강제성없는 `가이드라인`은 한계

정보보호 적정대가 도입논의 절실
국가 정보보호예산 5%도 안돼
대가없는 서비스 형식적·부실

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


■ 구멍 뚫린 국가정보보호 체계
(4) 보안성 유지 대가 도입 시급


보안성 유지가 제대로 되지 않는 보안 장비는 사실상 무용지물이다. 보안 기술을 도입, 구축했다면 반드시 보안성 유지를 통해 적정 수준의 '사이버 방어'가 이뤄지도록 관리를 할 필요가 있다. 그러나 보안성 유지 서비스는 이를 제공하는 보안 업체들의 연구 개발과 비용이 수반된다. 제대로 된 보안성 유지관리를 하고 싶다면 이에 대한 적정 대가가 지급돼야 하는 것이다. 무엇보다 공공부문에서 보안성 유지 대가 도입이 시급하다는 지적이 나오고 있다. 정부 시스템의 보안은 국가 안보 및 국민의 안위와 직결되기 때문에 높은 수준의 보안서비스가 유지돼야 하는데, 대가 없는 서비스는 형식적이거나 부실할 수 밖에 없어 '보안 구멍'이 생겨나기 때문이다.

18일 미래창조과학부 등 관계부처와 업계에 따르면 정부 차원의 '보안성 유지 대가' 도입이 구체적으로 논의되고 있다. 미래부는 내년 예산 반영을 목표로 보안성 유지 서비스 대가를 도입하려는 사전 작업을 하고 있는 것으로 알려졌다.

미래부는 정보보호 제품의 경우 보안성 유지관리를 위해 소요되는 비용이 일반 소프트웨어에 비해 1.9배 정도 더 필요한 것으로 파악하고 있다. 기술 도입 후 보안성 유지를 위한 실 소요비용 역시 12~19% 정도가 필요하다고 분석했다.

미래부 관계자는 "그간 소프트웨어 유지보수요율 정상화 노력을 통해 '공짜' 수준으로 진행되던 정보보호 유지보수요율을 어느정도 끌어올릴 수 있었지만, 아직도 보안성 유지를 위한 실소요비용에는 턱없이 부족한 수준"이라면서 "현재 14% 정도 수준의 보안성 대가를 지급할 수 있도록 내년도 예산 반영을 위해 기획재정부와 협의를 진행하고 있다"고 설명했다.

정부 부처에서 제대로 된 대가를 지급하는 것은 비단 공공분야 뿐만 아니라 공공성을 갖춘 금융, 국방, 교육 등 여타 산업 파급효과가 크기 때문에 의미가 있다. 이에 미래부는 국가정보화 예산 중 보안성 유지 대가 도입 예산을 확보하기 위해 기재부와 협의를 진행하는 한편 보안성 유지 대가 도입에 관련한 가이드라인을 제작해 전 부처에 배포할 계획이다.

하지만 가이드라인은 법적 강제성이 없어 정부부처가 이를 준수하길 기대하기는 어려운 형편이다. 일례로 미래부가 3년간 의욕적으로 추진했던 소프트웨어 유지보수요율 정상화 정책의 경우 마찬가지로 '가이드라인' 수준이었기 때문에 정책 효과가 높질 않다. 업계는 "아직도 각급 정부기관은 8% 이하의 낮은 유지보수 요율을 책정하거나 아예 1년간 공짜 유지보수를 요구하는 경우도 많다"고 전한다. 이런 상황에서 보안성 유지 대가를 별도로 지급하라고 미래부가 권고한 들 예산에 쪼들리는 공공기관이 이를 준수하기는 현실적으로 어렵다는 얘기다.

업계는 현재 국회에 계류돼 있는 '정보보호산업진흥법'이 조속히 통과돼 국가 예산 항목 중 '정보보호' 관련 예산을 별도 편성해야 적정 대가 도입이 가능할 것이라고 분석한다.

현재 국가 정보보호 예산은 국가 정보화 예산에 포함돼 있으며 5%에도 미치질 못한다. 사이버테러가 발생하거나 보안의 중요성이 높아져 정보보호 예산을 늘린다면 소프트웨어나 컴퓨팅 등 다른 정보화 분야 예산이 상대적으로 감소할 수 밖에 없다. 보안성 유지 등을 위해 정보보호 예산을 획기적으로 늘리기란 사실상 불가능한 일인 셈이다.

심종헌 지식정보보안산업협회장은 "국회에 계류된 정보보호산업진흥법은 정보보호 예산을 별도 편성하도록 법률로 정하고 있다"면서 "적정 대가에 기반한 보안성 유지가 시급히 도입돼야 사이버 안보 역시 탄탄하게 될 것"이라고 지적했다.

강은성기자 esther@dt.co.kr




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]




가장 많이 본 기사