지방교육 통합시스템용 DB보안 구축 두달째 난항

한국교육학술정보원(KERIS)이 교육부 '차세대 지방교육 행·재정 통합시스템'에 들어갈 데이터베이스(DB) 암호화 제품 공급업체와의 기술협상을 1개월 넘게 중단한 상태인 것으로 확인됐다.

KERIS는 올해 3월 발주한 사업을 5월 개찰해 A사를 우선협상자로 선정했다. 그런데 5월 중순께 '우선협상자 기업의 공급제안 제품이 유효한 보안기술 인증을 갖추지 못했다'는 의혹을 품은 타사의 이의 제기를 받았다. 이후 현재까지 제품의 제안서 충족 여부를 다시 검토 중이다.

이 사업은 KERIS와 17개 교육청, 즉 18개 기관이 각각 사업 과정을 검수하고 대금을 지급하는 형태의 공동계약으로 진행된다. KERIS는 여러 기관이 관여하는 사업 형태, 우선협상자와 경쟁입찰 결과에 이의를 제기한 타사의 주장을 포함해 법적인 검토를 거쳐야 하는 점 등 사유로 사업이 지체되고 있다고 인정했다.

21일 KERIS 측은 "본 사업은 17개 교육청과 KERIS, 18개 기관이 각각 검수 및 대금을 지급하는 공동 계약 형태의 사업으로 교육부 및 교육청과의 합의가 필요한 사항이며 최대한 빨리 추진할 예정"이라면서도 "다만 해당 업체의 의견을 수렴하는 과정에서 부당함을 주장하고 있어, 법적인 검토가 필요하여 시간이 다소 지연되고 있다"고 밝혔다.

사업 참여사의 제품이 제안요청서 기준을 충족하지 못하는 경우, 발주처의 우선협상자로 선정되기 이전에 제안 단계에서 걸러졌어야 한다. 걸러지지 않았다면 입찰 제품의 주요 자격 요건 검토가 불충분했다고 볼 수도 있다. 검토가 미흡한 제품으로 공급 및 구축 계약이 진행됐을 여지도 있다. 하지만 실제 사정은 이보다 좀 더 복잡하다.

■ 무슨 일 있었나

KERIS는 지난 3월 '차세대 지방교육행·재정통합시스템 상용 SW(DB암호화) 도입 및 구축' 사업을 발주했다. 이 사업 예산은 약 18억5천만원이다. 지난 2017년부터 올해까지 총 예산 478억원 규모로 추진되고 있는 차세대 지방교육 행·재정 통합시스템 구축사업 가운데, 통합시스템에 쓰일 DB암호화 제품의 도입 및 구축 부분을 분리 발주한 사업이다.

지난 5월 DB암호화 도입 및 구축 사업 공고 개찰 결과에 따르면 6개 업체가 투찰했고 그 중 A사가 우선협상자로 선정됐다. 이후 KERIS는 A사의 DB암호화 제품 'B'를 도입 및 구축 대상으로 검토해 왔다. 그런데 다른 투찰사로부터 'B제품은 제안요청서 상의 요구사항을 충족하지 못하기 때문에, 이를 제안한 A사를 우선협상자로 선정한 건 문제가 있다'는 지적이 나왔다.

KERIS 측은 우선협상자로 선정된 A사와의 DB암호화 제품 공급 및 구축사업 계약 진행 현황 문의에 "5월 대구조달청 제안서 평가 결과 A사가 우선협상자로 선정되어 기술협상을 추진하던 중, 제안 제품(B)에 이의가 제기돼 기술협상이 중지된 상태"라며 "이후 (절차를) 계약 규정에 따라 진행할 예정"이라고 밝혔다.

문제 제기된 부분은 B제품의 보안기술인증 유효성이었다. KERIS의 DB암호화 도입 및 구축 사업의 제안요청서 요구사항 중 '시스템 장비구성 요구사항(ECR-002)' 항목의 '인증' 부분에 따르면, 제안된 제품은 "효력이 유효한 CC인증을 획득하거나 국가정보원의 검증필 암호 모듈(KCMVP)을 탑재한 제품"이어야 한다.

■ CC인증과 KCMVP인증의 회색지대

보안제품의 국내용 CC인증 현황은 과학기술정보통신부 산하 인증기관인 IT보안인증사무국의 홈페이지에서 조회할 수 있다. 조회 결과에 따르면 B 제품은 지난 2012년 2월 최초 인증을 받았고 2015년과 지난해, 두 번에 걸쳐 인증서 효력을 연장받았다. B 제품의 CC인증은 오는 2021년 2월 만료된다. 여기까지만 놓고 보면 B 제품의 CC인증이 유효하기 때문에 문제가 없다.

