“A 장비는 크기가 작아 移動이 자유로워 언제 어디서든 사용할 수 있다. 마음먹기에 따라 청와대·국회·언론사에 설치해 査察 용도로 악용할 수 있다”는 게 업계 관계자들의 말이다.
⊙ “사이버司가 도입 결정한 수집 센서에 사찰용으로 惡用될 수 있는 기능 탑재”
⊙ 해당 센서, 파일 복원 가능한 ‘포렌식 장비’… 수사기관서 주로 쓰여
⊙ “사이버司, 사업설명회에서는 ‘풀 패킷 사양 제안하지 말라’고 했다”(업체 관계자)
⊙ “(사찰 등) 논란되는 기능 제외한 장비 납품될 것”(사이버司)
⊙ “사이버司가 도입 결정한 수집 센서에 사찰용으로 惡用될 수 있는 기능 탑재”
⊙ 해당 센서, 파일 복원 가능한 ‘포렌식 장비’… 수사기관서 주로 쓰여
⊙ “사이버司, 사업설명회에서는 ‘풀 패킷 사양 제안하지 말라’고 했다”(업체 관계자)
⊙ “(사찰 등) 논란되는 기능 제외한 장비 납품될 것”(사이버司)
- 국군 사이버사령부는 2019년 2월 사이버작전사령부로 부대 이름을 바꿔 달았다.
사이버전(戰)을 수행하는 국군 사이버작전사령부(이하 사이버사령부)가 본래 취지와는 무관하게 인터넷·전화 등을 상대로 해킹이 가능한 네트워크 시스템을 구축하고 있다는 의혹이 제기됐다. 사이버사령부 측은 이 같은 주장을 강력하게 일축했지만, 업계에서는 의구심을 표하고 있다.
사이버사령부는 지난 5월 6일 ‘네트워크 위협 분석체계 구축’에 관한 사업 공고를 냈다. 총 56억원을 투입해 156대의 수집 센서를 장성급 이상 78개 부대에 설치하겠다는 게 사업의 요지다.
사이버사령부가 작성한 ‘네트워크 위협 분석체계 구축’에 따른 ‘제안요청서’의 ‘추진배경 및 필요성’에는 “알려진 공격행위에 대한 패턴 기반 탐지·차단 체계의 한계를 극복하기 위한 군내(軍內) 알려지지 않은 공격행위 식별이 가능한 분석 체계 필요”라고 적혀 있다. 즉 ‘알려지지 않은 공격행위’를 식별하기 위해 신규 보안 네트워크 시스템을 구축하겠다는 얘기다. 사이버사령부는 신규 시스템 구축을 오는 12월까지 완료할 계획이다.
수집 센서 A 장비는 軍 아닌 수사기관用
이 사업에는 LIG시스템, 현대HDS, GSITM, 신한DS, 안랩 등 총 9개 업체가 컨소시엄을 구성해 입찰에 참여했다. 그 결과 지난 6월 중순 ‘안랩’이 사업 시행 업체로 최종 선정됐다. 안랩은 기술 점수 84.42점, 가격 점수 9.18점으로 합계 93.6점을 얻었으며, 낙찰가는 48억9500만원이었다(국가종합전자조달 ‘나라장터’ 참조).
업계에서는 안랩이 제안한 수집 센서에 의구심을 나타내고 있다. 안랩은 사이버사령부가 요구했던 사양과 전혀 다른 장비를 제안했는데 낙찰이 되어서다. 논란이 되고 있는 수집 센서 기기는 모(某) 회사가 개발한 ‘A 장비’ 다.
업계 관계자들의 말을 종합하면, 이 장비는 네트워크 송수신 과정에서 오가는 모든 정보를 상대의 승인 없이 실시간으로 확인 가능하다고 한다. 카카오톡 메시지 송수신은 물론, 파일 전송, 문자메시지, 이메일 등을 광범위하게 들여다볼 수 있다.
사실상 해킹은 물론 도·감청이 가능한 ‘사찰(査察) 기능’이 탑재돼 있다는 주장이다. 이런 이유로 A 장비는 수사기관에서 주로 이뤄지는 포렌식용으로나 적합하지, 군내(軍內)에서 운용하는 건 부적합하다고 입을 모은다.
이들은 A 장비를 사이버사령부가 전력화(戰力化)할 경우, 현행법 위반의 소지가 있다고 주장하기도 한다. 통신비밀보호법 3조 1항(통신 및 대화 비밀의 보호)과 개인정보보호법 24조 1항(고유식별정보의 처리 제한)에 저촉된다는 것이다. 전자(前者)의 법률 조항을 위반할 시에는 10년 이하 징역 및 5년 이하 자격정지를 당할 수 있으며, 후자(後者)를 위반할 경우엔 5년 이하 징역 또는 5000만원 이하의 벌금형에 처할 수 있다.
사이버司 제안 요건과 차이 있는 A 장비
본론으로 들어가기 전, 전제로 해야 할 두 가지가 있다. 이 기사의 목적은 A 장비에 어떤 하자나 결함이 있다는 걸 밝히려는 게 아니다. 해당 장비가 사이버사령부 사업 취지에 부합하는지 여부를 검증하기 위함이지, 장비 자체에 문제가 있음을 지적하는 게 아니다.
또한 사이버사령부가 국가 안보의 한 축을 담당하는 부대라는 점을 감안, 보안상 민감한 부분은 기사에 밝히지 않았음을 일러둔다. 대체 A 장비는 어떤 장비이기에, 또 입찰 과정은 어떠했기에 이런 ‘뒷말’이 나오고 있는 걸까. 《월간조선》이 그 과정을 추적해봤다.
사이버사령부는 ‘제안요청서’의 ‘사업 범위’에서 신규 네트워크 시스템 구축에 요구되는 핵심 기능에 대해 이렇게 써놓았다.
〈가. 발주기관에서 지정하는 부대에 미러링(또는 TAP) 방식으로 센서를 설치하고, 로그를 수집하여 분석장비로 전송
*일반통신 패킷 헤더 및 응용계층 페이로드(바디 제외)를 로그로 생성, 분석장비로 전송
나. 분석장비는 국직(기관)군별로 구분하여, 수집 센서를 연동하고 분석장비 설치부대에 네트워크 위협을 분석할 수 있는 기능 제공
다. 최상위 장비는 이중화 설치하여, 로그를 장기간 저장할 수 있는 저장장치를 연결하고 통합분석을 위한 기능 제공 (하략)〉
주목할 대목은 ‘가’ 항 하단에 적힌 “일반통신 패킷 헤더 및 응용계층 페이로드(바디 제외)를 로그로 생성, 분석장비로 전송”이란 부분이다. 사이버사령부는 ‘바디 (정보) 제외’라고 분명히 명시했지만, 업계 관계자들은 A 장비가 ‘바디 정보’까지 수집할 수 있는 ‘풀 패킷(full packet)’ 장비라고 주장한다. 그렇다면 사이버사령부의 신규 네트워크 시스템 구축 사업 취지에 어긋나는 셈이다.
