KCI등재 학술저널

보안서비스 대가 현실화 및 정보보호 생태계 조성을 위한 법·제도 개선방안 연구

A Study on Legal and Institutional Improvement Measures for Realizing Fair Compensation for Security Services and Establishing an Information Security Ecosystem

DOI : 10.36623/KSMA.2024.81.2
인공지능, 클라우드 등 IT기술의 발전으로 디지털 대전환 시대가 확산되면서 랜섬웨어 나 생성형 AI를 이용한 자동화된 사이버공격도 증가하고 있다. 더 나아가 사이버공격기술 공유 플랫폼의 확대로 비전문가에 의한 사이버공격도 쉽게 가능해짐에 따라 신속하게 위 협요인을 파악하고 대응하여야 하는 정보보호 전문기업들의 역할은 나날이 중요해지고 있 다. 그럼에도 불구하고 정보보호 서비스를 제공하는 기업들은 대체로 적정대가를 받지 못 하고 있는 현실에 직면해 있다. 보안서비스 대가 현실화에 관한 산업현장의 요구는 이미 오래전부터 제시되었음에도 불구하고 여전히 해결되지 못하는 것은 개별 기업의 서비스 품질의 문제라기보다 근본적 인 원인이 개선될 수 있도록 접근하는 것이 필요하다. 이에 본 연구에서는 보안서비스의 주요 수요처인 국가나 공공기관의 예산이 산정되는 구조에 주목하였으며, 예산산정기준이 현실을 반영할 수 있게 마련될 수 있도록 적정단가 산정을 위한 전문가로 구성된 예산심의 위원회를 운영하고 가격평가가 아닌 기술평가로 선정될 수 있도록 평가체계를 개선하고, 보안서비스에 책정된 예산은 낙찰차액이라 하더라도 보안사업에 재투자 될 수 있는 체계 를 확보할 것을 제안하였다. 추가적으로 국가사이버위기관리경보 발령에 따른 추가과업이 장기화될 경우를 위한 예비비 산정, 계약상의 불합리한 조건 개선 등을 제안하였다. 정보보호 서비스 기업이 적절한 대가를 받지 못하는 문제는 결국 서비스 품질 저하로 이어져 국가 전반의 보안성을 약화시킨다. 정보보호산업은 ‘안전, 안보’와 연결되는 문제라 는 점에서 적정수준의 대가 지급은 시장자율에만 맡기기보다 국가의 지속적인 관심과 지원이 필수적이다. 민감하고 대량의 정보를 보유하고 있는 국·공공기관부터 대가 현실화를 시작하여야 하며, 이를 통해 정보보호산업 생태계의 개선과 기업 경쟁력 강화를 도모할 수 있기를 기대한다.

With the advent of the digital transformation era, propelled by advancements in IT technologies such as artificial intelligence (AI) and cloud computing, the frequency and sophistication of automated cyberattacks, including ransomware and generative AI-driven exploits, have significantly increased. Furthermore, the proliferation of cyberattack technology-sharing platforms has enabled even non-experts to carry out such attacks with relative ease. Consequently, the role of information security firms, which are responsible for the swift identification and mitigation of these threats, has become increasingly pivotal. Despite their critical importance, however, companies providing information security services often face systemic challenges in securing fair and adequate compensation for their work. Although calls from industry stakeholders for the equitable pricing of security services have been made for years, the issue remains unresolved. This ongoing challenge stems less from the service quality of individual firms and more from structural inadequacies requiring comprehensive reform. This study examines the budget-setting mechanisms employed by key consumers of security services, such as national and public institutions. It recommends the establishment of budget review committees, comprising domain experts, to determine fair pricing structures that reflect industry realities. Furthermore, it advocates for the refinement of evaluation frameworks to prioritize technical assessments over cost considerations during the selection of service providers. The study also proposes that any residual funds from procurement processes be reinvested into security-related initiatives to bolster the industry’s sustainability. Additional recommendations include the establishment of contingency budgets to address extended operational requirements arising from national cyber crisis management alerts and the rectification of inequitable contractual terms. The systemic undervaluation of information security services not only undermines the quality of these services but also compromises the broader security infrastructure of the nation. Given the critical intersection of the information security industry with national safety and security imperatives, achieving fair compensation for such services necessitates sustained governmental oversight and support, rather than reliance on market forces alone. Reform initiatives should commence with national and public institutions, which manage vast and sensitive datasets. By ensuring the realization of fair compensation within these sectors, it is anticipated that the information security ecosystem will be strengthened, fostering industrial competitiveness and enhancing national cybersecurity resilience.

Ⅰ. 서론

Ⅱ. 정보보호 전문기업 지정 현황

Ⅲ. 보안서비스 대가 산정 현실 및 문제점

Ⅳ. 보안서비스 대가 현실화를 위한 법·제도 개선방안

Ⅴ. 결론

