[데이터넷] 정보보호 산업의 고질적인 문제는 결국 ‘돈’이라고 할 수 있다. 국산 솔루션은 외산 솔루션보다 저렴하며, ‘공짜로’ 커스터마이징도 해 주고, 아주 낮은 요율로 유지보수하며, 보안성 유지를 위한 서비스도 거의 공짜로 제공해 왔다. 이러한 관행이 굳게 자리 잡고 있어 정보보호 솔루션과 서비스에 대한 제 값 받기가 어렵다.
이 문제를 해결하기 위해 정보보호 솔루션을 구독형(Subscription) 방식으로 제공하되, 유지보수와 업데이트, 기술지원, 보안성 유지 서비스 까지 포함시켜 원가를 산정하는 방식이 제안된다.
이는 영구 라이선스를 구입하는(Perpetual) 방식보다 훨씬 더 간편하다. 영구 라이선스를 판매한 후 유지보수료, 기술지원료, 보안성 유지 서비스료 등을 별도로 청구하면 매번 갈등이 빚어진다. 영구 라이선스는 ‘자본 투자’로 예산이 분류되기 때문에 투자에 따른 손익을 따져야 한다는 부담도 있다.
구독 방식은 연 단위 혹은 월 단위 비용 지출로 처리되기 때문에 투자 손익을 따지지 않아도 된다. 안티바이러스 제품은 오래 전 부터 이 방식으로 제공되고 있으며, 오피스365, 세일즈포스닷컴, 드롭박스 등 SaaS도 이 방식으로 사용되고 있다.
‘사람 값’ 가장 저렴한 국내 정보보호 시장
그러나 국내 정보보호 제품에는 이를 적용하려하지 않는다. 국산 솔루션은 대폭 할인된 가격으로 구입할 수 있으며 여러 지원 서비스를 공짜로 받을 수 있다고 여기기 때문이다. 한 번에 대규모 구입했을 때 할인폭이 높아져 구매 담당자가 높은 업무 능력 평가를 받을 수 있다는 것도 문제다.
정보보호 제품과 서비스에 대해 제 값을 지불하지 않으려는 관행은 ‘사람의 수고’에 대해 비용을 지불하지 않는 관습에서 기인한다. 외산 정보보호 제품을 구입했을 때, 제 때 장애지원이 되지 않는다고 본사에 직접 항의하는 고객은 찾아보기 어렵다. 또한 인력이 직접 파견되어 장애를 해결했을 때 그 직원이 수행한 업무에 대해 정당한 비용을 지불하는 것을 당연하게 생각한다.
그러나 국내 정보보호 제품을 구입했을 때에는 밤이나 낮이나 평일이나 휴일이나 가리지 않고 ‘즉각적인 장애 지원’을 당연하게 생각하며, 그에 대한 비용은 지불하려 하지 않는다. 국내 정보보호 제품에 이러한 지원까지 포함돼 있다고 여기기 때문이다.
이호웅 안랩 상무는 “정보보호 제품은 고도화되는 보안위협에 대응하기 위한 기술을 지속적으로 업데이트해야 하며, 보안사고 및 사이버 위기 경보 시 비상근무를 해야 한다. 이 처럼 지속적인 보안 서비스를 제공하기 위해서는 기술과 서비스, 사람의 지원에 대해 정당한 대가를 지불해야 하며, 정보보호 업계에서는 저가 수주 관행을 근절해야 한다”고 말했다.
저가 수주→ 수익 악화→ 인재 이탈
정보보호 제품과 서비스에 대한 제 값을 받지 못한 보안 업계는 좋은 인재를 확보하지 못하고 기술을 발전시키지 못한다. 정보보호 업계 종사자 중 고급 전문가는 매우 적으며 대부분 초·중급 전문가다. 고급 개발자, 고급 컨설턴트, 고급 분석가들은 대기업이나 고객사로 이직하거나 프리랜서로 일하거나 창업해 나간 상황이다. 고급 전문가의 능력에 합당한 충분한 연봉을 보장한다면 정보보호 업계의 고급 전문가 이탈 속도를 낮출 수 있을 것이다.
