본문 바로가기
IT

2013.04 조달청 서버 해킹 대신 수요기관 및 입찰자 PC해킹으로 290억원대 불법 낙찰

by 모르면 모른다고 해 2013. 4. 9.
반응형

조달청, 공공기관 전자입찰 '이용자PC' 보안 강화한다.

지자체 PC해킹 290억원대 관급공사 불법 낙찰

보안 취약한 수요기관 업체 등 이용자 PC 해킹 대책 마련

해킹 차단을 위한 입찰가상화 서비스 구축작업 착수

컴퓨터 해킹으로 지자체와 입찰 경쟁업체 PC에 악성프로그램을 심어 관급공사를 따낸 일당이 덜미를 잡혔다.

해킹을 통한 공사 입찰조작이 적발된 것은 이번이 처음이다. 이들은 2007 ~ 2012년 국가종합전자조달시스템(나라장터)과 공사 발주처인 지자체를 오가는 입찰정보를 해킹, 낙찰하한가를 바꿔치기하는 수법으로 공사금액 291억원 상당의 공사 31건을 불법 낙찰받은 협의를 받고 있다.

관급공사는 낙찰하한가와 가장 가까운 금액을 써낸 업체에 돌아간다. 나라장터는 업체들이 예측할 수 없도록 하여 공무원과 업체의 유착을 없애고 공정한 업찰을 유도할 수 있도록 설계했다. 업계에서는 200~300대 1의 경쟁률을 뚫고 관급공사를 따낼 확률이 '복권당첨'에 비유될 정도로 낮다는게 통설이다. 그런데 어떻게? 해킹을 하였을까?

How?

이들은 보안수준이 높은 나라장터 서버 대신 상대적으로 취약한 지자체와 입찰업체 PC를 통해 우회 해킹을 시도하였다.

1. 우선 친분이 있는 지자채 재무관 PC에 몰래 악성프로그램을 심고

2. 재무관 PC에서 공사기초금액의 ±2∼3% 예정가격(예가) 15개가 순번과 함께 무작위로 만들어지면 자신들의 서버로 전송받도록 했다.

3. 150 ~200개 건설업체에 입찰정보를 공유하는 척 피싱 이메일을 보내 PC를 감염시켰다.

4. 재무관 PC에서 확보한 15개 예가 중 미리 찍어둔 수치만 골라 나라장터 서버에 전송되도록 바꿔치기해 낙찰가를 조작했다.

5. 마지막으로 1만원 적게는 몇 원 단위 정도의 차이가 나는 금액을 투찰해 관급공사를 따냈다.

역시나 문제는 부족한 보안 인프라와 기본 해킹 기술에 사회공학적 기법을 이용한 해킹으로 불법 유찰을 이룬 사건에 대응 하지 못하는 관리자나 당사자들 인식 및 의식 부재라 할 수 있겠다. 

 

 

 

 

반응형

댓글