“나라장터시스템 이용자PC 보안관리 강화 추진 중”

[산업일보]



조달청은 나라장터 보안과 관련한 경인방송의 보도에 대해 “나라장터시스템 이용자PC의 보안관리를 강화하겠다”는 입장을 밝혔다.

경인방송은 “검찰 수사 결과, 관급공사를 조달하는 전자입찰시스템 이용자PC의 보안취약점을 이용, 악성코드를 감염시켜 관급공사 불법 낙찰에 해커와 건설업체의 개입 개연성이 있으며, 해킹에 의한 예정가격 추정이 불가능하도록 입찰서 제출 마감 이후에 다시 예가를 섞어 예정가격을 예측하지 못하도록 시스템을 개선했으나 효과를 기대하기 어렵다”고 보도했다.

이에 대해 조달청은 “보도에서 언급된 것처럼 ‘취약점’은 전자입찰시스템과는 무관하고, 실제 이용자PC의 보안관리가 허술한 보안취약점을 이용한 것”이라며 “이번 해킹 사례는 전자입찰 이용자PC(나라장터 이용기관의 재무관)에 악성코드를 감염시켜 이용자가 전자입찰시스템에 입력하는 정보를 유출 또는 변조한 것으로, 조달청 전자입찰시스템 자체를 해킹한 것은 아니다”라고 설명했다.

조달청은 “나라장터 전자입찰시스템은 공인전자서명과 암호화 기술이 적용돼 보안성이 강화돼 운영 중에 있으나, 이용자PC의 보안성 확보는 물리적으로 한계가 있어 복수예비가격 및 추첨번호 해킹으로 낙찰예정가격 예측이 불가능하도록 보완 조치를 완료했다”고 덧붙였다.

이어 “입찰서 제출 마감 이후, 개찰 단계에서 서버에서 복수예비가격 순서를 무작위로 재배열해 낙찰예정금액 예측이 불가능하도록 함으로써 해킹 실익이 없도록 개선 조치했다”며 “복수예비가격은 서버에서 무작위로 재배열돼, 재무관PC가 악성코드에 감염됐더라도 낙찰예정금액 예측이 불가능해 ‘낙찰가 선정규정을 바꿨지만 별 효과를 기대하기 어렵다’라는 보도내용은 사실과 다르다”고 강조했다.

또한, 재무관PC에서 입력되는 복수예비가격이 악성코드에 의해 변조가 될 수 있어, 최초 서버에서 생성된 금액과 재무관PC에서 전송되는 금액을 대조하여 변조가 불가능하도록 조치한 것이라고 설명했다.

조달청은 “향후 이용자PC의 보안취약점을 이용한 해킹 공격을 원천 차단하기 위해 최신 클라우드 기반의 가상화 서비스 구축을 추진하고 있다”며 “이용자의 중요 입찰행위(투찰, 예가추첨, 예가작성 등)를 이용자PC가 아닌, 조달청에서 제공하는 보안안전지대인 클라우드 기반의 가상화PC에서 통합 처리돼 이용자PC의 해킹이 원천적으로 불가능하도록 운영할 예정”이라고 밝혔다.

클라우드 기반이란 개인별 사무처리용 정보자원을 사무실에 직접 설치·보관하는 대신 별도 데이터센터에 통합 설치·보관하고 통신망으로 원격 접속해 사용하는 환경을 말한다.