참석자
◇정태명 성균관대 교수(정보보호실천협의회 의장)
◇이승일 야후코리아 사장
◇권석철 하우리 사장
지난 주말 인터넷 강국을 자부하는 우리나라가 윔바이러스의 공격을 받아 전국의 인터넷망이 마비되는 초유의 인터넷 대란을 겪었다.
언제 다시 이런 사태가 불거질지 모르는 상황에서 서울경제신문은 27일 각계 전문가를 모시고 긴급좌담회를 마련했다. 이날 전문가들은 제2, 제3의 웜바이러스 공격 가능성이 높다며 소프트웨어의 패치를 늘려야 한다고 강조했다.
특히 우리의 보안수준이 업그레이드 되지 않을 경우 그 피해는 상상을 초월할 정도로 커질수 있다는 사실에 공감했다. 전문가들은 양적성장만 추구한, 예방보다는 사후처리에 급급했던 우리의 낙후된 보안의식의 현주소를 극명하게 보여준 사건이라고 진단하고 보다 체계적이고 범국가적인 대응체제를 갖출 것을 당부했다. 정부나 기업에게 보안예산을 늘리고 보안전문 담당자를 키우는 등 구체적인 실천을 강조했으며 국제적인 공조체제 구축에 대한 필요성도 주문했다.
▲권석철 하우리 사장= 1ㆍ25 인터넷 대란의 원인은 세계 최고의 초고속 인터넷 통신망을 갖춘 우리나라가 인프라 발전에 비해 보안의식 자체가 너무 낙후되어 있었기 때문입니다. 기업이나 기관에서는 최소한 현재 이용중인 소프트웨어나 시스템의 보안 취약점에 대해서는 정확히 인식하고 이러한 위기상황이 발생하기 이전에 미리 대처했어야 했습니다. 지난번 코드레드(CoeeRed) 웜 때 비슷한 문제를 겪고도 똑같은 실수를 되풀이 한 이번 사태는 관리 소홀이 부른 인재라고 밖에 볼 수 없습니다.
▲정태명 성균관대 교수= 정보보호 인식의 부족에 기인한 관리소홀이 주원인이었다는 데 동의합니다. 지난해부터 계속돼온 소프트웨어의 패치가 제대로 이뤄지지 않은 것이 근본적 원인입니다. 또 기술적으로 잘 대비만 했어도 이처럼 문제가 커지지 않았을 것입니다. 웜바이러스의 공격이지만 분산서비스 공격을 방어하는 방식으로 예방이 가능했을 것이라고 보면 결국 정보보호에 대한 준비가 부족했던 것이 가장 큰 원인이었던 같습니다.
▲이승일 야후코리아 사장= 보다 구체적으로 보면 웜바이러스에게 실제로 공격을 받았던 하드웨어 개발사, ISP서비스업체 및 각종 인터넷 서비스 제공사, 이용자 모두에게 책임이 있습니다. 보안에 취약한 프로그램을 개발한 하드웨어 개발사는 보안패치 발표와 함께 이를 사전에 충분히 알렸다고 하지만 실제 업무에 종사하고 있는 사람들도 구체적으로 알고 있지 못했던 것이 사실입니다. 애초에 주요 하드웨어를 만들 때 보안상의 문제점을 최소화하는 것이 가장 중요하지만 인터넷 서비스를 제공 및 운영하는 사업자들 역시 사전에 이러한 문제발생에 철저히 대비했어야 했는데 그러지 못했던 것이 원인이라 할 수 있습니다.
▲권 사장= 당장 기업과 기관의 보안 문제를 재검토해야 합니다. 일반적으로 대규모 네트워크 전산환경을 구축하고 있는 모든 기업과 기관은 보다 체계적이고 현실적인 보안 시스템을 구축해야 합니다. 현재로서는 몇 명 안되는 전산담당자가 보안은 물론 기업내 하드웨어, 소프트웨어는 물론 모든 유지보수까지 모두 전담하고 있습니다. 그러다보니 보안은 늘 사전예방이 아닌 사후처리로 밖에 손을 쓰지 못하는 경우가 대부분입니다. 보안정책을 명확히 하고 부족한 보안예산을 현실적으로 편성하는 등 인적ㆍ 물적 투자가 반드시 필요합니다.
