[서울=뉴스핌] 이성화 기자 = 지난 2016년 벌어진 '국방망 해킹사건' 당시 국방부 내 컴퓨터 바이러스 백신 개발을 담당한 업체에 계약상 책임을 물어 일정기간 입찰 참가자격을 제한한 것은 정당하다는 법원 판단이 나왔다.

서울행정법원 행정1부(안종화 부장판사)는 주식회사 하우리가 조달청장을 상대로 낸 부정당업자제재처분 취소소송에서 원고 패소 판결했다고 25일 밝혔다.

[서울=뉴스핌] 이형석 기자 = 서울 서초구에 위치한 서울가정법원‧서울행정법원 2018.02.13 leehs@newspim.com

하우리는 2014년부터 2017년까지 세 차례에 걸쳐 국방부 내 국군사이버사령부에서 추진하는 바이러스 방역체계 구축사업(백신사업)과 관련해 소프트웨어 개발 및 도입 서비스 계약을 체결했다.

이후 불상의 해커가 2016년 9월 국방망 백신 중계서버에 악성코드를 유포하는 방법으로 국방망에 침입해 군사자료를 빼내간 이른바 '국방망 해킹사건'이 벌어졌고 국방부는 하우리 측에 책임을 물었다.

국방부는 이듬해 5월 조달청에 하우리에 대한 부정당업자 제재를 요청했고 조달청은 부정당업자에 해당한다는 이유로 6개월간 입찰참가자격을 제한하는 처분을 내렸다.

국가를 당사자로 하는 계약에 관한 법률(국가계약법)과 시행령은 계약을 이행할 때 부실·조잡 또는 부당하게 하거나 부정한 행위를 한 자(부정당업자)에 대해 2년 이내의 범위에서 입찰참가자격을 제한하도록 하고 있다.

하우리 측은 "국방망 해킹사건 발생에 아무런 잘못이 없고 제품에 하자가 있었던 것도 아니며 자사 PC 해킹 사실을 고의적으로 은폐하거나 백신의 취약점을 인지하고도 미조치한 사실이 없다"며 처분을 취소해달라는 소송을 제기했다.

아울러 "백신은 국제 공통평가 기준인 CC(Common Criteria) 인증을 획득한 제품으로 부실하거나 조잡할 수 없고 백신업체가 아닌 사이버 보안관리체계를 부실하게 운영해 온 국방부의 잘못으로 인해 해킹을 당한 것"이라고 주장했다.

재판부는 그러나 원고 회사가 직원 편의를 위해 국방망의 백신체계 업데이트에 이용되는 핵심 비밀 키 관리를 소홀히 한 점, 1차 해킹 당시 북한 것으로 추정되는 IP를 인지했음에도 아무런 조치도 취하지 않다가 같은 IP를 통해 2차 해킹 피해를 입은 점, 국방부에 1차 해킹 사실을 통보하지 않고 은폐한 점 등을 이유로 제재 조치가 정당하다고 판단했다.

그러면서 "이 사건 백신사업의 중요성, 이 사건 계약이 갖는 의미, 원고가 계약을 성실히 이행하지 않은 내용 및 그 정도에 비춰 볼 때 원고가 일정기간 국가와 체결하는 계약에의 입찰 참가를 하지 못하게 할 필요성이 크다"고 설명했다.

다만 해킹 사건 당시 발견된 악성코드가 하우리 측 PC에서 유출된 비밀 키를 바탕으로 만들어진 것인지와 관련해서는 "의심이 드는 것은 사실이나 증거들만으로는 해커들이 원고의 비밀 키를 이용했다고 단정할 수 없다"며 인정하지 않았다.

또 "원고가 공급하고 관리하는 백신프로그램을 통해 해킹이 발생했다는 점만으로는 곧바로 해당 백신프로그램이 구조적 취약성을 가지고 있다고 단정하기 어렵다"고 봤다.

한편 정부는 국방망 복구 등 이 사건으로 발생한 피해를 보상하라며 하우리와 군 전산망 시공사인 LG CNS를 상대로 50억원대의 민사소송을 제기했으나 지난해 1심에서 패소했다. 항소심 첫 재판 절차는 오는 6월8일에 열릴 예정이다. 

shl22@newspim.com