'나라장터 전자입찰' 보안 더 강화된다

 

나라장터 가상입찰 서비스 구축 방식 비교

 

※ 물리적인 이용자 PC를 해킹하더라도 중요 입찰업무(복수예비가격, 투찰, 추첨)가 가상화 서비스를

통해 처리되므로 정보유출 및 변조·조작이 원천 불가능

 

 

공공기관에 이어 조달기업 PC 가상화 서비스 제공

해킹 원천 차단

‘제2단계 가상입찰 서비스 구축사업' 10월부터 서비스

 

국가종합전자조달시스템(나라장터) 전자입찰을 해킹으로부터 더욱 안전하게 보호할 수 있는 방안이 추진된다.

 

조달청(청장 민형종)은 나라장터 전자입찰의 안전성을 강화하기 위해 조달기업에게 나라장터용 가상 PC를 제공*하는 ‘제2단계 가상입찰 서비스 구축사업‘을 착수하여 금년 10월부터 서비스를 제공한다고 6월 24일 밝혔다.
 

가상입찰 서비스는 제1단계로 작년 12월부터 공공기관에 우선 적용하여, 그간 12,137개 기관에서 총 151,280건의 예정가격 작성 업무를 처리하여 해킹을 원천 차단하는 성과를 거두고 있다.
* 조달기업이 나라장터에 접속하면 보안성이 확보된 나라장터 전용 가상 PC(최적화된 OS, 이용환경 설치)를 제공하고, 조달기업의 투찰업무는 가상 PC에서 처리됨에 따라 해킹 차단

 

이러한 가상입찰 서비스는 나라장터 서버에 비해 상대적으로 보안이 취약한 공공기관 및 조달기업 PC에 악성코드를 감염시켜 입찰정보를 유출하거나 변조·조작하는 부정행위*를 원천적으로 차단하기 위해 도입되었다.


* 서울중앙지검 수사결과 ‘12년 9월 이전에 집행된 일부 전자입찰에서 악성코드를 이용한 해킹을 통해 부정낙찰 사건이 적발(’13.4.4, ’13.12.3 발표)
 

가상입찰 서비스 도입에 앞서, 조달청에서는 재무관이 저장한 복수 예비가격 번호를 개찰 단계에서 무작위로 재배열(‘12.10월)하여 해킹의 실익이 없도록 하였으며, 최초 서버에서 생성되어 재무관 PC로 송신된 금액과 재전송되는 금액을 대조하는 기능을 추가(’13.1월)하여 예비가격의 변조·조작이 불가능하도록 조치한 바 있다.

 

나라장터 가상입찰 서비스는 이용자별 특성을 고려하여 2가지 방식의 기술이 적용된다.
 

제1단계의 재무관 PC에 적용한 ‘클라우드 서버 가상화방식’은 사용자가 많지 않은 점을 감안, 사용자 PC는 화면만 사용하고 예가작성은 나라장터에서 제공하는 보안안전지대인 가상화 서버에서 처리하는 방식이고,
 

금번 제2단계 조달기업 PC에 적용하는 방식은 '클라이언트 PC 가상화방식'으로, 동시 접속자수가 많고 지문보안토큰이 사용되는 점 등을 고려하여 조달기업의 PC에 나라장터 전용 가상 PC를 제공하고 가상 PC에서 처리된 입찰금액 및 예가추첨 등 정보가 나라장터 서버에 전송되는 방식이다.
  

물리적인 PC에서 가상 PC는 실행 전에 운영체제(OS) 조작 및 위·변조 여부 등 무결성을 자동 검증하고, 가상 PC는 나라장터 접속만 허용되며 외부 원격제어에 의한 해킹을 원천 차단하여 보안성을 확보하게 된다.

 

조달청 백명기 전자조달국장은 “기존 물리적 PC는 갈수록 지능화·고도화되고 있는 해킹 위험에 노출되어 있다”며, “안전한 전자거래를 위한 최적의 수단으로 가상화 서비스를 도입하게 되었고, 앞으로도 나라장터 보안을 지속적으로 강화할 예정이다”고 밝혔다.

※ 참고자료 : 나라장터 가상입찰 서비스 구축방식 비교

* 문의: 정보기획과 오연칠 사무관(070-4056-7149)

 

140624_보도자료(입찰_가상화서비스_구축).hwp

조달청


 

댓글()