경찰이 온라인 국가종합전자조달시스템인 '나라장터'에 입찰한 공공기관 280여 곳의 PC가 해킹된 정황을 잡고 수사에 나섰다. 조달청이 운영하는 나라장터에서는 한해 78조원 규모의 계약이 이뤄진다.
서울지방경잘청은 "조달청 나라장터와 관련해 공공기관의 입찰관리 프로그램에 악성코드를 심어 정보를 빼낸 혐의로 입찰지원서비스업체 A사(社) 공동대표와 개발팀장 등 3명을 불구속 입건했다"고 27일 밝혔다.
조달청 관계자는 "A사가 나라장터 시스템을 직접 건드리지 않고 상대적으로 보안관리가 허술한 프로그램 이용자의 PC를 해킹한 것으로 보인다"고 말했다.
경찰에 따르면 A사는 전국 289개 지자체 등에 데이터 전송 코드가 삽입된 '입찰 적격심사 자동계산 프로그램'을 배포·설치하게 했다. 이후 악성코드를 통해 입찰에 참여한 총 1만 4213개의 건설사들의 경영상태, 신용등급 등 조달청 서버에 보관 중인 정보 4만3541건을 몰래 수집했다는 혐의를 받고 있다.
경찰 관계자는 "A사는 수집한 정보를 유료 건설사 회원들에게 제공하는 방법 등으로 부당이득을 취득한 혐의"라고 말했다.
A사는 나라장터를 이용하는 기업·공공기관을 대상으로 입찰정보와 입찰가격·입찰 적격점수 예측 등 입찰 컨설팅을 제공하는 업체다. A사 관계자는 이에 대해 "부당한 이득을 취할 목적으로 조달청 사이트에서 정보를 해킹한 것이 아니며, 해당 정보는 이미 시중에 널리 공개된 정보로서 이를 대상으로 프로그램의 오류 수정 및 에러 처리를 위해 전송받은 것에 불과하기 때문에 정보통신망법 및 전자정부법 위반으로 단정 지어 평가할 수 없다"고 밝혔다.
보안업계 관계자는 "나라장터를 이용하는 사용자 PC 정보가 빠져나갔다는 것은 '나라 곳간 운영에 구멍이 났다'는 의미"라면서 "해마다 이뤄지는 수십 조 단위의 낙찰(落札) 신뢰도가 떨어질 수밖에 없다"고 말했다.
나라장터 이용자PC 해킹 사고는 과거에도 있었다. 2015년에는 발주처인 지방자치단체 재무관의 PC에 악성프로그램을 심어 예비가격(예가)을 바꿔치는 수법으로 900억원의 관급공사를 따낸 일당이 적발되기도 했다. 예가는 입찰 또는 계약 체결 전에 낙찰자 및 계약 금액을 결정하는 기준이 된다.
국가 기획재정위 김정우 위원(더불어민주당)에 따르면 지난 2012년 이후 지난해 상반기(6월 말)까지 나라장터에 대한 해킹 시도는 모두 5148건에 달했다. 국가별로 보면 국내가 3849건으로 가장 많았고, 중국 688건, 미국 205건, 대만 84건 순이었다.
