가치를같이읽다

나라장터 보안시스템의 ‘사각지대’

나라장터는 국가종합전자조달시스템이다. 거래규모만 서울시 예산의 3배가 넘는다. 정부는 나라장터 구축사업에 수백억원을 투입했고, 그 결과 ‘세계 최고 수준’의 성능이라는 평가를 받았다. 하지만 사각지대가 있었다. 나라장터를 통하지 않고도 ‘입찰정보’를 빼낸 일당이 검찰에 적발됐다.

안전하다고 믿었던 나라장터가 뒤통수를 제대로 맞았다. 나라장터로 올라오는 정부 조달사업에 특정 입찰업체가 낙찰가를 미리 알고 입찰하는 사건이 발생해서다. 검찰은 올 2월 예상가격(예가)을 조작할 수 있는 악성코드를 이용해 수억원 상당의 관급공사를 불법낙찰 받은 일당을 적발했다. 예가조작 악성코드를 지방자치단체의 입찰담당 재무관과 건설사 입찰담당자 PC에 설치해 2006년 10월부터 2012년 9월까지 불법낙찰을 받은 혐의다.

검찰은 악성코드 개발자와 경북지역 건설업체가 범죄를 공모한 것으로 보고 일당 일부를 구속기소하고 일부는 불구속기소했다. 검찰 관계자는 “이들이 더 많은 나라장터 관급공사 불법낙찰에 개입돼 있을 것으로 보고 추가 혐의를 조사 중”이라고 말했다. 

나라장터 거래액 느는데 문제는 많아

나라장터는 조달청의 국가종합전자조달시스템이다. 2002년 10월 정부가 전자정부사업의 일환으로 261억원을 들여 구축했다. 나라장터는 정부의 모든 공사, 용역, 물품구매, 리스, 입찰공고, 업체등록, 입찰•낙찰자 선정, 계약체결, 대금지급 등 조달업무의 모든 과정을 온라인으로 처리한다. 정부에 소속된 모든 공공기관•공기업•산하기관은 나라장터를 통해 조달업무를 진행하도록 돼 있다.

사업규모는 어마어마하다. 지난해 나라장터의 거래규모는 66조7367억원에 달했다. 정부예산 326조원의 20.5%다. 서울시 한해 예산 19조8920억원보다는 3.4배 많다. 계약건수는 158만건, 나라장터를 이용하는 공공기관은 4만5055개에 이른다. 나라장터 등록업체 중 실제 입찰에 참가한 업체는 약 12만7000개였고, 그중 55%는 계약을 체결했다. 업체별 계약 수주액은 평균 6억4000만원이다. 그야말로 황금시장이다. 정부가 2011년 나라장터에 최신 IT기술을 도입하기 위해 98억원의 사업비를 추가로 투입한 이유가 여기에 있다. 사업규모가 크기 때문에 보안시스템을 철저히 구축해야 한다는 판단에서였다.

시스템 구축에만 열을 올린 건 아니다. 혹시 발생할지 모를 ‘불법낙찰’을 미연에 방지하기 위해 낙찰 예상가격(예가) 선정방식도 복잡하게 만들었다.

먼저 발주처 사업의 대략적인 원가와 마진율을 고려해 기초예가 15개를 컴퓨터가 임의로 정한다. 15개 기초예가 중 응찰업체들은 추첨을 통해 2개씩 예가를 뽑는다. 이때 응찰업체는 자신들이 어떤 예가를 뽑는지 알 수 없다. 이렇게 고른 예가 중 가장 많이 뽑힌 예가 4개를 정해진 수식에 대입해 최종 예가를 만든다. 마지막으로 이 최종 예가에 가장 근접한 입찰가를 써내는 응찰자가 낙찰을 받는다. 이처럼 근사치로 낙찰가를 따지기 때문에 무조건 낮은 가격을 써낸다고 좋은 게 아니다. 정확한 예가를 알고 입찰가를 써내야 낙찰률이 높다.

1원 차이로도 낙찰 주인공이 달라질 수 있다. 때문에 입찰시 낙찰률을 높여주는 유료회원제 소프트웨어도 인기를 끌고 있다. 그만큼 입찰가를 예측하는 일은 쉽지 않다.

많은 자금을 투입하고 낙찰가 선정방식을 복잡하게 만든 덕분인지 나라장터의 성능만은 세계 최고 수준으로 평가받는다. 2004년 UN이 발표한 세계 전자정부 수준평가에서 조달분야에선 유일하게 우수사례로 평가를 받았다. 조달청 정보보안 담당자는 “아직까지 단 한번도 해킹을 당한 적 없다”고 말했다.

