공개SW 아니면 발도 들이지 마라?

공개SW 아니면 발도 들이지 마라?
대형 데이터센터 구축 사업 공정 경쟁 제한하는 국방부의 속내
 
작년 12월 국방부가 낸 국방통합정보관리소 운영인프라 구축 사업의 제안요청서(RFP)에 공정한 경쟁을 제한하는 요소가 담겨있다는 지적이 나오고 있다. 209페이지에 달하는 제안요청서 곳곳에 상용 소프트웨어의 참여를 제한하는 항목들이 발견된 것이다. 국방부는 <디펜스21>의 문제제기에 “정부의 공개 소프트웨어 기반 클라우드 시스템 구축 정책을 준수하는 것”이라고 주장했다. 그러나 시스템 통합 업체들 사이에서는 벌써 “제안요청서에 상용 소프트웨어의 참여를 제한하는 항목을 실은 것은 공정성 문제가 있다“는 지적이 나오고 있다. 국방부는 왜 국방통합정보관리소에 공개 소프트웨어만 사용할 것을 요구한 것일까?


국방부에는 세 가지 망이 있다. 전시 지휘통제에 사용하는 전장망(C4I), 국방부 내부망인 국방망, 그리고 외부와 연결된 인터넷망이다. 국가 안보를 전담하는 기관인 만큼 다른 정부기관보다 다루는 정보의 중요도가 높아 어떤 망이든 철통 보안은 필수다. 굳이 망별로 중요도를 매기자면 다루는 정보의 등급에 따라 전장망, 국방망, 인터넷망 순으로 나열할 수 있다. 이 가운데 보안에 가장 취약한 망은 무엇일까? 외부와 직통으로 연결된 인터넷망이 보안에 가장 취약하고 인터넷망과 자료교환체계를 통해 연결돼 있는 국방망이 그 다음이다. 물리적으로 분리된 전장망이 가장 안전하다. 그러나 망마다 보안 취약성이 다르다고 해서 보안대책을 각각 다르게 세울 수는 없다. 국방부는 다루는 자료 하나하나가 국가 안보와 관련이 있는 기관인 만큼 모든 망에 할 수 있는 한 최고 수준의 보안체계를 구축해야 한다. 그러나 국방부가 추진 중인 국방통합정보관리소 운영인프라 구축 사업에서는 과연 보안을 최우선으로 추구하는 게 맞는지 의심되는 요소들이 몇몇 발견된다. 


사진1. 제안요청서표지.jpg


미심쩍은 국방통합정보관리소 제안요청서

국방부 IT정책 주무부서인 정보화기획관실이 관리하는 국방통합정보관리소 운영인프라 구축 사업은 쉽게 말해 국방부 전용 데이터센터를 구축하는 사업이다. 사업예산은 658억 원으로 현재 각 군, 기관에 흩어져 운영 중인 전산소를 통합해 국방통합정보관리소 2개를 구축할 계획이다. 국방부는 이미 2003년부터 2007년까지 전국에 흩어진 전산소를 최대한 적은 숫자로 줄이는 1단계 통합을 마친 상태다. 이번 사업을 통해 2014년 10월까지 운영인프라 구축을 완료하고 12월까지는 각 군 주요 전산소의 정보자원을 2곳으로 완전히 통합할 계획이다. 방대한 정보를 다룰 통합정보관리소를 관리하는 부대도 따로 창설할 것으로 알려져 있다. 사업 규모가 크고 유지보수를 통해 많은 수익을 창출할 것으로 기대돼 국내 시스템 통합업체들이 큰 관심을 가지고 있는 사업이기도 하다. 

