게임물등급위원회의 온라인 민원서비스가 중단되는 사태가 벌어지는 등 최근 분산서비스거부(DDoS) 공격이 빈발하고 있음에도 불구하고 범정부 차원의 통합 가이드라인조차 없어 정부의 대응체계가 너무 안이하다는 비판이 고조됐다.
특히 DDoS 공격이 악성 코드 등에 감염된 일반 개인PC를 통해 대량 트래픽을 발생시키는 방식으로 진행되는 것을 감안할 때 이를 통제할 권한을 명시한 법·제도 마련이 시급하다는 목소리가 높다.
17일 관계기관과 관련업계에 따르면 중앙 및 지방 9000여개 공공기관 가운데 DDoS 공격 보안장비를 갖춘 곳은 정부통합전산센터, 한국정보보호진흥원, 금융결제원 금융정보센터 등 10여개에 불과한 것으로 드러났다.
마음만 먹으면 구글 등 포털사이트만 검색해도 쉽게 얻을 수 있는 DDoS 공격 툴로 9000여 공공기관의 서버를 다운시킬 수 있는 셈이다.
공공기관이 이처럼 DDoS 공격 사각지대로 방치된 것은 공공기관의 DDoS 보안에 대한 인식이 낮은 것이 첫 번째 원인이지만, DDoS 보안장비에 대한 국가인증(CC인증) 등 초보적인 가이드라인조차 마련되지 않기 때문으로 지적됐다.
국가정보원은 준비가 미흡해 DDoS 보안장비에 대한 CC인증을 단 한 건도 내놓지 못했다. 국정원은 최근 DDoS 공격 피해가 급증하자 준비를 서두르고 있다고 밝혔지만 최소한 6개월 이상 소요될 것이라는 게 업계의 전망이다.
공공기관의 보안장비는 국정원의 CC인증을 받은 장비만 도입할 수 있다. 이 때문에 정부통합전산센터 등 DDoS 공격에 대응한 장비를 갖춘 일부 기관은 보안장비가 아닌 통신시스템상으로 구현했다. 이 기관들은 저마다 다른 시스템을 개발해 중복투자에 대한 우려도 높다.
정부 정보화 한 관계자는 “온라인 민원서비스가 많은 공공기관을 중심으로 보안장비 도입 검토가 많지만, 공인장비가 없어 별도의 통신시스템을 구축해야 하는 등 번거로움이 많아 포기하는 사례도 많다”며 “국정원 CC인증에 시간이 걸린다면 시장서 검증받은 장비에 대해 공공기관 도입을 한시적으로 허용해주는 방안도 검토해야 한다”고 지적했다.
DDoS 보안장비가 보통 수억원을 호가해 도입 예산을 우선 지원해야 한다는 지적도 있다. 게임위 관계자는 “최근 DDoS 공격을 받으면서 보안장비 도입을 적극 검토 중이지만, 고가 장비를 구입할 예산이 턱없이 모자라 엄두를 못 낼 실정”이라며 “정부 차원의 파격적인 예산 지원이 없으면 공공기관의 DDoS 보안 장비 도입은 후순위로 밀릴 수밖에 없을 것”이라고 토로했다.
DDoS 공격에 대해 정부 차원의 법·제도적 대응체계 마련도 시급하다. 보안업계 한 임원은 “공격이 주로 악성코드에 감염된 일반인 PC를 중심으로 진행되는 점을 감안해 이들 PC의 트래픽을 사전에 모니터링할 수 있는 제도적 장치가 필요하다”며 “통신비밀보호법 때문에 이는 거의 불가능한 실정이지만, 갈수록 지능화하는 공격에 대응하려면 법 개정에 대한 사회적 논의를 시작해야 한다”고 말했다.
소방법처럼 일정 규모 이상의 공공기관이나 기업은 보안시스템을 만들 때 DDoS 통제시스템 구축을 의무화하는 제도가 필요하다는 의견이 있다.
장지영·정진욱기자 jyajang@etnews.co.kr
◇분산서비스거부(DDoS:Distributed Denial of Service) 공격=단시간에 다량의 트래픽을 집중시켜 네트워크 부하를 일으켜 결국 사이트를 다운시키는 사이버테러다. 주로 패킷을 범람시킬 수 있는 DOS(Denial Of Service) 공격용 프로그램을 분산 설치해 일정한 시간에 대상 서버를 집중 공격한다. 테러범들은 악성 코드 등으로 감염시킨 국내 PC, 이른바 ‘좀비PC’를 해외에서 원격조종해 공격하기 때문에 진범을 잡기도 쉽지 않다.