지난 2일 관련 업계의 이목이 집중된 가운데 실시된 금융결제원의 DDoS 시스템 구매입찰에 시스코와 아버네트웍스의 장비로 진행중인 것으로 알려졌다.
시스코는 안철수연구소가 아버네트웍스는 데이타통신과 ONS 컨소시엄이 각각 참여, BMT를 진행중인 것으로 본지의 확인결과 파악됐다.
당시 금융결제원은 BMT의 공정성과 원활한 진행 등을 이유로 입찰 낙찰사를 밝히기를 거부했으나 담당자의 확인에 의하면 아웃 오브 패스 방식을 지원하는 안티 DDoS 장비를 제공하는 시스코와 아버네트웍스의 장비로 선정된 것으로 밝혀졌다.
이번 입찰은 금융ISAC이 참가기관(은행)에 설치할 DoS 공격 탐지 시스템 24대와 금융결제원에 설치할 2대, 그리고 금융결제원에 설치할 DDoS 공격 차단 시스템 2대 등 총 28대 시스템을 구축하기 위한 것으로 지난 2일 마감됐다.
금융결제원 DoS 공격 공동대응시스템을 위한 제안요청서(RFP)가 특정업체인 시스코 등을 염두에 두고 발주됐다는 의혹을 남겼으나 금융결제원은 제안요청서에 명시한 구축 대상 및 최소구비요건대로 아웃 오브 패스 기능을 제공하는 시스코와 아버네트웍스로 결정했다는 것.
DDoS 공격 차단 시스템의 네트워크 구성이 라우터와 전용으로 네트워크 구성이 되어야하며 DDoS 탐지 시스템은 미러링을 이용한 네트워크 구성이 되어야한다는 등이 제안서에 명시됐다. 현재 이런 기능을 제공하는 회사는 시스코와 시스코의 전략적 투자로 장비가 개발, 판매중인 아버네트웍스(주: 최근 시스코와의 전략적 투자관계는 본사 차원에서 정리된 것으로 알려졌으나 장비개발 당시 시스코의 투자로 개발돼 시스코 장비와 메커니즘이 유사하다)뿐이다.
이에 인라인 형태의 DDoS 전용 장비를 제공하는 업체 및 관련 업계의 반발이 있었으나 금융결제원의 입장은 강경한 것으로 알려졌다. 일부에서는 안티 DDoS 전용 장비의 정확한 규격이 없는 것이 문제라며 DDoS 전용 장비가 고객사에 더 확산되기 전에 CC인증 등을 통해 정확한 규격을 만들어야한다는 의견이 제시되고 있다.
특히 이렇게 일정한 기준이 없는 DDoS 장비 선정에 있어 이번 금융결제원의 DDoS 장비 구매는 전체 금융권 DDoS 장비 구입의 기준처럼 작용할 우려가 있어 정부와 업계, 고객 모두가 납득할만한 장비 선정의 공정한 기준이 마련되는 것이 시급하다는 의견이다.
한편 금융결제원의 BMT는 이번주 마무리돼 2주안에 최종우선협상대상자를 선정하고 7월내 시스템을 설치, 8월내로 가동을 시작할 계획이다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr