정보보호산업협회가 20주년을 맞아 현안 과제를 조사한 결과 업계 대다수가 정보보호 서비스 대가를 현실화해야 한다고 응답했다. 법으로 명시된 서비스 대가를 제대로 받지 못했다며 이를 개선해야 한다고 답한 비율이 전체 62.5%에 달했다. 2위인 '공정한 발주문화 정착'(12.5%)에 비해 무려 50%포인트(P) 가까이 높게 나왔다. 정보보호 종사자 가운데 60% 이상이 정보보호 서비스 대가를 거론할 정도라면 문제가 심각하다는 이야기다.
정보보호 서비스는 소프트웨어(SW) 유지관리 서비스와 다른 개념이다. 보안 서비스를 유지하고 관리하기 위한 필수 서비스다. 여기에는 보안 정책관리, 위험사고 분석, 보안성 인증 효력 유지, 보안 기술 자문 등을 모두 포함한다. 보안 제품에서 사이버 위협에 대응해 실시하는 보안 업데이트도 대부분 서비스 대가 항목이다. 2015년에 제정된 '정보보호 산업 진흥에 관한 법률'에서 명문화했다. 정부와 협회는 별도 연구 조사를 거쳐 인건비 등을 감안한 산정 대가까지 9.9%로 확정했다.
그러나 현실은 전혀 딴판이다. 법이 시행된 지 3년이 지났지만 보안성 서비스 대가를 책정한 기관이나 기업은 전무하다. 내년도 정부 예산에조차도 반영될 지 미지수다. 가뜩이나 공공 영역에서 보안 예산 후려치기가 관행처럼 이뤄진다는 비판이 거세다. 정부와 공공기관부터 보안 예산에 인색한 상황에서 민간이 움직일 리 만무하다.
엄격한 적용이 필요하다. 정보보호 분야는 사건이 터지면 일단 늦었다고 봐야 한다. 정보 유출부터 시작해 금전 손실까지 자산 및 인력에 미치는 직간접 피해가 천문학 규모이다. 터지면 대형 사고로 이어지기 일쑤다. 그래서 어느 분야보다 대응과 준비가 철저해야 한다. 보안성 서비스 대가는 이를 위한 최소한의 조치다. 적절한 관리와 업데이트가 지속되지 않으면 기껏 구축한 최첨단 보안 시스템도 무용지물이다. 하루빨리 정보보호 서비스 대가를 현실화해야 한다.
