[열린마당]전자입찰 보안관리 시급

◆신홍식 한국전자인증 사장 　

　과거에 오프라인으로 이루어지던 입찰, 계약, 세금계산서 발급 등의 업무가 전자시스템화하고 있는 가장 큰 이유는 비용절감의 측면과 더불어 인터넷을 통해 투명성·공정성을 확보할 수 있기 때문이다. 그런데 지난 9월 대우증권 직원의 주가조작 사건에 이어 바로 며칠 전 관급 전자입찰시스템을 조작해 250억원대의 부정낙찰을 받은 사건이 드러나 업계에 충격을 안겨주었다.

　가장 투명하고 공정해야 할 전자시스템에서 이와 같은 문제가 발생하는 이유는 무엇일까. 오프라인 시스템의 경우 이미 장기간의 경험과 시행착오를 통해 최적의 상태로 정착됐으나 전자시스템은 초기 시장 형성기와 함께 시장 확대기를 빠른 속도로 거치고 있기 때문에 시행착오가 나타나는 것이다.

　이번에 문제가 된 전자입찰시스템의 경우 모 정보통신업체와 한 공개키기반구조(PKI) 솔루션업체가 공동으로 보안시스템 구축을 맡았다. 그런데 담당 지방자치단체 공무원과 건설업체·정보통신업체가 공모한 뒤 암호시스템을 조작해 범죄행위를 저지른 것이다. 전자시스템을 총괄하는 관리자가 범죄를 계획할 수 없도록 사전에 차단할 수 있는 별도의 대책이 있어야 하는데 대부분의 기업이나 관공서가 이를 간과하고 있다. 이번 일은 기초적인 보안관리체제도 갖춰지지 않은 우리의 현실을 극명하게 보여준 전형적인 사례라 할 수 있다.

　전자입찰시스템에 액세스해 프로그램 조작이 가능하도록 방치된 것은 신원 확인을 비롯한 인적보안 및 시스템보안에 대한 관리가 전혀 되지 않는다는 뜻이다. 문제가 된 이 시스템은 외부 인터넷데이터센터(IDC)에 설치돼 보안관리의 허점을 이용한 기초적인 안전사고였다. 이러한 전자입찰과 관련한 사고를 예방하려면 현실적으로 인증서비스의 도입이 필요하다.

　인증서비스는 물리적 보안은 물론 인적보안·시스템보안 등을 통합한 보안관리체계에 맞춰 운용되는 서비스다. 또 인증기관은 다양한 인증사고의 예방 및 관리에 대비해 국내외 인증기관 관련 법·제도에 따라 엄격한 서비스를 실시하고 있으며 국제적인 컨설팅 기관들로부터 인증서비스 감사를 정기적으로 받는 등 매우 엄격한 기준에 맞추어 운영되고 있다. 예를 들어 시스템의 접근, 인증서의 발급, 입찰 및 계약정보의 열람 등의 중요한 업무에는 반드시 2명이 동시에 작업을 수행하도록 하는 듀얼 액세스 시스템(dual access system)을 운용하고 있다. 특히 금전과 관련한 부정이 개입될 소지가 높은 전자입찰 및 전자계약 서비스가 확산되고 있는 현실에서 보안관리 인프라의 도입이 시급한 때다. 이러한 사고를 방지하기 위해서 자체 내 보안관리 인프라를 갖추든지 또는 보안관리체계를 엄격하게 갖춘 공인인증기관을 활용하는 방안이 요구된다.

　정부의 정책적 대응도 필요하다. 공인인증서 사용을 강제사항으로 두고 있는 조달청의 전자입찰시스템과는 달리 지자체와 공기업에서는 권고사항으로만 돼 있어 많은 중소 규모의 정부 기관들은 공인인증서를 활용하지 않고 있다. 새롭게 자리잡아가고 있는 전자시스템 전체에 대한 관계당국의 일관성 있는 기준을 마련하고 중소 규모의 관급입찰 시스템이라 해도 공인인증을 기반으로 보다 안전한 국가종합전자입찰시스템(G2B)을 이용하도록 하는 것도 좋은 해결책이 될 수 있다.

　전자인증은 인프라 구축만으로 끝나는 것이 아니다. 이를 적극적으로 활용해야 하고 시스템이 원활히 운용되도록 관리하는 것 또한 구현을 위한 필수요소다. 인증업무는 거래의 거래의 첫번째이자 마지막이다. 인증은 정확한 전자거래를 위해 꼭 필요한 절차며 개인이나 기업의 원활한 전자거래를 유도하기 위해서는 ‘안전한 전자인증’이라는 인식을 심어주는 것이 가장 시급한 일이다. 실수도 큰 스승이다. 전자입찰시스템을 조작해 250억원대의 부정낙찰을 받은 사건은 안전한 전자인증이 얼마나 중요한가를 재차 깨우쳐준 일이다.

　shinn@crosscert.com