`국방부 백신 사업은 수주해도, 안 해도 문제다.`
보안업계가 국방부 백신체계 교체 사업을 앞두고 수주 딜레마에 빠졌다. 국방부 백신사업은 2년 마다 나오는 최대 사업 중 하나다. 하지만 국방부 백신을 수주하는 기업은 사이버 공격자의 집중 표적이 된다. 군 주요기밀을 탈취하려는 조직은 지속해서 국방부 백신 기업이나 제품을 해킹한다. 현재 솔루션은 물론 과거 제품과 기업도 줄줄이 해킹 공격을 피하지 못했다.
백신에서 보안 취약점을 찾아 공격하면 국방부는 물론이고 주요 공공기관으로 침투하는 사이버 땅굴로 이용할 수 있기 때문이다. 보안업체는 제품이 공격당하면 신뢰도에 치명상을 입는다.
위험은 높은데 사업비는 넉넉지 않다. 국방부는 지난 2014년 하우리와 2년 계약을 맺고 현재까지 `바이로봇` 백신을 사용했다. 당시 예산은 17억원. 사업 수주 금액은 예산대비 80~90% 수준에서 낙찰된다.
기업은 전군에 흩어진 30만대에 달하는 PC에 백신을 설치하고 관리한다. 전방부터 후방까지 모든 PC에 백신을 설치하고 업데이트하는 작업이 요구된다. 카스퍼스키랩에 따르면 하루에 탐지되는 악성코드가 32만3000개에 달한다. 신종 악성코드가 나타나면 신속히 패치해야 피해를 줄인다. 군 특성상 시도 때도 없는 위협 분석과 업데이트 요청에 비하면 예산이 적다는 게 공통 의견이다. 백신 공급뿐만 아니라 국방부 직원 교육도 담당한다. 국방부 상주인력은 기업 내에서 가장 유능한 연구원이다.
국방부는 인터넷PC망과 국방망, 전술지휘통제자동화체계(C4I) 등 3개 네트워크로 구성된다. 여기에 효율적으로 최신 백신을 배포하는 중계서버도 800대나 필요하다. 관리 지점이 많으면 공격 표면이 늘어난다. 이번 국방망 해킹 사고도 중계서버 취약점이 이용됐다. 800대 서버 중 한 곳이라도 보안 규정을 벗어나면 바로 사이버 위협에 노출된다.
인지도가 낮은 기업은 국방 백신사업을 지나칠 수 없다. 국방부 백신 사업 수주는 `사이버 안보`를 지킨다는 명분을 준다. 다른 공공사업 수주도 영향을 미친다. 현재 사업자인 하우리는 물론 국내외 기업이 이해득실을 따지는 이유다. 2013년 사업자였던 잉카잉터넷과 새해 이스트소프트에서 분사하는 이스트시큐리티, 바이러스체이서를 인수한 SGA솔루션즈 등이 수주전에 뛰어들 가능성이 높다. 보안적합성 시험성적서 제도 시행에 따라 공공시장 진출에 문턱이 낮아진 글로벌 기업도 기회를 엿본다.
한 백신 업계 관계자는 “국방부는 사업 때마다 공급자를 바꿨는데 이번 해킹 사고로 더욱 철저한 제품 관리를 요구할 것”이라면서 “수주하면 가시밭 길을 걷는 `독이 든 성배`라는 인식이 강하다”고 토로했다. A기업 보안담당자는 “국방부가 어떤 백신을 선택하든지 충분히 예산을 확보하고 검증절차와 자체 운영관리에 신경 써야 한다”면서 “최신 솔루션 도입과 함께 보안 규정 준수가 더 중요하다”고 지적했다.
김인순 보안 전문기자 insoon@etnews.com