하지만 나라장터엔 사각지대가 있었다. 나라장터를 직접 해킹하지 않아도 예가를 미리 알아낼 수 있기 때문이다. 사례에서 언급한 것처럼 보안능력이 상대적으로 약한 발주처(일선기관)의 재무관을 공략하면 그만이라는 얘기다.

공공기관 입찰에 다수 참여했다는 익명의 제보자는 “크게 두 가지를 생각해 볼 수 있다”며 말을 이었다. “담당 재무관이 범죄에 직접 가담했을 경우라면 악성코드 설치는 식은 죽 먹기였을 것이다. 재무관이 가담하지 않았다면 응찰업체가 악성코드가 내장된 이동식저장장치(USB)에 제출서류를 담아 재무관에게 전달하는 방법을 택했을 가능성이 크다. 제출서류를 확인하기 위해 방화벽을 제거하고 파일을 열면 재무관도 모르는 사이에 악성코드가 설치되는 방법이다.” 나라장터의 보안시스템은 입찰담당 재무관의 보안의식에 따라 튼튼한 철문이 될 수도, 허접한 싸리문이 될 수도 있다는 지적이다. 

일선 재무관 통한 불법낙찰 가능성 커

문제는 일선 입찰담당 재무관에 대한 보안교육이 의무적이지 않다는 점이다. 조달청 보안담당 주무관은 “조달교육센터를 통해 나라장터 이용에 관한 교육을 한다”며 “교육 내용 안에는 보안 관련 사항도 포함돼 있다”고 설명했다. 그는 하지만 “재무관이 이 교육을 반드시 받아야 할 의무규정은 없다”고 덧붙였다.

문제는 또 있다. 불법낙찰을 방지하기 위해 복수예가방식을 택하고 있지만 약점이 많다. 복잡한 과정을 거치지만 최종예가 4개만 알고 있으면 예상 낙찰가를 얼마든지 계산할 수 있다. 4개의 최종예가에서 최종 입찰가를 산정하는 수식이 공개돼 있기 때문이다. 범행을 저지른 일당이 지자체 입찰담당 재무관과 건설사 입찰담당자의 PC에 악성코드를 심은 것도 최종예가 4개를 빼내기 위해서였다. 국가정보원이 ‘나라장터 보안시스템에 문제가 있다’며 개선을 건의한 이유가 여기에 있다. 조달청 보안담당 관계자는 이렇게 설명했다.

“2012년 10월 이전 발생한 불법낙찰사건 이후 낙찰가 선정규정이 조금 바뀌었다. 국정원이 나라장터 보안시스템을 개선할 필요가 있다고 지적했기 때문이다. 그래서 응찰업체들이 복수예가 중 2개씩을 선정하면 다시 한번 예가를 섞어 (예가를) 알아내지 못하도록 시스템을 보완했다.”

응찰업체가 응찰을 마치고 난 후에 다시 한번 예가를 섞는다는 거다. 그래도 문제는 여전히 남는다. 재무관 PC가 안전하지 못한 이상, 어떤 방식으로든 소프트웨어에 의한 조작 가능성은 계속 남아 있기 때문이다.
보안 담당 관계자는 “최종 예가를 다시 섞으면 불법낙찰이 힘들 뿐만 아니라 최근엔 입찰업체들이 입찰가를 알아내기 어렵게 하기 위해 클라우드 시스템 구축을 추진하는 중”이라며 “입찰업무 담당자가 보안시스템이 엄격하게 적용된 환경에서 입찰관련 업무를 본다면 보안이 강화될 것”이라고 말했다.

10년 가까이 입찰만 전문으로 해 온 한 전문가는 “조달청이 공정한 경쟁환경을 만들기 위해서는 전자시스템을 개선하는 데에만 몰두할 게 아니라 실제 입찰환경을 분석해 공정경쟁을 제한하는 시스템을 개선해야 할 것”이라고 강조했다.
김정덕 기자 juckys@thescoop.co.kr|@juckys3308

김정덕 기자 juckys@thescoop.co.kr|@juckys3308

다른기사 보기

저작권자 © 더스쿠프 무단전재 및 재배포 금지

개의 댓글

회원로그인

작성자 비밀번호

댓글 내용입력

댓글 정렬

최신순 추천순 답글순

BEST댓글

BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다. 닫기

더보기