패킷은 ‘헤더 + 데이터 영역
(바디+페이로드)’으로 구성
수집 센서 A 장비를 알아보기에 앞서, 인터넷 보안과 관련한 전문 용어에 대해 잠시 부연 설명을 덧붙이도록 한다.
‘패킷’이란 인터넷에서 전송하기 쉽도록 데이터를 잘게 쪼갠 데이터 전송 단위다. 패킷은 전송할 데이터의 IP 주소, 전송 목적지 등의 정보를 담고 있는 ‘헤더(header)’와 전송할 데이터의 내용을 담고 있는 ‘데이터 영역(data field·일명 페이로드)’으로 나뉜다.(아래 그림 참조)
우편과 비교하면 이해가 쉽다. 헤더 부분은 보내는 사람의 이름·주소·우편번호, 그리고 받는 사람의 이름·주소·우편번호가 적혀 있는 편지봉투에 해당한다.
흔히 로그(log)라는 게 여기에 속한다. 로그란 어떤 웹사이트를 방문했을 때 PC나 휴대폰에 남아 있는 흔적을 총칭한다. 로그를 분석하면 웹사이트를 방문하는 목적, 횟수 등을 파악할 수 있다.
데이터 영역은 ‘페이로드’로 불리는데 ‘바디’는 페이로드를 담고 있는 일종의 ‘박스’다. 페이로드는 편지봉투 안 편지지에 보내는 이가 기재한 내용이라고 할 수 있다.
페이로드(바디 포함)에는 헤더와 비교해 개인의 내밀한 사생활이나 국가 안보와 관련된 중요 정보가 들어간다. 페이로드에 대한 법원의 통제는 더욱 엄격하게 이루어지는 게 현실이다. 이러한 데이터의 구체적인 내용을 ‘네트워크 위협 분석’이라는 명목하에 ‘마구잡이식’으로 확인하는 건 명백한 불법에 해당한다는 게 법조계 관계자들의 해석이다.
사이버사령부는 관제 기능을 담당하는 부대로 네트워크상 유통되는 로그 정보를 분석해 해킹 공격 등에 대비하는 게 주(主) 임무다. 바디나 페이로드 영역이 아닌 로그 등이 담긴 헤더 탈취를 통해 사이버 공격의 위협을 탐지한다는 것이다.
사이버사령부가 ‘제안요청서’에 “수집 센서는 네트워크 패킷 헤더 정보를 손실률 없이 수집 가능하여야 한다”고 한 이유도 그 때문이다. ‘제안요청서’에서 ‘(수집 센서가) 바디나 페이로드 정보까지 수집할 수 있어야 한다’는 취지의 기술(記述)은 찾을 수 없다.
A 장비와 같은 풀 패킷 수집 센서는 네트워크에 접속만 하면 상대방 승인 없이 앞서 말한 카카오톡, 문자메시지 등 모든 데이터를 모니터링할 수 있다. 실제로 A 장비에는 네트워크상 페이로드까지 포함하는 모든 패킷(풀 패킷)을 실시간으로 저장하고 분석·재현 가능한 기술이 담겨 있다.
이 장비의 ‘기본상품 규격서’를 통해 해당 장비에 관한 구체적인 스펙(사양)을 확인해봤다. 장비 개발 업체는 A 장비에 대해 “실시간 풀 패킷 캡처, 네트워크의 모든 행위 수집”이라고 홍보하고 있다. ‘주요 특징’에도 ▲내·외부 위협에 대한 명확한 분석 ▲실시간으로 이상 징후 탐지 ▲사용자 화면을 그대로 재현이란 항목과 함께 ‘풀 패킷 데이터 통합’이라고 명기했다.
또한 ‘컨텐츠 검색’ 항목에는 “메일, POST, 전송파일, 번역에 대한 컨텐츠를 한눈에 확인할 수 있으며 실제 화면 또는 파일을 복원할 수 있습니다”라고 적혀 있다. ‘기능 상세’ 항목에도 ‘페이로드 검색(패킷 상세 분석)’이라고 명확히 적시돼 있다. 결국 A 장비는 메일 사용 내역과 전송파일 내역까지 식별할 수 있는 풀 패킷 수집 장비라는 게 분명해진다.
게다가 A 장비는 크기가 작아 이동(移動)이 자유로워 언제 어디서든 사용할 수 있다. 마음먹기에 따라 청와대·국회·언론사에 설치해 사찰 용도로 악용할 수 있다는 게 업계 관계자들의 말이다.
“사찰용으로 악용될 수 있는 A 장비, 입찰서 배제했어야”
기자는 이와 관련해 한 보안업체 전문가 B씨와 유찰된 업체 관계자 C씨를 만날 수 있었다. B씨는 국가 기관 등에서 보안 전문가로 30년 가까이 근무한 이 분야의 전문가다. 자신을 ‘공익 제보자’라고 소개한 B씨는 사이버사령부에서 안랩이 제안한 A 장비를 선정한 이유를 납득할 수 없다고 주장했다. B씨의 말이다.
“A 장비는 사이버사령부가 당초 제안했던 헤더 정보만 추출하는 수집 센서가 아닙니다. 명백한 풀 패킷 장비입니다. 근데 사이버사령부는 해당 장비에서 바디와 페이로드 수집 장치는 제외한 헤더 정보만 추출할 수 있는 기능만 쓰겠다고 주장하고 있습니다. 그럼 그간의 입찰 과정은 뭐가 되는 겁니까. 안랩을 제외한 나머지 8개 업체는 모두 헤더 정보만 추출할 수 있는 장비를 가지고 입찰에 나섰는데, 낙찰된 A 장비는 헤더 정보는 물론 바디 및 페이로드까지 수집할 수 있다니 뭔가 앞뒤가 안 맞지 않습니까. 그렇다면 아예 입찰에서 (A 장비를) 배제했어야 하는 게 맞죠.”
C씨는 지난 5월 14일 해당 사업과 관련해 열린 사업설명회에 참석한 이다. C씨는 당시 사업설명회에서 있었던 일을 언급했다. 그의 말이다.
“사업설명회 당시 사이버사령부 측 관계자는 ‘풀 패킷 관제 가능 사양은 제안하지 말라’고 공식적으로 언급했습니다. 그럼에도 풀 패킷 사양이 담긴 장비를 내놓은 안랩이 사업 시행자로 선정된 것입니다. 사이버사령부가 왜 기존에 설명한 내용과 다른 업체를 선정했는지 아직도 이해가 안 갑니다.”
