조달청 정보기획과 안 상 완 과장

지난 4월 1일부터 조달청 발주 시설공사 입찰시 지문인식을 통해 입찰자 신원을 확인하는 지문인식 전자입찰제도가 본격 시행됐다. 이러한 제도 시행을 통해 기존 입찰시 심각한 문제로 대두됐던 인증서 대여를 통한 불법전자입찰이 근본적으로 차단될 것으로 보인다. 이번 사업을 추진했던 조달청 정보기획과 안상완 과장을 통해 그간의 추진과정과 향후 기대효과에 대해 들어봤다.

지난 4월 1일부터 시설공사 입찰에 한해 지문인식 전자입찰을 적용하고 있는 것으로 알고 있다. 현재 시행 중인데, 현재까지 큰 차질이나 문제없이 진행되고 있는지 궁금하다.

4월 1일부터 시행되고 있는 지문인식 입찰은 조달청 발주 시설공사 입찰에 적용되며, 지문등록목표 업체 수는 약 4만 9천여 업체로, 3월 31일까지 54,148개 업체가 지문을 등록하여 목표치 대비 110%의 등록률을 나타냈다. 지문입찰 시행 후 하루평균 약 3만여 업체가 지문입찰에 참여하고 있으나, 현재까지 큰 문제점은 발생하지 않았다.

다만, 지문이 손상되었거나 땀이 많이 나는 다한증 환자로 지문등록이 불가능한 경우가 발생하여 이들에게는 지문입찰 예외자 처리 규정에 의해 서약서를 제출토록 한 후 기존 인증서 방식으로 입찰서를 제출도록 했고, 사용 방법 미숙에 대해서는 조달청, 공인인증기관, 지문보안토큰 제조사가 콜 센터를 통하여 사용방법을 설명하고 있다.

이번 지문인식 전자입찰 제도를 시설공사 입찰, 물품·용역 입찰, 그리고 지자체 등에서 자체적으로 집행하는 입찰 등 세 단계로 적용시기를 차등화한 것으로 알고 있는데.

지문입찰 적용시기를 3단계로 나누어 추진한 첫 번째 이유는 지방조달청 민원실을 방문하여 신원확인 후 지문을 등록해야 하기 때문에 물리적인 시간이 필요했고, 두 번째로는 단계별 시행과정을 거쳐 지문입찰의 안정성을 확인한 후 전면 확대함으로써 이용자 불편을 최소화하기 위해서였다.

얼굴인식, 정맥인식 등 다른 바이오인식 기술이나 여타의 본인인증 기술 가운데 지문인식을 선택하게 된 이유가 있다면.

조달청이 도입한 것은 ‘Bio 기술을 이용한 입찰자 신원확인’ 제도이기 때문에 지문인식만을 채택한 것은 아니다. 따라서 ‘나라장터 Bio 보안토큰 제품 지정 및 관리 규정(조달청 고시 제2009 - 16호) ’을 준수하고 ‘조달청 Bio 보안토큰 제품 지정심사’를 통과하면 나라장터에 적용이 가능하다. 다만, 제품의 선택은 사용 편의성, 가격 등을 고려하여 업체가 하기 때문에 토큰 제조업체가 참여를 망설이는 것으로 보인다.

홍채·정맥인식 등

여타 바이오 기술도 도입 예정

지문인식 전자입찰을 시행하게 된 이유가 인증서 대여를 통한 불법전자입찰 때문인 것으로 알고 있는데, 지문인식 전자입찰 제도를 시행하기 전에는 어느 정도의 불법전자입찰이 이루어졌다고 보나. 또한, 과거에는 이러한 불법전자입찰을 차단할 수 있는 방법이 전혀 없었던 것인지 궁금하다.

전자입찰은 온라인상에서 비 대면으로 이루어지기 때문에 몇 건의 입찰 중 몇 건이 불법입찰이라고 단정할 수는 없다. 그러나 감사원 감사 및 외부 신고에 의한 수사기관의 수사결과 불법사실이 확인됐고, 조달청에서 운영하고 있는 ‘불법전자입찰 징후분석 시스템’에도 불법이 의심되는 업체가 지속적으로 나타났다. 2009년에도 이러한 시스템으로 434개 업체를 의심대상으로 색출하여 관계기관에 조사를 요청하기도 했다.

과거에도 ▲동일PC에서 동일입찰에 한번만 참가 ▲처벌강화 ▲신고포상제도입 ▲불법전자입찰 징후분석 시스템 운영 등 다각적인 조치를 취해왔으나 불법전자입찰이 근절되지 않았다. 그래서 비대면 온라인상에서 입찰자 신원확인이 가능한 Bio 신원확인을 도입하게 된 것이다.

