行政安全部が「モドゥエ・チャンオプ(みんなの創業)」プラットフォームを公共情報システムと判断したことで、開発会社の選定手続きの適切性が改めて論点として浮上する見通しだ。公共情報システムに求められる手続きと基準を経ずに事業が推進されたためである。
特にプラットフォームの開発会社に、過去に大規模ハッキング事故を経験した仮想資産取引所出身者が在職していることが確認され、事前検証が適切だったのかも関心事として浮上している。
9日ChosunBizがカン・スンギュ国民の力議員室から確保した行政安全部の有権解釈回答によれば、行安部は中小ベンチャー企業部の照会に対し「モドゥエ・チャンオプ・プラットフォームは『行政機関及び公共機関情報システム構築・運用指針』上の情報システムに該当する」と結論付けた。民間が作ったプラットフォームではなく、政府政策を遂行する電子政府サービスであり、行政機関が運用する公共情報システムだとみなしたということだ。
行安部の判断により、モドゥエ・チャンオプ・プラットフォームは公共情報システム構築・運用指針の適用対象である。事業発注前に情報化事業の事前協議などを経なければならず、情報システム等級を算定し、監理対象事業である場合は情報システム監理を実施しなければならない。
その後、行政機関が事業を発注する場合、提案要請書の作成、事業者の選定および契約など、指針で定めた手続きを踏む。契約方式によって競争入札や随意契約など手続きは変わり得るが、事業者選定過程では技術力の評価と情報セキュリティ関連要件の検討が行われる。
しかしモドゥエ・チャンオプ・プラットフォームの開発会社である「トリプルオス」は、中企部と別途の用役契約や公共入札手続きを経ずに、モドゥエ・チャンオプ・プラットフォームの構築企業として選定された。
新韓銀行がプラットフォームを構築して創業振興院に無償提供する「寄付採納」方式で事業が進められ、構築企業の選定は新韓銀行が担い、創業振興院は完成したプラットフォームの提供を受けた。
事業が進行した後、プラットフォームで合格者の個人情報が流出する事故が発生し、行安部はこれを公共情報システムと判断した。
科学技術情報通信部もまた、モドゥエ・チャンオプ・プラットフォーム構築事業をソフトウェア振興法上のソフトウェア事業と判断した。これにより、ソフトウェア課業審議委員会の審議や事業影響評価など関連制度の適用対象であったのか、当該手続きが実際に履行されたのかも検証すべき局面である。
開発会社の選定過程で、事業者のセキュリティ能力と開発人員に対する検証が十分だったのかも争点として浮上している。トリプルオスに、過去に200億ウォン規模のハッキング被害を受けた仮想資産取引所ジダク(GDAC)の運営会社ピアテック出身の開発人員が在職中だ。
2017年末に設立されたピアテックは、仮想資産取引所ジダクを運営し、法人会員を中心に取引所市場で地歩を広げたが、取引量の減少に加え2023年に大規模ハッキング事故まで発生し、結局破産した。
トリプルオスの中核人員がピアテック在職当時のジダクハッキング事故に関与していたかは確認されていない。中企部は「モドゥエ・チャンオプ・プラットフォームは民間協力で構築されたため、契約関連資料は保有していない」という立場だ。行安部の有権解釈などには回答しなかった。
カン・スンギュ議員は「法が定めた最低限の検証手続きだけでも経ていれば、大切な個人情報と事業アイデアがむなしく流出することはなかった」と述べ、「民間協力の仮面をかぶり不備で塗れたモドゥエ・チャンオプ・プラットフォームの構築過程と運用全般に対する即時の監査が必要だ」と語った。