B씨는 “사이버사령부가 요구하는 수집 센서는 기능상 수집·전송 기능 외에 저장 기능은 불필요하다”며 “그럼에도 8TB(테라바이트) 수준의 과도한 저장 공간을 요구했다”고 주장했다. 그는 “이 정도의 저장 용량이면 언제든지 민간 통신망에 탈·부착해 불법해킹 용도로 (수집 센서를) 악용할 가능성이 있다”고 지적했다.
두 사람의 주장을 종합하면, 본래 사업 취지에 반(反)하고 사찰용으로 의심되는 A 장비를 선정함으로써 사이버사령부가 의혹을 자초했다는 것이다.
“기술협상 1시간 만에 끝나… 2주 넘게 걸리는 경우도”
두 사람은 입찰 과정에도 문제점이 발견된다고 입을 모은다. B씨는 “A 장비에 대한 시험성적서 제출 여부도 불투명하다”고 지적했다. B씨에 따르면, 사이버사령부 관계자에게 A 장비의 시험성적서와 관련해 두 번이나 질의했다고 한다. 두 번 모두 ‘A 장비가 상용 제품이므로 시험성적서를 필요로 하지 않는다’는 취지의 답변을 받았다고 한다.
그러나 확인 결과, 사이버사령부 ‘제안요청서’에는 시험성적서와 관련해 배점(10점) 사항이 기재돼 있었다. 그는 “(사이버사령부가) ‘시험성적서를 제출하지 않아도 된다’고 했으면서 왜 자신들이 작성한 제안요청서엔 ‘10점을 배점한다’는 내용이 들어 있었는지 의아하다”고 했다. 사이버사령부 측에 다시 그 부분에 대해 질의했더니 이번엔 “(안랩이) A 장비에 대해 시험성적서를 제출했다고 또 말을 바꿨다”고 주장했다.
B씨는 “계약을 진행한 후 이뤄진 사이버사령부와 안랩 사이의 기술협상 과정도 의구심이 든다”고 했다. B씨가 입수한 정보에 따르면, 안랩과 사이버사령부의 기술협상은 하루도 아닌 불과 한 시간 만에 끝났다고 한다.
실제로 기자가 확인한 녹취록에 의해서도 이 같은 사실이 확인된다. B씨는 “불과 7억~8억원짜리 사업도 기술협상 과정이 2주 넘게 이어지는 경우가 다반사인데 56억원짜리 사업이 하루도 아닌 한 시간 만에 끝났다는 건 누가 봐도 석연치 않은 대목”이라고 했다. 더구나 기술협상 과정에서 풀 패킷 관련 사항은 협상 안건에 포함돼 있지 않았다는 게 B씨의 주장이다.
‘제안서 평가’는 어떻게 이뤄졌나?
C씨는 “입찰이 끝난 후 A 장비에 부여된 점수가 얼마였는지 사이버사령부 측에 확인했지만, 사령부 관계자는 ‘세부적인 내용은 공개를 안 하는 게 원칙’이란 입장을 밝혔다”고 주장했다. C씨는 그러나 “훈령(訓令)에는 평가위원의 실명(實名)을 제외하고는 공개를 하도록 되어 있다”고 설명했다.
C씨가 말한 훈령은 ‘국방정보화사업 제안서 평가 업무 훈령’을 말한다. 이 훈령 23조 ‘평가결과 공개’에 따르면, 사업관리기관장은 “사업금액이 20억원 이상인 사업의 제안서 평가 결과는 입찰 참가 업체에 공개하여야 하며, 그 외에도 입찰자의 정당한 요청이 있거나 필요하다고 인정되는 경우에는 제안서 평가 결과를 공개할 수 있다”고 돼 있다.
훈령과 사이버사령부 측 입장이 명확히 다른 부분은 ‘제안서’ 관련 부분이다. ‘국방정보화사업 제안서 평가 업무 훈령’ 6조 3항에는 “사업관리기관은 입찰자가 제안서와 증빙자료 2권으로 제안서를 제출토록 하되, 정량적 평가기관과 정성적 평가기관이 상이한 경우, 정량적 평가 제안서와 정성적 평가 제안서로 2권으로 구분하여 제출토록 한다”고 명시돼 있다.
당초 사이버사령부는 ‘제안요청서’에 정량평가와 정성평가를 따로 구분하지 않은 채 공고를 냈다. 이에 대해 C씨는 “사이버사령부 ‘제안요청서’와 ‘공고문’을 보면 정성·정량 평가를 구분하지 않은 채 제안서를 내도록 해 각 업체들은 그에 맞춰 제안서 원본과 사본 각 1부를 사령부에 제출했다”고 말했다. C씨는 나중에 입찰 과정이 미심쩍어 사이버사령부 측에 ‘제안서 평가를 어떻게 했는지’ 물었더니 ‘정성·정량 평가를 나누어 진행했다’는 요지의 답변을 받았다. C씨는 “사실상 사령부가 자기 입맛대로 제안서를 검토한 셈”이라고 비판하며 “이 역시 훈령과 사이버사령부의 ‘제안요청서’ 내용이 서로 배치되는 부분”이라고 지적했다.
“민원 제기하자 사령부 측 관계자가 취하 종용”
C씨는 “유찰 업체 중 일부는 상기 문제를 거론하며 국민신문고에 민원을 제기했다. 하지만 사이버사령부 측은 사업을 실질적으로 진행한 담당 사무관에게 ‘질의를 하라’는 취지의 회신을 보냈다”고 말했다. C씨가 지난 7월 말, 국민신문고를 통해 사이버사령부 측으로부터 받은 답변 내용은 이러하다.
〈먼저, 국방정보화사업의 성장과 발전을 위해 많은 관심과 걱정을 기울여주신 데 대해 진심으로 감사드립니다. 귀사에서 요청하신 ‘네트워크 위협분석체계 구축사업 답변에 대한 재검토’ 민원 사항에 대해 답변드리겠습니다. (중략)
상기 조항에 대한 재검토 결과 평가부문별(정량적/정성적) 추가 정보 공개는 불가하오니 양해하여 주시기 바랍니다. (중략)
사이버작전사령부 사업과 ○○○ 사무관(02-○○○○-○○○○), 민원담당 ○○○ 주무관(02-○○○○-○○○○)에게 문의하여 주시면 성실히 답변드리도록 하겠습니다.〉
이에 대한 C씨의 주장이다.
“민원에 대한 답은 원칙적으로 사령부 감찰 부서가 내놓는 게 맞습니다. 그런데 사업의 실무를 맡았던 사무관에게 문의해 답을 들으라는 게 말이 되는 겁니까. 그럼 어떤 답변이 나올지 뻔하지 않습니까. ‘눈 가리고 아웅’ 하는 식입니다. 그에 대해 또다시 문제를 제기했더니 사령부 측 관계자가 민원 취하를 종용하는 듯한 말을 하더군요. 저희는 사이버사령부 측에 ‘시간이 걸리더라도 답변을 달라’고 다시 요청했지만, 아직까지 묵묵부답입니다.”
