 12월 23일부터 본격 시행되는 정보보호산업진흥법 중 보안업계의 관심과 기대를 한 몸에 받는 건 단연 정보보호서비스 대가 산정 제도다. 지난 10여 년간 지속적으로 문제가 제기돼 왔던 정보보호서비스 대가 산정은 이번 법률의 근거 마련을 통해 보안업계에 숨통을 트이게 해줄 것으로 보인다.


이 제도가 정보보호산업 발전과 정보보호제품·서비스 품질보장을 통해 정보보호시장을 선순환 구조로 이끄는데 일조할 수 있을 것으로 기대되고 있다. 현재 작업 중인 정보보호서비스 대가 산정 가이드라인에 포함되는 분야는 크게 보안성 지속 서비스, 정보보안 컨설팅, 보안관제 서비스로 구분된다.


보안성 지속 서비스

먼저 보안성 지속 서비스는 정보보호제품을 활용해 정보의 훼손, 변조, 유출 등을 방지하기 위한 기술 기반의 서비스로 외부 위협요인으로부터 보안성 유지를 위한 관리를 말한다.


보안성 지속 서비스 항목은 △패턴 업데이트, IT 환경 변화(신규 OS/시스템 및 단말/표준 등)에 대한 패치 등이 포함된 보안업데이트 △사용자 환경에 따른 보안정책관리 △침해사고 대응과 제품군별 위협분석보고서 등이 포함된 위협·사고분석 △CC인증과 보안적합성 검증, KCMVP 등 각종 보안성 인증을 유지하기 위한 보안성 인증효력 유지 △모의훈련대응, 정보보호 교육, 원격문의 대응, 보안감사 지원 등을 해주는 보안기술 자문으로 구분된다.


현재 보안성 지속 서비스 대가 산정은 미국의 경우 평균 20~30%이며, 일본은 30~50% 수준이다. 이에 우리나라의 경우 대가 산정은 서비스 요율 20%를 목표로 하고 있으며, 추후 가이드에 포함될 예정이다.


정보보안 컨설팅

정보보안 컨설팅은 정보통신시설 및 시스템을 안전하게 보호하기 위해 보호대책 수립, 위협요인 평가, 모의해킹, 마스터플랜 수립 등을 수행하는 일련의 과정을 의미한다.


정보보안 컨설팅 종류는 인증, 기반보호, 진단 및 모의해킹, 개인정보보호 컨설팅 등이 포함되며, 컨설팅 항목은 전문인력(컨설턴트) 양성 교육훈련비, 취약점 분석실 공간 및 설비 운영(인건비 포함), 전문업체 자격 유지, 기술개발 등이 있다.


여기서 정보보안 컨설팅 제반 경비와 기술료 계산이 일반 컨설팅 비용과 똑같다는 문제가 지적되고 있다. 이와 관련 지식정보보안산업협회 조연호 단장은 글로벌 이노베이터 페스타 2015(GIF 2015) 컨퍼런스에서 “정보보안 컨설팅 제반 경비와 기술료 계산이 일반 컨설팅 비용과 똑같다는 문제가 지적됨에 따라 자체개발 진단용 도구 HW·SW 비용을 포함시켜 계산하도록 개선해서 추후 발표될 가이드라인에 추가할 방침”이라고 밝혔다.


보안관제 서비스

마지막 보안관제 분야는 고객사 보안 시스템의 운영 및 관리를 일부 위탁받아 각종 침입 대응을 보안관제 전문업체의 중앙관제센터에서 24시간 실시간 모니터링 및 분석 등 원격으로 운영하는 원격관제와 보안관제 전문업체의 전문인력을 고객사에 파견하는 파견관제, 고객사 자체 인력으로 보안관제 시스템을 운영 관리하는 자체관제로 구분된다.


보안관제 서비스는 기본 서비스(PM 1명을 포함한 5명), 침해사고대응 서비스(1명), 진단 서비스(1~2명), 운영 서비스(1명), 기획 서비스(1명)으로 구성되어 있으며, 이 가운데 진단 서비스는 역할에 따라 각 1명씩의 투입인력이 산정된다. 또한, 소속·산하기관수 및 업무량에 따라 침해사고 대응·진단·운영·기획 인력들이 추가로 증원될 수 있다.


직접 인건비 산정 방식은 주간근무의 경우 투입인력 소요공수*노임단가로, 야간근무(50% 가산)는 투입인력 소요공수*노임단가*야간근로가산으로 산정된다. 이어 휴일 주간근무(50% 가산)는 투입인력 소요공수*노임단가*휴일근로 가산으로, 휴일 야간근무(75% 가산)는 투입인력 소요공수*노임단가*야간근로로 산정될 예정이다. 


하지만 이러한 서비스 대가가 정당하게 집행되기 위해서는 정보보호산업의 당면과제가 선행되어야 한다는 게 보안전문가들의 공통된 의견이다.

 ▲지식정보보안산업협회 조연호 단장이 2일 글로벌 이노베이터 페스타 2015(GIF 2015)에서
    정보보호서비스 대가 산정 가이드에 대해 설명하고 있다.


이와 관련 조연호 단장은 “정보보호예산을 별도 항목으로 분리해 예산 편성단계부터 집행까지 추적성을 확보해야 한다”며 “정보보호예산 확대와 집행의 투명성이 무엇보다 중요하다”고 말했다.


이어 그는 “수립된 대가기준을 바탕으로 사용자 그룹과 유관단체를 통한 검토와 의견수렴 과정을 거쳐 부처별 정보화 사업계획 단계부터 정보보호를 고려할 수 있도록 하는 정책적 지원이 요구되는 동시에 사용자 및 정부, 산업계와 공감대를 형성해야 한다”고 덧붙였다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>