▲이 사장= 가장 중요한 것은 서비스운영자 및 이용자의 보안의식이라고 생각합니다. 서비스운영을 책임지고 있는 운영자들과 서비스 업체들이 우선 이러한 사태를 미리 예견해 예방조치를 취해야 했음에도 불구하고 대다수 업체들이 그렇게 하지 못했다는 점이 미비한 보안의식을 보여주는 단적인 예입니다. 또 우리나라의 경우 이용자들 역시 보안의식이 그리 투철하지 않은 것이 사실입니다. 인터넷이 이제 생활의 일부분이 되어 일상생활에서 차지하는 비중이 높아진 현실에서 이용자들도 순수히 인터넷을 즐기는 역할에서 그치는 것이 아니라 더욱 제대로 서비스를 즐겨가는데 필수적인 보안의식을 보다 철저히 가진다면 앞으로 발생할지도 모르는 비슷한 사태에서 문제점들을 최소화할 수 있을 것으로 생각됩니다.
▲정 교수= 지금까지 떠들썩하게 정보보호를 하는 것으로 알아왔지만 현실적으로 여러 곳에서 보안의 구멍이 드러났고 정보보호 의식도 아주 취약한 것이 드러났습니다. 역시 가장 큰 문제점은 국민의 정보보호 의식이 미약하고 따라서 정보보호에 대한 실천도 잘 안되고 있는 것입니다. 정부도 정보보호를 앞장서서 진두지휘하는 체계를 마련하지 않은 것도 문제입니다.
▲이 사장= 일부 비난이 없지 않지만 정부는 이번에 나름대로 신속하게 원인을 파악하고 대책을 마련하는 노력을 했다고 생각합니다. 하지만 사태 파악 및 대책 수립에 걸렸던 시간이 길었다는 점은 조금 유감입니다. 인터넷에 관련된 장애는 파급효과가 즉각적이니 만큼 국가 기간망에 대한 인프라 보호차원에서도 정부는 더욱 큰 노력을 기울여야 한다고 생각합니다.
▲정 교수= 정부가 잘 했는지 못 했는지는 기준이 다르다고 봅니다. 우선 방법론에 있어서는 적절했다고 봅니다. 중간에 발표에 있어서 혼돈을 일으키거나 시간이 오래 걸리는 것은 현재 우리가 가진 정보보호의 수준이 80점 정도이기 때문인 것으로 생각됩니다. 지금은 잘못을 따지기보다는 어떻게 80점을 100점으로 올리는가 하는 점을 생각해야 합니다. 정부에 부족한 점이 있으면 이를 보강하고 전문가들로 비상 대책반을 만들어 긴급사건 발생시 함께 문제를 분석할 수 있도록 하는 것도 한 가지 방법이 될 수 있을 것입니다. 또 비상사태에 대비하기 위해 종합상황실을 상시 운영해야 합니다.
▲권 사장= 문제는 향후 더 큰 사고가 일어날 가능성도 있다는 것입니다. 이번 사태의 원인이 된 슬래머 웜을 비롯, 변종 바이러스가 지속적으로 생겨나고 있습니다. 이를 막거나 피해를 줄이기 위해 구체적이고 실질적인 조치가 필요합니다. 우선 관리자들이 좀더 사전 보안업무를 할 수 있는 현실적 지원이 필요합니다. 서버의 보안 취약점이나 문제점을 주지하고, MS 등에서 제공하는 패치 정보에 늘 관심을 기울여 이러한 문제점을 해결하는데 비용과 시간을 투자할 수 있도록 현실적 지원이 뒤따라야 합니다.
▲이 사장= 그렇습니다. 분명 이대로면 더 큰 사고가 날 가능성도 있습니다. 서비스 운영업체측에서는 실질적으로 문제가 발생할 수 있는 부분에 대한 지속적인 보안 점검과 그에 따른 후속 조치들, 각 업체들뿐 아니라 개인들은 기본적인 보안의식과 그에 따른 보안의 생활화가 필요하다고 생각합니다.
