제안요청서가 불공정거래를 조장한다

입찰제안요청서(RFP)에 특정기업만 충족시킬 수 있는 규격이나 특정기업 제품을 명시해서 발주하는 사례가 늘면서, 제안요청서가 불공정거래를 조장한다는 지적이 일고 있다.

정부·공공·금융기관 등이 프로젝트를 발주할 때 특정 규격을 지원하지 않으면 입찰에서 제외하거나, 특정 업체 제품(서버나 DB 등)을 사용할 것을 제안요청서에 미리 정해 발주하는 사례가 최근 늘고 있다.

수요기관이 합리적인 기준에 따라 입찰규격을 제한한다면 문제가 되지 않는다.

하지만 일관적이지 못한 관련 부처의 정책이나 잘못된 관행에 따라 입찰규격이 제한된다면 문제가 심각하다.

최근 ▲금융권에서 금융권용 비공개 암호 알고리즘 칩(버드에프칩) 적용 제품을 제안요청서 규격에 의무조항으로 못박거나, ▲가상사설망(VPN) 장비 도입시 K4e 등급 제품에 한해 입찰을 제한하는 것 등이 대표적인 불공정 행위로 꼽히고 있다.

또한 ▲네트워크 장비 도입 때 외산장비에 익숙해진 전산 담당자들이 한번도 사용하지 않는 규격을 제안요청서 요구사항으로 붙여 국산 장비를 역차별하거나, ▲통합시스템 구축 프로젝트 발주 때 (특별한 이유없이) 수요처에서 서버나 DB 등에 대해 특정업체 제품을 못박는 일도 문제가 되고 있다.

◆버드에프 논란, 일관되지 못한 정부정책의 산물

기업은행은 최근 본점과 420개 지점을 연결하는 VPN을 구축하면서 버드에프칩(Bud-F칩) 지원을 제안요청서에 못박았다. 이에 따라 유일하게 버드에프칩을 탑재한 장비를 갖고 있는 퓨쳐시스템이 납품했다.

버드에프란 한국증권전산이 의뢰해 국가보안기술연구소가 개발한 금융권용 비공개 암호 알고리즘.

증권전산은 이 기술을 퓨쳐시스템, 재익정보통신에 이전했다. 인젠의 경우 직접 기술이전을 받지는 않았지만 버드에프칩이 장착된 금융용 보안 제품을 관리하는 통합보안관리시스템(ESM)을 개발, 증권전산과 금융용보안솔루션 컨소시엄을 만드는 등 사업적으로 제휴했다.

업계는 지난해 말 버드에프가 발표될 때부터 '버드에프가 새로운 금융시장 진입 장벽이 될 것'이라고 우려해 왔다.

형식은 민간회사(한국증권전산)가 국책연구소(국가보안기술연구소)에 의뢰해 개발한 암호일 뿐이지만, '시드(SEED)'라는 공개된 국가표준 금융망 암호 알고리즘이 있는 상황에서 출현한 것이어서 그 탄생 배경에 의문을 제기했던 것.

'시드'는 한국정보보호진흥원, 전자통신연구원이 개발해서 정통부가 국가표준으로 제정한 암호 알고리즘이다.

반면, '버드에프'를 개발한 국가보안기술연구소는 국정원 산하기관은 아니지만 국정원의 기술개발 계획에 따라 군이나 국가망에 들어가는 보안장비를 개발하는 곳이다. 따라서 버드에프로 국정원이 국가기밀이 아닌 민간 부문(금융망)까지 개입하는 게 아니냐는 의혹도 제기된 바 있다.

또 버드에프가 실질적인 금융망 암호규격으로 자리잡을 경우, 기술이전에서 제외된 업체는 향후 몇 년 동안 금융보안시장 진입이 어려워질 것으로 우려됐다.

그런데 그런 우려는 현실로 다가왔다. 버드에프가 발표된 후 재경부, 금융감독원이 '금융권용 비공개 암호 알고리즘 칩 적용제품이 나왔으니 각 금융기관에서는 이를 활용토록 협조하라'는 내용의 공문을 보내기 시작한 것. 재경부 공문에는 관련 제품 모델명과 제조업체(퓨쳐시스템, 재익정보통신)도 언급돼 있다.