“2년 전 문제 있었던 안랩을 재선정한 이유 납득 불가”
취재 과정에서 안랩이 과거 사이버사령부가 진행했던 또 다른 사업에서 잡음을 일으킨 적이 있음을 알게 됐다. B씨의 설명이다.
“안랩은 2018년 사이버사령부가 추진했던 또 다른 사업의 시행자로 선정됐으나, 제품 규격 미달로 패널티를 물었던 업체입니다. 사이버사령부가 그런 부적격 업체를 이번에 재(再)선정한 겁니다. 선뜻 납득이 안 가는 대목입니다.”
실제로 사이버사령부는 2018년 10월, 총 사업비 49억원에 달하는 ‘지능형 전군 통합 보안 관제 체계 구축사업’ 공고를 낸 적이 있다. 이때도 안랩이 사업 시행자로 최종 낙찰됐다. 그러나 안랩이 내놓은 제품이 규격에 미달한다는 사실이 드러났다.
사업 규격 기능 미비 및 보안 적합성 검사 미충족으로 이듬해 3월 말까지 제품에 대한 검수가 지연됐다고 한다. 국군안보지원사령부(옛 국군기무사령부)가 실시하는 보안 적합성 검사도 미충족한 상태에서 그해 4월 3일 검수 완료가 진행됐다는 게 B씨의 설명이다. 안랩은 검수 지연에 따른 3억원의 페널티를 물었다.
B씨는 “나는 이번 사업과 그 어떠한 이해(利害)관계도 없는 사람”이라고 선을 그으며 이렇게 말했다.
“저는 단지 A라는 수집 센서를 전력화할 경우, 그 폐해(弊害)가 어떨지 잘 알기 때문에 문제 제기를 하는 겁니다. 기억할지 모르겠습니다만 2015년, 국정원이 이탈리아 해킹업체 제품을 구매한 게 밝혀져 논란이 된 적이 있습니다. 당시 국정원은 ‘내국인 대상으로는 사용하지 않았다’고 했지만 국회 차원의 조사가 거론됐고, 관련 국정원 직원은 극단적인 선택을 하는 등 정치적 이슈로 부각된 적이 있습니다. 사이버사령부도 2012년 대선 기간 중, 국정원과 공조한 가운데 댓글 작업을 했던 게 밝혀져 논란이 됐었고요. 이번에 도입하기로 결정한 A 장비는 그보다 더 심각한 결과를 초래할지 모릅니다. 누가 봐도 명백한 사찰용 수집 센서이기 때문입니다.”
사이버司 입장 “포렌식용으로 제안 요청하지 않았다”
사이버사령부의 입장은 어떨까. 상기 논란과 관련한 질의서에 사령부 측은 지난 8월 11일 다음과 같은 답변서를 보내왔다.
〈[질의] 패킷 헤더 정보만 수집해야 하는데, 풀 패킷 수집 체계가 들어온 이유가 무엇이며, A 제품을 포렌식용으로 사용한다고 하는데, 본 사업으로 사용해도 되는가?
[답변] 사령부 제안요청서에는 포렌식용으로 제안 요청한 바가 없으며, 기존 A 제품에는 네트워크 풀 패킷 캡처 정보 수집 기능이 있으나, 사령부 제안요청서에 따라 네트워크 패킷 헤더 정보만 수집되는 제품이 납품될 예정임.
[질의] 시험성적서를 제출하도록 했고, 평가항목에 반영되어 있는데 평가에 반영하였는가?
[답변] 사령부 제안요청서에는 “~처리 성능에 대한 검증 방안을 포함하여 제안하여야 한다. 단, 성능 평가는 공인기관(KOLAS ICT분야 인증기관)의 시험성적서로 대신할 수 있다”라고 제안 요청하였고, 업체들이 제출한 제안서는 평가위원들이 평가하였음.
[질의] 제안서 평가 기준은 무엇인가?
[답변] 국방부 정보화사업 제안서 평가업무 훈령 제6조(제안서 작성) 및 제8조(제안서의 평가항목 및 배점한도)에 의거 구분하여 평가하였음.〉
그래도 남는 한 가지 궁금증이 있었다. 헤더 정보만 수집할 수 있는 다른 장비를 두고 왜 굳이 풀 패킷 장비(A 장비)를 도입하겠다는 걸까. 불필요한 ‘사찰 의혹’을 감수하면서까지 말이다. 이와 관련해 사이버사령부 측 관계자와 나눈 일문일답이다.
— 왜 굳이 풀 패킷 장비를 도입해 그중에서 헤더 탐지 기능만을 쓰겠다는 것인가. 원래 사업 취지에 안 맞는 거 아닌가. 업체들은 A 장비가 입찰 조건에 안 맞는다고 주장한다.
“가령 능력 기준치가 5라고 하면 그 이상인 7, 8, 9짜리 장비도 (입찰에) 들어올 수 있는 상황이었던 걸로 나는 알고 있다. 차세대 전투기를 도입한다고 했을 때 어떤 업체에서 5세대 전투기로 입찰을 내도 무관하다는 얘기다. 전혀 문제가 안 된다.”
— 사이버사령부 제안요청서에는 ‘바디 제외’라고 적혀 있었다. 그걸 보고 나머지 업체들이 풀 패킷 장비를 제안하지 않은 거라고 하던데.
“(안랩 컨소시엄이) A 장비가 풀 패킷인 걸 알고 (사찰 등) 문제가 되는 기능에 대해선 (입찰할 때) 제안하지 않은 걸로 안다. 그래서 그 기능은 빠진 채 (사이버사령부에) 납품된다.”
— 풀 패킷 장비로 입찰을 냈을 때 가산점이 따로 있었나.
“오버 스펙(헤더 정보뿐 아니라 페이로드 수집 기능까지 포함하는 장비의 전체 사양)이라고 해서 가산점이 부여되는 건 아니다.”
— 나중에라도 A 장비가 풀 패킷 장비로 쓰일 가능성은 전혀 없는 건가.
“전혀 없다. ”
— A 장비가 안보지원사령부의 보안성 검토는 통과했나.
“통과한 걸로 안다.”
— 안랩은 2018년도에 사이버사령부와의 사업에서 잡음을 일으킨 걸로 안다. 이번 입찰에 응할 자격 조건이 됐나.
“부적합 판정은 아니었고, 사업을 진행하다 늦어진 것뿐이다. 안랩이 그에 대한 지체상금(遲滯償金·페널티)을 물은 건 사실이다. 지체상금은 협상이 되고 나서 납기(納期)를 못 지켰을 때 못 지킨 기간만큼 내는 돈이다. 지체상금을 물었다고 해서 부적격 업체가 되는 건 아니다.”
