고객 맞춤형 방식이 태반… 제대로 된 서비스 대가 받아야
보안 제품 가운데서도 안티바이러스, 침입방지시스템(IPS), 웹방화벽, UTM 장비는 공격 방어를 위한 패턴(시그니처) 업데이트 서비스가 반드시 필요하다. 특히, 사람 손이 많이 가는 웹방화벽의 경우 홈페이지 리뉴얼이나 페이지 수정 시 일일이 인력이 투입되어야 한다. 초기 도입 비용의 30~40%는 최소한 유지보수비로 받아야 하지만 어느 업체 하나 만족할만한 서비스 대가를 받지 못하고 있는 상황이다.
보안 기능 유지보수율
나우콤 IPS, 웹방화벽 15%
소프트런 PMS 15%
시큐아이닷컴 웹방화벽, IPS 8~15%
안철수연구소 안티바이러스/ IPS, UTM 70~80% , 10%
파이오링크 웹방화벽 5%~ 15%
포티넷 UTM 30%
티핑포인트 IPS N/A
유지보수 서비스에는 패턴 업데이트를 비롯해 HW수리 및 장애 시 교체, OS 버전 업데이트, 정기적인 모의 해킹을 통한 취약점 진단 서비스, 콜센터 문의서비스, 기술센터 운영 비용 등이 포함된다. 대부분의 업체들이 보안제품 도입 후 1년 간은 무상 서비스를 해주고 다음해 서비스 계약을 맺고 있다.
◆ 고정된 유지보수율 '의미 없어'= 본지가 IPS, 웹방화벽, UTM 제품을 공급하는 국내외 주요 네트워크 보안업체들을 대상으로 조사한 결과, 보통 국내 업체들은 5~10%, 외산 장비 업체들은 10~20%를 서비스 유지보수율로 잡고 있었다. UTM(통합보안) 장비는 안티바이러스, IPS, 웹방화벽 기능을 모두 포함할 경우 30% 정도를 받고 있는 것으로 나타났다.
무상서비스 기간, 유지보수율을 제대로 밝힌 곳은 단 한 곳도 없었다. 고객 성향에 따라 달라지기 때문에 확정적으로 말하기가 힘들다는 것이다. 업체들은 정해 놓은 유지보수율을 받을 수 있을 지도 의문이라고 말했다.
네임밸류가 있는, 이른바 레퍼런스 효과가 큰 고객 사이트일 경우 업체들 간 경쟁이 치열한 나머지 R&D 관련 비용을 무시한 채 무상 서비스 기간을 늘리거나 유지보수율 0%의 파격적인 조건을 제시하는 일도 종종 있다고 한다.
국내 IPS 시장 대표 업체인 나우콤의 유지보수율은 15%이며 보통 장비도입 후 2년간 무상 서비스 해주고 있다고 밝혔다. 한해 보안 사업 매출 290억 가운데 약20억이 서비스 비용으로부터 나오는데, 이는 유지보수비로 평균 10%도 채 받지 못하고 있음을 의미한다. 나우콤 이인행 상무는 "고객 예산에 따라 받게 되는 서비스 비용이 들쑥날쑥하다. 3%밖에 못 받는 사이트의 경우 인건비도 안나오지만 차후사업을 보고 어쩔 수 없이 조건을 맞춰야 하는 곳도 있다"고 말했다.
◆서비스 갱신 고객, 절반도 안 돼= 무상 서비스 기간이 지나 서비스 갱신을 하는 고객은 절반도 안되는 것으로 파악된다. 이 때문에 도입한 보안장비가 제대로 쓰이지지도 않은 채 전시품처럼 비치되기 십상이라는 게 해당업체들의 설명이다.
장비를 도입했어도 제대로 된 유지보수 서비스를 받지 못한다면 보안장비는 무용지물이 된다. 서비스 갱신을 한 장비에 한해서만 패턴 업데이트가 이뤄지기 때문이다. 장비를 최소 3년은 사용해야 ROI(투자대비효과)를 달성할 수 있는데, 구색 갖추기 식으로 장비 도입에만 급급한 게 국내 보안 실상이라고 보안업체 관계자들은 지적했다.
국내 웹방화벽 시장 대표 업체인 파이오링크는 공공시장 유지보수율의 경우 5~8%에 지나지 않는데, 제대로 된 서비스 수행을 위해 최소 30~40%는 받아야 한다고 주장했다. 업체들이 HW개발에 대한 투자 외에 서비스 수준 향상에 집중할 수 있는 구조로 바뀌어야 한다는 것이다.
파이오링크 이장노 팀장은 "보안관리자는 보안 장비가 제 기능을 하도록 일일이 신경쓰기 힘들다. 전문업체에 서비스를 맡기고 결과물만 보는 형태로 변해야 하고, 그러기 위해 고객과 업체 모두 서비스에 눈을 돌려야 한다"고 전했다.
김정은 기자
jekim@itdaily.kr