조달청에서는 지문인식 전자입찰 사업을 시행하기 전 이 제도가 원활히 운용될 수 있도록 지문인식 시스템을 선정하는 데 많은 노력을 기울였으리라 본다. 어떤 기준과 평가절차를 거쳐 시스템을 선정했나.

조달청은 제품 평가를 위하여 ‘나라장터 Bio 보안토큰 제품 지정 및 관리 규정(조달청 고시 제2009-16호)을 제정했고, 이 규정에 따라 업체가 제품을 생산한 후 ▲KISA의 ‘보안토큰 기반 공인전자서명체계’에 의한 구현적합성 인증서 ▲국내·외 지문알고리즘 평가자료 ▲제품설명서를 구비하여 ‘Bio 보안토큰 제품지정 신청서’를 조달청에 제출하게 된다. 그 다음 나라장터와의 연동테스트 및 모조지문 방어력 테스트를 거친 후, ‘조달청 바이오 보안토큰 제품 지정심사 위원회’ 심사를 통하여 제품을 선정하는 등 제품선정에 만전을 기하고 있다.

이용자 편의와 보안 강화 위한

컨텐츠 개발에 역점

이번 사업이 기획·추진되어 시행되기까지의 간략한 과정을 설명한다면.

2005년도 인증서 대여를 통한 불법전자입찰 사례 발생 후, 제도적·기술적 조치를 취해 왔으나 불법전자입찰이 근절되지 않았으며, 비대면 상에서 이루어지는 불법전자입찰을 원천적으로 차단하기 위해서는, 바이오 기술을 이용한 입찰자 신원확인이 최선의 방안으로 판단되어 ‘지문인식 전자입찰’을 추진하게 됐다. 2008년 1월부터 6월까지 기술적·제도적 적합성 사전검토를 거쳐, Bio 보안토큰 이용규격(안)을 마련했으며, 2008년 7월부터 2009년 10월까지 ‘지문인식 전자입찰’도입계획과 이용기술규격(안)을 총 4회에 걸쳐 지문인식업체와 보안토큰업체에 안내하여 제품개발 및 시장참여를 유도했다. 현재 적용중인 ‘지문인식 보안토큰’은 전문 시험기관에 의뢰하여 위조지문 방어력 시험을 수행한 후, 교수 등 관련분야 전문가로 구성된 ‘조달청 바이오 보안토큰 제품 지정심사 위원회’ 심사를 거쳐 선정했으며, 공정성을 위해 타 제품도 생산업체의 지정요청이 있을 경우 동일 과정을 거쳐 제품을 지정할 예정이다.

이번 사업을 추진하는 과정에 있어 가장 어려웠던 점은 무엇인가.

이번 제도 추진과정에서 가장 어려웠던 점은 최초로 적용되는 새로운 제품에 대한 기술규격을 제정하고 제품 생산업체의 참여를 유도하는 것이었다. 레퍼런스 사이트가 없는 상태에서 지문기술과 보안토큰기술이 결합된 표준규격을 정하는 것은 안정성과 보안성 측면에서 부담으로 작용했고, 이에 따른 수많은 기술검토와 자문을 거쳐야 했다.

지문인식 입찰제도에 있어 기존 인증서로 입찰서를 제출토록 하는 ‘긴급입찰’ 제도라는 예외규정을 둔 것으로 알고 있다. 이 예외규정이 악용될 여지도 있는데, 이를 방지하기 위한 방안이 있다면.

‘긴급입찰’ 제도는 갑자기 보안토큰 장애가 발생하여 입찰서 제출이 불가할 때, 기존 인증서 방식으로 입찰서를 제출할 수 있도록 하는 제도로서, 긴급입찰 신청서 제출이 2회를 초과할 경우 조달청을 방문하여 토큰 장애를 입증해야 전자입찰에 참여할 수 있다. 또한, 특정 업체가 ‘긴급입찰’을 과다하게 사용하는 등 불법 이용이 의심될 경우, ‘불법전자입찰 징후분석 시스템’을 통하여 분석한 후 불법이 의심되면 수사기관에 조사의뢰할 예정이다.

끝으로 전자입찰 제도와 관련해 지문인식 전자입찰 외에 추후 추진할 계획이 있다면.

앞으로 지문인식기술 외에 홍채, 정맥 등을 이용한 제품도 ‘나라장터 Bio 보안토큰 제품 지정 및 관리 규정’을 통과한 제품이면 심사를 통하여 선정할 계획이다. 이러한 제도 등을 통해 조달청에서는 전자입찰의 신뢰성과 공정성 확보를 위해 지속적으로 노력할 계획이다. 이와 함께 스마트폰을 이용한 조달정보 서비스 등 이용자 편의를 위한 컨텐츠 개발도 기술검토를 거쳐 적극적으로 추진할 예정이다.   

<글 : 권  준 기자>

[월간 시큐리티월드 통권 제160호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>