보안산업 망치고 국가의 보안수준 떨어뜨리는 고질적인 병폐
악순환 지속에 대한 전문가 의견, 크게 5가지로 정리
[보안뉴스 오다인 기자] “10년 동안 안 바뀌었다.” 보안 유지관리비 산정 문제는 보안산업을 망치고 국가의 보안수준을 떨어뜨리는 고질적인 병폐로 이어져 왔다. 보안 종사자부터 보안 연구자까지 한 목소리로 ‘10년간 개선되지 않은 문제’라고 지적하면서도 어디서부터 어떻게 풀어가야 할지 몰라 주춤대는 문제가 바로 보안 유지관리 적정대가 산정 문제다.
[이미지=iclickart]
두 달여 전인 2017년 12월 19일, 과학기술정보통신부 유영민 장관은 SW(소프트웨어) 산업 육성을 위한 공공 SW 사업 혁신방안 발표회를 열고 “4차 산업혁명 시대의 핵심은 SW 분야인데 SW 제값주기와 일하기 좋은 산업환경이 정착되지 못해 우수 인재들이 SW 산업으로의 진출을 망설이는 등 SW 산업생태계 전반의 개선이 필요하다”고 말했다.
소프트웨어 제값주기가 정착되지 못한 가운데서도 보안 소프트웨어 유지관리에 대한 적정대가 산정은 보안의 특수성이 감안되지 못해 더욱 심각한 문제가 된다. 일반 소프트웨어의 경우, 그 유지관리는 소프트웨어 자체 결함에 대한 후속 조치가 대부분이다. 그러나 보안 소프트웨어는 끊임없이 나타나는 보안 위협에 대응하기 위해 악성코드 분석과 상응하는 패치가 지속적으로 이뤄져야 하나 이에 대한 대가는 제대로 평가되지도, 산정되지도 않았다.
한국소프트웨어산업협회의 ‘SW사업 대가산정 가이드(2017년 개정판)’는 대가산정 활동을 “SW사업 전체 수명주기 동안 반복적으로 수행되는 활동으로 발주자나 수주자를 비롯한 다양한 이해관계자들에게 큰 영향을 미치는 중요한 활동”이라고 정의한다.
SW사업 대가산정 가이드는 SW 유지관리 및 운영비의 유형을 △요율제 유지관리비 △투입공수 방식 운영비 △고정비/변동비 방식 유지관리 및 운영비 △SLA(Service Level Management) 기반 유지관리 및 운영비 정산법 등 4가지로 구분한다.
이 같은 유형은 보안 소프트웨어 유지관리와 운영비에도 동일하게 적용될 수 있지만, 대개 보안 유지관리비라고 하면 ‘보안성 지속 서비스비’를 가리키는 경우가 많다. 보안성 지속 서비스는 “정보보호제품을 활용하여 정보의 훼손·변조·유출 등을 방지하기 위해 지속적으로 요구되는 기술 기반의 서비스비 산정 시 적용하는 방법”이다(SW사업 대가산정 가이드, 242쪽).
보안성 지속 서비스는 최초 제품 구매 계약 금액에 일정 서비스 요율을 적용해 그 대가를 별도로 산정한다. 이때 서비스 요율은 보통 10% 수준에서 책정되는 것으로 알려져 있으나 실제 협상 과정에서 10%도 채 못 받는 경우가 허다한 데다 요율 자체가 보안의 특수성을 전혀 반영하지 못한 턱없이 낮은 수준이라는 것이 핵심 문제다.
결과적으로 보안 서비스 품질을 낮추고 이용자를 위험에 노출시키는 이 문제에 대해 다수의 보안 전문가로부터 의견을 듣고 주요 쟁점을 5가지로 정리해 봤다.
1. 보안 소프트웨어가 일반 소프트웨어와 똑같이 취급되는 문제
보안 소프트웨어는 매순간 나타나는 위협에 대응하기 위해 패치 또는 업데이트가 수시로 진행돼야 하는 만큼 일반 소프트웨어의 유지관리와 별도로 취급돼야 한다. 다시 말해 유지관리 측면에서 보안 소프트웨어가 일반 소프트웨어보다 훨씬 더 많은 시간과 비용이 들어가므로 그 대가 산정 역시 이에 상응한 수준에서 산정돼야 한다.