— 지체상금 액수가 많으면 부적격 업체가 되는 것 아닌가. 안랩은 페널티를 3억원 정도 문 것으로 안다.
“액수와는 상관이 없다. 부적격 업체로 등록되는 경우는 비리를 저질렀거나 거짓말을 했을 때다. 규정에 나와 있는 부분이다.”
“과거 댓글 문제 휘말려… (사찰이나 해킹 등) 우려하는 일 없을 것”
이 관계자는 “사이버사령부는 과거 댓글 사건이라는 불미스러운 일에 휘말린 적이 있다”며 “논란이 되고 있는 사안에 대해 인지(認知)하고 있는 만큼 우려하는 일(사찰이나 해킹 가능성)이 일어나지 않도록 최선의 노력을 경주하고 있다”고 덧붙였다.
안랩 측에도 지난 8월 11일 전화를 걸어 사이버사령부 사업과 관련한 입장을 물었다. 안랩 측은 8월 13일 “문의하신 건은 계약 조건에 따라 정보공개가 불가능하다”며 “말씀하신 사항은 저희의 계약 상대방에게 문의를 해주시는 것이 좋겠다”는 입장을 알려왔다.⊙
사이버사령부는 지난 5월 6일 ‘네트워크 위협 분석체계 구축’에 관한 사업 공고를 냈다. 총 56억원을 투입해 156대의 수집 센서를 장성급 이상 78개 부대에 설치하겠다는 게 사업의 요지다.
사이버사령부가 작성한 ‘네트워크 위협 분석체계 구축’에 따른 ‘제안요청서’의 ‘추진배경 및 필요성’에는 “알려진 공격행위에 대한 패턴 기반 탐지·차단 체계의 한계를 극복하기 위한 군내(軍內) 알려지지 않은 공격행위 식별이 가능한 분석 체계 필요”라고 적혀 있다. 즉 ‘알려지지 않은 공격행위’를 식별하기 위해 신규 보안 네트워크 시스템을 구축하겠다는 얘기다. 사이버사령부는 신규 시스템 구축을 오는 12월까지 완료할 계획이다.
수집 센서 A 장비는 軍 아닌 수사기관用
이 사업에는 LIG시스템, 현대HDS, GSITM, 신한DS, 안랩 등 총 9개 업체가 컨소시엄을 구성해 입찰에 참여했다. 그 결과 지난 6월 중순 ‘안랩’이 사업 시행 업체로 최종 선정됐다. 안랩은 기술 점수 84.42점, 가격 점수 9.18점으로 합계 93.6점을 얻었으며, 낙찰가는 48억9500만원이었다(국가종합전자조달 ‘나라장터’ 참조).
업계에서는 안랩이 제안한 수집 센서에 의구심을 나타내고 있다. 안랩은 사이버사령부가 요구했던 사양과 전혀 다른 장비를 제안했는데 낙찰이 되어서다. 논란이 되고 있는 수집 센서 기기는 모(某) 회사가 개발한 ‘A 장비’ 다.
업계 관계자들의 말을 종합하면, 이 장비는 네트워크 송수신 과정에서 오가는 모든 정보를 상대의 승인 없이 실시간으로 확인 가능하다고 한다. 카카오톡 메시지 송수신은 물론, 파일 전송, 문자메시지, 이메일 등을 광범위하게 들여다볼 수 있다.
사실상 해킹은 물론 도·감청이 가능한 ‘사찰(査察) 기능’이 탑재돼 있다는 주장이다. 이런 이유로 A 장비는 수사기관에서 주로 이뤄지는 포렌식용으로나 적합하지, 군내(軍內)에서 운용하는 건 부적합하다고 입을 모은다.
이들은 A 장비를 사이버사령부가 전력화(戰力化)할 경우, 현행법 위반의 소지가 있다고 주장하기도 한다. 통신비밀보호법 3조 1항(통신 및 대화 비밀의 보호)과 개인정보보호법 24조 1항(고유식별정보의 처리 제한)에 저촉된다는 것이다. 전자(前者)의 법률 조항을 위반할 시에는 10년 이하 징역 및 5년 이하 자격정지를 당할 수 있으며, 후자(後者)를 위반할 경우엔 5년 이하 징역 또는 5000만원 이하의 벌금형에 처할 수 있다.
사이버司 제안 요건과 차이 있는 A 장비
 |
| 사이버사령부가 도입하기로 결정한 수집 센서 A 장비가 이메일 내역을 확인하는 장면. A 장비는 이메일을 보낸 사람과 그 내용을 구체적으로 탐지할 수 있는 ‘풀 패킷 장비’이다. |
또한 사이버사령부가 국가 안보의 한 축을 담당하는 부대라는 점을 감안, 보안상 민감한 부분은 기사에 밝히지 않았음을 일러둔다. 대체 A 장비는 어떤 장비이기에, 또 입찰 과정은 어떠했기에 이런 ‘뒷말’이 나오고 있는 걸까. 《월간조선》이 그 과정을 추적해봤다.
사이버사령부는 ‘제안요청서’의 ‘사업 범위’에서 신규 네트워크 시스템 구축에 요구되는 핵심 기능에 대해 이렇게 써놓았다.
〈가. 발주기관에서 지정하는 부대에 미러링(또는 TAP) 방식으로 센서를 설치하고, 로그를 수집하여 분석장비로 전송
*일반통신 패킷 헤더 및 응용계층 페이로드(바디 제외)를 로그로 생성, 분석장비로 전송
나. 분석장비는 국직(기관)군별로 구분하여, 수집 센서를 연동하고 분석장비 설치부대에 네트워크 위협을 분석할 수 있는 기능 제공
다. 최상위 장비는 이중화 설치하여, 로그를 장기간 저장할 수 있는 저장장치를 연결하고 통합분석을 위한 기능 제공 (하략)〉
주목할 대목은 ‘가’ 항 하단에 적힌 “일반통신 패킷 헤더 및 응용계층 페이로드(바디 제외)를 로그로 생성, 분석장비로 전송”이란 부분이다. 사이버사령부는 ‘바디 (정보) 제외’라고 분명히 명시했지만, 업계 관계자들은 A 장비가 ‘바디 정보’까지 수집할 수 있는 ‘풀 패킷(full packet)’ 장비라고 주장한다. 그렇다면 사이버사령부의 신규 네트워크 시스템 구축 사업 취지에 어긋나는 셈이다.
수집 센서 A 장비를 알아보기에 앞서, 인터넷 보안과 관련한 전문 용어에 대해 잠시 부연 설명을 덧붙이도록 한다.
