[아이티투데이 이기성 기자] 지난해 1억여 건의 대규모 신용카드 정보유출 사태를 비롯해 한국수력원자력 발전소 기밀유출 사태까지 굵직한 보안 사고가 끊이지 않는 가운데 기업들의 보안 투자는 여전히 인색하다.

보안 사고가 터지기 전까지는 우리는 안전하다 외치는 기업들은 늘 ‘소 잃고 외양간 고치는 행태’를 반복해왔다. 그나마 보안에 투자를 한다 해도 보안서비스를 제값 주고 쓰는 건 호갱님으로 여겨 이런저런 이유로 가격을 후려치니, 보안 업계는 쓴 웃음을 지을 수밖에 없었다.

오죽했으면 정부는 11일 정보보호 제품․서비스 특성이 고려된 정당한 서비스 대가 산정체계 도입을 위한 ‘정보보호서비스 대가 산정 가이드’를 마련해 공표했다. 그러나 ‘보안서비스 제값 받자’라는 취지로 만들어진 이 가이드 역시 반쪽 짜리도 채 안 된다는 것이 관련 업계의 반응이다.

정부에 따르면 정보보호 서비스는 보안성지속 서비스, 정보보안 컨설팅, 보안 관제 서비스로 구분되며, 이번 ‘정보보호 서비스 대가 산정 가이드’에는 보안성지속 서비스에 대한 ▲적용 범위 및 원칙 ▲서비스 항목 ▲계약 방식 등을 담았다고 밝혔다.

이 말대로 가이드에는 보안성지속 서비스에 관한 대가 산정 가이드만 담겨 있을 뿐, 정보보안 컨설팅이나 보안관제 서비스는 대가 산정 기준이 아직 마련되지 않아 보안성지속 서비스의 특정 항목을 참고하라고 적혀있다.

보안성지속 서비스란 보안제품 설치 후, 정보보호 전문가의 악성코드 분석 및 보안 패턴 업데이트, 보안제품 정책관리 등 제품 보안기능을 발휘하기 위해 추가로 제공하는 서비스를 말한다. 어렵게 말해서 그렇지 실질적으로는 보안 SW나 솔루션의 업그레이드 및 보안성 업데이트가 이에 해당하는 말이다.

결과적으로 이번 가이드는 눈으로 보이는 유형의 SW만 대가를 산정할 수 있도록 하는 기준이 비로소 마련된 것이며, 정보보호나 보안관제에 대한 기준은 미래를 기약하고 있다.

■ 무형의 가치, 대가 산정의 현실화 가능할까?

정부는 정보보호 컨설팅과 보안관제 대가 산정에 대해서는 오는 9월경 구체적인 기준을 마련할 계획이라고 전했다. 이를 위해 관련 협회의 도움을 받아 업계의 의견을 수렴하는 과정을 거칠 것이라고 설명했다.

보안SW나 솔루션과 달리 정보보호 컨설팅이나 보안관제는 인력이 차지하는 비중이 매우 높다. 이에 관련 업계에서는 인건비에 대한 대가 산정 기준을 어떻게 마련할 지 여부에 촉각을 곤두세우고 있다. 일각에서는 컨설팅과 보안관제 등에 필요한 전문 인력들을 무형의 가치라 말하는데 이를 두고 대가 산정 기준을 마련하는 것이 결코 쉽지 않은 일이라 말하고 있다.

해외의 경우 컨설팅이나 관제서비스 모두 각 부문별로 전문 인력을 배치하고, 이에 대한 대가를 각각 지불해야 한다는 사실을 인지하고 있다. 정부가 발표한 가이드에도 보안지속 서비스에 대해서도 해외 대다수 기업이 추가 예산을 집행하고 있는 것으로 나타났다.

그러나 국내의 경우 관제서비스 각각의 기능(PM, 관제, CERT, 진단, 모의해킹, 운영, 기획, 개발)별로 전문 인력이 배치되어야 함에도 관제인력에게 관제(모니터링)뿐만 아니라 CERT, 진단, 모의해킹, 운영 등의 서비스를 모두 요구하는 등의 처사가 일반적이다.

정보보안의 중요성이 급증하면서 정부가 정보보호 제품에 대한 제값주기, 정보보호 서비스에 대한 대가 정상화 방안 등을 마련하고 있는 것은 매우 고무적인 일이다. 그러나 국내 실정에 맞게 준비된 전문 인력이 합당한 대가를 받고 일할 수 있도록 현재 추진중인 방안에 보다 현실적이고 합리적인 대가 산정 기준이 속히 마련되어야 할 것으로 보인다.