교육행정정보시스템 사업자 선정 앞두고 서버보안제품 `외산 특혜` 의혹

 

 국내 시큐어OS 솔루션 업체들이 교육인적자원부가 실시하는 ‘전국단위 교육행정정보시스템 구축’ 프로젝트의 정보보호시스템 도입 계획 중 ‘서버보안’ 부문에서 특정 외산제품을 지목하고 있다는 의혹을 제기하고 나섰다.  

 교육인적자원부가 이번 프로젝트의 사업자 선정에 앞서 조달청에 심사의뢰한 제안요청서에 방화벽과 IDS 제품의 경우 ‘K4이상의 인증을 받은 제품’으로 명시, 포괄적인 기준을 마련한 반면 서버보안 부문에서는 국정원의 보안성 검토를 받은 국산제품이 있음에도 불구하고 외국 A사 제품에만 있는 기능을 기본요건으로 제시했기 때문이다.

 교육인적자원부의 주관으로 시행되는 이번 프로젝트는 교육인적자원부를 포함해 전국 16개 시·도교육청과 지역교육청, 학교 등에 서버·시스템소프트웨어·통신장비·정보보호시스템 등 물적기반 조성과 환경을 구축하는 것으로 583억원 규모의 초대형 정보화 프로젝트다. 정보보호시스템 부문은 방화벽, 침입탐지시스템(IDS), 공개키기반구조(PKI), 서버보안 등 각종 솔루션이 도입될 예정이다.

 시큐어OS 솔루션 업체들이 교육인적자원부의 이같은 제안요청서에서 지적하는 부분은 △계정 관련 변동사항이 운용체계와 완벽히 연동 △사용자 계정 유효기관 관리 △사용자별 접근 가능한 서비스 사용시간 통제 △모니터링 등 총 4가지다.

 국산 시큐어OS 솔루션을 개발한 B업체의 한 임원은 “지난해 국산 2개 시큐어OS 제품이 국정원의 보안성 검토를 거쳐 행자부로부터 행정정보보호용 시스템으로 선정돼 올해 조달청과 행정기관용 정보보호시스템에 대한 공급단가 계약을 체결했다”며 “이번 제안요청서 내용을 면밀하게 살펴보면 국산제품을 외면하는 것으로 해석된다”고 말했다. 이어 “A사 제품만이 지원하는 4가지 기능은 시큐어OS의 기본적인 요건인 파일시스템 보호와는 크게 상관없는 부가적인 관리기능”이라며 “국산제품도 4가지 기능을 현재 지원하지 않을 뿐 개발을 못하는 것은 아니다”고 설명했다.

 이들 업체는 또 교육인적자원부가 이번 프로젝트를 구축한 후에는 국정원으로부터 보안성 심사를 받아야 하는데 소스를 공개하지 않는 외산제품을 도입할 경우 심사에서 통과하기 어렵고, 자칫하면 시스템을 재구축해야할 가능성이 있다고 지적했다.

 이와 관련해 교육인적자원부는 국내업체들의 문제제기가 사실과 크게 다르다는 입장이다. 이용해 교육인적자원부 사무관은 “이번 프로젝트가 워낙 대규모이고 복잡해 단순기능만으로는 정보보호가 어렵기 때문에 서버보안의 경우 최소 기본적인 스펙을 명시한 것일 뿐 특정제품을 지목한 것은 아니다”며 “방화벽과 IDS의 경우 K4 이상 등급 제품으로 규정했으나 서버보안제품은 관련 인증이 없고 조달청이 단가계약을 체결한 제품은 꼭 선택해야할 강제조건이 아니기 때문에 사양만 제시한 것”이라고 말했다. 또 “국정원의 보안성 심사에는 서버보안 분야는 없는 것으로 알고 있으며 이와 관련해 국정원측과 협의할 예정이라 별다른 문제는 없을 것”이라고 덧붙였다.

 이번 ‘전국단위 교육행정정보시스템 구축’ 프로젝트는 정보보호 부문에서 총 109카피의 시큐어OS 제품을 도입하는 사상 최대 국내 서버보안 프로젝트로 이를 놓고 국산업체들의 문제제기가 계속 이어질 전망이어서 앞으로 교육인적자원부의 행보에 귀추가 주목된다.  

 <서동규기자 dkseo@etnews.co.kr>