“나라장터시스템 이용자PC의 보안관리 강화 나서”
- 경인방송 The Scoope 보도(‘13.3.19) 관련 조달청 설명 -
1. 보도내용
① 검찰 수사 결과, 관급공사를 조달하는 전자입찰시스템 이용자PC의 보안취약점을 이용, 악성코드를 감염시켜 관급공사 불법 낙찰에 해커와 건설업체의 개입 개연성을 보도
② 해킹에 의한 예정가격 추정이 불가능하도록 입찰서 제출 마감 이후에 다시 예가를 섞어 예정가격을 예측하지 못하도록 시스템을 개선하였으나 효과를 기대하기 어렵다고 보도
2. 설명내용
보도에서 언급된 바와 같이 “취약점”은 전자입찰시스템과는 무관하고, 실제 이용자PC의 보안관리가 허술한 보안취약점을 이용한 것임. 이번 “해킹 사례”는 전자입찰 이용자PC(나라장터 이용기관의 재무관)에 악성코드를 감염시켜 이용자가 전자입찰시스템에 입력하는 정보를 유출 또는 변조한 것으로, 조달청 전자입찰시스템 자체를 해킹한 것은 아님
나라장터 전자입찰시스템은 공인전자서명과 암호화 기술이 적용되어 보안성을 강화하여 운영 중에 있으나, 이용자PC의 보안성 확보는 물리적으로 한계가 있어 복수예비가격 및 추첨번호 해킹으로 낙찰예정가격 예측이 불가능하도록 보완 조치를 완료하였음('13.1.14)
입찰서 제출을 마감한 이후, 개찰 단계에서 서버에서 복수예비가격 순서를 무작위로 재배열하여 낙찰예정금액 예측이 불가능하도록 함으로써 해킹 실익이 없도록 개선 조치('12.10.1)
* 복수예비가격은 서버에서 무작위로 재배열되어, 재무관PC가 악성코드에 감염되었더라도 낙찰예정금액 예측이 불가하여, “낙찰가 선정규정을 바꿨지만 별 효과를 기대하기 어렵다”라는 보도내용은 사실과 다름
또한, 재무관PC에서 입력되는 복수예비가격이 악성코드에 의해 변조가 될 수 있어, 최초 서버에서 생성된 금액과 재무관PC에서 전송되는 금액을 대조하여 변조가 불가능하도록 조치한 것임
향후, 조달청에서는 이용자PC의 보안취약점을 이용한 해킹 공격을 원천 차단하기 위해 최신 클라우드 기반의 가상화 서비스 구축을 추진하고 있음. 이용자의 중요 입찰행위(투찰, 예가추첨, 예가작성 등)를 이용자PC가 아닌, 조달청에서 제공하는 보안안전지대인 클라우드 기반*의 가상화PC에서 통합 처리되도록 하여 이용자PC의 해킹이 원천적으로 불가능하도록 운영 예정임
* 개인별 사무처리용 정보자원을 사무실에 직접 설치‧보관하는 대신 별도 데이터센터에 통합 설치‧보관하고 통신망으로 원격 접속하여 사용하는 환경
* 문의: 정부기획과 오연칠 사무관(070-4056-7149)
|