국방부는 공개 소프트웨어 사용을 점차 확대시키고 있는 행정안전부의 계획에 따라 공개 소프트웨어를 활용한 국방통합정보관리소 운영인프라 구축 사업을 추진 중이다. 2012년 12월 8일 나라장터에 공시된 209페이지 분량의 제안요청서에는 각종 서버모듈 규격에 리눅스 기반 운영체제를 탑재할 것을 명시하고 있다. 그러나 다른 정부부처와 달리 보안성을 최우선적으로 고려해야 할 국방부가 상용 소프트웨어는 아예 참가 기회도 주지 않고 공개 소프트웨어만 자격을 부여하는 건 문제가 있다는 지적이 있다. 익명을 요구한 한 시스템 통합(SI)업체 관계자는 “상용 소프트웨어와 공개 소프트웨어는 각각 장단점이 존재하기 때문에 일단 참가 자격을 공평하게 부여한 뒤 시스템 통합업체가 판단해 더 나은 보안성을 지닌 체계를 탑재해야 한다”고 지적했다. 이 관계자는 또 “제안요청서 전반에 국방부의 모든 정보가 통합되는 장소에 어울리지 않는 보안요구도가 보인다”며 보안성에도 문제를 제기했다. 

제안요청서가 경쟁을 제한하는 면이 있다는 지적에 대해 국방부는 “경쟁을 제한하는 면이 없으며 정부의 공개 소프트웨어 활성화 정책에 따른 것”이라고 반론을 제시했다. 보안요구도에 관한 문제제기에는 “20여종 이상 다양한 정보보호 수단의 상호작용에 의해 최고의 보안이 유지되는 체계로 구축할 것”이라고 답변했다. 

국방부의 주장대로 제안요청서는 경쟁을 제한하지 않고 보안에도 문제가 없는 것일까? 제안요청서의 항목들을 자세히 살펴봤다. 

국제공통표준 임의로 해석한 국방부 

국방통합정보관리소 사업에서 특히 강조되는 점은 보안이다. 리언 패네타 미 국방장관이 ‘사이버 진주만’을 걱정할 정도로 날로 늘어만 가는 사이버 위협으로 인해 국방부의 모든 정보가 통합되는 국방통합정보관리소는 최고의 보안을 유지해야 하는 장소로 손꼽힌다. 국방부도 이를 위해 제안요청서 곳곳에 보안에 관련된 항목을 배치하고 있다. 제안요청서의 보안관리체계 구축 항목에서는 보안에 관한 국제공통평가기준인 CC(Common Criteria)인증이나 국가정보원 IT보안성평가를 취득한 제품위주로 도입할 것을 명시하고 있다. 그러나 실제 제안요청서 내용에는 최고의 보안을 요구하는 장소답지 않은 부분이 눈에 띈다.     

먼저 CC인증에 관한 부분이다. CC인증은 정보보호제품에 대한 평가기준을 국제적으로 표준화한 것으로 한국에서는 국가정보원 산하 IT보안인증사무국이 인증업무를 담당하고 있다. 정보화촉진기본법에 따라 정부에 납품되는 중요 정보보호시스템은 반드시 CC인증을 거친 제품만을 사용해야 한다. CC인증은 몇 단계의 평가보증등급(EAL, Evaluation Assurance Level)으로 구성돼 있는데 'EAL2'나 ‘EAL3'처럼 숫자를 붙여 표시한다. 숫자가 높을수록 높은 보안성을 가진 제품을 뜻한다. 예를 들어 EAL2 등급은 ‘다’급, EAL3 등급은 ‘나’급, EAL4 등급은 ‘가’급 전산자료에 적용하는데 ‘가’급 전산자료는 유출 또는 손상되는 경우 각급 기관의 업무 수행에 중대한 장애를 초래하거나 개인 신상에 ‘심각한 영향’을 줄 수 있는 전산 자료에 해당되는 등급이다. ‘나’급은 ‘영향’을 줄 수 있는, ‘다’급은 ‘경미한 영향’을 줄 수 있는 전산자료 등급을 말한다. 

