| 김홍선 안철수연구소 사장 |
|
| 박동훈 한국정보보호산업협회장 |
|
| 염흥열 순천향대 정보보호학과 교수 |
|
“현재와 같은 상황을 방치하면 앞으로 더 큰 재앙이 올 수밖에 없습니다. 사이버 테러를 방지하기 위한 근본적인 대책을 세워야 합니다.”
지난 7일 이후 온 나라를 혼란 속으로 빠뜨렸던 분산서비스거부(DdoSㆍ디도스) 공격은 일단락됐지만 이를 계기로 사이버 테러에 대한 체계적인 대책을 주문하는 목소리가 높아지고 있다. 전문가들은 “2003년 1ㆍ25 인터넷 대란 이후 6년이 넘는 세월이 흘렀지만 정부 대책은 달라진 게 아무것도 없다”며 “이런 안이한 자세가 오늘의 사태를 초래했다”고 입을 모았다.
전문가들은 “이 같은 사태가 재발되는 것을 막기 위해서는 ‘좀비PC’의 인터넷 접속을 원천적으로 차단할 수 있는 제도적 장치를 하루빨리 마련하고 5년째 국회에서 잠자고 있는 사이버위기대응법을 조속히 제정해야 한다”고 강조했다. 이들은 또 정부나 소비자 모두 ‘보안은 비용이 아닌 투자’라는 인식 아래 현재 정부 정보기술(IT) 예산의 1% 수준인 보안 관련 예산을 선진국 수준인 10%까지 올려야 한다고 주문했다.
서울경제신문은 김홍선 안철수연구소 사장과 박동훈 한국정보보호산업협회장, 염흥열 순천향대 정보보호학과 교수 등 전문가들을 대상으로 긴급 지상대담을 갖고 ‘7ㆍ7 사이버 대란’과 같은 사태를 근본적으로 막기 위한 방안을 알아봤다.
-그동안 보안의 중요성에 대한 지적이 꾸준히 있어왔는데 또다시 이런 사태가 발생했다. 원인이 어디에 있다고 보나.
▲ 김 사장=한국은 인터넷 인프라에 있어서는 세계적인 수준이지만 보안에 대한 투자와 인식은 후진국 수준이다. 미국ㆍ일본의 경우 10년 전부터 전체 IT 예산의 10% 정도를 보안에 투자한다. 그러나 IT 강국이라는 우리는 1% 정도다. 특히 IT를 구축하는 과정에서 보안이 고려되지 않고 급하게 개발하느라 그 과정에서 보안에 대한 고려가 이뤄질 여지가 없다. IT 자체는 최종 목적이 아니라 인프라이고 보안은 그중에서도 핵심 인프라다. 이런 인식이 없으면 IT 기반은 허약할 수밖에 없다.
▲ 박 회장=현재 한국은 국가 및 공공부문에서 정보보호 전담부서를 운영하고 있는 경우는 전체의 13.4%에 지나지 않고 또 전담인력도 1~2명이 전체의 27%에 달한다. 민간분야에서 평소 PC를 관리하는 습관이 철저하지 못했던 것도 사태를 악화시켰다.
-법적ㆍ제도적 미비점을 지적하는 사람도 많은데….
▲ 염 교수=인터넷 사업자에게 좀비PC에 감염된 PC에 대한 인터넷 접속을 차단할 수 있게 하는 법적ㆍ제도적 장치 마련이 필요하다고 생각한다. 이번 디도스 공격으로 인터넷 경보 수준은 네 가지 단계 중 2단계인 주의 단계였다. 일정 등급 이상의 사이버 경보 수준 상황에서는 좀비PC에 대한 강제적인 인터넷 서비스 차단도 고려해야 할 것이다. 이를 위한 사회적 합의와 기술적 대책이 마련돼야 한다.
▲ 박 회장=정부는 근본적인 방지 대책을 담은 ‘사이버 테러 방지 시스템’을 구축해야 한다. 우선 5년째 국회에서 잠자고 있는 사이버위기대응법과 개인정보보호법이 조속히 제정돼야 한다. 정치적 남용이나 프라이버시 침해 우려가 있을 수도 있다. 이를 감안해 인권 침해의 소지를 없애는 제도적 장치를 하루속히 마련해 ‘사이버 안보’를 담보할 수 있는 틀을 갖춰야 한다.
▲ 김 사장=미국이 9ㆍ11테러 이후 국토안보부를 만들어 국가 전체 위기상황에 대비하듯 우리도 국가 최고보안책임자(CSO) 같은 역할을 할 조직을 만들어 사이버 위기상황에 대비할 필요가 있다. 버락 오바마 정부는 5월 사이버 보안의 중요성과 심각한 현황에 대한 정부 차원에서의 대책을 약속했으며 미국 국방성에서도 6월 ‘밀리터리 커맨드 포 사이버스페이스(Military Command for Cyberspace)’ 창설을 발표하는 등 발 빠르게 움직이고 있다.
-이 같은 사태를 막기 위한 대책이 있다면….
▲ 김 사장=IT 실행 주체와 전문적인 보안 기술 역량을 가진 전문 업체의 긴밀한 협력 관계가 필요하다. 몇 개의 제품을 구매해 사용자 스스로 관리하는 것으로 안심하기에는 위협의 특성이 너무 복잡하고 그 수도 엄청나게 늘어나고 있다. 또 정보보호 예산을 확보해 ▲세금 절감 등의 혜택 제공 ▲대기업과 중소기업 간의 납품 관행 개선 ▲보안 소프트웨어(SW) 제값 받기가 가능하도록 해야 한다. 또 보안 전문가가 절대적으로 부족한 상황인 만큼 국가 차원에서 소프트웨어 인력 양성에 나서야 한다.
▲ 염 교수=근본적인 처방은 전세계의 모든 좀비PC를 없애는 것인데 이는 현실적으로 불가능하다. 차선책이라면 사용자의 보안 의식제고 활동을 통해 좀비PC에 감염되는 사례를 줄여야 한다. 또 국가 차원의 네트워크 디도스 대응 시스템의 조기 구축과 기업의 호스트 수준 시스템 구축도 유도할 필요가 있다. 정보보호 연구개발(R7D)의 확대, 침해사고 긴급대응을 위한 민관 파트너십 및 책임 강화, 체계적인 사이버 보안 인력양성 체계 구축 등의 측면에서 기존 사이버공격 대응 체계에 대한 전면 재검토할 필요가 있고 이를 근거로 국가 차원의 사이버 보안 종합대책이 마련돼야 할 시점이다.