[사설] 정보보안 서비스 공짜라는 생각 버려야

지난해 각종 정보보안 사고가 발생하면서 심각한 사회적 문제가 되면서 이를 막을 정보보안 산업 육성이 어느 때보다 강조됐다. 그 후로 1년 여전히 현실의 정보보안 산업은 열악한 상황이다. 개인정보 유출과 해킹 등 정보보안 사고 초기에는 각종 규제 틀을 마련하며 정보보안 산업의 육성을 외쳤지만 대부분 정책이 제대로 힘을 발휘하지 못하고 흐지부지됐다.

정보보안 산업이 주목을 받으면서도 제자리걸음을 하는 것은 여러 이유가 있겠지만, 우리 사회가 여전히 소프트웨어에 제값을 지불하는 것에 인색한 문화를 갖고 있다는 점이 가장 큰 문제로 지적되고 있다. 특히 정보보안 소프트웨어는 '공짜'라는 인식이 저변이 강하게 깔려 있어 '백약이 무효'처럼 산업의 성장을 가로막고 있다. 이는 정보보안의 취약으로 이어지는 악순환의 고리가 되고 있다.

정보보안 소프트웨어는 끊임없이 업데이트를 통해 최신 해킹 공격에 대비해야 하는 특징을 갖고 있다. 이를 위해서는 적지 않은 비용이 투입돼야 하고 개발사들은 이에 대한 부담을 크게 느끼는 상황이다. 하지만 일반 사용자는 물론 공공기관이나 기업들 역시 정보보안 소프트웨어에 대해서는 한번 구입해 깔면 그만인 상품처럼 취급하고 업데이트 등에 대해 추가 비용을 내는 데 주저하고 있다.

정보보안 소프트웨어는 다른 어떤 소프트웨어에 비해 번거롭고 손이 많이 간다. 우리가 흔히 사용하는 기업용 소프트웨어는 일년에 몇 번 정도 업데이트하는 것으로 문제를 해결할 수 있다. 하지만 정보보안 소프트웨어는 매일 아니 매 순간 새로운 위험요소를 찾아내고 이를 차단하기 위해 업데이트를 해야 한다. 이에 투입되는 인원과 비용은 일반 패키지 소프트웨어와 비교해 클 수밖에 없다. 이러한 투자를 하지 않으면 기업이나 개인이 기껏 투자한 정보보안 소프트웨어가 무용지물이 되는 경우도 허다하다. 실제로 IBM의 사이버보안 인텔리전스 보고서에 따르면 정보보안사고 중 80% 이상이 정보보호 제품 구비 미흡이 아닌 서비스 부재로 발생하고 있다. 정보보안 소프트웨어에 대한 업데이트만 제때 했다면 사전에 방지할 수 있는 사고가 많았다는 얘기다.

정보보안 소프트웨어는 갈수록 교묘해지는 해커들에 대항하기 위해 끊임없이 투자해야 하는 특성을 갖고 있다. 이 같은 투자 재원을 마련하기 위해서는 정보보안 소프트웨어에 대한 유지보수 대가의 현실화가 절실하다. 정보보안 소프트웨어 업체들도 남는 것이 있어야 이미 판매한 제품에 대한 업데이트를 할 수 있는 것이 아닌가. 하지만 사용자들은 오라클의 데이터베이스관리시스템(DBMS)나 SAP의 전사적자원관리시스템(ERP) 등 외산 소프트웨어에 대해서는 선뜻 제품 초기 구매가의 수십%를 매년 업그레이드 비용으로 내놓으면서도 국산 정보보안 소프트웨어에 대한 대가 지불에는 인색하다. 이러한 사용자 인식부터 바꾸지 않으면 정보보안 사고의 방지와 산업의 경쟁력 확보는 요원한 일이다.

이런 상황에서 미래창조과학부가 국가 정보보호 분야에 '서비스 대가' 방식을 도입하는 문제에 대해 검토하고 있다는 것은 반가운 일이다. 미래부는 현재 가이드라인 초안 상태이지만 이 안이 구체화하는 데로 각 부처에 제안해 제값을 주고 보안 소프트웨어를 구매할 수 있도록 추진할 계획이라고 한다. 정보보안 소프트웨어의 업데이트는 공짜라는 인식을 바꾸지 않으면서 정보보안 강국을 꿈꾸는 것은 어불성설이다.