국방부가 낸 국방통합정보관리소 제안요청서에는 CC인증과 관련해 의문스러운 부분이 눈에 띈다. 요청서 119쪽부터 시작되는 보안관리체계 부분에서는 각 체계의 보안 요구규격으로 CC인증 등급을 표시하고 있다. 네트워크 보안의 경우 인터넷망 Anti-DDOS, 국방망 방화벽 등의 하드웨어에는 EAL4 등급 이상을 요구하고 있다. 그러나 인터넷망의 개인정보 필터링, 스팸메일 차단시스템부터는 갑자기 등급이 낮아져 EAL2 등급을 요구한다. 국방망과 인터넷망의 서버보안 소프트웨어는 EAL3 등급이상을 하더니 취약점분석 시스템과 개인정보 차단시스템 등에는 아예 등급을 요구하지 않고 ‘CC인증 제품’이라고만 표시하고 있다. 등급에 관계없이 EAL2 등급이든 EAL4 등급이든 참여할 수 있다는 의미다. 심지어 국방망과 인터넷망 망연계 소프트웨어는 ‘다’급에 해당하는 EAL2 등급을 요구했다. 
익명을 요구한 한 IT전문가는 제안요청서를 보고 “이렇게 보안 등급이 뒤죽박죽인 이유가 뭔지는 모르겠지만 모든 체계에 최고 등급을 요구하는 미 국방부의 시스템과 비교하면 한국 국방부는 상당히 허술한 편이다”고 평가했다. 국방부 정보화기획관실에 체계마다 CC인증 등급이 다른 이유를 질문하니 다음과 같은 답변이 돌아왔다. 

“CC인증 등급이 낮다고 해서 정보보호에 취약하다고 볼 수 없으며, CC인증 등급 때문에 경쟁이 제한될 경우 이를 해소하기 위해 등급을 조정했다. 또한 국방통합정보관리소의 정보보호체계는 20여종 이상 다양한 정보보호 수단의 상호작용에 의해 최고의 보안이 유지되는 체계로 구축할 것이다.”

사진3. 제안요청서.png

▲ 나라장터에 공시된 제안요청서의 일부. 제품의 특정규격을 정하고 있다. 


그러나 국방부의 답변에서 CC인증에 대한 부분은 임의해석에 가깝다. CC인증은 국제공통표준으로 등급에 따라 보안 취약도가 다르기 때문에 “CC인증 등급이 낮다고 해서 정보보호에 취약하다고 볼 수 없다”는 국방부의 해석은 틀렸다. 정보보호제품을 생산하는 기업들이 많은 비용을 들여 CC인증을 받는 이유는 전세계가 인정하는 표준보안등급이기 때문이다. 원래 K시리즈라는 자체 보안인증 등급을 이용하던 정부가 2005년 1월 이후부터 CC인증으로 전환한 이유는 국산이든 수입산이든 CC인증을 받은 정보보호제품이라면 동등한 위치에서 경쟁을 할 수 있는 환경을 조성하기 위함이다. 

CC인증 도입 후 보안 기술력을 확보해 높은 등급을 받은 제품이 더 우수한 제품으로 인정받고 있기 때문에 기업의 국적과 규모, 자본력 등에 구애받지 않는 공정한 경쟁이 가능한 구조가 만들어졌다. CC인증 등급이 경쟁을 제한한다는 국방부의 주장은 전세계가 인정하는 보안인증제도를 전면 부정하는 것이나 마찬가지인 셈이다. 국방 소프트웨어 관련 업체에 근무하는 한 관계자는 “보안을 최우선으로 여겨야하는 국방부가 공정한 경쟁을 제한한다며 보안등급 요구도를 뒤죽박죽으로 만들어 제안요청서를 만든 건 난센스”라고 말했다. 이 관계자는 또 “높은 등급을 받은 제품들끼리 경쟁을 벌여도 충분하기 때문에 모든 체계에 최고 등급의 CC인증을 요구해야 한다”고 덧붙였다.

공개 소프트웨어 아니면 ‘출입금지’

또한 “경쟁 제한을 해소하기 위해 CC인증 등급을 조정했다”는 국방부의 답변은 정작 경쟁을 유도해야 할 부분에서는 경쟁을 막고 있기 때문에 모순이다. 국방부는 제안요청서의 상당부분에 공개 소프트웨어만 참여할 수 있도록 자격을 제한해두고 있다.

제안요청서 곳곳에는 서버모듈의 규격에 ‘OS(LINUX) 라이선스 포함’, ‘공개SW기반 엔터프라이즈 제품’이라고 명시하고 있다. 10군데 이상의 항목에서 이러한 점이 발견되는데 이는 공정한 경쟁을 제한하는 요소로 여겨지고 있다. 서버모듈 규격에 공개 소프트웨어인 리눅스를 명시할 경우 상용 소프트웨어들은 아예 사업에 참여할 기회조차 잃게 되지만 국방부는 별 문제가 없다는 입장이다. 국방부 정보화기획관실에 자원수집서버 모듈, 어플리케이션 서버 모듈, DB서버 모듈, 인터넷 관리 서버 모듈 등에 공개 소프트웨어 운영체제만 사용할 것을 명시한 이유를 묻자 국방부는 다음과 같이 답변했다.

