앞으로 국가종합전자조달시스템(나라장터)을 이용하는 기업이 가상PC를 통해 조달업무를 처리할 수 있도록 전자입찰의 보안이 한층 강화된다.
조달청은 나라장터 입찰을 해킹으로부터 더욱 안전하게 보호하기 위해 이 같은 내용의 ‘제2단계 가상입찰 서비스 구축사업’을 추진한다고 24일 밝혔다.
조달청은 오는 9월 말까지 2단계 가상입찰 체계를 구축하고, 10월부터 본격적인 서비스를 개시할 예정이다.
이번 사업의 핵심은 나라장터를 이용하는 조달기업이 가상의 PC를 통해 투찰업무를 처리할 수 있는 체계를 만드는 것이다.
조달청은 ‘클라이언트 PC 가상화 방식’을 도입, 조달기업이 가상의 PC에서 투찰업무를 처리할 수 있게 함으로써 나라장터의 해킹을 원천 차단할 방침이다.
A기업이 정부기관이 발주하는 시설공사에 참여하기 위해 나라장터를 이용한다고 가정해 보자.
첫 단계로 A기업 입찰담당자가 사무실 PC(물리적 PC)에서 나라장터에 접속하면 논리적으로 망이 분리된 가상 PC로 연결된다.
그 다음 단계로 가상PC에서는 입찰 담당자의 나라장터 접속을 허용할 것인지 승인절차를 밟게 된다.
로그인 시 물리적 PC의 지문보안토큰에 저장된 인증서로 입찰자 신원이 확인된 경우에는 나라장터 접속이 승인된다. 승인이 완료되면 업무처리 화면으로 연결돼 투찰이 가능한 상태가 된다.
이후 입찰 담당자는 가상PC에서 입찰금액 및 예가추첨 등의 투찰업무를 처리하게 된다. 업무처리 결과는 나라장터 서버로 전송된다.
물리적 PC에 연결된 가상PC는 실행 전에 운영체제(OS) 조작 및 위·변조 여부 등 문제가 없는지 자동으로 검증하는 기능을 한다. 특히 가상 PC에서는 나라장터 접속만 허용되며, 외부의 원격제어에 의한 해킹을 원천차단해 보안성을 확보하게 된다.
즉, 조달기업 사무실에 있는 이용자 PC를 해킹하더라도 복수예비가격 작성 및 투찰, 추첨 등의 주요 입찰업무는 가상화 서비스를 통해 처리된다. 이에 따라 정보유출 및 변조·조작이 원천적으로 불가능해진다는 게 조달청의 설명이다.
조달청은 이번 2단계 사업 추진에 앞서 작년 12월 공공기관에 1단계 가상입찰 서비스를 도입한 바 있다.
1단계 서비스는 재무관 PC에 ‘클라우드 서버 가상화방식’을 적용하는 것을 골자로 하고 있다. 사용자 PC는 화면만 사용하고 예정가격 작성은 나라장터에서 제공하는 보안 안전지대인 가상화 서버에서 처리하는 것이다.
조달청에 따르면 이 같은 1단계 가상입찰서비스를 통해 그간 1만2137개 기관에서 총 15만1280건의 예정가격 작성업무를 처리해 해킹을 원천적으로 차단하는 성과를 거둔 것으로 나타났다.
아울러 조달청은 가상입찰 서비스 도입에 앞서 해킹의 실익이 없도록 지난 2012년 10월에는 재무관이 저장한 복수 예비가격 번호를 개찰 단계에서 무작위로 재배열했다.
또한 지난해 1월에는 최초 서버에서 생성돼 재무관 PC로 송신된 금액과 재전송되는 금액을 대조하는 기능을 추가했다. 이를 통해 예비가격의 변조·조작이 불가능하도록 했다.
하지만 나라장터 서버에 비해 상대적으로 보안이 취약한 공공기관 및 조달기업 PC에는 여전히 구멍이 있었다.
서울중앙지검은 2012년 9월 이전에 집행된 전자입찰에 대한 수사를 통해 작년 4월과 12월 부정낙찰 사건을 적발한 바 있다. 중앙지검 수사결과 일부 업체가 악성코드를 이용한 해킹을 통해 불법 낙찰을 받은 사실이 확인됐다.
조달청은 이처럼 악성코드를 감염시켜 입찰정보를 유출하거나 변조·조작하는 부정행위를 막기 위해 가상입찰 서비스를 도입하게 됐다.
조달청 백명기 전자조달국장은 “기존 물리적 PC는 갈수록 지능화·고도화되고 있는 해킹 위험에 노출돼 있다”며, “안전한 전자거래를 위한 최적의 수단으로 가상화 서비스를 도입하게 됐다”고 밝혔다. 아울러 “앞으로도 나라장터 보안을 지속적으로 강화할 예정”이라고 강조했다.
