['K시큐리티'로 보안 새판짜기-上] 서비스대가 산정 가이드 등 국내 보안산업 기초 체력부터
“보안 제품을 ‘구매’한다고 생각하죠. 일회성으로 값을 지불하면 된다는 식입니다. 일반 소프트웨어(SW)와 달리 도입 이후에도 지속적인 보안 서비스가 요구되고 적잖은 인력이 투입되는데, 그 대가는 인건비조차 뽑지 못할 정도죠.”
“지난해 국내 SW 보안 시장은 연간 매출은 1조7000억원 밖에 안됩니다. 오죽하면 전체 매출 2조원이 넘는 치킨 사업보다 못한다는 얘기가 나오겠습니까. 답답한 일이죠.”
국내 정보보호산업의 현주소다. 사이버 안보를 강화해야 한다는 목소리가 높지만 정작 그 기반이라 할 수 있는 국내 정보보호산업은 갈수록 초라하다.
지식정보보안산업협회(KISIA)에 따르면 국내 정보보안산업 성장률은 최근 2년 간 평균성장률이 3.7%로, 이전 2년(13%)에 비해 낮아졌다. 특히 매출액 300억원 미만의 중소기업이 전체 보안기업의 92%에 달한다. 수익을 내지 못하기 때문에 기술 개발, 인력 양성까지 투자하기는 여력이 없다.정부가 ‘K-ICT 시큐리티 발전 전략’을 발표하면서 산업 기초 체력부터 닦겠다고 나선 이유다.
A 보안기업 대표는 “지난해 정보보호 사고가 터졌지만 금융사에 우리 보안 제품을 팔려고 하니 ‘묶어서 싸게’ 이야기가 또 나오더라”며 “유독 보안제품에 대해서는 더 낮은 가격을 요구하는 것이 관행화된 지 오래”라고 하소연했다.
이는 민간 영역 뿐 아니라 공공부문도 비슷한 상황이다. 정보화 투자 예산을 기준으로 2009년 1737억원에서 2010년 2695억원 까지 늘렸다가 이후 2035억원(2011년), 2633억원(2012년), 2400억원(2013년), 2460억원(2014년)으로 제자리 걸음이다. 정보보호를 최우선 과제로 삼고 2009년부터 평균 10%씩 꾸준히 예산을 늘려온 미국과는 정반대다.
한 업계 관계자는 “싼 제품만 찾다 보면 고객(기업, 정부 등) 입장에서도 결국 보안이 취약해질 수 밖에 없다”며 “싸게 팔다가 2~3년 만에 문 닫는 기업이 생기는데 이 경우 제대로 된 보안 서비스가 이뤄지지 않아 제품 자체가 또 다른 해킹 취약점이 될 수 있다”고 설명했다. 너도나도 싸게 구입하려다 오히려 보안 허점을 만드는 결과까지 초래할 수 있다는 것.
독자들의 PICK!
정부가 정보보호산업 육성안의 핵심 정책으로 ‘서비스 대가 산정 가이드라인 도입’을 내세운 이유다. 올해부터 백신 프로그램과 같은 보안성 지속 서비스에 대해 대가 산정 체계를 도입하고 ‘정보보호서비스 대가 가이드라인(가칭)’를 마련하게 된다. 단순 유지보수비 외에도 10% 이상 대가를 받을 수 있도록 유도하겠다는 것.또 ‘성능 평가제’ 도 마련돼, 보안제품이 성능에 따라 제값을 받도록 시장 구조를 바꿔 나갈 예정이다.
정부는 이번 가이드 라인이 국회 상임위원회에 상정된 ‘정보보호산업진흥법’과 맞물리면 보다 실효성 있는 정책이 될 것으로 기대했다. 홍진배 미래부 정보보호기획과장은 “정부와 공공기관 예산안 편성 지침에도 가이드라인을 도입하도록 하고 기관 평가 조항으로도 추가하도록 효과를 볼 수 있을 것”이라며 “특히 진흥법이 통과가 되면, 법적인 강제성까지 더해진다”고 설명했다.
국내 한 중소 보안기업 B이사는 “기본적으로 보안 제품을 구입할 때 단순 개발 인력 수로 가격 산정하는 방식에서 벗어나야 한다”며 “사용자 수, 보안 제품 성능 등을 중심으로 가격을 책정하는 문화가 조성돼야 할 것”이라고 말했다. 이어 "사이버안보를 위한 인재 키우려면 결국 산업이 발전해야 하는데, 제 값을 받아 그 수익으로 기술과 인재 키워나갈 수 있는 환경이 필요하다"고 덧붙였다.