하지만 B 제품은 별도 검증 대상인 암호모듈을 포함한다. 국가·공공기관 도입 목적으로 CC인증을 받을 때, 인증서 발급 시점에 유효한 검증필 암호모듈을 탑재해야 하는 보안기술제품 유형들이 있다. 가상사설망(VPN), 소프트웨어기반 보안USB, 호스트 자료유출방지, DB암호화, 통합인증(SSO), 문서암호화 유형이다. B 제품은 DB암호화 제품이기 때문에 CC인증과 함께 KCMVP 인증 보유여부가 관건이 되는 것이다.

보안제품에 탑재된 암호모듈의 KCMVP 인증 현황은 국가정보원 웹사이트에서 확인이 가능하다. 국정원 사이버안보 항목 '암호모듈 검증' 페이지에 검증필 암호모듈 목록을 조회할 수 있다. 여기에 B 제품에 포함된 C 암호모듈의 정보도 나온다. C 암호모듈은 지난 2014년 1월 KCMVP 인증을 받았고 그 효력이 올해 1월 만료됐다.

요약하면, B 제품은 현재 유효한 CC인증을 보유했으나, 그에 포함된 C 암호모듈의 KCMVP인증은 더 이상 효력이 없다.

이처럼 제품의 CC인증 유효기간이 남아있는 가운데 KCMVP인증의 효력이 만료된 경우를 어떻게 봐야 할까. 상반된 두 가지 주장이 모두 가능하다. 이 시점에도 CC인증 유효기간이 남아 있는 만큼 조달입찰간 문제가 없다는 주장, KCMVP인증이 만료된만큼, 이를 해소하기 전까지 CC인증만으로 조달입찰이 가능하다고 볼 수 없다는 주장. A사는 전자를, KERIS 측에 이의를 제기한 쪽은 후자를 주장하는 상황이다.

■ KERIS의 장고 "국정원·보안인증사무국 정보 종합해 검토 중"

CC인증서 발급기관인 IT보안인증사무국은 이 문제에 명확한 답을 갖고 있지 않다.

사무국 측의 인증관련 실무 담당자는 관련 문의에 "그런 경우 통상 KCMVP인증이 유효한 암호모듈을 넣어 제품의 CC인증 효력을 연장한다"면서도 "어떤 제품에 포함된 암호모듈의 KCMVP인증 유효기간이 만료됐다더라도, 그게 인증평가시점에 유효해 CC인증을 받았고 CC인증기간이 만료되기 전이라면 그 제품의 CC인증 자체는 유효하다고 할 수 있다"고 설명했다.

일단 홈페이지에서 제품명을 조회해 나온 CC인증 정보 현황이 유효하다면, 유효하다는 얘기다. 이 답변대로라면 KERIS 측에 A사의 B 제품이 제대로 된 요건을 갖추지 못했다는 이의 제기는 부당하게 보일 수도 있다. 그런데 조달입찰 제품의 요구사항에 포함된 CC인증일 경우를 문의하면 이 얘기가 달라진다.

IT보안인증사무국 측은 실제 공공조달 사업에 제안된 제품일 경우 "조달 사업에서 제안 평가시 KCMVP인증이 만료된 제품의 CC인증이 적정한가는 애매한 부분이 있다"며 "조달청이나 발주기관에서 판단해야 할 사안이라 생각한다"고 언급했다. 사무국 차원에서 CC인증의 유효성을 다툴 여지는 없지만, 공공조달 입찰 사업에 제안된 제품의 자격이 적정한지 여부를 판단하는 건 그와 별개 사안이라는 의미다.

A사 측에서는 이미 지난 주에 IT보안인증사무국으로부터 "B 제품의 CC인증이 유효하다"는 유권해석을 받았다고 밝혔다. 이 인증의 유권해석을 통해 B 제품을 제안했고, 발주처는 A사를 우선협상자로 선정하면서 B 제품의 적격성을 확인했다고 볼 수 있다는 입장이다.

관련기사

드러난대로, KERIS는 1개월 넘게 이를 검토 중이다. 우선협상자 선정 이전 단계에 피할 수 있었던 상황을 자초했을 수 있다. 발주처로서 이전 단계에 검토한 사항을 재확인하는 건지, 검토가 필요한 부분이 더 있다는 건지 불분명하다.

KERIS는 "단독으로 결정 할 수 없는 부분이 있으나 사업이 지연 되지 않도록 노력하고 있다"는 공식 입장을 밝혔다. 그리고 제안요청서상의 CC인증이나 KCMVP 인증이 유효기간을 충족한다고 판단하느냐는 문의에 "제품에 대한 제안서(요구사항) 충족 여부를 국정원 및 보안인증사무국 등의 정보를 종합하여 검토 중"이라며 "최종 검토 결과를 조달청에 통보하여, 조달청 결정에 따라 조치를 취할 예정"이라고 답했다.