그후 한국정보보호산업협회(회장 안철수)는 2차례에 걸쳐 재정경제부·금융감독위원회·금융감독원 등에 '금융권용 비공개 암호 알고리즘 칩 적용제품 선정 통보와 관련한 시정 촉구 및 재발방지 건의'라는 제목의 건의문을 보냈지만 아직 회신을 받지 못한 상황이다.

협회 관계자는 "정부기관이 특정 제품 및 업체에 대한 선호를 밝히고, 이를 하급 금융기관들이 적극 활용토록 공문을 통해 권유하는 것은 민간업계의 자율경쟁체제를 위해하고 시장 기능을 마비시키는 조치"라며 "정부기관은 국가와 주요기관의 암호 정책과 관련해서도 민간의 영역을 해치지 않는 범위에서 일관성있는 정책을 유지해주는 것이 타당하며, 예외적인 경우가 생기더라도 소수의 사업자에만 사용 및 공급권리를 주는 게 아니어야 한다"고 말했다.

이와 관련, 협회는 최근 재경부를 직접 방문해서 ▲재경부 및 금감원 협조 공문이 개별 금융기관이 보안 제품 선정시 영향을 받지 않도록 하는 방안과 ▲버드에프 관련 사용권을 갖고 있는 한국증권전산에 칩 기술이전을 촉구했다.

이에 대해 재경부 관계자는 "버드에프는 시드가 개발되기 훨씬 전부터 금융망 보호를 위해 개발에 착수한 알고리즘이며 속도 등의 면에서 훨씬 뛰어나다"고 말했다.

그는 또 "교육 등으로 공문회신이 늦었지만, 처음 증권전산이 개발할 당시 공고 등을 통해 업체 선정에 나선 만큼 칩기술 이전과 관련하여 불공정하지 않았다고 보고 있으며, 증권전산에서도 곧 추가로 기술을 이전할 것으로 알고 있다"고 말했다.

재경부 관계자 말을 종합해보면 버드에프 개발은 금융망 보호를 위한 것인 만큼 무리가 없고, 기술이전도 신문 공고를 통해 제대로 했으니 불공정 사례가 아니라는 것이다.

하지만 국가망을 제외한 다른 민간 기관 보안정책(보안제품 평가, 암호알고리즘 개발 등)에 대해 정통부를 의지하고 있던 기업들은 버드에프 관련 기술이전을 받을 때까지 영업상의 손실을 감수할 수 밖에 없는 처지다.

대다수 업체들은 정통부가 '시드'를 국가표준으로 밀자 '시드'만 탑재하면 금융시장 진입에 문제가 없을 것이라고 생각했기 때문.

업계 관계자들은 "버드에프 관련 정보를 일찍 접해서 적용 제품을 만든 퓨쳐시스템이나 관련 부처 공문을 적극 활용해서 제안요청서를 낸 기업은행이 문제가 되는 게 아니라, 정보보호 관련 정책이 국정원, 재경부, 정통부 등 여러부처로 흩어져 있어서 일관되지 않게 추진되는 현실이 보안시장에서 불공정한 거래를 조장하고 있다"고 말했다.

한국증권전산은 이르면 이번 주내로 버드에프칩에 대한 추가 기술이전 공고를 낼 예정이다.

하지만 재경부가 버드에프를 실질적인 금융암호표준으로 밀고 있는 상황에서 민간업체인 한국증권전산이 사용권을 독점하는 게 공정한 것인지에 대한 문제가 제기되고 있는 만큼, 기술 이전 후에도 버드에프 관련 논란은 수그러들지 않을 전망이다.

◆잘못된 관행으로 K4e 망령이 되살아나다

방화벽 인증인 K4e가 VPN 판매에 잘못된 관행으로 작용하는 것도 문제다.

VPN의 경우 K4e 인증이 적용되지 않으며 국제공통평가기준(CC)이 있어야 한다. 그러나 CC의 경우 정착되기까지는 좀 더 시간이 걸릴 예정이어서 K4e가 사실상 VPN 인증인 것처럼 오용되고 있는 실정이다.

