본문 바로가기

보안 이야기

정보보호 유지관리, 보안 서비스 대가 산정에 대하여

 

IT 기술이 발전함에 따라 개인정보의 활용이 확대되면서

사이버 범죄로 인한 피해가 계속해서 늘어나고 있습니다.

 

보안 업계에 따르면, 사이버 범죄가 세계적으로 미치는 경제적 손실 규모는

연간 4450억 달러(522조 5000억 원)에 이르며, 이 중 세계 10대 경제국들이

손실액의 절반 이상을 차지하고 있다고 합니다.

 

이에 따라 보안 대책도 강화되고 있고, 기억들이 정보보호를 위해

다양한 분야의 보안 솔루션들을 도입하고 있지만,

보안 솔루션 도입 후 유지관리 및 보안 지속 서비스에 대한 대가가

제대로 이루어지지 않고 있어 문제로 제기되고 있습니다.

 

이번 포스팅에서는 정보보호 유지관리 및 보안성 지속 서비스에 대해 알아보고,

그 대책으로 발표된 SW 사업 대가 산정 가이드 내용을 소개해 드리겠습니다.

 

 

 

ㅣ정보보호 서비스 대가에 대한 문제점

 

 

제품 자체 결함에 대한 조치가 중심인 일반적인 소프트웨어(SW)의 유지관리와 달리,

정보보호 솔루션은 제품의 보안성을 확보하기 위해 사후 대응을 중심으로 유지관리 및 서비스를 합니다.

 

선진국의 경우 정보보호 솔루션 유지관리 및 서비스 대가로 20% 이상을 보장 받고 있지만,

국내의 경우 약 7~8%로 선진국과 3배 각까운 차이를 보이고 있습니다.

 

2014년도 정보보호산업 실태조사에 따르면,

국내는 유지관리와 정보보호 서비스 비용을 포함하여 기관사업은 9.1% 민간사업은 10.03%의 대가만

지급하고 있는 것으로 조사되었습니다. 이에 반해, 미국, 일본, 유럽 등 글로벌 기업들은 유지관리 비용 외에

10~20% 정도 높게 책정하여 정보보호 서비스의 가치를 인정하고 있었습니다.

 

그동안 국내 정보보호 기업들은 악성코드 분석 및 보안 업데이트, 보안 정책 관리, 사고 조사 등

제품의 보안성 확보에 필요한 대가를 별도로 지급받지 못했던 것이 현실입니다.

 

이렇게 제대로 된 서비스 대가를 받지 못함으로써 다음과 같은 문제점들이 발생할 수 있습니다.

다음과 같은 문제점에 대한 부담은 고스란히 고객들이 떠안게 될 수 있습니다.

 

  정보보호 서비스 대가를 제대로 받지 못할 경우 발생할 수 있는 문제점

 

  ▲ 이용자의 보안성 약화

  ▲ 기업의 수익성 악화

  ▲ 정보보호 전문 인력 확보 어려움, 유출

  ▲ 기술 경쟁력 저하

  ▲ 신규 제품 개발 부진

  ▲ 정보보호 분야에 대한 투자 저조

 

 

 

ㅣ정보보호 서비스 대가 산정 정책

 

 

이러한 문제점들을 해결하기 위해

2014년부터 미래창조과학부를 필두로 정보보호 서비스 대가 산정과 관련하여 관게 기관들의 법 제정이

가속화되었고, 정보보호산업계도 최근 몇 년 동안 정보보호 서비스 대가 현실화를 위해 노력하고 있습니다.

 

  정보보호 서비스 대가 산전 정책 마련 과정

  2014년 11월

  산, 학, 연 전문가로 정보보호 제값 받기 태스크포스 구성

  2015년 6월

  정보보호 서비스 지속 대가 산정 기준을 핵심으로 하는 정보보호 서비스 대가

  산정 가이드 발표

  2015년 12월

  한국인터넷진흥원과 한국 정보보호 산업 협회가 정보보호 컨설팅 및 보안관제

  서비스 대가 산정 기준 추가

  2018년 3월

  과학기술정보통신부가 정보보호 서비스 법률 제 10조에 근거래 행정/공공기관용

  정보보호 서비스 표준계약서 마련

 

정보보호 서비스 대가 산정 가이드는 정보보호 산업 생태계에 선순환 구조가 정착되도록

정책을 반영하는 것이 목적이었습니다. 

