조달청이 2002년부터 본격 도입한 전자입찰이 시스템 조작 의혹(28일자 1면)에 휘말렸다. 전자입찰은 입찰부터 낙찰까지 전과정이 컴퓨터시스템에 의해 자동으로 진행되기 때문에 불법개입이 원천적으로 불가능하다고 했지만 공무원과 결탁한 업자들은 이 시스템을 무력하게 만들었다.
사례 전자입찰이 정착되기 시작한 2002년 전남도 전자입찰시스템이 뚫렸다. 시스템을 공급한 업체가 이 시스템의 허점을 이용해 이미 응찰한 업체의 입찰가를 변경하는 방식으로 부정낙찰을 받은 사건이었다.
경찰에 따르면 전자입찰시스템을 공급하는 업체는 담당공무원과 결탁해 시스템의 메인 장치를 다른 곳에서 조작할 수 있도록 꾸미는 등 보안의 틈새를 파고 들었다. 이들은 이 같은 방법으로 250억원 상당(21건)의 공사를 따냈다.
2월 인천지검 부천지청은 공공기관 발주공사 전자입찰에서 건설면허 보유 업체의 전자인증서를 빌려 낙찰받는 수법으로 740억원 규모의 공사를 따낸 혐의로 중견 건설업체 대표 등 업자 6명을 구속 기소했다.
민간기업의 전자입찰도 부실하기는 마찬가지였다. 2004년 10월에는 대형건설업체가 발주한 아파트 창호공사 입찰에 참여했다가 경쟁사의 사업자 등록번호만 있으면 발주사의 인터넷 사이트에서 해당업체의 전자입찰 ID와 암호를 알아낼 수 있는 허점을 이용해 업체의 응찰가를 본 뒤 이보다 낮은 가격을 제시, 130억원의 부당 이익을 챙긴 기업 관계자가 경찰에 적발됐다.
마치 시험 부정행위를 하듯 입찰시스템을 오가며 응찰가를 훔쳐본 이들은 전문해커라고 부르기 힘든 일반인들이어서 큰 충격을 줬다.
왜 뚫리나 전자입찰 비리는 ▦입찰시스템 공급자가 공무원과 짜고 입찰정보를 중간에서 가로채는 경우 ▦입찰참여업체가 단독으로 시스템을 해킹해 응찰가를 ‘커닝’하는 행위 등으로 분류된다. 27일 드러난 조달청 전자입찰시스템 조작 의혹 사건은 건설업체들이 조달청 직원과 공모해 응찰가를 낙찰가에 근접하게 전산조작하는 새로운 유형인 것으로 보인다.
전문가들은 우선 기술적으로 완벽한 보안시스템을 확보하는 것이 불가능하다는 점을 지적한다. 선을 끊어버리지 않는 이상 해킹이나 정보유출을 100% 봉쇄할 수는 없다는 것이다.
또 전문가들은 시스템 기술이나 보안상으로 문제가 없더라도 관련 공무원과 결탁해 관리업체가 시스템에 ‘허튼 짓’을 할 경우 이에 대한 대책은 없다고 설명한다. 한국전산원 관계자는 “시스템에 접근할 수 있는 권한을 가진 소수의 사람들이 좋지않은 생각을 품으면 입찰정보가 외부로 유출되는 등의 사고가 생길 수 있다”고 말했다.
한 시스템업체 관계자는 “이번 조달청 전자입찰시스템 조작 의혹 사건도 누군가의 비호를 받은 기술자가 암호화한 응찰가의 소스파일을 중간에서 가로채 암호를 해독한 후 낙찰가에 근접하게 응찰하는 수법을 사용한 것으로 보인다”고 추정했다.
이 관계자는 “기술적으로 보안수준을 높이는 동시에 업체와 담당공무원을 접촉 불가능한 거리로 서로 떨어뜨리는 방안도 강구해야 한다”고 주장했다.
한편 서울중앙지검 첨단범죄수사부(이승섭 부장검사)는 조달청 전자입찰시스템 조작 의혹 혐의를 받고 있는 업체들의 계좌를 추적하는 한편, 조달청 시스템 내부자료 확인 작업도 검토 중이다.
검찰 수사에 대해 조달청은 “전자입찰에 참여하는 업체들은 예정가를 모른 채 1~15번 중 예비가격 2개를 무작위로 선택하기 때문에 낙찰가를 추정하는 것은 불가능하다” 며 “시스템공급업체와 공무원은 구조적으로 입찰에 참여할 수 없기 때문에 공모 역시 불가능하다”고 해명했다.
양홍주 기자 yanghong@hk.co.kr
■ 대학 성적증명서도 변조 가능
행정자치부 민원서류와 대법원 인터넷 등기부등본의 위ㆍ변조와 마찬가지로 대학의 각종 서류나 민간 자격증 등 민간 문서도 조작될 수 있다는 지적이 나오고 있다.
