약 41억원의 예산에도 보안기업들은 터무니없이 낮은 금액이라며 이 사업을 외면하고 있어 국방부 체면이 말이 아니다. 안랩, 이스트시큐리티, 잉카인터넷, SGA솔루션즈, 시만텍 등은 이 사업에 참여하지 않겠다는 의사를 밝혔다.

현재 예상되는 출전선수는 내부망 ‘하우리’, 외부망 ‘맥아피’ 정도다. 하우리는 내부망 사업에 도전하겠다는 출사표를 던졌고, 맥아피도 소프트웨어 품질성능 평가시험(BMT)을 제출하고 사업 참여여부를 검토 중이다.

하지만, 유찰 가능성도 배제할 수 없다. 하우리와 맥아피만 각 사업에 참여한다고 가정해도 입찰 경쟁이 일어나기 힘든 구조다. 몇 번의 유찰 끝에 수의계약을 맺을 수도 있으나 이는 국방부 위신상 피해야 하는 그림이다.

특히, 국방부는 해킹사건 이후 새로운 백신체계를 도입하겠다며 이번 사업을 내놓은 것인데, 다른 국내사업자들이 거절 의사를 밝힌 이상 기존 사업자인 하우리를 선택할 수밖에 없다는 부담감도 존재한다.

◆내부망 31억7800만원, 외부망 9억5200만원 책정=국방부는 지난달 ‘2017년 전군 바이러스 방역 체계 구축 사업’ 공고를 내고 백신업체 선정에 나섰다. 지난달 3일에는 내부망에 대한 공고를 내고 13일 사업설명회를 열었고, 이어 25일 외부망 입찰공고를 게시했다.

국방부는 지난해 9월 발생한 국방망 해킹사건에 대응해 내부망과 외부망을 분리, 망별 상이한 백신제품을 운용해 보안기능을 향상키로 했다.

이와 관련 국방부는 내부망 사업 예산 약 31억7800만원, 외부망 사업 예산 약 9억5200만원으로 책정했다. 기존 사업보다 예산을 대폭 늘렸으나 보안업계는 리스크를 감당하고 국방부 백신사업에 참여하기에 수지타산이 맞지 않는 금액이라고 손사래를 치고 있다.

해당 사업은 장기계속계약으로 계약체결 후 오는 12월부터 2019년 12월까지 25개월간 수행해야 한다. 사업 범위는 안티바이러스(백신) 소프트웨어 제공, 방역체계(중계시스템) 구축 및 기술지원, 국방부·국방관리기관에 대한 사이트 라이선스 등이다.

◆하우리-맥아피, 국방부 백신사업에 뛰어드나?=하우리와 맥아피는 현재 백신사업 참여 예상 기업으로 거론되고 있다. 이 두 사업자는 BMT를 제출하고 국방부 사업설명회를 찾은 바 있다. BMT를 받지 않으면 기술평가 점수는 0점이다.

업계에 따르면 최근 하우리는 내부적으로 국방부 백신사업(내부망) 입찰에 참여한다는 결정을 내렸다. 기존 사업자인 하우리가 이 사업을 운용하게 되면 투자 부담은 다른 사업자에 비해 대폭 줄어든다. 하우리의 인프라가 이미 전군에 깔려 있기 때문이다.

지난해 국방망 해킹사건 때 하우리에 대한 책임을 물었던 만큼 국방부가 다시 기존 사업자를 재선정해 사업을 영위할 것인가에 대해서는 논란의 소지가 있다. 하지만, 주요 보안기업들이 이번 사업에 손사래를 치는 상황이라 하우리 이외 선택의 여지가 없는 상황이다.

외부망 사업의 경우, 맥아피가 떠오르고 있다. 맥아피는 미국과 일본의 군 측에 제품을 납품한 경험이 있고, 국내 시장에서 사업을 확장하고 있는 만큼 국방부라는 레퍼런스가 주효할 것으로 예상된다.

국방부 사업에 참여하면 외국계 기업들이 상대적으로 확보하기 어려운 북한 및 중국 샘플을 분석할 수 있고, 공공기관 등 국내 시장에서의 사업 영역을 확대하기 용이하다. 문제는 10억원에도 미치지 못하는 예산이다.

맥아피코리아 측은 “사업에 최종적으로 참여할지 결정되지 않았고, 본사의 결정을 기다려야 한다”고 말을 아꼈다.

◆‘독이 든 성배’ 악명 높은 국방부 백신사업=국방부 사업은 ‘독이 든 성배’로 알려져 있다. 오지산간을 포함해 전군의 PC에 백신을 설치하고 관리해야 하는데, 위협분석 등의 요청도 쏟아진다. 예산으로 인건비 메꾸기도 허덕거리며, 적자 사업이라는 말까지 나온다.

국방부는 해커들의 주요 타깃이기 때문에 공격도 만만치 않다. 한 번이라도 뚫리면 회사 이미지와 신뢰도는 추락하고, 민간사업까지 영향을 미치게 된다.

해킹을 당하게 되면 책임소지에서 벗어날 수 없다. 지난 국방망 해킹사건 때 군 검찰은 하우리가 해킹 사실을 국방부에 알리지 않는 등 고의적으로 은폐하고 취약점에 대한 업데이트 키를 변경하지 않아 국방망을 해킹할 수 있었다고 판단했다. 이에 손해배상 청구와 부적당 업체 지정을 예고한 바 있다.

국내 보안업계 관계자는 “국방부 백신사업에 참여하면 안고 책임져야 할 리스크가 너무 광범위하고 불특정하다”며 “국방부에 대한 해킹공격이 계속되는 상황에서 언젠가 한 번은 뚫릴 수밖에 없는데, 회사 이미지를 실추시키고 해킹에 대한 책임소지까지 짊어져야 하기 때문에 해당 예산으로 감당하기는 쉽지 않다”고 말했다.

외국계 보안기업 관계자는 “당초 이 사업에 참여하기 위해 논의를 거듭했으나, 최종적으로 포기하기로 했다”며 “직접 인력을 파견해 수동설치해야 하는 등 인건비와 서버 비용 등을 계산했을 때 3년 계약에 따른 이 금액으로는 도저히 하기 어렵다”고 토로했다.

<최민지 기자>cmj@ddaily.co.kr