이 때문에 VPN 업계에선 공공과 금융 시장에 들어가려면 K4e가 있어야 한다는 인식이 굳어져 있다. 문제는 인증이 없는 업체들이 시장 진입 기회를 놓치고 있다는 것.

이와 관련, 최근 새마을금고연합회는 전국 새마을금고에서 사용할 VPN 을 도입하기 위해 퓨쳐시스템, 어울림정보기술, 이노크래프트, 시큐어소프트에 입찰제안요청서(RFP)를 발송했다.

퓨쳐와 어울림은 K4e인증을 갖고 있으며, 이노크래프트와 시큐어소프트는 6월1일 현재 K4e 평가가 진행중인 기업이다. 새마을금고는 원래 K4e업체에만 제안요청서를 내려다가 평가진행중인 기업의 요구에 따라, 2개 업체에도 요청서를 발송했다.

새마을금고연합회는 "VPN 쪽만 고려하는게 아니고 지점에 방화벽도 필요해 K4e 인증 업체에만 RFP를 보냈다"고 해명했다.

하지만 이번 새마을금고 프로젝트는 VPN 프로젝트였던 만큼, 방화벽 인증을 준용하는 것은 이치에 맞지 않는다는 지적이다.

한편 지난 해 말 한국정보보호산업협회는 금융기관들이 VPN제품을 구입하는 과정에서 입찰 참가자격을 방화벽에 적용되는 규격인 K4e인증 획득업체로 제한하는 것과 관련, 시정을 촉구하는 건의문을 금융기관에 발송한 바 있다.

금감원의 '금융기관 전자금융업무 감독규정 시행세칙'에서 국정원 인증을 규정하고 있는 제품은 방화벽과 침입탐지시스템(IDS)임에도 불구하고, 일부 금융기관들이 이를 VPN에까지 확대 적용하고 있는 것으로 나타났기 때문이다.

◆잘못된 관행이 국산장비 역차별을 부른다

네트워크 솔루션 개발업체 다산네트웍스의 원덕연 부사장은 "국내 수요의 대부분을 차지하는 외산 장비에 익숙해진 수요기관 담당자들이 한번도 사용안하는 규격을 제안서 요구사항으로 붙이거나 백본부터 말단까지 전체 장비가 동일업체라야 한다는 인식을 가지면서 문제가 되고 있다"고 말했다.

소형 라우터나 범용스위치와 관련된 발주 프로젝트의 경우시스코 등 특정회사 장비에만 있는 기술규격을 제안요청서에 넣는 사례가 빈번하다는 것.

원 부사장은 "예를 들어 시스코 장비끼리 연동하는 기술스펙의 경우 이를 지원하지 않는 국산 범용 장비가 들어가도 아무런 문제가 없는 경우가 많다"며 "이런 문제를 네트워크연구조합 등을 통해 제기했지만 시스코 장비에 익숙해진 수요기관 담당자들이 관행처럼 이의 지원을 제안요청서에서 못박고 있는게 문제"라고 말했다.

또 "무조건 국산을 선호해 달라는 애국심에 호소하는 게 아니라 성능이나 기술이 같다면 국산이기 때문에 소외되서는 안된다"며 국산장비의 역차별 문제를 제기했다.

◆특정업체 제품 스펙이 프로젝트 질 저하 우려

위의 사례에 비해 심각하지는 않지만, 외국계 벤더가 직접 개별 솔루션으로 영업에 나서면서 통합시스템구축 사업자가 국산 솔루션을 제안하지 못하거나 제안서에서 기술적인 창의성을 발휘하지 못하는 경우도 많다.

한 SI업체 관계자는 "외국계 벤더들이 직접 수요기관에 자사 제품을 프로젝트 발주시 제안서에 못박아 달라고 요구하기 때문에 통합시스템구축업체가 제안서를 만들 때 제안서 작성 범위가 좁아지고 있다"며 "특별한 이유가 없는 상황에서 특정 업체를 정해 나오는 경우 가격협상에서 외국업체에 끌려다니거나 국산 솔루션을 도입하지 못하는 등의 폐해가 있다"고 말했다.