소프트웨어사업 대가산정 가이드 개정안이 최종 확정돼 지난 20일 공표됐다. 하지만, 올해 처음 포함된 정보보호 부문의 경우 구체적인 요율이 명시되지 않아 연내에 실효를 거둘 수 있을지 의문이다. 발주처 및 공급처의 인식이 정착돼야 할 뿐만 아니라 실제 예산편성이 뒷받침돼야 하기 때문이다.
한국소프트웨어산업협회(회장 조현정)와 한국정보보호산업협회(회장 홍기융)는 상용소프트웨어 유지관리 요율을 기존 13%(3등급 기준)에서 15%로 상향조정한 것을 골자로 한 '2016년 소프트웨어 사업 대가산정 가이드' 개정안을 공표, 시행에 들어갔다.
이번 대가산정 가이드에는 지난해 12월 시행된 '정보보호산업 진흥법'에 따라 마련된 '정보보호 서비스 대가기준'도 반영이 됐다. 정보보안 컨설팅의 종류를 구체적으로 명시했으며, 보안성 지속 서비스와 보안관제 서비스 비용을 산정하는 방식을 예시까지 들어가면서 설명하고 있다.
보안성 지속 서비스 비용의 경우 '최초 제품 구매 계약금액'에 일정 비율의 서비스 요율을 곱하는 방식으로 산정하도록 했다. 보안성 지속 서비스는 △보안업데이트 △보안정책관리 △위험/사고 분석 △보안성 인증효력 유지 △보안기술 자문 등이며, 가이드라인에서는 "해당 정보보호 제품 및 서비스의 특성을 검토하여 발주기관과 업체가 상호 협의하여 요율을 정한다"고 명시하고 있다.
결국 보안성 지속 서비스 비용은 구체적으로 몇 퍼센트가 돼야 하는지에 대한 언급은 없어 정보보호 업계는, 일단 해당 비용이 명시적으로 계산돼야 한다는 것을 규정한 것만으로 만족할 수 밖에 없게 됐다.
보안관제 서비스 역시 구체적으로 몇 퍼센트의 서비스 요율을 적용해야 할 것인지는 명시되지 않았다. 다만, 이번 가이드라인의 의미라면, 보안관제는 24시간 근무한다는 특성이 직접인건비 산정 기준에 반영이 됐다. 그동안은 man-month 개념으로 직접인건비를 산출했지만, 앞으로는 man-hours 방식을 사용해 실제 근무한 공수를 기초로 임금을 계산한다.
보안관제 서비스 비용의 산정은 [직접인건비+제경비+기술료+직접경비]의 형태로 계산한다. 이번 가이드라인에서 제경비는 직접인건비의 100~120%, 기술료는 직접인건비와 제경비를 합한 금액의 20~40%를 적용하는 방안을 권장했다.
이는 '엔지니어링 사업 대가기준'을 준용한 것인데, 보안관제 서비스의 경우 실제로 얼마나 반영이 될지는 미지수다. 예를 들어, 직접인건비가 1000만원이라면, 제경비 요율과 기술료 요율을 얼마로 책정하느냐에 따라 전체 서비스 비용은 최소 2520만원에서 최대 3080만원으로, 최대 560만원 차이가 나게 된다. 고무줄 산정이나 다름없다는 얘기다.
당초 업계가 목표로 삼았던 서비스 요율은 대략 20%선. 하지만, 이번 가이드라인에서 수치가 빠진 것은 예산을 다루는 기획재정부의 판단에 따른 것으로 보인다.
한국정보보호산업협회는 이번 가이드 라인 공표와 관련해, 앞으로 시행 결과를 지켜보면서 서비스 요율에 관해 지속적인 연구를 해 나간다는 계획이다. 협회는 이를 위해 지난 4월 민·관 합동 모니터링단을 발족한 바 있다.
박영하 자유기고가 (yhpark@nextdaily.co.kr)

저작권자 © 넥스트데일리 무단전재 및 재배포 금지