법원 "국방망 해킹 못 막은 백신업체, 입찰제한 정당"

서울 서초구 서울행정법원 전경 ⓒ데일리안 류영주 기자

군 내부망이 해킹돼 군사 정보가 유출된 사건에서 백신프로그램을 제공하는 업체의 '관리 소홀'이 인정될 경우, 조달청의 입찰 제한 조치는 정당하다는 법원의 판결이 나왔다.

25일 법조계에 따르면 서울행정법원 행정1부(안종화 부장판사)는 백신 프로그램 개발과 판매를 하는 업체인 A사가 조달청장을 상대로 "부정당업자 제재 처분을 취소해달라"고 낸 소송에서 원고 패소 판결했다.

앞서 A사는 2016년 6월부터 2017년 3월까지 국방부 국군사이버사령부의 바이러스 방역체계 구축사업에 참여했다.

그러던 중 2016년 9월 이른바 '국방망 해킹사건'이 발생했다. 해커가 백신 업데이트 기능을 이용해 수정된 악성코드를 국방망 백신 중계서버에 유포해 군사자료 등 정보를 빼낸 것이다.

이에 국방부는 2017년 5월 조달청에 A사를 부정당업자로 제재해줄 것을 요청했고, 조달청은 2018년 2월 6개월간 입찰자격을 제한하는 처분을 했다.

A사는 "부정당업자로 지정하면서 어떤 행위가 그런 사유에 해당하는지 구체적으로 지정하지 않았고, 어떤 부분이 부실·조잡 또는 부당·부정한 행위에 해당했는지 통보만으로 알 수 없어 중대한 하자가 있다"며 소송을 제기했다.

또 자사의 백신은 '보안 국제 공통 평가 기준' 인증을 받아 부실하지 않으며, 해킹 사건 책임은 전체 보안관리 체계를 정상적으로 운용·관리하지 못한 국방부에 있다고 주장했다.

하지만 법원은 조달청의 손을 들어줬다. 재판부는 A사가 처분 근거가 된 법령과 구체적인 이유를 충분히 알 수 있었을 것이라며 제재 절차상 하자가 있었다는 주장을 받아들이지 않았다.

법원은 특히 A사가 편의를 위해 자체적으로 보관하고 있던 비밀키 중 하나가 관리 소홀로 해킹 당시 유출된 점도 지적했다.

아울러 A사가 1차 해킹 당시 북한의 것으로 추정되는 인터넷 주소(IP)가 발견됐음에도 조치를 하지 않아 2차 피해를 보게 했고, 해킹 사실을 인지하고도 국방부에 알리지 않아 계약상 의무를 지키지 않았다고 판단했다.

재판부는 "백신 사업의 중요성 등을 고려할 때 원고가 일정 기간 국가와 체결하는 계약에 입찰을 제한할 필요성이 크다"고 밝혔다.