지난 7일 오후6시께 정보보호진흥원 인터넷침해사고대응지원센터는 분산서비스거부(DDoS) 공격을 포착했다. 24시간 해킹을 감시하는 이 센터는 이 사실을 방송통신위원회에 알렸다. 하지만 방통위가 주의 경보를 발령한 건 그로부터 6시간여 뒤인 8일 오전1시30분. 이미 악성코드가 급속히 퍼져버린 뒤였다. 결국 무려 1만8,000여대로 추산되는 PC가 ‘좀비컴퓨터’가 돼 버렸다.
이 때문에 정보기술(IT) 업계는 물론 네티즌들은 “DDoS 악성코드가 수많은 좀비컴퓨터를 양산해 피해가 기하급수적으로 늘어난다는 기본적인 개념을 방통위가 알고 있었는지 의문”이라고 입을 모으고 있다. 늑장 대처가 화를 키웠다는 얘기다.
방통위의 한심한 대응은 자정이 지난 시각에 ‘주의’ 경보를 발령한 데서도 여실히 드러난다. 잠자리에 든 PC 사용자들이 경보를 인지할 수 없는 것은 건 당연한 이치다. 밤새 꺼져 있던 감염 PC 들이 출근 등으로 다시 켜지면서 이날 오전까지 청와대 등 공격 대상 사이트 등이 불통 사태를 겪게 됐다.
DDoS 공격 사실을 곧바로 널리 알렸다면 피해를 최소화할 수 있었을 텐데 방통위는 왜 그러지 않았을까. 이에 대해 방통위는 “어젯밤 10시께부터 인터넷서비스사업자(ISP)에 모니터링 강화를 요청했다”며 은근슬쩍 통신사업자에게 책임을 떠넘기는 모습을 보였다.
더 심각한 문제는 방통위가 뚜렷한 수습책을 내놓지 못하고 있다는 점이다. 감염 PC의 IP를 차단해 피해 확산을 막아야 한다는 지적에 대해 방통위는 “강제로 서비스를 중단할 법적 권한은 없다”는 말만 되풀이하고 있다.
IT 강국 한국이 속수무책으로 해커들에게 휘둘리는 데는 물론 네티즌이나 통신사업자의 책임이 전혀 없다고는 할 수 없을 것이다. 하지만 그런 사실까지 감안해 유비무환의 철통 대비와 사후 대응책을 만들어야 할 의무는 분명 방통위의 몫이다. 그러라고 국민이 세금을 걷어 월급을 주고 월 수백만원의 퇴직 연금까지 얹어 주는 것 아닌가.
지난해 출범한 방통위가 그간 보여준 행태는 사실 한심하기 그지없었다. 심지어 청와대에 파견 나간 과장들이 통신사업자를 불어 성접대를 받는 일조차 있었다. 이런 방통위를 그대로 둬야 하는 지 이번 DDoS 사태를 계기로 꼼꼼히 따져볼 일이다.