‘패킷’이란 인터넷에서 전송하기 쉽도록 데이터를 잘게 쪼갠 데이터 전송 단위다. 패킷은 전송할 데이터의 IP 주소, 전송 목적지 등의 정보를 담고 있는 ‘헤더(header)’와 전송할 데이터의 내용을 담고 있는 ‘데이터 영역(data field·일명 페이로드)’으로 나뉜다.(아래 그림 참조)
 |
| 패킷은 헤더(header)와 페이로드(데이터+바디)로 구성된다. |
흔히 로그(log)라는 게 여기에 속한다. 로그란 어떤 웹사이트를 방문했을 때 PC나 휴대폰에 남아 있는 흔적을 총칭한다. 로그를 분석하면 웹사이트를 방문하는 목적, 횟수 등을 파악할 수 있다.
데이터 영역은 ‘페이로드’로 불리는데 ‘바디’는 페이로드를 담고 있는 일종의 ‘박스’다. 페이로드는 편지봉투 안 편지지에 보내는 이가 기재한 내용이라고 할 수 있다.
페이로드(바디 포함)에는 헤더와 비교해 개인의 내밀한 사생활이나 국가 안보와 관련된 중요 정보가 들어간다. 페이로드에 대한 법원의 통제는 더욱 엄격하게 이루어지는 게 현실이다. 이러한 데이터의 구체적인 내용을 ‘네트워크 위협 분석’이라는 명목하에 ‘마구잡이식’으로 확인하는 건 명백한 불법에 해당한다는 게 법조계 관계자들의 해석이다.
사이버사령부는 관제 기능을 담당하는 부대로 네트워크상 유통되는 로그 정보를 분석해 해킹 공격 등에 대비하는 게 주(主) 임무다. 바디나 페이로드 영역이 아닌 로그 등이 담긴 헤더 탈취를 통해 사이버 공격의 위협을 탐지한다는 것이다.
사이버사령부가 ‘제안요청서’에 “수집 센서는 네트워크 패킷 헤더 정보를 손실률 없이 수집 가능하여야 한다”고 한 이유도 그 때문이다. ‘제안요청서’에서 ‘(수집 센서가) 바디나 페이로드 정보까지 수집할 수 있어야 한다’는 취지의 기술(記述)은 찾을 수 없다.
A 장비와 같은 풀 패킷 수집 센서는 네트워크에 접속만 하면 상대방 승인 없이 앞서 말한 카카오톡, 문자메시지 등 모든 데이터를 모니터링할 수 있다. 실제로 A 장비에는 네트워크상 페이로드까지 포함하는 모든 패킷(풀 패킷)을 실시간으로 저장하고 분석·재현 가능한 기술이 담겨 있다.
이 장비의 ‘기본상품 규격서’를 통해 해당 장비에 관한 구체적인 스펙(사양)을 확인해봤다. 장비 개발 업체는 A 장비에 대해 “실시간 풀 패킷 캡처, 네트워크의 모든 행위 수집”이라고 홍보하고 있다. ‘주요 특징’에도 ▲내·외부 위협에 대한 명확한 분석 ▲실시간으로 이상 징후 탐지 ▲사용자 화면을 그대로 재현이란 항목과 함께 ‘풀 패킷 데이터 통합’이라고 명기했다.
또한 ‘컨텐츠 검색’ 항목에는 “메일, POST, 전송파일, 번역에 대한 컨텐츠를 한눈에 확인할 수 있으며 실제 화면 또는 파일을 복원할 수 있습니다”라고 적혀 있다. ‘기능 상세’ 항목에도 ‘페이로드 검색(패킷 상세 분석)’이라고 명확히 적시돼 있다. 결국 A 장비는 메일 사용 내역과 전송파일 내역까지 식별할 수 있는 풀 패킷 수집 장비라는 게 분명해진다.
게다가 A 장비는 크기가 작아 이동(移動)이 자유로워 언제 어디서든 사용할 수 있다. 마음먹기에 따라 청와대·국회·언론사에 설치해 사찰 용도로 악용할 수 있다는 게 업계 관계자들의 말이다.
“사찰용으로 악용될 수 있는 A 장비, 입찰서 배제했어야”
 |
| A 장비 도입에 의혹을 제기하는 이들은 사이버사령부가 ‘제안요청서’에 8TB(테라바이트) 수준의 저장 공간을 요구한 데 대해서도 의문을 제기하고 있다. |
“A 장비는 사이버사령부가 당초 제안했던 헤더 정보만 추출하는 수집 센서가 아닙니다. 명백한 풀 패킷 장비입니다. 근데 사이버사령부는 해당 장비에서 바디와 페이로드 수집 장치는 제외한 헤더 정보만 추출할 수 있는 기능만 쓰겠다고 주장하고 있습니다. 그럼 그간의 입찰 과정은 뭐가 되는 겁니까. 안랩을 제외한 나머지 8개 업체는 모두 헤더 정보만 추출할 수 있는 장비를 가지고 입찰에 나섰는데, 낙찰된 A 장비는 헤더 정보는 물론 바디 및 페이로드까지 수집할 수 있다니 뭔가 앞뒤가 안 맞지 않습니까. 그렇다면 아예 입찰에서 (A 장비를) 배제했어야 하는 게 맞죠.”
C씨는 지난 5월 14일 해당 사업과 관련해 열린 사업설명회에 참석한 이다. C씨는 당시 사업설명회에서 있었던 일을 언급했다. 그의 말이다.
“사업설명회 당시 사이버사령부 측 관계자는 ‘풀 패킷 관제 가능 사양은 제안하지 말라’고 공식적으로 언급했습니다. 그럼에도 풀 패킷 사양이 담긴 장비를 내놓은 안랩이 사업 시행자로 선정된 것입니다. 사이버사령부가 왜 기존에 설명한 내용과 다른 업체를 선정했는지 아직도 이해가 안 갑니다.”
B씨는 “사이버사령부가 요구하는 수집 센서는 기능상 수집·전송 기능 외에 저장 기능은 불필요하다”며 “그럼에도 8TB(테라바이트) 수준의 과도한 저장 공간을 요구했다”고 주장했다. 그는 “이 정도의 저장 용량이면 언제든지 민간 통신망에 탈·부착해 불법해킹 용도로 (수집 센서를) 악용할 가능성이 있다”고 지적했다.
두 사람의 주장을 종합하면, 본래 사업 취지에 반(反)하고 사찰용으로 의심되는 A 장비를 선정함으로써 사이버사령부가 의혹을 자초했다는 것이다.
두 사람은 입찰 과정에도 문제점이 발견된다고 입을 모은다. B씨는 “A 장비에 대한 시험성적서 제출 여부도 불투명하다”고 지적했다. B씨에 따르면, 사이버사령부 관계자에게 A 장비의 시험성적서와 관련해 두 번이나 질의했다고 한다. 두 번 모두 ‘A 장비가 상용 제품이므로 시험성적서를 필요로 하지 않는다’는 취지의 답변을 받았다고 한다.
