기술검토는 뒷전, 가격 후려치기 혈안…사업 뒤탈 '위태위태'
이 사업에 참여 중인 한 보안업체 대표는 "2000-3000만원 짜리 사업을 아무리 해봤자 기업 사이트 1개 하는 것만 못하다. SI업체 눈치 보고 차기 사업을 보면서 울며 겨자먹기 식으로 사업 참여를 할 수 밖에 없는 입장"이라며 "앞으로 200-300만원 받고 유지보수를 하라는 것인데, 향후 품질관리는 전혀 무시한 채 사업이 진행되고 있어 큰 문제"라고 지적했다.
◆CC인증은 '뭐 하러 땄나?'= 국가, 공공기관 사업 시 보안업체들에게 반드시 필요한 CC인증이 이번 망분리 사업에서는 제대로 효력을 발휘 못하고 있는 것으로 알려진다.
보안업체들은 "몇 년을 준비하고 몇 억씩 들여 CC인증을 받으면 무슨 소용인가? SI업체들이 품질보다 가격에 관심이 많다보니 당장의 이익만 생각하고 CC인증 없는 제품도 서슴없이 넣으려 한다. 사업 완료 이전까지 CC인증을 획득하기만 하면 된다고 업체들을 설득해 사업 참여를 부추기고 있다"고 말했다.
망분리 사업을 총괄하고 있는 한국정보사회진흥원에 따르면, 사업 기간 내 CC인증을 받을 수 있다고 했던 한 업체의 경우 결국 인증을 못 받아 검수 시 제품 교체 요구를 받았다. 게다가 내부정보유출방지(DLP)솔루션, 통합PC보안제품은 인증 받은 제품이 없어 추후 인증을 받도록 한 것으로 알려졌다.
이처럼 검증 받지 못한 제품을 넣었다간 검수기간에 문제가 생길 게 뻔한데, SI업체들이 개발이 완료 안됐거나 사장된 제품까지 사업에 참여시켜 경쟁을 부추기고 있는 이유를 모르겠다고 해당 업체들은 토로했다.
◆BMT 필요 없는 사업이었나?= 실제 7-9월 경 망분리 사업을 위해 출시된 급조된 제품들도 일부 보였다. 업체들 제안서만 보면 모든 제품들이 요구 조건을 다 충족시키므로 준비가 덜 된 제품과의 제대로 된 판별(기술검토)이 필요하다는 게 업체들의 주장이다.
실제 이달 완료 예정인 A사이트의 경우 감리 평가 과정에서 내부정보유출방지 기능 구현이 안되서 제품 재검토가 불가피했던 것으로 알려진다. 제품의 데모도 없이 사업 진행이 된 사이트들에서 적지 않은 문제점이 발생할 수 있을 것으로 보여진다.
한국정보사회진흥원은 사업 특성상 BMT를 반드시 해야 할 필요가 없는 사업이라고 말했다. 방화벽, IPS, PC보안 등의 분야에 이미 업계 주요 장비들이 추려져 있는데 굳이 BMT를 할 이유가 없다는 것이다. BMT를 통해 선택된 장비를 도입하라고 권유한다면 업체들 간 형평성에도 어긋난다고 말했다. 내부정보유출방지 솔루션의 경우 제품 성능보다 기능이 중요하므로 검수과정에서 기능의 구현 여부만 체크하면 된다는 게 한국정보사회진흥원의 설명.
망분리 사업 본연의 취지 대로 보안 강화가 제대로 이뤄지기 위해 솔루션 업체들은 기술 고도화에 지속적인 투자를 기울여야 한다. 이는 정당한 대가를 받을 때 가능한 일이다. 해당 업체들은 "아무리 시간적 여유가 없고 예산 절감을 해야 한다는 핑계로 BMT 없이 사업 진행을 하다보면 결국 비용을 줄이려다 비용이 더 많이 들게 될 게 뻔하다. 우려하는 이 같은 일은 없어야 할 것"이라고 전했다.
김정은 기자
jekim@itdaily.kr