2016년 9월 ‘국방망 해킹사건’으로 정부 입찰 참가가 제한된 컴퓨터 바이러스 백신 개발업체가 처분에 불복해 소송을 제기했으나 패소했다.
25일 법조계에 따르면 서울행정법원 행정1부(부장판사 안종화)는 백신업체 A사가 조달청장을 상대로 낸 부정당업자제재처분취소 청구 소송에서 원고 패소로 판결했다. 재판부는 A사가 해킹 사실을 인지하고도 국방부에 알리지 않는 등 계약상 의무를 지키지 못했다고 판단해 입찰 제한의 필요성을 인정했다.
A사는 국군사이버사령부에서 추진하는 ‘바이러스 방역체계 구축사업’에 참여해 2014년부터 2017년까지 3차례에 걸쳐 총 15억 규모의 장기계약을 맺었다. 국방부 서버에 대한 해킹 공격을 방지할 의무가 있었으나 2016년 7월 정체불명의 해커가 국방망에 침입해 군사 자료를 유출시키는 것을 막지 못했다.
국방부는 2017년 5월 조달청에 A사에 대한 부정당업자 제재를 해달라고 요청했다. 이에 따라 A사는 국가계약법, 국가계약법 시행령에 근거해 6개월간 입찰 참가 자격 제한 처분을 받았다.
A사는 조달청이 구체적으로 입찰 참가 제한 사유를 제시하지 않았다는 이유 등을 들어 반발했다. A사는 국방망 해킹사건 발생에 책임이 없고, 조달청이 구체적으로 어떤 행위가 제재 사유에 해당하는지 명시하지 않았다고 지적했다. 이어 백신 제품에 문제가 없을 뿐 아니라 해킹 사실을 은폐하거나 취약점을 알면서도 미조치하는 등의 문제가 없었다고 반박했다. 사이버 보완관리체계를 정상 운용ㆍ관리하지 못한 국방부의 잘못도 있다고 주장했다.
재판부는 A사가 처벌의 근거를 충분히 인지할 수 있었다며 입찰 제한 처분이 위법이 아니라고 판단했다. A사가 보안이 취약한 백신프로그램을 제공했고 비밀키 관리가 부실했던 점이 근거였다. 또한 재판부는 A사가 2015년 4월에 있었던 1차 해킹사건에 대해 조치하지 않았고, 보고 지연으로 2016년 9월의 해킹 피해가 발생했다며 입찰 제한 처분이 적법했다고 설명했다. 재판부는 “백신사업의 중요성 등을 고려하면 입찰 참가를 못하게 할 필요성이 크다”며 원고 청구를 기각했다.
박성영 기자 psy@kmib.co.kr