“정보보안 솔루션 유지보수 요율, SLA에 맞춰야”
상태바
“정보보안 솔루션 유지보수 요율, SLA에 맞춰야”
  • 김선애 기자
  • 승인 2012.12.02 14:25
  • 댓글 0
이 기사를 공유합니다

조규곤 KISIA 회장 “수요자-공급자가 사업 성격 맞는 서비스 수준 결정해 관리요금 결정”

“유지보유요율 현실화는 ‘서비스 수준(SLA)에 따라 시장에서 자유롭게 요율을 형성할 수 있는 기반을 만들어야 한다는 주장이었다.”

지식정보보안산업협회(KISIA)의 조규곤 회장은 정부의 보안 소프트웨어 유지보수요율 정책을 강력하게 비판했다. 현재 정부의 유지보수요율은 7~8% 수준이며, 지난 6월 정부는 ‘용SW 유지관리 합리화 대책’을 마련하기 위해 전문기관의 연구를 진행해 15% 수준으로 끌어올린다는 방침을 정하고 있다.

조규곤 회장은 “15%의 유지보수요율이 절대적으로 낮은 수준은 아니다. 그러나 모든 보안제품에 대해 15%라는 상한선이 정해진다면, 서비스의 성격에 따라 40% 이상 비용이 소요되는 제품을 개발하는 기업들은 어려움을 겪게 된다”며 “유지보수요율 평균 15% 수준을 유지하는 것이 바람직하지만, 정부가 일정한 상한선을 정하지 않고, 수요자와 공급자가 일정한 SLA에 따라 결정하도록 해야 한다”고 강조했다.

“유지보수요율 높이기 전 예산 확보해야”
조 회장은 “정부가 ‘15%’라는 가이드라인을 정한다 해도 이것이 제대로 지켜질지 의문이다. 현재 정부가 사용하는 정보보안 제품의 유지보수요율은 대략 280억원으로 추산된다. 이를 15%로 상향조정하려면 525억원이 필요한데, 예산 증액은 없이 ‘15% 상향조정’이라는 가이드라인만 정한다면 제품 가격을 낮추거나 무상 서비스 기간을 더 연장하는 등의 편법이 나타날 것”이라고 지적했다.

현재 정부의 유지보수 예산 총액을 별도로 집계한 것은 없어서 정확한 규모를 알 수 없지만, 정보보안산업 실태조사 상의 매출액을 기준으로, 8%의 유지보수요율을 적용하면 280억원 가량이다. 그러나 정부의 내년 예산에서 이를 증액하는 등의 내용이 포함됐는지 파악하기 어렵다.

“BMT시 100% 기술점수 적용해야”
현재 보안업계의 관행은 유지보수요율 8%에 첫 1년은 무상으로 제공하는 형태이다. 또한 가격경쟁도 심각해 지나친 출혈경쟁이 비일비재하게 일어난다. 정부는 가격경쟁으로 인한 부작용을 막기 위해 입찰당시 기술점수와 가격점수 비중을 기존 6:4에서 8:2로 끌어올리고 있으며, 9:1 수준까지 끌어올린다는 방침을 밝히고 있다.
그러나 실제로 보안제품을 도입하는 상황을 살펴보면 10%의 가격점수가 결정적인 영향을 미치는 경우가 많다. BMT 시 심사위원의 전문성이 낮은 편이고, 국내 보안 제품의 기술 수준에서 큰 차이가 있는 것이 아니기 때문에 아주 적은 비율만 적용한다 해도 가격에 민감할 수 밖에 없다.

조 회장은 “제품을 도입할 때 가격을 반영하는 항목을 철저히 배제해야 한다. 가격이 제품 결정에 영향을 미쳐서는 안되며, 기술의 성숙도와 해당 사업과의 적합도를 객관적으로 평가해야 한다”며 “가격은 이미 시장에서 적절한 수준으로 형성돼 있다. 정부가 사업예산을 책정할 때는 시장조사를 통해 비용 수준을 생각할 수 있을 것”이라고 밝혔다.

조 회장은 정부의 ‘유지관리’ 개념도 재정비 돼야 한다고 강조했다. 유지보수는 하자보수와 유지관리로 나뉘며, 하자보수는 제품에 문제가 있는 것이므로 공급자가 무상으로 제공해야 한다. 유지관리는 제품을 사용하면서 변화되는 환경에 대응하기 위해 지속적인 업그레이드를 위해 필요한 비용이다.

KISIA가 유지보수요율 현실화는 SLA를 기준으로 해야한다고 주장하는 것은 ‘유지관리’에 초점을 맞춘 것이다. 보안 소프트웨어는 패턴 유지와 정책설청, 모니터링 등 지속적인 유지관리가 필요하기 때문에 일반 소프트에어보다 40% 이상 추가비용이 소요된다.

특히 최근처럼 지능화된 사이버 범죄가 잦은 상황에서 정보보안 기업들은 위험 상황을 미리 파악하고 대응책을 마련하는데 더 많은 연구예산을 들여야 한다. 따라서 정보보안 제품의 유지관리 비용은 더 높은 수준을 유지해야 한다.

글로벌 기업 중에서는 라이선스와 유지보수를 따로 계산하지 않고, 사용하는 기간동안 1년 단위로 과금하는 형태를 적용하는 곳이 늘고 있다. 일반 업무용 소프트웨어는 한 번 구축해 사용하다 일정한 시간이 지난 다음 새로운 버전의 제품으로 바꾸는 형태이지만, 정보보안 제품은 수시로 변하는 공격유형에 대응하기 위해서는 빠르고 유연하게 제품에 대한 업데이트가 이뤄져야 해 라이선스와 유지보수를 따로 떼어 계산할 필요가 없다는 판단이다.

특히 클라우드 컴퓨팅이 확산될수록 사용한 만큼 비용을 지불하는 ‘서브스크립션’ 방식이 적용되는 사업이 늘어나고 있으므로 ‘라이선스+유지보수’라는 기존의 과금 방식을 고집할 필요도 없다.

조 회장은 “서비스의 특성에 따라 전통적인 ‘라이선스+유지관리’ 형태가 합리적일 수 있고, 서브스크립션 방식이나, 연/분기단위 과금이 더 합리적일 수 있다. 서비스나 업무의 특성에 적합한 과금방식을 사용하는 것이 공공기관의 비용효과를 더 높일 수 있다”며 “정부가 일률적으로 유지관리 요율을 정하는 것 보다 사업 특성에 맞는 과금 형태와 유지관리 수준을 정하는 것이 이상적”이라고 말했다.

“업계 자정능력 병행될 것”
한편 조 회장은 업계에서도 자정노력이 반드시 필요하다고 덧붙이면서 정보보안 업계에서도 현실의 상황을 제대로 파악하고 가장 효과적인 방법을 찾아보겠다고 다짐했다.

조 회장은 “정보보안 업계 스스로도 유지관리 비용을 제대로 받으려고 노력했는가 자문해보면 그렇게 하지 못했다는 답에 이르게 된다. 따라서 KISIA는 업계에서 공평한 기준으로 참고할 수 있는 SLA를 정하고, 벤더들이 해당 수준에 맞는 서비스로 무엇이 포함되는지 확실하게 체계화 할 것”이라며 “이를 통해 이익이 늘어나면 연구개발과 해외진출을 보다 활발히 해 세계적인 보안회사로 성장할 수 있도록 노력할 것”이라고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.