국방부가 여전히 외부망에 안티바이러스솔루션(이하 백신)을 제대로 설치하지 못한 것으로 드러났다. 2016년 국방망 해킹 사고 후 외부망(인터넷망)과 내부망(국방망)에 서로 다른 백신을 설치, 보안을 강화한다는 취지가 무색하다.
15일 업계에 따르면 국방부는 지난해 11월 외부망 백신으로 선정한 '맥아피'를 1년이 다 되도록 설치하지 못한 것으로 나타났다. 국방부 '운용성 평가 시험'조차 통과하지 못했다. 국방부는 내부망 백신인 하우리 제품을 외부망까지 사용하고 있는 것으로 밝혀졌다.
맥아피 국내 총판 네오티스는 지난해 국방부와 외부망 백신 계약을 체결하고 11월까지 구축을 완료한 후 12월부터 가동할 계획이었다. 막상 뚜껑을 열어 보니 현실은 달랐다. 군 백신 체계 특성상 맞춤형 구축이 필요하지만 국내 기업과 달리 본사 소통, 결정 등에 많은 시간이 필요했다. 게다가 국방부 시스템과 백신 간 충돌 문제까지 발생했다. 결국 구축 완료 시점을 1년 가까이 넘겼다. 백신 구축은 설치, 운용성 평가, 검수, 최종 계약 형태로 진행된다. 네오티스와 국방부 간 맥아피 백신 운용 계약 기간은 2019년 12월 31일까지다. 1년 동안 설치가 지연됐고, 검수가 완료돼도 계약 기간은 1년여밖에 되지 않는다.
국방부 관계자는 “국방부 백신 설치를 담당한 기존 업체와 달리 소통 등에 문제가 있어 계획보다 늦어졌다”면서 “문제가 된 시스템 충돌 등은 대부분 해소됐다. 일부 부가 기능 운용성 평가가 진행되고 있다. 11월 내 외부 백신 설치가 완료될 것”이라고 말했다.
외부망 설치 지연은 기존 백신 사업자와 갈등도 유발했다. 하우리는 네오티스 이전에 국방부 내외부망 모두에 백신을 공급했다. 문제는 맥아피 백신 설치가 지연되면서 국방부가 하우리 백신을 여전히 외부망에 사용한다는 사실이다. 국방부는 하우리에 2016년 계약 당시 가격으로 백신 연장 사용을 요구했다. 해당 비용은 국방부가 네오티스와 맺은 계약금의 3분의 1 수준이다.
하우리는 국방부에 새로운 계약을 바탕으로 증액된 백신 비용 지급을 요청했다. 국방부가 사용료를 월 단위로 지급하기 때문이다. 반면 국방부는 기존 2016년 계약서에 연장 기한을 따로 정하지 않은 만큼 추가 비용을 지급할 필요가 없다는 입장이다. 하우리는 올해 국방부 내부망 사업자로 다시 선정됐다.
전문가는 국방부 내외부망 구축 사업에 대해 근본 대책을 마련해야 한다고 지적한다. 국방부 백신 사업은 해킹 사고 위험이 크고 수익성이 낮아 보안업계에서 기피하고 있다. 게다가 국방부가 업계 특성을 고려하지 않고 2016년에 발생한 내부망 해킹 책임을 보안 기업에 미루고 있어 국내 기업 참여는 더 어렵게 됐다.
김승주 고려대 정보보호대학원 교수는 “국방부 백신 구축 사업은 '독 든 성배'라고 표현할 정도로 좋은 레퍼런스를 가져갈 수 있으나 수익성이 터무니 없이 낮고 위험성은 높아 업계가 기피하고 있다”면서 “국방부는 단순히 관련 예산은 몇 % 증액하는 수준이 아니라 현실성 있는 계약 조건을 제시하는 노력을 기울여야 문제 해결 실마리를 찾을 수 있을 것”이라고 지적했다.
정영일기자 jung01@etnews.com