이와 관련 한 외국계 보안업체 대표는 △24시간 대기상태의 A/S △일정 시간 내 A/S △일반 소프트웨어 A/S 등 3가지 등급으로 유지보수 유형을 구분해 서비스에 따라 가격(요율)을 상이하게 책정해야 한다고 제시했다. 그는 이용자가 특정 수준 이상의 서비스를 원하면 그에 상응하는 가격을 지불하는 것이 원칙이며, 사건마다 유지관리 수준도 다르기 때문에 사건 대응 시 시간당으로 보안인력 사용 비용을 지불해야 한다고 강조했다.
2. 보안업계뿐만 아니라 소프트웨어업계 전체의 유지관리 하도급 문제
한 마디로, 소프트웨어업계의 뿌리 깊은 ‘갑을(甲乙)’ 구조가 문제다. 위에서 아래로 물고 물리면서 하도급을 주고, 결과적으로 서비스 제공업체인 소프트웨어 업체가 실제 수령하는 유지관리비가 매우 낮아진다는 점이다. 보안 유지관리 시 하나라도 제대로 해결하기보다 대충 빨리 해결하려는 구조가 굳어지는 배경이다. 이처럼 총체적인 갑을 문제는 빠른 시일 내에 해결되기 어려워 보이고 보안 유지관리도 마찬가지로 전망된다고 전문가들은 지적했다.
3. 저가 경쟁에 발 담그는 업체가 전체 보안업계 물을 흐리는 문제
공공기관 사업 발주 시 ‘일단 시장에 진입하고 보자’라는 생각에 저가 경쟁에 돌입하는 업체가 전반적인 대가 산정 수준을 낮춰 놓는 문제가 발생한다. 보안 종사자 및 전문가들은 이를 두고 ‘물귀신 작전’이라고 비판했다. 경쟁에서 밀린 타사뿐만 아니라 자사까지 망하게 만드는 일이라는 것이다.
제값을 못 받고 서비스를 제공하게 되면 그만큼 품질이 낮아지고 보안에 구멍이 생긴다. 다른 업체들의 경우에도, 시장의 평균 가격이 너무 낮아지더라도 ‘울며 겨자 먹기’로 이를 수용할 수밖에 없고 보안 유지관리 서비스의 품질이 떨어지면서 보안사고가 생기게 된다. 보안 전문가들은 입찰 시 시장 진입에만 목맬 것이 아니라 특정 가격 이하로는 하지 않겠다고 정해두는 것이 장기적으로 자사 및 전체 보안업계를 키우는 길이라고 조언했다.
또한, 공공기관부터 보안 유지관리를 위한 예산을 묶어두고 집행하는 것이 필요하다. 기획재정부처럼 우리나라 예산을 총괄하는 정부부처부터 보안의 중요성을 인지하고, 관련 예산을 확정적으로 편성하는 것이 보안 유지관리 적정대가 산정을 위한 하나의 기준이 될 수 있다. 어느 보안 전문가는 “정부가 약간의 손해를 보더라도 보안 유지관리에 대해 제대로 값을 쳐줘야 한다”고 말했다. 무엇보다 보안은 4차 산업혁명의 근간이자 국가 안보의 기반이기 때문이다.
4. 보안에 대한 일반적인 인식 자체가 저조하다는 문제
아직까지 공공기관 및 민간 기업에서 보안은 ‘사고만 안 터지면 되는 문제’라고 생각하는 것이 근본적인 문제다. 보안 유지관리비는 필수적인 비용이 아닌 부수적인 비용이고, 따라서 되도록 줄일수록 좋은 비용이라고 생각한다. 공공기관과 민간기업 모두 보안 유지관리비를 최대한 깎으려는 건 바로 인식 수준이 낮기 때문이다. 게다가 소프트웨어에 제값을 쳐주는 문화가 형성돼 있지 않다. 인터넷은 공짜, 소프트웨어도 공짜라는 인식이 지배적이다.
5. 보안 소프트웨어의 품질이 저하되고 전문인력 양성이 어렵다는 문제
주객전도(主客顚倒). 주인과 손님이 뒤바뀌는 문제가 바로 보안 유지관리 적정대가 산정에서의 근본적인 문제라고 할 수 있다. 보안 유지관리비가 합리적인 선에서 산정되지 않으면서 원래 하려고 했던 것(보안성 강화)을 하지 못하게 되는 결과가 나타난다. 보안성을 높이려면 그에 상응하는 대가가 주어져야만 한다.
보안 소프트웨어의 품질이 저하되면 이는 곧 이용자에 대한 보안성 약화로 돌아오고, 기업의 수익성도 떨어진다. 적정대가를 보장받지 못하면 예산 부족으로 전문인력 양성도 어렵게 된다. 인력이 없으면 기술 개발도 어렵다. 악순환은 이렇게 계속될 수밖에 없다.