그동안 예산 편성 지침 등 법, 제도 상의 근거가 미비하였고, 참고 수준으로만 활용되어 오다가

정보보호 산업 법이 시행되면서 근거 법이 마련된 것입니다.

 

한국 인터넷진흥원(KISA)과 한국정보보호산업협회가 마련한 대가 산정 기준은

보안성 지속 서비스, 정보 보안 컨설팅, 보안 관제 서비스로 구분되며,

보안성 지속 서비스에 대한 적용 범위 및 원칙, 서비스 항목, 계약 방식 등을 담았습니다.

 

보안성 지속 서비스는 보안 제품 설치 후, 정보보호 전문가의 악성코드 분석 및 보안 패턴 업데이트,

보안 제품 정책 관리등 제품 보안 기능을 발휘하기 위해 추가로 제공하는 서비스 입니다.

 

이 가이드는 보안성 지속 서비스에 대한 대가를 정상화하고자 제품 공급 가액의 일정 비율을 정하여

지급하도록 했으며, 보안성 유지에 직접적인 영향을 주지 않기 위해 제품 도입 및 구축 비와는 별도로 대가를 산정하도록 가이드라인을 제시했습니다.

 

정보보호 서비스 계약에는 침해 사고 발생 시 긴급조치 등 정보보호를 위한 특수한 과업이 명시되어야 하나,

그간 공공부문에서는 정부가 예규로 정한 용역 계약 일반조건에 따라 계약을 맺어왔기 때문에

계약 내용에 정보보호 서비스의 특수성을 충분히 반영하기 어려웠습니다.

 

이에 따라, 과기정통부는 표준 계약서를 통해 정보보호 서비스 계약의 과업 범위를 명확히 함으로써,

부당한 추가 과업지시 관행을 개선하고, 발주자의 협력 의무를 명확히 하도록 유도하고 있습니다.

 

이 표준 계약서는 정보보호서비스를 저보 보안 컨설팅 서비스, 보안성 지속 서비스, 보안관제 서비스 등

3개 유형으로 분류하고 각 서비스 계약의 세부 내용을 규정하고 있습니다.

 

 

 

ㅣSW 사업 대가 산정 가이드

 

 

SW 사업 대가 산정 가이드 볼 수 있는 한국소프트웨어산업협회 사이트와 내용을 소개합니다.

제목을 클릭하시면 관련 사이트로 연동 되어 보다 자세한 내용을 다운로드 받아 보실 수 있습니다.

 

[공공부문] SW 사업 대가 산정 가이드 (2017년 개정판)

한국소프트웨어산업협회에서는 국가기관 등에서 소프트웨어 사업을 추진함에 있어

이에 SW 개발비 등에 대한 예산 수립, 사업 발주, 계약 시 적정대가를 산정하기 위한

기준이 되는 SW 사업 대가 산정 가이드를 현행화하여 공표하였습니다.

 

[민간용] SW 사업 대가 산정 가이드 (2017년 개정판)

민간용 SW 사업 대가 산정 가이드는 민간 부문에서 활용될 수 있도록 IT 아웃소싱(ITO) 서비스 대가

모델을 소개하는 가이드입니다.

 

[사업 대가] 2017년 SW 사업 대가 산정 방식별 엑셀 템플릿

SW 사업 대가 산정 가이드에 근거하여 사업 대가를 산출할 수 있도록

엑셀 시트로 구성된 템플릿을 제공하고 있습니다.

 

 

정보보호 서비스 대가를 정상화하려면 이러한 정책 지원도 중요하지만,

무엇보다 서비스 체계화 추친이나 공공/민간 부문 수요자 측면의 정보보호 서비스 중요성에 대한 인식,

대가를 인정하는 문화 확산이 절실히 필요합니다.