© News1 방은영 디자이너

정부가 행정·공공기관용 정보보호 서비스에 '표준계약서'를 마련하고 제대로 된 서비스대가를 지불하겠다는 의지를 보였다. 가격 후려치기, 공짜 유지보수 등을 근절하고 제값을 지불해 국내 정보보호 산업의 기반을 키우겠다는 의미다. 

과학기술정보통신부는 5일 행정·공공기관용 정보보호서비스 표준계약서를 마련했다고 밝혔다.

표준계약서는 총 4장 32개 조문으로 구성돼 있다. 정보보호 서비스를 정보보안 컨설팅서비스, 보안성 지속서비스, 보안관제 서비스 3개 유형으로 분류하고 각 서비스별 계약의 세부내용을 규정한 것이 특징이다.

본래 보안소프트웨어나 정보보호 장비 등은 한번 설치하더라도 해킹 공격 등을 방어하기 위해 지속적인 업데이트와 관리가 필수다. 정보보호 제품을 마치 오피스 프로그램처럼 '한번 설치하면 그만'이라고 인식한다면, 제품을 설치하고도 정보보호 기능을 상실하게 된다.  

이 때문에 보안제품은 '보안 소프트웨어+보안/네트워크 장비+정보보호 서비스' 등을 모두 유료로 구매해야 하지만, '용역/물품' 등으로 구분해 연간 계약하는 정부 공공기관의 구매 특성상 정보보호 서비스는 제값을 받기가 어려웠다.

특히 보안사고가 터지거나 사이버 위협이 대두되면 국내 보안업체들은 마치 '사이버 상비군'처럼 수시로 정부에 불려다니면서도 제대로 된 대가조차 받지 못했던 것이 현실이다. 정보보호 서비스라는 단어 자체가 모든 보안관련 사후처리를 포괄하다보니 과업 범위가 명확하지 않아 추가 대가도 받지 못하고 공짜로 서비스를 제공하는 일도 부지기수였다. 

이번에 과기정통부가 마련한 표준계약서는 이같은 업계 요구를 반영, 침해사고 발생 시 긴급조치 등 정보보호를 위한 특수한 과업을 명시해 계약의 과업범위를 명확하게 했다. 부당한 추가 과업지시 관행도 표준계약서를 통해 개선될 수 있을 것으로 과기정통부는 기대하고 있다.

구체적으로는 서비스 유형에 따른 과업의 범위 및 세부 수행 내용, 발주자와 수급사업자(이하 양 당사자)간 계약관계에서 발생하는 권리와 의무사항 등을 명시했다. 보안사고가 발생할 경우 긴급조치 등 서비스 제공과 관련된 세부조치 사항을 규정한 것이다. 

정보보안컨설팅(제6조)의 경우 △주요정보통신/전자금융 기반시설 취약점 분석·평가 △정보보호 관리체계 인증 △개인정보 영향평가 △취약점 진단 및 모의해킹 △개발보안 및 보안강화 컨설팅 등으로 명확하게 구분했다. 

보안성지속(제7조)의 경우에는 △보안 업데이트 △보안정책관리 △위험/사고분석 △보안성 인증효력유지 △보안기술 자문 등을, 보안관제(제8조) 부문에선 △보안위협 모니터링 및 사이버위협 징후 실시간 대응조치 △기획·진단·분석·운영서비스 △기타 발주자와 수급사업자가 합의한 개별 서비스 등을 규정했다. 

만약 계약 내용에 대해 양 당사자 간 분쟁이 발생한 경우 정보보호산업 분쟁조정위원회에 조정을 신청할 수 있도록 해결 방안도 제시했다.

업계는 이같은 정보보호 서비스 표준계약에 대해 기대와 우려를 동시에 표명하고 있다. 

한 보안업체 대표는 "정부가 정보보호 보안성 유지 서비스에 대해 충분히 인식하고 제값을 주려는 의지를 보이는 점은 매우 높게 평가한다"면서 기대를 나타냈다. 다만 그는 "앞서 소프트웨어 유지보수 및 서비스 대가 표준계약서를 마련할 때도 주무부처 외에 다른 행정부처와 공공기관이 이를 준수하는데는 상당한 기간이 걸렸고, 주무부처의 모니터링과 관리도 그다지 효율적이지 않았다"면서 "이번에는 앞선 사례를 반면교사 삼아 빠른 시간내에 표준계약서가 정착될 수 있도록 과기정통부의 적극적인 노력이 필요하다"고 촉구했다. 

이에 대해 송정수 과기정통부 정보보호정책관은 "향후 행정·공공기관에 표준계약서 사용을 권고하고, 실태를 점검해 표준계약서 사용을 촉진할 계획"이라고 밝혔다.