[오다인 기자(boan2@boannews.com)]
악순환 지속에 대한 전문가 의견, 크게 5가지로 정리
[보안뉴스 오다인 기자] “10년 동안 안 바뀌었다.” 보안 유지관리비 산정 문제는 보안산업을 망치고 국가의 보안수준을 떨어뜨리는 고질적인 병폐로 이어져 왔다. 보안 종사자부터 보안 연구자까지 한 목소리로 ‘10년간 개선되지 않은 문제’라고 지적하면서도 어디서부터 어떻게 풀어가야 할지 몰라 주춤대는 문제가 바로 보안 유지관리 적정대가 산정 문제다.
[이미지=iclickart]
두 달여 전인 2017년 12월 19일, 과학기술정보통신부 유영민 장관은 SW(소프트웨어) 산업 육성을 위한 공공 SW 사업 혁신방안 발표회를 열고 “4차 산업혁명 시대의 핵심은 SW 분야인데 SW 제값주기와 일하기 좋은 산업환경이 정착되지 못해 우수 인재들이 SW 산업으로의 진출을 망설이는 등 SW 산업생태계 전반의 개선이 필요하다”고 말했다.
소프트웨어 제값주기가 정착되지 못한 가운데서도 보안 소프트웨어 유지관리에 대한 적정대가 산정은 보안의 특수성이 감안되지 못해 더욱 심각한 문제가 된다. 일반 소프트웨어의 경우, 그 유지관리는 소프트웨어 자체 결함에 대한 후속 조치가 대부분이다. 그러나 보안 소프트웨어는 끊임없이 나타나는 보안 위협에 대응하기 위해 악성코드 분석과 상응하는 패치가 지속적으로 이뤄져야 하나 이에 대한 대가는 제대로 평가되지도, 산정되지도 않았다.
한국소프트웨어산업협회의 ‘SW사업 대가산정 가이드(2017년 개정판)’는 대가산정 활동을 “SW사업 전체 수명주기 동안 반복적으로 수행되는 활동으로 발주자나 수주자를 비롯한 다양한 이해관계자들에게 큰 영향을 미치는 중요한 활동”이라고 정의한다.
SW사업 대가산정 가이드는 SW 유지관리 및 운영비의 유형을 △요율제 유지관리비 △투입공수 방식 운영비 △고정비/변동비 방식 유지관리 및 운영비 △SLA(Service Level Management) 기반 유지관리 및 운영비 정산법 등 4가지로 구분한다.
이 같은 유형은 보안 소프트웨어 유지관리와 운영비에도 동일하게 적용될 수 있지만, 대개 보안 유지관리비라고 하면 ‘보안성 지속 서비스비’를 가리키는 경우가 많다. 보안성 지속 서비스는 “정보보호제품을 활용하여 정보의 훼손·변조·유출 등을 방지하기 위해 지속적으로 요구되는 기술 기반의 서비스비 산정 시 적용하는 방법”이다(SW사업 대가산정 가이드, 242쪽).
보안성 지속 서비스는 최초 제품 구매 계약 금액에 일정 서비스 요율을 적용해 그 대가를 별도로 산정한다. 이때 서비스 요율은 보통 10% 수준에서 책정되는 것으로 알려져 있으나 실제 협상 과정에서 10%도 채 못 받는 경우가 허다한 데다 요율 자체가 보안의 특수성을 전혀 반영하지 못한 턱없이 낮은 수준이라는 것이 핵심 문제다.
결과적으로 보안 서비스 품질을 낮추고 이용자를 위험에 노출시키는 이 문제에 대해 다수의 보안 전문가로부터 의견을 듣고 주요 쟁점을 5가지로 정리해 봤다.
1. 보안 소프트웨어가 일반 소프트웨어와 똑같이 취급되는 문제
보안 소프트웨어는 매순간 나타나는 위협에 대응하기 위해 패치 또는 업데이트가 수시로 진행돼야 하는 만큼 일반 소프트웨어의 유지관리와 별도로 취급돼야 한다. 다시 말해 유지관리 측면에서 보안 소프트웨어가 일반 소프트웨어보다 훨씬 더 많은 시간과 비용이 들어가므로 그 대가 산정 역시 이에 상응한 수준에서 산정돼야 한다.
이와 관련 한 외국계 보안업체 대표는 △24시간 대기상태의 A/S △일정 시간 내 A/S △일반 소프트웨어 A/S 등 3가지 등급으로 유지보수 유형을 구분해 서비스에 따라 가격(요율)을 상이하게 책정해야 한다고 제시했다. 그는 이용자가 특정 수준 이상의 서비스를 원하면 그에 상응하는 가격을 지불하는 것이 원칙이며, 사건마다 유지관리 수준도 다르기 때문에 사건 대응 시 시간당으로 보안인력 사용 비용을 지불해야 한다고 강조했다.
