북한은 영재 교육을 통해 이른바 ‘사이버 전사(해커)’들을 양성하고 있다. 사이버 보안업체 전문가들은 “북한 해커들은 이미 세계 최고 수준에 올랐다”고 입을 모으고 있다. 반면에 우리나라의 경우 사이버 보안 관련 정부사업에도 ‘최저가 입찰제’를 도입하면서 하향평준화의 늪에 빠져들고 있다는 지적이 나온다.
군을 비롯한 국가·공공기관은 소프트웨어 개발·구매 계약 시 ‘국가계약법’ ‘소프트웨어 진흥법’ 등 관련 법령에 의거해 기술평가와 가격평가를 실시하고 있다. 국방부 관계자는 “국가·공공기관은 정보보호 제품을 도입할 때 국가정보원이 지정한 국가 보안 요구사항에 부합하는 CC인증(Common Criteria, 컴퓨터 보안을 위한 국제 표준)이나 보안적합성 검증을 받은 정보보호 제품만 도입이 가능하다”면서 “특히 소프트웨어 개발 사업은 ‘협상에 의한 계약’ 방식이 우선적으로 적용되며, 이 경우 기술평가의 비중이 90%이므로, 기술력 없이 단지 저가로만 입찰한 업체가 선정되지 못한다”고 밝혔다.
그러나 현장의 목소리는 다르다. 익명을 요구한 사이버 보안업체 관계자는 “정부 당국이 요구하는 CC인증은 이미 평준화돼 있는 기준에 불과하다. 따라서 CC인증으로 기술력 차이를 따질 수 없다. 따라서 기술평가 비중이 90%라도 변별력을 가지지 못한다”면서 “이런 상황에서 가장 중요한 경쟁 기준은 입찰 가격이 될 수밖에 없다. 그러다 보니 국내 유수의 사이버 보안업체마저 수지타산이 맞지 않아 입찰을 포기하는 경우가 많다”고 지적했다.
사이버 보안 분야의 ‘경직성’을 지적하는 업계 관계자도 많았다. 또 다른 사이버 보안 전문가는 “사이버 보안 분야는 특화된 기능이다 보니 공공기관만을 상대로 공급과 수요가 정해지는 경우가 많다. 다양성보다는 맞춤형이라는 얘기”라면서 “다양한 업체가 참여하기보다는 특정 기업만 참여하다 보니 경쟁 자체가 없어진 상황이다. 단독 입찰하는 경우도 많다. 발전이 더딜 수밖에 없는 구조”라고 말했다.
이어 “사이버 보안은 언제나 ‘소 잃고 외양간 고치는’ 식으로 운영되고 있다. 정부당국은 (해킹을) 당하고 나서야 (사이버 보안이) 중요하다는 걸 인식한다”면서 “그마저도 잠깐이다. 2014년 한국수력원자력, 2016년 국방부가 털렸지만(해킹당했지만), 그 뒤로 어떤 보완 조치가 이뤄졌는지 의문이다”고 비판했다.
이와 관련해 국방부 측은 “2016년 해킹 사고의 재발 방지를 위해 △사이버 위협 대응체계를 지속적으로 구축·고도화하고 있으며 △각종 체계·장비에 대한 취약점 점검을 강화했으며 △사이버 공격의 신속·체계적 대응을 위한 실전적 사이버 훈련을 주기적으로 실시하고 있다”고 밝혔다.
