서버 성능검증 시스템 `구멍`....공공기관 거짓 서류 검증방법 없다

공공서버 시장 현황
공공서버 시장 현황

IT장비 성능검증 시스템에 ‘구멍’이 뚫렸다. 장비성능을 속여 공급해도 구축 단계에서 검수할 시스템이 없다. 공공기관이 검수에 취약하다.

25일 관계기관과 업계에 따르면 국내 하드웨어(HW) 도입 사업에서 성능을 나타내는 지표인 ‘tpmC’를 검증하지 않는 것으로 확인됐다. tpmC는 1분당 트랜잭션 처리속도다. 세계 성능평가단체 TPC(Transaction Processing Performance Council)에서 만들었다. TPC 홈페이지에는 서버 스펙별 tpmC 결과 값을 공개한다. 유일한 서버 성능평가 값으로 각국 정부와 기업은 장비도입 시 이를 준용한다.

정부도 정보시스템 구축·운영 지침에 따라 필요한 하드웨어(HW) 성능 기준을 tpmC로 제시한다. 공공기관에 서버를 납품하려면 tpmC 수치를 제안서에 기입해야 한다.

TPC 홈페이지 화면(www.tpc.org)
TPC 홈페이지 화면(www.tpc.org)

국내는 업체가 제시한 tpmC 수치를 검증할 수 없다. 장비업체가 수주를 목적으로 tpmC 수치를 조작해 납품하더라도 확인할 방법이 없다. TPC 성능평가 없이 자체 추정치를 제안서에 기입하는 사례도 적지 않다는 지적이다.

한국정보통신기술협회(TTA) 관계자는 “공공기관이 도입한 서버 절반이 사실상 거짓 tpmC 수치를 제시하는 것으로 의심된다”며 “하지만 우리나라에서 업체가 제시한 tpmC 성능을 확인할 과정은 없다”고 말했다.

업체가 악의적으로 tpmC 수치를 조작할 때 피해는 민간보다는 공공 부문이 크다. 기업은 주로 실제 사용할 애플리케이션을 서버에 설치해 성능 검증을 한다. 실제 환경에서 테스트하기 때문에 성능조작을 도입 전 파악할 수 있다. 반면에 단순 장비 증설이 많은 공공기관은 실환경 테스트가 어렵다.

사전 성능검증 어려운 것은 비용과 인식부족 때문이다. tpmC 성능을 검증하려면 전용 센터와 TPC 승인이 필요하다. 서버, 스토리지, DB, 미들웨어 등을 구입해 검증센터를 구축하는 데 20억~30억원이 든다. TPC에서 검증을 위한 라이선스도 구매해야 한다. 업체가 제공한 tpmC 수치를 무조건 수용하는 인식도 개선이 필요하다.

문제점도 속속 나타났다. 최근 일부 공공기관은 성능을 속인 장비를 구매한 사실이 감사원 감사결과에서 드러났다. 국방부, 교육부, 인천국제공항공사는 tpmC 성능 검증 방안을 고민 중이다.

TTA 관계자는 “일본과 중국 등은 TPC와 계약을 맺고 평가위원을 데려와 tpmC 수치를 검증한다”며 “우리도 정부 차원에서 고민할 필요가 있다”고 말했다.

행자부 관계자는 “TPC가 홈페이지에 공개한 수치 외에 수요자가 성능을 검증할 방법이 없는 것은 문제”라며 “개개 사업마다 서버 성능을 검증하는 것은 현실적으로 쉽지 않은 작업”이라고 전했다.

정용철기자 jungyc@etnews.com