전자문서 보안업체 BC큐어의 최영철 본부장은 28일 “대학 성적증명서 등 민간기관의 인터넷 서류도 서버에 있는 정보를 PC에 옮겨와 집이나 사무실에서 출력하는 방식이기 때문에 충분히 위ㆍ변조가 가능하다”고 밝혔다.
최 본부장은 “온라인 문서를 위ㆍ변조할 수 있는 프로그램 80여종을 인터넷 상에서 아무런 제약 없이 다운로드 받을 수 있기 때문에 이를 이용한 민간문서 위조는 정부문서보다 더 쉬울 수 있다”고 덧붙였다.
실제 한 네트워크 보안업체와 함께 서울 시내 한 대학의 성적증명서 변조를 시도한 결과, 한 졸업생의 최종 성적인 2.7(4.0 만점)을 3.7로 쉽게 고칠 수 있었다.
이 업체 관계자는 “PC에 가상의 프린터가 연결된 것처럼 PC를 인식시키는 프로그램을 가동, 학생 성적이 저장된 학교 서버에서 PC를 거쳐 가상프린터로 넘어가는 인쇄 데이터를 빼내 성적을 고쳤다”며 “이 방법은 대법원의 등기부등본을 위ㆍ변조한 방법과 같다”고 말했다.
이 같은 방법을 사용하면 한국산업인력공단의 각종 국가자격증뿐 아니라 한자능력검증시험 등 민간자격증, 국제교류진흥회의 토익(TOEIC)과 서울대의 영어검증시험(TEPS)와 같은 시험성적, 연말 정산 시 이용되는 병원ㆍ자선단체 소득공제 영수증 등 다양한 서류를 쉽게 조작할 수 있다고 전문가들은 입을 모았다.
이와 달리 서울시의 인터넷 민원서류 발급서비스는 서류를 컴퓨터에 임시 저장하는 절차 없이 바로 서류를 출력하도록 돼 있다. 이 때문에 서울시는 이번 파장과 관계없이 서비스를 계속하기로 했다.
대학 성적ㆍ졸업증명서 등의 위ㆍ변조는 사회적으로 큰 파장을 일으킬 것으로 보인다. 서울 강남의 한 사설 입시학원 관계자는 “강사들 중에 자신의 출신학교를 속이는 경우가 많은데 대학 졸업증명서의 위ㆍ변조가 쉽다는 사실이 알려지면 ‘가짜 강사’가 더 늘 것”이라고 걱정했다.
한 대기업 인사과 관계자는 “신입 사원의 대학 성적증명서나 영어시험 성적을 모조리 재검토해야 할 지도 모르겠다”고 말했다.
신기해 기자 shinkh@hk.co.kr
김광수기자 rollings@hk.co.kr
■ 大法, 인터넷 보안 법적대응 검토 논란
정부 전자민원시스템의 허점을 시험하기 위해 의도적으로 해킹이나 문서 위ㆍ변조를 시도하는 행위에 대해 법적 책임을 물을 수 있을까.
대법원은 인터넷 보안업체가 대법원 인터넷 등기소 등본을 변조한 뒤 이 같은 사실을 언론사에 알려 보도하게 한 행위에 대해 법적 대응이 가능한지 검토 중이라고 28일 밝혔다.
대법원 조사 결과, 25,26일 이틀에 걸쳐 인터넷 보안업체 A사가 23차례 등본을 발급하고 3차례 등본을 열람한 것으로 확인됐다.
대법원은 23,24일 행자부가 운용하는 전자정부 민원발급시스템의 허점이 국정감사를 통해 지적되고 ‘대법원 인터넷 민원 시스템은 안전하다’는 보도가 나오자 행자부 시스템 담당업체인 A사가 곧바로 어떤 ‘의도’를 갖고 이 같은 행위를 한 것이 아니냐는 의심을 갖고 있다. 하지만 A사 측은 “말도 안 된다”고 반박했다.
대법원 관계자는 “일단 서비스 재개를 위한 시스템 정상화가 최우선 과제”라면서도 “이번 행위가 선의에서가 아니라 모종의 악의에 의한 것이라면 정보통신망보호법 위반, 업무방해, 공문서 위조 등 다양한 혐의를 검토해볼 수 있을 것”이라고 말했다.
하지만 법적대응이 쉽지는 않을 전망이다. 우선 “더 큰 피해를 막기 위한 공익 차원의 행동이었다”는 반론이 있을 수 있다. 또 파일을 내려 받아 조작한 행위에 해킹 혐의를 적용하려 해도 해킹의 범위를 규정한 판례가 없어 논란이 있을 수 있다. 공문서 위조 혐의도 ‘행사 목적’이 없었다고 주장하면 범죄 요건이 성립하지 않는다.
김용식 기자 jawohl@hk.co.kr
기사 URL이 복사되었습니다.
댓글0