'탈 많은' 금융권 DDoS 공격 대응시스템 구축

금융결제원의 은행 공동 분산서비스거부(DDoS) 공격 대응시스템 구축 입찰에서 시스코시스템즈의 장비가 낙점을 받았다. 하지만 입찰과정에서 '특정업체 밀어주기'식 논란이 일면서 잡음도 일고 있다.

금융결제원은 은행권 공동 DoS 공격을 막기 위한 시스템 구축을 위해 시스코 장비를 선정, 계약 체결을 앞두고 가격협상중이라고 3일 밝혔다.

하지만 이번 입찰 결과에 대한 안티 DDoS 솔루션 업체의 불만도 고조되고 있다.

금결원이 특정업체 밀어주기식의 제안요청서(RFP)를 요구했을 뿐만 아니라 유례없이 단기간에 업체를 선정하려 했다는 의혹을 받고 있는 것.

◆금결원, 특정업체 밀어주기 RFP로 공정성 논란

업계에 따르면 금융결제원은 지난 5월 23일 DoS 공격 공동대응시스템 구축을 위한 입찰공고를 낸 뒤 6월 2일 업체 제안서 제출을 마감하고, 13일 벤치마크테스트(BMT)를 완료했다.

일반적으로 입찰공고를 내고, BMT를 거쳐 시스템 구축에 이르기까지 수주가 걸리게 마련이지만, 금결원은 이 모든 과정을 속전속결로 진행한 셈이다.

이번 입찰은 금결원 금융ISAC(정보공유분석센터)이 참가기관인 제1금융권 18개 은행에 설치할 DoS 공격탐지시스템 24대와 금결원에 설치할 2대, 금결원에 설치할 DoS 공격 차단 시스템 2대 등 총 28대 규모여서, 안티 DDoS 업체의 비상한 관심을 끌었다.

DDoS 장비의 경우 가격이 수천만~1억원으로 비싸기 때문에 실상 많은 업체가 도입하기는 어려운 상황. 이런 상황에서 금결원을 비롯한 제1은행권 시스템 구축은 간만에 터진 대규모 프로젝트였던 셈이다.

특히 보안을 중요시하는 금융권이 앞다퉈 안티 DDoS 제품을 도입할 경우, 향후 고객사 확보에 큰 힘이 된다는 점도 업계가 입찰 참여를 원했던 주요 이유중 하나였다. 외산업체와 달리 올해 들어 DDoS 장비를 출시한 국내 보안업체의 경우 더욱 욕심나는 프로젝트였다는 후문이다.

◆속전속결 업체 선정, 9월 장비 단종이 이유

하지만 이번 입찰에서 국내 업체는 참여조차 하지 못한 것으로 드러났다. 금결원측이 RFP에 '아웃오브패스방식'이라는 조건을 제시했기 때문. 아웃오브패스방식 조건을 충족하는 곳은 외산업체인 시스코시스템즈와 아버네트웍스 단 두 군데 뿐이다. 국내 업체 솔루션은 모두 인라인 방식이었던 것.

더군다나 이번 입찰에 컨소시엄 등 세 군데가 등록했지만, 이 중 두 업체는 시스코 장비로 참여해 애초 시스코 장비를 염두한 RFP였다는 의혹을 받고 있다.

또 최종 선정된 시스코의 장비는 하드웨어상 문제로 9월 단종될 제품이어서, 굳이 단종될 제품을 도입하는 이유에 대한 궁금증도 일고 있다. 금결원이 서둘러 시스템 구축을 마무리 지은 것도 결국 업체 사정을 반영한 게 아니냐는 것.

특히 관련업계는 안정성을 최우선시 해야하는 금융권이 유지보수에 대한 불안감을 감수하면서까지 단종될 제품을 도입해야 하는 이유를 이해하기 힘들다는 반응이다. 향후 시스템 업그레이드가 불가피한 상황이라면, 중복투자 위험도 배제할 수 없다는 뜻이다.

보안업체 관계자는 "결국 이번 입찰에서 국내 업체는 참여하지 못했을 뿐만 아니라, 참여 업체라도 들러리서기에 불과한 경우"라며 "중요한 프로젝트인 만큼 공정한 테스트 환경에서 다수의 참여 아래 진행됐으면 하는 아쉬움이 남는 대목"이라고 토로했다.

이에 대해 금결원 업무기획팀 이만호 팀장은 "올초 금융권에 DDoS 공격 우려가 제기되면서 이미 상반기 내 구축을 목표로 진행, 8월내 구축을 완료할 예정"이라며 "선정업체가 5년동안 유지보수를 보장하기 때문에, 중복 투자의 위험은 없을 것으로 본다"고 말했다.