그러나 확인 결과, 사이버사령부 ‘제안요청서’에는 시험성적서와 관련해 배점(10점) 사항이 기재돼 있었다. 그는 “(사이버사령부가) ‘시험성적서를 제출하지 않아도 된다’고 했으면서 왜 자신들이 작성한 제안요청서엔 ‘10점을 배점한다’는 내용이 들어 있었는지 의아하다”고 했다. 사이버사령부 측에 다시 그 부분에 대해 질의했더니 이번엔 “(안랩이) A 장비에 대해 시험성적서를 제출했다고 또 말을 바꿨다”고 주장했다.
B씨는 “계약을 진행한 후 이뤄진 사이버사령부와 안랩 사이의 기술협상 과정도 의구심이 든다”고 했다. B씨가 입수한 정보에 따르면, 안랩과 사이버사령부의 기술협상은 하루도 아닌 불과 한 시간 만에 끝났다고 한다.
실제로 기자가 확인한 녹취록에 의해서도 이 같은 사실이 확인된다. B씨는 “불과 7억~8억원짜리 사업도 기술협상 과정이 2주 넘게 이어지는 경우가 다반사인데 56억원짜리 사업이 하루도 아닌 한 시간 만에 끝났다는 건 누가 봐도 석연치 않은 대목”이라고 했다. 더구나 기술협상 과정에서 풀 패킷 관련 사항은 협상 안건에 포함돼 있지 않았다는 게 B씨의 주장이다.
‘제안서 평가’는 어떻게 이뤄졌나?
C씨는 “입찰이 끝난 후 A 장비에 부여된 점수가 얼마였는지 사이버사령부 측에 확인했지만, 사령부 관계자는 ‘세부적인 내용은 공개를 안 하는 게 원칙’이란 입장을 밝혔다”고 주장했다. C씨는 그러나 “훈령(訓令)에는 평가위원의 실명(實名)을 제외하고는 공개를 하도록 되어 있다”고 설명했다.
C씨가 말한 훈령은 ‘국방정보화사업 제안서 평가 업무 훈령’을 말한다. 이 훈령 23조 ‘평가결과 공개’에 따르면, 사업관리기관장은 “사업금액이 20억원 이상인 사업의 제안서 평가 결과는 입찰 참가 업체에 공개하여야 하며, 그 외에도 입찰자의 정당한 요청이 있거나 필요하다고 인정되는 경우에는 제안서 평가 결과를 공개할 수 있다”고 돼 있다.
훈령과 사이버사령부 측 입장이 명확히 다른 부분은 ‘제안서’ 관련 부분이다. ‘국방정보화사업 제안서 평가 업무 훈령’ 6조 3항에는 “사업관리기관은 입찰자가 제안서와 증빙자료 2권으로 제안서를 제출토록 하되, 정량적 평가기관과 정성적 평가기관이 상이한 경우, 정량적 평가 제안서와 정성적 평가 제안서로 2권으로 구분하여 제출토록 한다”고 명시돼 있다.
당초 사이버사령부는 ‘제안요청서’에 정량평가와 정성평가를 따로 구분하지 않은 채 공고를 냈다. 이에 대해 C씨는 “사이버사령부 ‘제안요청서’와 ‘공고문’을 보면 정성·정량 평가를 구분하지 않은 채 제안서를 내도록 해 각 업체들은 그에 맞춰 제안서 원본과 사본 각 1부를 사령부에 제출했다”고 말했다. C씨는 나중에 입찰 과정이 미심쩍어 사이버사령부 측에 ‘제안서 평가를 어떻게 했는지’ 물었더니 ‘정성·정량 평가를 나누어 진행했다’는 요지의 답변을 받았다. C씨는 “사실상 사령부가 자기 입맛대로 제안서를 검토한 셈”이라고 비판하며 “이 역시 훈령과 사이버사령부의 ‘제안요청서’ 내용이 서로 배치되는 부분”이라고 지적했다.
“민원 제기하자 사령부 측 관계자가 취하 종용”
 |
| 유찰된 업체 측에서 ‘국민신문고’에 A 장비 도입에 따른 민원을 제기하자, 사이버사령부 측이 보내온 답변. 사령부 측 사업 실무자를 통해 확인하라는 취지의 입장을 보내왔다. |
〈먼저, 국방정보화사업의 성장과 발전을 위해 많은 관심과 걱정을 기울여주신 데 대해 진심으로 감사드립니다. 귀사에서 요청하신 ‘네트워크 위협분석체계 구축사업 답변에 대한 재검토’ 민원 사항에 대해 답변드리겠습니다. (중략)
상기 조항에 대한 재검토 결과 평가부문별(정량적/정성적) 추가 정보 공개는 불가하오니 양해하여 주시기 바랍니다. (중략)
사이버작전사령부 사업과 ○○○ 사무관(02-○○○○-○○○○), 민원담당 ○○○ 주무관(02-○○○○-○○○○)에게 문의하여 주시면 성실히 답변드리도록 하겠습니다.〉
이에 대한 C씨의 주장이다.
“민원에 대한 답은 원칙적으로 사령부 감찰 부서가 내놓는 게 맞습니다. 그런데 사업의 실무를 맡았던 사무관에게 문의해 답을 들으라는 게 말이 되는 겁니까. 그럼 어떤 답변이 나올지 뻔하지 않습니까. ‘눈 가리고 아웅’ 하는 식입니다. 그에 대해 또다시 문제를 제기했더니 사령부 측 관계자가 민원 취하를 종용하는 듯한 말을 하더군요. 저희는 사이버사령부 측에 ‘시간이 걸리더라도 답변을 달라’고 다시 요청했지만, 아직까지 묵묵부답입니다.”
“2년 전 문제 있었던 안랩을 재선정한 이유 납득 불가”
취재 과정에서 안랩이 과거 사이버사령부가 진행했던 또 다른 사업에서 잡음을 일으킨 적이 있음을 알게 됐다. B씨의 설명이다.
“안랩은 2018년 사이버사령부가 추진했던 또 다른 사업의 시행자로 선정됐으나, 제품 규격 미달로 패널티를 물었던 업체입니다. 사이버사령부가 그런 부적격 업체를 이번에 재(再)선정한 겁니다. 선뜻 납득이 안 가는 대목입니다.”
실제로 사이버사령부는 2018년 10월, 총 사업비 49억원에 달하는 ‘지능형 전군 통합 보안 관제 체계 구축사업’ 공고를 낸 적이 있다. 이때도 안랩이 사업 시행자로 최종 낙찰됐다. 그러나 안랩이 내놓은 제품이 규격에 미달한다는 사실이 드러났다.
