보안업계가 일체형 정보 보호 제품(어플라이언스)의 분리 발주가 필요하다고 주장한다. 상용 소프트웨어(SW) 분리 발주 제도에 어플라이언스를 포함하는 내용의 논의를 본격화한다.
SW 분리발주 제도는 공공 SW 사업에서 시스템 통합(SI), 하드웨어(HW), 네트워크와 같은 정보기술 용역을 발주자가 일괄 계약할 때 불거지는 폐해를 막기 위해 도입됐다. 계약을 체결한 기업이 사업에 적용할 SW 제품 선택권과 가격 결정권을 가지는데, 이는 SW 기업이 제값을 받지 못하는 상황을 만들었다.
정부는 폐해를 막기 위해 2010년 상용 SW 기업과 직접 계약, 구매할 수 있도록 SW를 별도로 발주하는 제도를 도입했다. 하지만 일체형 정보보호제품인 어플라이언스는 HW와 SW가 결합한 형태이므로 SW 분리 발주 대상에 포함되지 않았다.
8일 열린 ‘정보보호 제도 개선 협의체 4차 회의’에서는 일체형 정보보호제품이 제도상 HW로 분류돼 직접 구매 대상이 아니기 때문에 제도의 사각지대에 놓인 문제를 끄집어냈다.
KISIA는 자체 조사 결과 어플라이언스의 SW 원가비율은 73%으로 나타나 HW보다 SW가 높은 비중을 차지했다고 밝혔다. HW는 SW가 정상적으로 작동할 수 있도록 보조하는 역할이며 실제적인 정보보호활동은 SW에서 이뤄지고 있다는 셈이다. 하지만 제도상에서 HW로 분류되다 보니 결국 SI 기업의 하도급으로 참여해 가격을 하향 조정하는 폐해가 지속되고 있다고 지적했다.
실제로 발주처들은 방화벽(FW)과, 침입방지 시스템(IPS)와 같은 어플라이언스 제품을 직접 구매 대상에서 제외하고 있다. 9월 문화체육관광부가 발주한 ‘사이버 안전센터 보안 관제 시스템 확충’ 사업도 마찬가지다. 문체부는 제안요청서에 상용 SW 직접 구매 제외 사유로 ‘국정원 CC인증 HW 일체형(어플라이언스) 제품으로 납품이 필요', ‘분리 발주 시 40% 정도 비용 상승 초래’라고 명시했다.
분리 발주 시 추가 비용을 내야 한다는 것을 바꿔 말하면 직접 구매 시 내야 할 비용을 그동안 내지 않고 있었다는 의미가 된다. 보안업계가 ‘제 값을 받지 못한다'고 항의하는 이유도 여기에 있다.
2010년 SW 분리발주 제도가 도입 당시에도 사각지대에 대한 업계의 우려가 있었다. 보안업계 내에서는 해묵은 논의지만 다시 제도 개선 논의에 불씨를 댕긴다.
업계에서는 과학기술정보통신부 고시인 ‘소프트웨어 사업 계약 및 관리 감독에 관한 지침’의 직접구매 대상에 SW뿐만 아니라 일체형 정보보호 제품도 포함하거나 ‘정보보호산업의 진흥에 관한 법률’을 개정해 ‘정보보호 직접 구매’ 제도를 신설하자는 의견이 있다.
KISIA 관계자는 "하위 고시에서 어플라이언스를 SW로 통합하는 방법 등 다양한 구체적인 방향성에 대해 논의를 시작하려 한다"며 "2022년 제도 개선 논의를 구체화해 정부에도 공식적으로 개선을 요청할 생각이다"고 말했다.
이어 "국내 보안 시장에서 FW, IPS 제품의 비중이 적다고 볼 수 없는 만큼 우선적으로 개선해야 할 제도로 보고 있다"고 말했다.
과기정통부 관계자는 "어플라이언스는 실물로 존재하는 장비기 때문에 SW진흥법상 직접 구매 대상에 포함되는 것은 어렵다"며 "조달청이 사용하는 SW 의미 자체를 새롭게 해석해야 하거나, 법 개정 이슈가 있다"고 말했다.
류은주 기자 riswell@chosunbiz.com