전라북도청 도민정보시스템실. 최명국 기자
전라북도 통합 재난방송시스템의 보안인증 방식을 두고 논란이 일고 있는 가운데 전라북도가 사업발주 이후 승인해 준 사실이 내부 문건을 통해 드러났다.
OTP(One Time Password)방식의 변이코드가 논란이 되는 것은 호환성 때문이다.
정보통신산업 업계에서는 호환이 사실상 불가능한 OTP방식을 시방서나 과업지시서에 특정할 경우 논란이 일 수 밖에 없다고 입을 모으고 있다.
OTP방식의 변이코드는 애초 2016년 전라북도가 발주한 '기상관측 및 재난방송통합시스템'의 과업지시서, 검수보고서 그 어디에도 흔적을 찾아볼 수 없다.
하지만 전라북도 최근 내부 문건에서 'OTP 변이코드'에 대해 전북도가 승인했다는 사실이 확인됐다.
이 문건은 전라북도 재난예경보시스템의 통신프로토콜을 놓고 논란이 일면서 이를 삭제할지, 아니면 변경할지를 놓고 내부 검토를 실시한 보고서 형식을 띠고 있다.
이 보고서에는 "전라북도 재난예경보시스템은 사업발주 이후 회사의 제품에 대한 제안 심사절차를 거쳐 승인했기 때문에 삭제, 또는 변경이 매우 곤란하다"고 적시돼 있다.
전라북도는 변이코드 방식이 일회성 비밀번호가 부여되는 'OTP와 유사한 통신프로토콜'이라는 점도 함께 명시했다.
전라북도 청사.
이같은 내부 문건은 전라북도 관계 공무원의 발언과도 맥을 같이한다.
전라북도 관계 공무원은 "전임자의 얘기를 들어보니 애초 구체적으로 프로토콜 보안방식이 정해지지 않은 상태에서 업체가 OTP방식의 변이코드 방식을 제안했고 제품 검수를 해 준 것"이라고 설명했다.
또, "공식적인 검수절차를 거쳐서 설치한 것"이라고 주장한 전라북도 관계자는 "구체적으로 프로토콜 보안방식이 정해지지 않은 상황에서 업체의 제안이 반영된 것으로 추론할 수 있다"고 밝혔다.
OTP방식의 변이코드를 두고 논란이 이는 것은 이 방식의 경우 호환이 사실상 불가능하다는 업체의 주장과 함께 호환지원에 대한 기술료 형식의 대가 요구 등 잡음이 끊이지 않고 있기 때문이다.
일각에서는 "기술력이 있으면 OTP방식 호환이 가능하다"는 주장이 있지만 "해킹 외에 방법이 없다"는 극단의 주장이 나오는 등 반론이 만만치 않다.
전라북도는 '기상관측 및 재난예경보통합시스템'을 구축하면서 도내 14개 시군으로 하여금 전라북도 시스템에 호환이 가능한 프로그램을 설치하도록 했다.
호환문제로 논란이 일고 있는 특정방식을 채택하면 전라북도 시스템에 연동해야 하는 시군 역시 특정업체의 제품을 설치할 수 밖에 없다.
이처럼 전라북도가 시군간 재난예경보시스템 통합 과정에서 특정 보안인증 방식을 승인해 준 사실이 문건을 통해 확인되면서 그 배경에 의문이 일고 있다.