의원실의 국정감사자료

[재경위엄호성]조달청 보도자료
의원실 2005-09-30 17:43:00 198

전자조달 시스템 문제점 지적 불구 ‘오리발’
감리 보고서와 컨설팅 보고에서 곳곳의 문제점 지적
언론 보도 해명에서는 ‘문제점 전혀 없다’고 항변



전자 입찰제 문제점, 여전히 개선 안 돼
인증서 대여 통해 4년간 6개 업체가 409개 공사 낙찰
시스템 바꿨어도 컴퓨터만 더 들여 놓으면 막기 어려워
부당 낙찰 밝혀져도 공사 진행 중이면 제재 미약




조달청 퇴직자 취업 조합, 조달실적 크게 증가
전체 13% 늘었으나 퇴직자 재취업 조합은 42% 증가




<구멍 뚫린 전자입찰제, 조달청은 은폐에만 급급>



※ 전자조달시스템 최종감리 보고서의 지적 사항



○ 2002. 11월 보고된 국가종합전자조달(G2B)시스템 구축 최종감리 보고서에는 이번 의혹과
관련된 ‘전자입찰시스템’ 에 대한 지적사항이 기재되어 있음.



○ 최종감리보고서에는 전기감리 조치내역과 개선권고사항이 있는데, 전기감리 조치내역의 경
우는 이전 감리 시 필수항목으로 분류되어 조치된 내역을 뜻하며, 개선권고사항은 필수적으로
고쳐야 할 항목은 아니나, 추후 문제가 있어 개선하도록 권고하는 것임.



○ 시스템을 구축하고 위탁 운영하고 있는 삼성SDS의 관계자에 따르면, “최종감리보고서의
개선권고사항은 말 그대로 권고사항으로 이미 감리를 통과하기 위한 필수적인 부분들은 조치
가 완료되고 운영되고 있는 상태에서, 개선권고사항까지 모두 이행하기는 사실상 어렵다.” 고
밝힘.



○ 이번 조달청 전자 입찰 비리 의혹과 관련한, 최종감리보고서에 기재된 기술적 문제점과 권
고사항은 다음과 같음.



문제점 및 개선권고사항 中



.... 조달처리DB의 경우, 집행관이 발행한 투개찰용 암호화인증서, 예비가격, 투찰서, 이용자
관리 비밀번호와 같이 아주 민감한 자료가 있으나, 이에 대한 패키지상의 기능을 적용하지 않
아 시스템에 쉘 모드로 로그인한 사용자에 의한 악의적인 조작 및 침해 측면의 취약성이 있음.



(3) 전자입찰(투개찰) 프로그램 보안성 강화를 위한 조치 권고



2) 민감하거나 중요한 프로그램 모듈의 불법적인 변조를 막을 수 있는 효과적인 방안이 미흡



전자입찰의 경우, 복수 예비가격 생성에 관한 프로그램 모듈이나 투찰자의 선호번호 선택결과
에 대한 통계산출프로그램이나 결과 정보, 선호 번호의 최빈 분페에 따른 예가 산정에 관한 프
로그램 모듈과 같이 민감한 프로그램에 대해서는 불법적인 변조나 일부 정보의 유출에 대비한
프로그램 변경 통제가 엄격하게 적용되어야 함.



3) 민감하거나 중요한 프로그램 상의 불법 프로그램(Trap Door 등)을 검사하는 과정이 없었음



개발자들은 프로그램에 대한 유지보수를 원할히 하기 위해 프로그램 상에 직접적으로 관련이
없는 관리 프로그램이나 슈퍼 유저 모드로 가기 위한 Trap Door를 만드는 경우가 있는데, 이
는 보안상의 취약점으로 악용될 소지가 많음. 따라서 이를 방지하거나 발견하기 위해서 프로그
램에 대한 상세한 검사(inspection)를 실시할 필요가 있음. 특히 전자입찰 투개찰 프로그램에
대해서는 이러한 과정이 요구됨. 그러나 이러한 조치나 조치계획이 없어 이에 대한 계획 수립
및 시행이 요구됨



※ 정보보호컨설팅에서 지적된 전자입찰시스템의 문제점



○ 지난 2005. 8.2일 조달청의 시스템에 대해 (주)인젠 과 LGnSys는 정보보호컨설팅을 실시하
였고, 그 결과 최종보고서에서 드러난 문제점은 다음과 같음.



○ 관리체계 영역 진단결과 문제점



- 공공기관의 특성 상 정보보호에 할당된 인력 및 정보보호 활동의 이행이 다소 미흡한 부분
이 있으며, 이를 개선하기 위해서는 정보보호 정책/지침의 체계개선 및 이를 뒷받침할 정보통
신 보안조직 정비 및 역할 정의 필요
- 정보보호 활동의 이행강화를 위해 정보보호 전문교육 강화, 정보자산분류, 보안사고 관리
체계 구축, 주기적인 취약점 진단 수행이 필요함
○ 네트워크 영역 진단결과



- 내부 서버로의 불법 접근에 대한 로그관리 및 감사방안 마련 필요함.



- 침해사고에 대한 신속한 대응 및 룰 최적화에 따른 IDS의 안정적인 운영을 위한 주기적인
로그 분석 및 보고 절차 마련이 필요



○ 모의해킹 진단결과
- 내/외부 서비스 시스템 및 DB서버에 대한 모의해킹을 수행하였으나, 이를 통해 외부에서의
중요정보 획득은 거의 불가능한 것으로 나타났으나, 내부 서비스의 경우 일부 패스워드 설정
등은 강화할 필요가 있음.

- 모의해킹에 있어 시사점 : 내부 관리자 페이지 인증 강화 필요, 악의적인 공격 및 파일다운
로드 보안강화



○ 진단결과, 가장 시급한 과제는 “정보보호관리체계 확립 필요”, “정보시스템 보안운영 관리
강화”, “정보시스템 접근통제 강화” 로 지적되었음.



○ 즉, 시스템의 보안운영<

첨부파일
조달청보도자료.hwp
목록