고객은 국내 정보보호 제품과 서비스가 자신이 원하는 수준으로 충분히 성숙되지 못했다고 지적하며 저가 납품을 요구한다. 저가 납품으로 수익성이 낮아진 정보보호 기업은 인재들이 떠나는 것을 지켜볼 수 밖에 없으며, 초급 인력만으로 제품과 서비스를 제공하게 된다. 이 같은 악순환의 고리를 끊으려면 가장 먼저 ‘제 값 받기’가 정착돼야 한다.
이민수 KISIA 회장은 “제 값 받기가 정착되면 모든 문제가 해결된다. 정부든 민간이든 정보보호 사업 입찰 시 너무 낮은 금액을 제안하는 회사는 입찰에 참여하지 못하도록 해야 한다. 제 값을 주지 않는 제품과 서비스에 높은 품질을 요구하는 것은 부당하다”며 “제 값을 주고 사업을 진행하는 프로젝트 담당자의 업무 능력을 높게 평가하는 문화를 만들어나가야 한다. 또한 정보보호 업계에서도 너무 낮은 금액을 제안해 시장 질서를 해치는 관행을 그만둬야 한다. 정보보호 업계가 먼저 나서서 시장의 선순환 구조를 만들어야 한다”고 강조했다.
정보보호 인증 유지 비용, 원가에 반영해야
KISIA는 소프트웨어 대가 산정 가이드에 보안성 지속 서비스 요율이 명시된 것을 큰 성과로 여기고 있지만, 정보보호 제품의 인증을 유지하는데 필요한 비용이 인정되지 않은 것을 아쉽게 생각하고 있다.
정보보호 제품은 CC인증, GS인증 등 여러 인증을 획득하고 유지하는데 많은 시간과 비용을 들이고 있다. 보안성 지속 서비스 요율에 이를 적용할 것을 요구했지만, 받아들여지지 않았으며, KISIA는 이를 정보보호 제품 원가 산정에 포함시킬 수 있도록 노력하고 있다. 위해 정보보호 업계를 대상으로 인증 획득과 유지를 위해 필요한 시간과 비용을 조사해 적정한 원가 반영 수준을 제안할 예정이다.
정보보호 업계가 고급 전문가 인재 풀을 효율적으로 운영하기 위해 규제가 개선되어야 할 부분도 있다. ISMS/ISMS-P, 주요정보통신기반시설지정업체 보안 취약점 진단 등은 특정 시기에 사업이 몰리게 된다. 의무화 일정이 종료되기 전, 많은 기업/기관이 컨설팅 사업을 의뢰하면서 컨설턴트의 수요가 짧은 시간에 폭증한다. 한정된 인력으로 짧은 시간 동안 컨설팅을 하다보면 충분한 수준의 서비스를 제공하지 못한다. 이 컨설팅 결과는 고객도 만족하지 못하며 규제준수를 위해 어쩔 수 없이 시행한 것으로 여겨, 고급 컨설턴트가 투입된다 해도 충분한 비용을 지불하지 못한다.
의무화 마감 일정을 조정해 연중 시행하게 하거나, 연 2~3회로 분산시키면 이 문제는 쉽게 해결할 수 있다. 정보보호 기업과 컨설턴트들은 연간 계획을 세워 인력을 효율적으로 배분할 수 있으며 고객은 여유 있게 고급 서비스를 이용할 수 있어 비용 투자 효과를 높이 수 있다.
이장노 파이오링크 실장은 “컨설팅 사업자 입장에서 프로젝트가 몰리는 시기에 맞춰 인력을 확보하는 것은 쉽지 않다. 비수기-성수기 없이 프로젝트가 이어진다면 그만큼 인력을 배분하고 고급 서비스를 제공할 수 있는 프로세스를 만들 수 있다”며 “의무화 일정을 조정하도록 규제를 정비하는 것은 어려운 과정을 거치지 않아도 된다. 산업계의 어려움을 세밀하게 살펴 제도를 정비하는 노력이 있었으면 한다”고 밝혔다.