사업 규격 기능 미비 및 보안 적합성 검사 미충족으로 이듬해 3월 말까지 제품에 대한 검수가 지연됐다고 한다. 국군안보지원사령부(옛 국군기무사령부)가 실시하는 보안 적합성 검사도 미충족한 상태에서 그해 4월 3일 검수 완료가 진행됐다는 게 B씨의 설명이다. 안랩은 검수 지연에 따른 3억원의 페널티를 물었다.
B씨는 “나는 이번 사업과 그 어떠한 이해(利害)관계도 없는 사람”이라고 선을 그으며 이렇게 말했다.
“저는 단지 A라는 수집 센서를 전력화할 경우, 그 폐해(弊害)가 어떨지 잘 알기 때문에 문제 제기를 하는 겁니다. 기억할지 모르겠습니다만 2015년, 국정원이 이탈리아 해킹업체 제품을 구매한 게 밝혀져 논란이 된 적이 있습니다. 당시 국정원은 ‘내국인 대상으로는 사용하지 않았다’고 했지만 국회 차원의 조사가 거론됐고, 관련 국정원 직원은 극단적인 선택을 하는 등 정치적 이슈로 부각된 적이 있습니다. 사이버사령부도 2012년 대선 기간 중, 국정원과 공조한 가운데 댓글 작업을 했던 게 밝혀져 논란이 됐었고요. 이번에 도입하기로 결정한 A 장비는 그보다 더 심각한 결과를 초래할지 모릅니다. 누가 봐도 명백한 사찰용 수집 센서이기 때문입니다.”
사이버司 입장 “포렌식용으로 제안 요청하지 않았다”
사이버사령부의 입장은 어떨까. 상기 논란과 관련한 질의서에 사령부 측은 지난 8월 11일 다음과 같은 답변서를 보내왔다.
〈[질의] 패킷 헤더 정보만 수집해야 하는데, 풀 패킷 수집 체계가 들어온 이유가 무엇이며, A 제품을 포렌식용으로 사용한다고 하는데, 본 사업으로 사용해도 되는가?
[답변] 사령부 제안요청서에는 포렌식용으로 제안 요청한 바가 없으며, 기존 A 제품에는 네트워크 풀 패킷 캡처 정보 수집 기능이 있으나, 사령부 제안요청서에 따라 네트워크 패킷 헤더 정보만 수집되는 제품이 납품될 예정임.
[질의] 시험성적서를 제출하도록 했고, 평가항목에 반영되어 있는데 평가에 반영하였는가?
[답변] 사령부 제안요청서에는 “~처리 성능에 대한 검증 방안을 포함하여 제안하여야 한다. 단, 성능 평가는 공인기관(KOLAS ICT분야 인증기관)의 시험성적서로 대신할 수 있다”라고 제안 요청하였고, 업체들이 제출한 제안서는 평가위원들이 평가하였음.
[질의] 제안서 평가 기준은 무엇인가?
[답변] 국방부 정보화사업 제안서 평가업무 훈령 제6조(제안서 작성) 및 제8조(제안서의 평가항목 및 배점한도)에 의거 구분하여 평가하였음.〉
그래도 남는 한 가지 궁금증이 있었다. 헤더 정보만 수집할 수 있는 다른 장비를 두고 왜 굳이 풀 패킷 장비(A 장비)를 도입하겠다는 걸까. 불필요한 ‘사찰 의혹’을 감수하면서까지 말이다. 이와 관련해 사이버사령부 측 관계자와 나눈 일문일답이다.
— 왜 굳이 풀 패킷 장비를 도입해 그중에서 헤더 탐지 기능만을 쓰겠다는 것인가. 원래 사업 취지에 안 맞는 거 아닌가. 업체들은 A 장비가 입찰 조건에 안 맞는다고 주장한다.
“가령 능력 기준치가 5라고 하면 그 이상인 7, 8, 9짜리 장비도 (입찰에) 들어올 수 있는 상황이었던 걸로 나는 알고 있다. 차세대 전투기를 도입한다고 했을 때 어떤 업체에서 5세대 전투기로 입찰을 내도 무관하다는 얘기다. 전혀 문제가 안 된다.”
— 사이버사령부 제안요청서에는 ‘바디 제외’라고 적혀 있었다. 그걸 보고 나머지 업체들이 풀 패킷 장비를 제안하지 않은 거라고 하던데.
“(안랩 컨소시엄이) A 장비가 풀 패킷인 걸 알고 (사찰 등) 문제가 되는 기능에 대해선 (입찰할 때) 제안하지 않은 걸로 안다. 그래서 그 기능은 빠진 채 (사이버사령부에) 납품된다.”
— 풀 패킷 장비로 입찰을 냈을 때 가산점이 따로 있었나.
“오버 스펙(헤더 정보뿐 아니라 페이로드 수집 기능까지 포함하는 장비의 전체 사양)이라고 해서 가산점이 부여되는 건 아니다.”
— 나중에라도 A 장비가 풀 패킷 장비로 쓰일 가능성은 전혀 없는 건가.
“전혀 없다. ”
— A 장비가 안보지원사령부의 보안성 검토는 통과했나.
“통과한 걸로 안다.”
— 안랩은 2018년도에 사이버사령부와의 사업에서 잡음을 일으킨 걸로 안다. 이번 입찰에 응할 자격 조건이 됐나.
“부적합 판정은 아니었고, 사업을 진행하다 늦어진 것뿐이다. 안랩이 그에 대한 지체상금(遲滯償金·페널티)을 물은 건 사실이다. 지체상금은 협상이 되고 나서 납기(納期)를 못 지켰을 때 못 지킨 기간만큼 내는 돈이다. 지체상금을 물었다고 해서 부적격 업체가 되는 건 아니다.”
— 지체상금 액수가 많으면 부적격 업체가 되는 것 아닌가. 안랩은 페널티를 3억원 정도 문 것으로 안다.
“액수와는 상관이 없다. 부적격 업체로 등록되는 경우는 비리를 저질렀거나 거짓말을 했을 때다. 규정에 나와 있는 부분이다.”
“과거 댓글 문제 휘말려… (사찰이나 해킹 등) 우려하는 일 없을 것”
이 관계자는 “사이버사령부는 과거 댓글 사건이라는 불미스러운 일에 휘말린 적이 있다”며 “논란이 되고 있는 사안에 대해 인지(認知)하고 있는 만큼 우려하는 일(사찰이나 해킹 가능성)이 일어나지 않도록 최선의 노력을 경주하고 있다”고 덧붙였다.
안랩 측에도 지난 8월 11일 전화를 걸어 사이버사령부 사업과 관련한 입장을 물었다. 안랩 측은 8월 13일 “문의하신 건은 계약 조건에 따라 정보공개가 불가능하다”며 “말씀하신 사항은 저희의 계약 상대방에게 문의를 해주시는 것이 좋겠다”는 입장을 알려왔다.⊙