“이 서버들은 클라우드 환경 구축대상 서버다. 국방부는 정부의 공개 소프트웨어 기반 클라우드 시스템 구축 정책을 준수해 사업을 추진할 것이다.”

국방부는 각종 가상화 소프트웨어를 공개 소프트웨어로만 한정한 이유에 대해서도 “정부의 공개 소프트웨어 클라우드 시스템 구축 정책을 준수해 사업을 추진하기 위함”이라고 밝혔다. 국방부의 주장대로 정부가 현재 공개 소프트웨어 사용을 적극 권장하고 있는 건 사실이다. 

중앙부처의 정보시스템을 통합관리하고 있는 행정안전부 산하 정부통합전산센터는 공공분야에 공개 소프트웨어를 확산시키기 위해 활발한 활동을 벌이고 있다. 작년 1월 17일에는 통합전산센터의 홈페이지를 공개 소프트웨어로 전환하는 작업을 완료해 언론에 공개했다. 행안부는 2016년까지 통합전산센터가 사용하는 소프트웨어의 약 40%를 공개 소프트웨어 기반으로 전환한다는 계획을 세웠다. 행안부 보도자료에 따르면 2011년 말 기준 정부통합전산센터의 공개 소프트웨어 비율은 23%로 일부 시스템을 공개 소프트웨어로 시스템을 전환해도 성능에는 크게 차이가 없었다고 밝혔다. 또한 행안부는 당시 홈페이지 전환을 계기로 공개 소프트웨어를 점차 정부 전체로 확산해나갈 계획을 발표하기도 했다.  

그러나 정부의 공개 소프트웨어 정책은 ‘권장’일 뿐 상용 소프트웨어와의 경쟁을 아예 막으라는 지침은 어디서도 찾을 수 없다. 행정안전부가 낸 ‘정부통합전산센터 클라우드 서버 규격’에서도 반드시 공개 소프트웨어만 사용해야 한다는 규정은 찾을 수 없었다. 이 규격서에 별첨된 서버규격 예시에는 지원 운영체제로 윈도우 2008, 리눅스 64비트 등 다양한 체계를 명시해두고 있다. 경쟁을 통해 적절한 체계를 적용하라는 뜻이다. 정부통합전산센터가 당장 모든 체계를 공개 소프트웨어로 전환할 수 없는 이유도 체계에 따라 상용 소프트웨어만 적용해야만 하는 제약이 있기 때문이다. 

국방부에 제안요청서의 이러한 항목들이 공정한 경쟁을 제한하고 있는 건 아닌지 묻자 “공정한 경쟁을 제한하지 않으며 통합정보관리소의 클라우드 환경은 정부 정책을 준수해 공개 소프트웨어 기반으로 구축할 것”이라고 답변했다. 이에 대해 한 소프트웨어 업체 관계자는 다음과 같이 반론했다.

“해외 각국이 정부차원에서 공개 소프트웨어 활용을 권장하고 있는 건 사실이다. 그러나 국방의 경우 높은 보안성을 요구하는 등 특수성이 있어 공개 소프트웨어를 도입하는 사례는 드물며 도입하는 경우에도 공개 소프트웨어 업체와 소스 비공개 등 사전 협의를 통해 충분히 검토한 후 도입하고 있다. 국방부가 이러한 해외 국방 사례들을 충분히 검토했는지 의심이 된다.”  

특이한 점은 특정 서버모듈에는 다른 모듈과 달리 리눅스를 명시하지 않고 ‘OS 라이선스 포함’으로 적시해둔 것이다. 국방부에 특정 체계에는 리눅스를 명시하지 않은 이유를 물으니 “공개 소프트웨어 기반 제품이 제한되는 경우 경쟁을 유도하기 위해 운영체제를 명시하지 않았다”고 밝혔다. 공개 소프트웨어가 탑재될 수 없는 부분은 상용 소프트웨어를 쓰고 나머지는 무조건 공개 소프트웨어만 쓰겠다는 말이다. 결국 다른 부분에서는 경쟁요소가 없다고 자인한 셈이다. 제안요청서 전반에 경쟁 제한 요소들을 깔아두고 특정 체계는 경쟁을 유도한다는 국방부의 속내는 무엇일까?

