[데이터넷] “‘정보보호’는 4차 산업혁명의 성공과 ‘데이터 경제’의 지속가능성을 뒷받침하는 버팀목이다. 우리가 세계 최초 5G 상용화를 이루고, 역대 정부 최초로 ‘국가사이버안보전략’을 발간한 이유도 ‘정보보호’의 중요성을 잘 알고 있기 때문이다.”
문재인 대통령은 7월 10일 열린 ‘2019 정보보호의 날’ 기념식 서면 축사를 통해 이같이 밝히고 ▲2022년까지 정보보호 관련 예산 8485억원 투입 ▲정보보호 시장 14조원 규모로 확대 ▲1만개의 일자리 창출 등을 약속했다.
‘혁명’이라 할만한 ICT 변화의 핵심에는 ‘정보보호’가 있다. AI, 클라우드, IoT, 5G, 융합기술 등 새로운 ICT 기술은 보안을 내재화해 설계되고 운영돼야 한다. 빠르고 정확하며 안전한 스마트 라이프를 보장하기 위해서는 정보보호가 전제되어야 한다. 정부는 이 점을 확실히 하면서 정보보호 산업에 대한 적극적인 지원을 약속하고 있으며, 정보보호 업계의 오랜 숙원사업을 해결하기 위해 노력하고 있다.
또한 정보보호 산업의 육성을 위한 장기 비전과 전략도 밝히고 있다. 정보보호 산업 육성에 대한 정부의 의지를 볼 수 있는 것 중 하나가 ‘5G 전략산업’에 보안을 포함시켰다는 것이다.
제 살 깎아먹기 식 싸움으로 산업 경쟁력 악화
초기 우리나라 정보보호 산업은 국내 산업 보호를 위한 규제의 장벽 안에서 비교적 안정적으로 성장할 수 있었다. 국내 정보보호 시장은 다른 나라에서 볼 수 없는 빠른 속도로 성장을 이뤄왔으며, 다양한 기술과 솔루션, 서비스 시장을 만들면서 성장했다. KISA 집계에 따르면 현재 정보보호 기업은 1013개, 매출 규모는 10조 1000억원, 종사 인력은 4만4000여명이다.
양적으로 정보보호 산업이 괄목할만한 성장을 이룬 것으로 보이지만, 질적으로는 그렇다고 보기 어렵다. 규제의 장벽 안에서 보호받는 정보보호 산업은 기술을 고도화해 외산 솔루션과 경쟁하기보다 국내 기업끼리 가격경쟁을 벌이면서 스스로 수익성을 약화시켰다. 작곡가 김민기의 노래 ‘작은 연못’에 나오는 붕어처럼 서로 뜯어먹다가 결국 연못까지 망치는 결과를 초래한 것이다.
정보보호 기업들이 가격경쟁에만 집중할 수밖에 없었던 이유도 있다. 공공사업 평가 기준에 ‘가격’이 있기 때문이다. 정보보호 솔루션과 서비스에 대한 정당한 대가를 받지 못할 뿐 아니라 각 고객마다 지나친 커스터마이징으로 솔루션의 업그레이드가 어려운 상황에서 정보보호 기업의 수익성은 개선되지 못하고 기술개발에 투자하지 못해 외산 솔루션과의 기술 격차는 더욱 벌어지게 됐다.
결실 맺는 ‘제 값 받기’ 노력
정보보호 산업의 악순환의 고리를 끊고 시장을 건강하게 발전시키기 위해 그 동안 정부와 업계는 끊임없이 소통해왔다. 오랜 논의 끝에 절대 해결되지 못할 것 같은 고질적인 문제들이 최근 하나씩 풀리기 시작했다. 정보보호 제품과 서비스에 대한 제 값 받기 노력이 조금씩 결실을 맺기 시작한 것이다.
정보보호 제품과 서비스는 IT 솔루션의 유지보수료 외에 보안성 지속 서비스 대가가 추가로 필요하다고 업계에서 지속적으로 요구해왔는데, 6월 발표된 ‘소프트웨어 사업 대가 산정 가이드’에서 ‘보안성 지속 서비스 요율 8%’가 처음으로 명시됐다. 이 가이드는 국가·공공기관에서 소프트웨어 관련 사업에 대한 예산 수립과 사업 발주, 계약 시 적정 대가 산정 기준을 제공하기 위해 제작되는 것이다.
이민수 KISIA 회장은 “처음으로 보안성 지속 서비스 요율이 명시됐다는 것이 중요하다. 업계에서 요구한 10%보다 낮은 8% 수준으로 책정됐지만, 향후 개선시켜나갈 수 있다”며 “정보보호 제품에 대한 정당한 대가를 받고 기업의 수익성을 향상시켜 시장 수요에 맞는 수준의 제품과 서비스를 제공할 수 있도록 시장 상황을 개선시키는데 최선을 다하겠다”고 말했다.
비현실적 규제 정비·개선 노력 이어져
정보보호 업계의 주요 관심사였던 주 52시간 제도와 관련해서도 진보된 성과가 있었다. ‘노동시간 단축에 따른 보안관제사업 계약(변경) 가이드’에서 긴급 장애 복구 시, 혹은 보안태세 강화 시에 고용노동부의 인가를 거쳐 주당 12시간 이상의 특별 연장근무가 가능하도록 했다. 더불어 관련 계약을 할 때 합리적인 대가를 지급하도록 했으며, 사이버위기 경보 발령 등에 따른 기관별 위기대응 매뉴얼에 인력운용 부문을 노동시간 단축에 맞게 재검토하도록 했다.
정보보호 기업이 새로운 성장동력으로 삼은 클라우드 보안과 관련한 규제개선이 시행되고 있다. 공공부문의 서비스형 소프트웨어(SaaS) 보안인증 유효기간이 3년에서 5년으로 확대되며, 기존 표준등급 외 심사항목을 줄인 간편등급도 신설된다. 표준등급은 78개 인증항목을 심사하며, 간편등급은 30개 항목만 통과하면 된다. 전자결재·인사·회계관리·보안서비스·개인정보영향평가 대상 서비스 등은 간편등급 대상에서 제외된다.
공공·금융기관의 클라우드 이용을 활성화하기 위한 다양한 규제개선과 지원 사업이 진행되고 있으며, 특히 금융기관은 민감정보까지 공공 클라우드에 이관할 수 있도록 규제를 완화했다.
금융·공공 웹서비스 편의성을 향상시키기 위해 액티브X 등 플러그인을 없애고 글로벌 표준에 맞는 웹사이트 구축을 지원하고 있으며, 키보드 보안, PC 방화벽, 바이러스 백신 등 보안 3종 세트 및 공인인증서 의무화 규제를 폐지하고 다양한 간편 인증 서비스를 적용할 수 있도록 했다. 더불어 핀테크 기업과 금융기관이 별도 협의를 맺지 않고도 금융 서비스를 이용할 수 있도록 금융권 표준 오픈API를 이용한 오픈뱅킹 서비스를 연내 오픈할 계획이다.
ISMS의 개선방안도 집중 논의되고 있는데, 과기정통부는 7월 대기업·병원, 중견·중소기업을 대상으로 ISMS 인증제도 개선방안을 논의하는 간담회를 잇달아 열고 의견을 수렴했다. 인증심사기간을 단축하고 인증 해설서를 마련하며, 연관되고 중복되는 제도를 정비하는 등의 의견을 개진했다.
