나라장터 해킹 막을 전자입찰 보안 강화 ‘제2라운드’

조달청, 공공기관 이어 조달기업 PC 가상화서비스…‘가상입찰서비스 구축사업’ 들어가 오는 10월부터 적용

조달청이 나라장터의 해킹을 막기 위해 마련하는 '클라이언트 가상화(2단계)' 체계 흐름도

[아시아경제 왕성상 기자] 국가종합전자조달시스템(나라장터) 전자입찰을 해킹으로부터 더 안전하게 보호할 수 있는 2단계 방안이 마련된다.

조달청은 나라장터 전자입찰의 안전성을 강화하기 위해 조달기업에게 나라장터용 가상PC를 제공하는 ‘제2단계 가상입찰서비스 구축사업’에 들어가 오는 10월부터 서비스한다고 25일 밝혔다.

가상입찰서비스는 제1단계로 지난해 12월부터 공공기관에 먼저 적용해 1만2137개 기관에서 15만1280건의 예정가격 작성업무를 처리해 해킹을 막았다.

조달기업이 나라장터에 접속하면 보안성이 확보된 나라장터 전용 가상PC(최적화된 운영체제(OS), 이용환경 설치)가 제공된다. 따라서 조달기업의 투찰업무는 가상PC에서 이뤄져 해킹피해를 입지 않게 된다.

가상입찰서비스는 나라장터서버보다 보안성이 떨어지는 공공기관, 조달기업 PC에 악성코드를 감염시켜 입찰정보를 빼내거나 변조·조작하는 것을 막기 위해 이뤄지고 있다.

서울중앙지검은 2012년 9월 이전에 집행된 일부 전자입찰에서 악성코드를 이용한 해킹으로 부정 낙찰 받는 업체를 지난해 4월4일 붙잡아 그해 12월3일 관련내용들을 발표했다.

가상입찰서비스에 앞서 조달청은 재무관이 저장한 복수예비가격번호를 개찰단계에서 무작위로 재배열(2012년 10월)해 해킹실익이 없도록 했다. 지난해 1월엔 최초서버에서 만들어져 재무관PC로 보내진 금액과 다시 전송되는 금액을 맞춰보는 기능을 더 넣어 예비가격의 변조·조작을 할 수 없게 했다.

나라장터 가상입찰서비스는 이용자별 특성을 감안, 2가지 방식의 기술이 적용된다.

제1단계의 재무관PC에 적용한 ‘클라우드 서버 가상화 방식’은 사용자가 많지 않은 점을 감안, 사용자PC는 화면만 쓰고 예가작성은 나라장터의 보안안전지대인 가상화서버에서 처리하게 된다.

이번 제2단계 조달기업PC에 적용하는 방식은 ‘클라이언트 PC 가상화 방식’이다. 이는 한꺼번에 접속하는 업체 수가 많고 지문보안토큰이 쓰이는 점 등을 감안해 조달기업PC에 나라장터 전용 가상PC를 제공하고 그곳에서 처리된 입찰액, 예가추첨 정보가 나라장터서버에 보내지는 방식이다.

물리적 PC에서 가상PC는 실행 전에 운영체제 조작 및 위·변조여부 등을 검증하고 가상PC는 나라장터 접속만 이뤄져 외부원격제어에 따른 해킹을 막는다.

백명기 조달청 전자조달국장은 “기존 물리적 PC는 지능화·고도화되고 있는 해킹위험에 드러나 있다”며 “안전한 전자거래를 위한 가장 알맞은 수단으로 가상화서비스를 하게 됐다. 앞으로도 나라장터 보안을 꾸준히 강화할 것”이라고 말했다.

왕성상 기자 wss4044@asiae.co.kr