국내 DDoS업체의 비상한 관심을 불러 일으킨 은행공동 분산서비스거부(DDoS) 공격 대응시스템을 구축하기 위해 실시한 시스템 구매 입찰이 2일 마감됐다.
이번 입찰은 금융ISAC이 참가기관(은행)에 설치할 DoS 공격 탐지 시스템 24대와 금융결제원에 설치할 2대 그리고 금융결제원에 설치할 DoS 공격 차단 시스템 2대 총 28대의 시스템을 구축하기 위한 것으로 금융결제원이 지난달 23일 제안요청서(RFP)를 발주, 열흘만에 마무리됐다.
발주처인 금융결제원은 이날 마감된 입찰에 참여한 업체에 대해서 일절 밝히기를 거부, 참여사를 알 수 없으나 업계 일각에서는 외국 유명 네트워크 업체인 시스코시스템즈와 시스코의 전략적 파트너 업체인 I사 등이 참여했을 것으로 추측하고 있다.
이번 입찰은 최근 들어 사회적 문제로 부각된 금융보안 사고를 막기 위해 실시된 이벤트인데다 향후 국내 금융권 보안 시장 주도권 향배를 가를 수 있는 분수령이 될 수 있어 국내DDoS업체의 지대한 관심속에 진행됐다.
그럼에도 불구하고 이번 입찰은 제안요청서가 나온 지 열흘만에 마감됐다. 초스피드다.
관련업계는 사실상 수행기관인 금융ISAC이 이처럼 속전속결로 입찰을 진행하고 있는 것에 대해 이해하기 힘들다는 반응을 보이는가 하면 입찰 제안서 내용에도 특정업체에 유리하도록 제안서가 꾸며졌다고 불만을 토해내고 있다.
중견 DDoS업체의 한 관계자는“입찰제안서를 받아 검토한 결과,경악을 금치 못했다”면서 “제안서 전반을 훑어 보니 외국 특정업체의 DDoS 시스템 규격에 맞게 제안서가 구성됐다는 의구심을 지울 수 없었다”고 설명했다.
또 다른 업체의 한 관계자도 “이번 입찰은 금융ISAC이 특정업체를 염두에 두고 프로젝트를 추진하고 있다는 의혹을 떨쳐 버릴 수 없을 정도로 특정업체 규격에 너무 흡사하다”면서 “국내 금융 보안의 파수대 역할을 담당하게 될 금융DDoS 시스템을 이처럼 졸속으로 처리하면서 그것도 외국 특정업체 중심으로 몰고 가려는지 이해할 수 없다”고 지적했다.
해당업체들이 이구동성으로 주장하는 제안서 내용을 살며 보면 “DDos 공격 탐지/차단 시스템의 기능부문에서 ‘기존 네트워크 및 서비스에 영향을 미치지 않도록 시스템을 구성해야하고 장애시 트래픽의 바이패스 기능, 공격 트래픽에 대한 패킷 Dump 기능’ 등이 있어야한다"고 명시돼 있었다는 것.
또한 성능부문에서 ‘DoS 공격 차단시스템은 네트워크 구성이 라우터와 전용으로 네트워크 구성이 되어야하며 DoS 공격 탐지 시스템은 미러링 방식을 이용한 네트워크 구성이 되어야만 한다’고 명시돼어 있다는 것이다.
해당업체들은 “이러한 기능 등을 제공하는 시스템은 현재 시스코시스템밖에 없다”고 주장하고 있다.
업계 관계자들은 심지어 금융결제원측이 “이번 입찰 대상 장비는 DDoS 전용 장비의 아웃오브패스 기능이어야만 한다”며 “아웃오브패스 기능을 제공하는 벤더는 시스코가 유일하기 때문에 다른 벤더들은 참여해봐야 결과가 뻔하니 가급적 참여하지 않았으면 한다”고 말을 했다며 흥분했다.
이 같은 업체들의 주장과 관련, 금융결제원의 한 관계자는 “이 사안과 관련, 언급할 입장이 아니다”라고 밝히면서“입찰 참가업체 대해서도 노코멘트”라고 밝혔다.
한편 국내 DDos 전문가들은 "이번 입찰은 국내 금융권 보안을 책임질 핵심 보안장비를 구매하는 사안임을 감안, 다수 장비의 기능들을 다각도로 분석, 가장 뛰어난 장비를 선택해야하는 노력을 경주해야했음에도 불구, 너무 졸속으로 처리되는 느낌을 지울 수 없다”고 아쉬움을 표했다.
심지어 금융보안연구원은 최근 ‘DDoS 대응방안에 대한 적합성 테스트 결과’라는 보고서를를 통해 “정상적인 금융서비스에 방해받지 않고 보안서비스를 제공하기 위해서는 아웃오브패스 기능은 물론 네트워크 라인에 직접 설치하는 인라인 장비라 해도 바이패스 기능을 사용하면 아웃오브패스 기능의 장비와 동일한 기능을 수행할 수 있다”고 지적한 바 있어 이번 금융결제원의 행태에 설득력이 부족하다는 게 업계의 주장이다.
이런 연유로 오늘 마감된 입찰은 두고 두고 국내 DDos업체의 뒷공론을 듣게 될 전망이다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr