지난해 북한의 해킹 공격에 작전계획 등 주요 군 비밀을 털린 국방부가 사이버 공격에 대비한 기초 보안 수단인 바이러스 백신 사업자조차 찾지 못하고 있어 논란이 되고 있다. 사업에 배정한 예산이 적어 주요 보안업체들이 불참하면서 입찰이 무산됐다.
겨우 연간 15억원으로 "사이버 국방 지켜라"
28일 보안업계에 따르면 국방부가 지난 7월 조달청 나라장터를 통해 컴퓨터에 백신 프로그램을 설치하는 ‘2017년 전군 바이러스 방역체계(내부망) 구축사업’을 공고했지만 보안업체 하우리 한 곳만 응찰해 계약을 맺지 못한 것으로 확인됐다. 하우리는 지난해 9월 발생한 국방부 해킹사건 당시 백신을 책임지던 업체다. 국방부는 논의 끝에 예산 등을 전면 재검토한 뒤 새로운 사업 공고를 내기로 했다.

주요 보안업체가 국방부 백신 사업을 외면하는 이유는 수지타산이 맞지 않기 때문이다. 이번 사업 기간은 올해 12월부터 2019년 12월까지 25개월로 예산은 31억7858만원이다. 연간으로 15억원 수준에 불과하지만 20만 대 이상의 군 PC에 백신을 설치하고 유지·보수하는 데 열 명 가까운 직원을 파견해야 한다. 해커들의 집중 표적인 국방부 사업으로는 ‘헐값’이라는 게 보안업계의 평가다.

임종인 고려대 정보보호대학원 교수는 “이 같은 규모의 사업은 민간에서 최소 100억원 이상 투자해야 한다”며 “북한의 위협이 잇따르는 것을 고려할 때 정부가 보안 예산부터 시장에 맞게 현실화할 필요가 있다”고 지적했다.

국방부가 컴퓨터 바이러스 백신 도입 사업을 원점에서 재검토하기로 한 것은 지난해 내부망 해킹 사건과 관련된 업체 하우리 한 곳만 응찰했기 때문이다. 군 검찰은 지난해 조사에서 2015년 북한으로 추정되는 세력이 하우리의 백신 데이터를 해킹했고 여기서 알아낸 취약점을 이용해 국방부 내부망에 침입한 것으로 판단했다. 하우리는 백신 프로그램이 해킹됐다는 사실을 국방부에 알리지 않는 등 책임을 다하지 않았다. 이 같은 상황에서 하우리를 선정하기 부담스러워지자 논의 끝에 사업을 전면 재검토하기로 결정했다.

이번 결정으로 국방부 해킹 사고 1년이 지났지만 새로운 백신 도입은 해를 넘길지 모른다는 우려가 나온다. 국방부와 하우리의 당초 계약은 올해 1월17일까지였지만 신규 사업이 늦어지면서 계약도 1~3개월씩 수차례 연장됐다. 현재 계약은 11월30일 끝난다.

국내 보안업계에서는 국방부 백신사업을 ‘독이 든 성배’로 부른다. 한국은 세계에서 사이버 전쟁이 가장 치열하게 벌어지는 곳으로 손꼽힌다. 북한의 사이버 테러로 인한 피해도 계속 이어지고 있다. 국방부에 백신 프로그램을 제공한 업체는 ‘국방부 백신 사업자’라는 칭호를 얻을 수 있지만 세계 해커들의 표적이 된다. 해킹당하면 기업 신뢰도에 직접적 피해를 받게 된다.

그런데도 사업 예산은 민간사업의 3분의 1 수준에 불과하다. 국방부는 지난해 해킹 사건을 계기로 내외부망 사업자를 따로 정하고 예산도 1.5배가량 늘렸지만 업계 기대치에는 크게 못 미친다. 안랩, 이스트시큐리티, SGA솔루션즈, 잉카인터넷 등 국내 간판 보안업체들이 이 사업에 관심조차 보이지 않는 이유다. 20만 대 이상 PC에 소프트웨어를 제공하기 위해 10명 가까운 유지보수 인력을 상주시켜야 하는 업체로선 ‘헐값’이라는 게 보안업계의 지적이다.

국방부뿐만 아니다. 경찰청이 발주해 지난 26일 입찰을 마감한 ‘통합백신 및 윈도 보안패치 소프트웨어 구매’ 사업도 전국 경찰이 사용하는 컴퓨터 10만여 대에 백신 프로그램을 설치하는 사업이지만 예산은 1년간 2억3300만원에 불과하다.

이번 사건을 계기로 정부가 사이버 안보에 관심을 더 기울여야 한다는 지적이 나온다. 한 업계 관계자는 “요구사항도 많고 위험도 높기 때문에 사업을 제대로 하려면 많은 예산과 인력을 투입해야 한다”며 “정당한 대가를 주지 않으면서 애국심에만 호소하는 것은 말이 안 된다”고 말했다.

이승우 기자 leeswoo@hankyung.com