2. 보안업계뿐만 아니라 소프트웨어업계 전체의 유지관리 하도급 문제
한 마디로, 소프트웨어업계의 뿌리 깊은 ‘갑을(甲乙)’ 구조가 문제다. 위에서 아래로 물고 물리면서 하도급을 주고, 결과적으로 서비스 제공업체인 소프트웨어 업체가 실제 수령하는 유지관리비가 매우 낮아진다는 점이다. 보안 유지관리 시 하나라도 제대로 해결하기보다 대충 빨리 해결하려는 구조가 굳어지는 배경이다. 이처럼 총체적인 갑을 문제는 빠른 시일 내에 해결되기 어려워 보이고 보안 유지관리도 마찬가지로 전망된다고 전문가들은 지적했다.
3. 저가 경쟁에 발 담그는 업체가 전체 보안업계 물을 흐리는 문제
공공기관 사업 발주 시 ‘일단 시장에 진입하고 보자’라는 생각에 저가 경쟁에 돌입하는 업체가 전반적인 대가 산정 수준을 낮춰 놓는 문제가 발생한다. 보안 종사자 및 전문가들은 이를 두고 ‘물귀신 작전’이라고 비판했다. 경쟁에서 밀린 타사뿐만 아니라 자사까지 망하게 만드는 일이라는 것이다.
제값을 못 받고 서비스를 제공하게 되면 그만큼 품질이 낮아지고 보안에 구멍이 생긴다. 다른 업체들의 경우에도, 시장의 평균 가격이 너무 낮아지더라도 ‘울며 겨자 먹기’로 이를 수용할 수밖에 없고 보안 유지관리 서비스의 품질이 떨어지면서 보안사고가 생기게 된다. 보안 전문가들은 입찰 시 시장 진입에만 목맬 것이 아니라 특정 가격 이하로는 하지 않겠다고 정해두는 것이 장기적으로 자사 및 전체 보안업계를 키우는 길이라고 조언했다.
또한, 공공기관부터 보안 유지관리를 위한 예산을 묶어두고 집행하는 것이 필요하다. 기획재정부처럼 우리나라 예산을 총괄하는 정부부처부터 보안의 중요성을 인지하고, 관련 예산을 확정적으로 편성하는 것이 보안 유지관리 적정대가 산정을 위한 하나의 기준이 될 수 있다. 어느 보안 전문가는 “정부가 약간의 손해를 보더라도 보안 유지관리에 대해 제대로 값을 쳐줘야 한다”고 말했다. 무엇보다 보안은 4차 산업혁명의 근간이자 국가 안보의 기반이기 때문이다.
4. 보안에 대한 일반적인 인식 자체가 저조하다는 문제
아직까지 공공기관 및 민간 기업에서 보안은 ‘사고만 안 터지면 되는 문제’라고 생각하는 것이 근본적인 문제다. 보안 유지관리비는 필수적인 비용이 아닌 부수적인 비용이고, 따라서 되도록 줄일수록 좋은 비용이라고 생각한다. 공공기관과 민간기업 모두 보안 유지관리비를 최대한 깎으려는 건 바로 인식 수준이 낮기 때문이다. 게다가 소프트웨어에 제값을 쳐주는 문화가 형성돼 있지 않다. 인터넷은 공짜, 소프트웨어도 공짜라는 인식이 지배적이다.
5. 보안 소프트웨어의 품질이 저하되고 전문인력 양성이 어렵다는 문제
주객전도(主客顚倒). 주인과 손님이 뒤바뀌는 문제가 바로 보안 유지관리 적정대가 산정에서의 근본적인 문제라고 할 수 있다. 보안 유지관리비가 합리적인 선에서 산정되지 않으면서 원래 하려고 했던 것(보안성 강화)을 하지 못하게 되는 결과가 나타난다. 보안성을 높이려면 그에 상응하는 대가가 주어져야만 한다.
보안 소프트웨어의 품질이 저하되면 이는 곧 이용자에 대한 보안성 약화로 돌아오고, 기업의 수익성도 떨어진다. 적정대가를 보장받지 못하면 예산 부족으로 전문인력 양성도 어렵게 된다. 인력이 없으면 기술 개발도 어렵다. 악순환은 이렇게 계속될 수밖에 없다.
[오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
