#1 강원도 기초지방자치단체 P군은 최근 정보보안시스템 통합 유지보수 용역 사업을 공고했다. 그런데 P군은 해당 사업에 사용되는 장비들의 기술지원협약 내용을 일체 공개하지 않은 상태에서 입찰 참가자에게 기술지원확약서를 받도록 요구했다.

#2 부산시 S구는 얼마 전 보안장비 유지보수 용역을 발주하면서 입찰 참가 시 보안전문업체 A사의 협력사 자격 증명을 요구해 논란을 빚었다. 특정업체 협력사 자격증명 요구에 대한 지적이 일자 S구는 결국 해당 내용을 삭제 후 사업을 재공고했다.

각종 정부 시스템의 디지털·클라우드화에 맞물려 최근 공공분야 정보보안 관련 사업에 대한 시민들의 관심이 집중되고 있다.

그런데, 이들 정보보안 관련 사업에서 각종 불공정 행위가 아직도 다수 발생하는 것으로 확인됐다. 공정한 입찰 행정이 이뤄지기 위해서는 이 같은 불공정 행위가 근절돼야 한다는 게 입찰 참여 기업들의 한결 같은 목소리다.

■기술지원협약 누락

기술지원협약이란 유지관리 사업 발주자가 구축된 장비·제품들의 제조·공급사와 체결하는 것으로, 이들 제조·공급사가 일정한 비용을 받고 정해진 대상 제품에 대해 기술지원을 해 준다는 내용으로 구성된다. 이후 발주처는 사업 발주 시 기술지원협약서 및 협약 내용을 공개해 사업 참여 희망자들에게 해당 내용을 확인할 수 있도록 해야 한다.

지술지원협약에 소요되는 비용이 사업비 총액과 비슷하거나 오히려 비쌀 경우에는 사업을 수주하더라도 수익성이 없기 때문이다. 현재도 사업 낙찰금액을 웃도는 기술지원대가를 요구하는 사례가 근절되지 않은 상황이라는 게 업계의 설명이다.

기획재정부 계약예규인 '정부 입찰·계약 집행기준'에 따르면 계약담당공무원은 물품구매계약을 함에 있어 협약내용을 입찰공고에 명시토록 하고 있다. 또한 계약담당공무원은 공사·용역 및 물품제조(구매)계약 등의 입찰·계약의 집행 과정에서 발주 전에 기술사용(지원)협약 등을 체결하지 않은 채 낙찰자로 하여금 직접 신기술·특허 보유자 또는 물품공급·기술지원사와 체결한 사용협약서 또는 물품공급·기술지원협약서를 제출하게 하는 것을 금하고 있다.

행정안전부 예규인 '지방자치단체 입찰 및 계약집행기준'에서도 계약담당자가 기술지원협약 내용을 입찰공고에 명시하고, 낙찰자 결정 후 낙찰자에게 그 사본을 제공해 낙찰자가 제조사 등으로부터 기술지원확약서를 발급받을 수 있도록 해야 한다고 정하고 있다.

하지만 이 같은 법규가 존재하고 있음에도 불구하고 공공발주처들이 이들 법규를 준수하지 않는 경우가 반복되고 있다.

입찰 참가를 희망하는 기업들은 발주처에 개선을 권고하고 있지만, 발주 담당자의 잦은 인사 교체 탓에 개선이 이뤄지지 못하는 것이다.

■개선 권고에도 복지부동

또한, 사업 수행 기업들이 불공정 피해를 입지 않도록 하는 권고를 무시하는 공공 발주처가 부지기수인 것으로 드러났다.

지자체의 정보보안 유지보수 사업의 경우 발주처 대부분이 '협상에 의한 계약기준 명시'나 '기술능력 평가비중 90% 명시'를 따르지 않고 있는 실정이다.

이들 발주처는 단순 유지보수라는 이유로 최저가입찰을 요구하거나 기술능력 평가 비중을 80%로 두고 사업을 진행하고 있는 것으로 알려지고 있다.

사업 참여 기업들은 물품구매도 아닌 유지관리 사업에서 최저가를 요구하는 것은 지나친 처사라고 항의하고 있다. 기술 인력이 투입되는 유지관리 작업의 특성을 무시한 것이라는 게 이들 기업의 주장이다. 기업들은 무엇보다도 유지관리 사업에서 적정대가 지급이 이뤄져야 한다고 강조했다.

사업 수행자에게 필수적인 작업장소에 대해서도 상호 협의조차 언급하지 않은 발주처들도 상당수 확인됐다. 결국 사업을 수주한 기업들은 창고나 좁은 장소 등 열악한 작업 환경에서 사업을 수행하기도 한다. 정보보안 장비 유지관리 사업을 수행하는 기업 대표이사는 통화에서 "직원들이 춥고 좁은 곳에서 일하고 있는데도 이를 발주처에 전달하는 게 어렵다"며 "혹시라도 발주처에 밉보이게 되면 내년 사업 수주에 불이익을 받게 될까 걱정되기 때문"이라고 말했다.

이 밖에도 협상 계약기준 미명시, 특정제품·규격 요구, 지식재산권 귀속 여부 미명시, 표준계약서 사용 거부 등의 사례들도 확인됐다.

공공분야 ICT 유지관리 사업에 참여하는 기업들은 발주처가 원활한 유지관리 수행을 위해 각종 불공정 행위를 개선해야 한다고 목소리를 높이고 있다.

■CC인증에 GS까지 요구 '과도'

정보보호제품은 정부, 지자체, 공공기관 납품 시 안정성과 품질확보를 위해 막대한 비용과 시간을 들여 국가정보원의 국가용 보안요구사항을 만족하는 CC인증을 취득하고 있다. 이 같은 상황에서 일부 공공 발주처가 GS 인증을 추가로 요구하고 있어 관련 업계가 반발하는 구도가 형성된 상태다. 대부분이 중소기업으로 구성된 정보보호기업들은 GS 인증 추가 요구가 큰 부담이 된다고 하소연한다.

정부(과학기술정보통신부, 기재부, 조달청)는 이들 기업의 애로사항을 반영, 정보보호제품의 인증 일원화를 위해 지난 2019년 9월 수의계약 대상 기술인증제도에 CC 인증을 추가한 바 있다.

CC 인증의 경우에도 EAL3·4 등의 과도한 보증 등급을 요구하는 사례가 빈번하다. 국정원에서는 CC인증 도입 요건을 '준수한 보호프로파일이 없는 국내용 CC등을 획득한 경우 EAL2 이상'으로 정의하고 있다. 하지만 공공발주처들은 보안성 강화를 이유로 과도한 등급을 요구해 다수의 기업 제품이 경쟁 기회조차 얻지 못하는 불공정 사례를 만들고 있다.

정보보안 관련 기업들은 CC인증 관련 불공정 사례 개선율이 절반 가까이에 불과하다고 지적하며 발주처들이 제도를 준수해야 한다고 강조했다.

박광하 기자 다른기사 보기