보안 솔루션 유지보수요율 현실화 사업은 오래 전 부터 KISIA가 추진해 온 것이다. 외산 기업들은 솔루션 가격의 15~22% 정도의 유지보수료를 책정하고 있으며 토종 솔루션은 7% 내외의 유지보수료를 받고 있다.
보안성 유지 서비스는 일상적인 유지보수와 다소 다른 개념으로, 통상적으로 일컫는 유지보수료는 개발된 제품에서 발견되는 취약점과 장애 등을 개선하기 위해 부과하는 비용이다. 이미 개발된 제품에 대한 AS의 성격이 강하다.
보안성 유지 서비스는 지속적으로 변화하는 사이버 공격에 대응할 수 있도록 구축된 보안 솔루션에 대한 업데이트를 지원하는 것을 말하며, 사이버 침해사고가 발생했을 때 분석·대응하는 내용도 포함될 수 있다.
고도화되는 공격 방어 위한 기술 지속적으로 개발해야
보안성 유지 서비스가 중요한 이유는 사이버 공격이 지속적으로 고도화되고 있기 때문이다. 보안기업들은 새롭게 발생하는 공격을 분석하고 대응방법을 찾아 업데이트해야 하는데, 이 과정에서 발생하는 비용을 제대로 받지 못하고 있어 보안기업의 수익성이 낮아진다는 것이 보안업계의 주장이다.
KISIA는 유지보수 서비스 수준에 따라 차등적으로 유지보수료율을 정하는 방법을 제안해왔으며, 이를 보다 구체화해 보안성 유지 서비스 비용을 객관적으로 책정하고, 이 내용을 포함하는 표준계약서를 제작하고자 한다.
심종헌 회장은 “일반적인 IT 제품 개발은, 신제품 개발이 완료된 후 해당 개발팀은 최소한의 인력을 제외하고 다른 제품 개발에 투입된다. 그러나 보안 제품은 신제품 개발 이후 더 많은 인력이 투입돼 새로운 공격에 대응할 수 있는 기술을 개발하게 된다”며 “보안제품에 대해서는 일상적인 유지보수료 외에 보안 수준을 준수할 수 있도록 제공하는 서비스 비용을 지급할 수 있도록 해야 한다”고 강조했다.
“업계 리딩 기업이 ‘제값받기’ 앞장서야”
그러나 보안성 유지보수 서비스료를 별도로 부과하는 것이 쉬운 일은 아니다. 국내 보안 제품을 사용하는 기업/기관이 유지보수료를 현실적으로 지급하지 않을 뿐 아니라 보안제품의 가격조차 정당하게 지급하지 않기 때문이다.
KISIA가 오랫동안 보안 솔루션 가격의 현실화와 유지보수료율 현실화를 위해 노력해왔지만, 저가 제품만을 찾는 고객과 출혈 경쟁을 통해서라도 레퍼런스를 확보하고자 하는 보안기업의 관습을 개선하기는 어려운 일이다.
KISI는 정부가 추진하고 있는 정보보호산업진흥법에 이와 관련된 내용을 포함시켜 현실성 있는 서비스료율을 보장받고자 한다. 그러나 서비스료율을 현실화한다면서 초기 제품 도입 가격을 대폭 낮춰 결과적으로 보안 기업이 받아야 하는 금액의 총액을 낮추는 관행이 정착했던 선례를 생각해보면 법을 통해 서비스료를 강제하는 것이 현실성 있는 대안이라고 할 수 없다.
심 회장은 “우선은 업계를 리드하는 기업들이 앞장서서 서비스료와 제품에 대한 정당한 댓가를 요구하면서 분위기를 만들어야 한다. 이와 함께 법을 통해 공공기관을 중심으로 기술에 대해 현실적인 비용을 부과할 수 있도록 해야 한다”며 “KISIA는 정부 유관기관과 지속적인 협의를 통해 이 내용이 현실화될 수 있도록 노력할 것”이라고 밝혔다.
보안기업 M&A 적극 지원
한편 KISIA는 보안기업간의 M&A를 적극 지원하기 위해 전문인력 충원과 컨설팅·서비스 기업과의 협업 및 세미나 개최, 정보교류 등의 활동을 진행하겠다고 밝혔다.
심종헌 회장은 “사물인터넷(IoT)과 같은 새로운 환경을 보호하기 위해서는 포인트 보안 솔루션으로 해결할 수 없으며, 다양한 기술의 연합으로 해결해야 한다. 이를 위해 보안 기업간의 다양한 형태의 제휴와 협업이 필요하며, M&A를 통해 보다 깊이 있는 통합이 가능한 보안 기술과 서비스를 제공할 수 있도록 해야 한다”고 말했다.
심 회장은 “M&A에 대한 부정적인 인식이 있지만, 좋은 기술을 가진 기업들이 힘을 모아 통합된 보안 전략을 제공해야 한다는 데에 동의하는 의견이 동의를 얻으면서 M&A를 긍정적으로 평가하는 분위기가 조성되고 있다”며 “보안 기업들의 협업을 통해 규모를 키워나가면서 기술과 마케팅, 영업 전반을 진화시켜야 한다”고 설명했다.