▲정 교수= 이미 말씀드린 것처럼 단기적으로는 비상사태에 대비할 수 있는 종합 상황실과 비상경보 체계를 만들어야 합니다. 이러한 비상대응체계의 설립에는 각 부처의 협력은 절대적으로 중요합니다. 이번 사태는 아마도 더욱 큰 사태가 일어나기 전의 경고와도 같습니다. 아마도 거대한 화산이 폭발하기 전에 가벼운 지진이 계속되는 것 중의 하나라고 보여집니다. 그 지진의 종류로는 님다나 코드레드 같이 지엽적으로 발생한 사건도 있었고 이번 사건과 같이 전국적으로 발생하는 것도 있습니다. 아마도 이번 사건을 등한시하면 지금보다 수 백배 큰 피해를 입을 수 있다는 사실을 상기해야 할 것입니다. 특히 정보보호는 모두 함께 하지 않으면 그 효력이 반감되기 때문에 개개인이 정보보호에 참여하는 것이 중요합니다.
▲이 사장= 그런 측면에서 지난 26일 정부가 내놓은 `사이버 도로교통법` 등 중장기대책은 환영할 만한 일입니다. 중요한 것은 이러한 대책을 얼마나 실제적 현실, 인터넷의 기본적인 특성에 대한 파악 위에서 실행해 나가느냐 하는 것입니다. 가장 중요한 인터넷 근간망에 대한 정부차원의 보호책과 복구에 대한 대책이 새롭게 세워져야 하며 거기에 따른 규정도 필요하다고 생각합니다. 또한 사이버 보안과 범죄, 스팸메일 등에 대한 좀 더 강력한 차원의 규제와 처벌에 대한 명시도 필요합니다.
▲권 사장= 이번 사태는 또 국내 뿐만 아니라 전세계적 곳곳에서 일어났습니다. 더 이상 특정 지역이나 국가를 대상으로 일어나는 국지적인 문제가 아니라는 것이 이번 사태를 통해 검증된 셈이죠. 개별 국가들이 국가적인 차원에서 자체적인 대응을 할 수 있는 것도 중요하지만 다른 국가들과 함께 보다 긴밀히 공조해 문제에 대비할 수 있는 인프라를 구축하는 것도 좋은 방법이라 생각합니다. 또한 사전 방역이나 사후처리를 완벽하게 할 수 있도록 정보보호 관련 업체들을 육성하고 지원하는 정책도 장기적으로 필요합니다. 그래야 국가 경쟁력이 높아집니다.
▲이 사장= 한국이 전세계적으로 보안에 취약하다는 오명을 받고 있는 만큼 국내 내부의 인프라와 서비스에 대한 전면적인 점검이 필요하다 생각합니다. 아울러 국내외의 유관 기관들에서 외국의 국가 운영기관, 업체들과의 긴밀한 유대관계를 공유하여 한나라의 인터넷 망은 이제 사회 근간 시설이라는 인식아래 적극적인 보호와 그에 따른 중장기 발전ㆍ육성책이 필요하다고 생각합니다.
▲정 교수= 장기적으로 세 가지 면에서 대책을 세워야 합니다. 첫째로 고도의 기술을 갖기 위해 학문적으로 연구하는 노력을 해야 합니다. 현재 우리의 정보보호 기술수준은 80점으로 날아가다가 멈추어 있습니다. 100점을 위한 투자가 커서 정체해 있다고 봅니다. 100점을 위한 노력을 재개해야 합니다. 둘째로 산업적인 발전을 가져오도록 정부와 기업들이 협조해야 합니다. 마지막으로는 국민 스스로가 정보보호 문화운동에 참여해서 안전한 사이버 국가건설을 이룰 수 있도록 함께 애써야 합니다. 정보보호가 없으면 조그만 틈에서 새어 나온 물이 댐을 허물어 애써 세워놓은 도시를 송두리째 앗아갈 수 있다는 것을 항시 기억할 필요가 있습니다.
<정리=조충제기자 cjcho@sed.co.kr>