사진4. us-cert.png
▲ 미 국토안보부 비상대응팀은 자바(JAVA)의 사용 중단을 권고했다. 


법 저촉 가능성, 제안요청서 재검토 해야

국방부의 이러한 알 수 없는 행보에 대한 가장 신빙성있는 설명은 다름 아닌 ‘마이크로소프트(이하 MS)와의 껄끄러운 관계’다. 이 제안요청서에 가장 크게 반발하고 있는 곳은 MS로 알려져 있다. 전세계 데이터센터 시장에서 막강한 영향력을 발휘하고 있는 MS가 공개 소프트웨어 일색인 이 사업에 끼어들 수 있는 여지는 전혀 없다. 이번 사업에 참여할 예정이라 익명을 요구한 한 시스템 통합업체 관계자는 “국방부가 저작권 분쟁을 벌이고 있는 MS와의 관계 때문에 아예 MS의 참여를 차단하기 위해 무리하게 경쟁을 제한하는 제안요청서를 만든 것으로 보인다”고 귀띔했다. 이 관계자의 말이 사실이라면 저작권 문제로 극한 대립 중인 MS와 국방부의 껄끄러운 관계가 중요 국방사업에까지 영향을 끼치고 있다는 말이다. MS는 제안요청서의 수정을 요구하는 이의제기도 한 것으로 알려져 있다. 그러나 국방부는 “본 건의 내용과 유사하거나 동일한 내용의 이의가 제기된 바 없다”고 주장했다. 

국방부의 이러한 사업진행 방식은 정부 입찰․계약집행 기준에도 저촉될 가능성이 있다. 기획재정부계약예규 제2장에 따르면 ‘부당하게 특정상표 또는 특정규격 또는 모델을 지정하여 입찰에 부치는 경우’와 같이 경쟁참가자의 자격을 제한해서는 안 된다고 규정하고 있다. 정부 정책이라는 이유로 특정 체계의 규격을 명시한 국방부의 제안요청서는 이러한 기준에 저촉될 가능성이 높다. 더욱이 정부의 공개 소프트웨어 정책이 경쟁 제한까지 강제하고 있지 않다는 점, 클라우드 서버 규격서에 다양한 체계를 나열하고 있다는 점에서 국방부는 제안요청서를 재검토해야 할 것으로 보인다.

또한 고도의 보안이 요구되는 국방전산체계에 공개 소프트웨어를 적용하는 문제도 고민해 봐야할 부분이다. 1월 10일 미 국토안보부는 오픈소스 컴퓨터 프로그래밍 언어인 자바(JAVA) 사용을 중단할 것을 권고했다. 자바가 해커들이 침입하기 쉬운 취약성을 지니고 있기 때문이다. 국토안보부의 비상대응팀(US-CERT)은 “이 문제를 해결할 현실적인 해결책은 아직 없다”고 밝혔다. 이에 애플은 자사제품 맥에서 자바가 구동되지 못하도록 조처했다. 

물론 공개 소프트웨어와 상용 소프트웨어 중 어느 체계가 보안에 취약한지에 관한 논란은 끊이지 않고 있다. 하나 세계 최고의 전산보안을 유지하고 있는 미 국방부가 데이터센터에 공개 소프트웨어를 사용하지 않고 있는 점, 1월 16일 6억 1,700만 달러 규모의 소프트웨어 사용권 계약을 맺을 때 입찰에 참여한 공개 소프트웨어 업체들 대신 상용 소프트웨어 업체를 선택한 점 등을 고려하면 한국 국방부가 사업 방향을 다시 설정해야 한다는 결론에 도달할 수 있지 않을까.    
   


Tag

Leave Comments


profile가진 거라곤 ‘안보의 민주화’에 대한 열정밖에 없던 청년실업자 출신. 〈디펜스21+〉에서 젊음과 차(茶)를 담당하고 있다. 

Recent Trackback