공공 보안 사업에 혼란 가중…부적합 제품 권고, 발주처와 소통 부족 등 문제

[컴퓨터월드] 공공시장 보안 시스템 구축 사업에 있어 정보통신산업진흥원(NIPA)의 전문성과 소통이 부족한 분리발주 권고가 사업 추진에 혼란을 야기하고 있다. 하드웨어(HW)와 소프트웨어(SW)가 통합된 어플라이언스 제품을 분리발주하라고 요구한다거나, 용처에 맞지 않는 제품을 권고하는 등 다소 황당한 내용으로 업계의 불만을 사고 있다.

NIPA는 소프트웨어산업진흥법 제24조의4에 따라 국가기관 등의 SW사업에 대해 관련 법령의 준수를 관리·감독하는 전문기관으로 활동하고 있다. 하지만 최근 공공 보안 시스템 구축 사업에서 NIPA의 전문성 없는 분리발주 권고가 사업 추진에 오히려 걸림돌이 되고 있다는 것이다.

최근 국토교통부의 보안 시스템 구축 사업에서의 문제가 대표적이다. 지난 6월 게시된 이번 사업은 노후화된 보안 시스템을 교체하고, 빅데이터 기반 차세대 보안 관제 체계를 구축하는 것이 목표다. 주요 사업 내용에는 방화벽, 침입방지시스템(IPS), SSL 트래픽 가시화 장비, 위협관리시스템(TMS), 통합보안관제시스템 구축 등이 포함된다.

NIPA는 이 사업에 대해 발주한 SW사업의 규모가 5억 원 이상이므로 분리발주 검토대상에 포함된다며, 분리발주 검토대상 제품군을 함께 권고사항으로 게시했다. 하지만 이 권고사항에서는 크게 2가지의 오류사항이 발견된다.

먼저 일체형 어플라이언스 장비에 대해서도 분리발주를 권고했다는 점이다. 그러나 어플라이언스 장비의 경우 HW에 임베디드된 OS와 SW를 갖고 CC인증 및 GS인증을 받기 때문에, 분리할 경우 인증의 효력이 사라져 공공사업 참여 조건에 맞지 않게 된다는 지적이다. NIPA 측은 이에 대해 “SW 분리발주 제외 사유에 해당하는 경우, 분리발주 제외서를 작성하도록 권고하고 있다”고 밝혔다.

▲ NIPA 분리발주 권고사항 일부. 각 제품군에 맞지 않는 제품이 검토대상으로 선정돼 있다.

또 다른 오류는 검토대상으로 제시한 제품들이 합당하지 않다는 것이다. NIPA는 차세대 사이버위협 인텔리전스 시스템에서 TMS 제품을 검토 대상으로 제시했다. 하지만 사이버 위협 인텔리전스 시스템은 멀웨어 등 보안 위협 정보를 다루는 빅데이터 기반 시스템으로, 모니터링을 위해 다른 보안 장비에서 발생하는 로그 정보를 수집하는 TMS 제품과는 구분된다.

TMS의 경우 퓨처시스템의 ‘위가디아 젠’, 안랩의 ‘트러스가드’ 등 통합 보안 솔루션인 UTM(Unified Threat Management) 제품군을 제시했다. UTM 제품은 방화벽을 기반으로 IPS, VPN 등 다양한 기능을 결합한 통합 솔루션으로, 모니터링 솔루션인 TMS와는 다른 제품이다.

또한 방화벽의 경우 ‘웹 애플리케이션 방화벽(WAF)’ 제품군을 제시하고 있다. ‘웹 애플리케이션 방화벽’은 웹 서비스에 특화돼 웹 트래픽을 감시하고 이를 통한 해킹을 차단하는 솔루션으로, 네트워크 전반을 보호하는 일반적인 방화벽 솔루션과는 다르게 활용된다. 검토대상 제품 선정에 있어 NIPA의 전문성에 대해 의심이 생기는 대목이다.

업계 관계자들은 “일체형 어플라이언스 장비에 대한 분리발주 권고와 검토 대상 품목을 봤을 때 기능에 대한 검토보다 일부 기능이나 이름이 비슷한 것을 권고하는 것으로, 발주처의 도입 의사와 상관없이 NIPA 내부 실적을 위한 권고가 아닌가하는 의심이 된다”면서, “SW 분리발주 제도를 권장하고 성장시키는 것은 좋으나 발주처의 도입 취지에 맞도록 전문가들이 분석하고 권고하는 형태로 발전해야 한다”고 강조했다.

NIPA와 발주처간 소통 문제도 지적된다. NIPA가 사업에 대한 분리발주 권고사항을 게시하면, 발주처는 조달청 및 NIPA에 답변을 제출해야 한다. 조달청도 NIPA의 권고사항을 바탕으로 분리발주 제외 사유서 등을 요구하고 있는 실정이다. 이런 권고-답변 과정으로 인해 사전 공고 이후 본 공고를 게시하는 시점이 늦춰지는 사례가 실제 몇 차례 발생했다. 발주처는 물론, 사업 입찰 참여 기업의 계획에 차질이 생긴 것은 물론이다. 이 같은 문제는 이번 사업 외에 보건복지부 사업 등에서도 발생한 바 있다.

국토부 관계자는 “이번 권고사항과 관련해 조달청 설득 및 권고 이행 과정에서 의견교류가 있었으며, 현재 조치가 완료되고 사업 입찰 공고를 진행 중”이라면서, “이번 사업과 관련해 NIPA가 권고사항을 게시하기 전 발주처와 소통했다면, 입찰 참여 기업에게 혼란을 발생하지 않았을 것”이라고 설명했다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지