7일 저녁 시작된 분산서비스거부(DDoS) 공격으로 인한 피해와 혼란이 갈수록 확산되고 있다. DDoS 공격이 시작된 지 사흘째인 9일에도 정부의 혼선은 여전하고, 3차 공격 예고에 민간의 우려는 더 커지고 있다.
인터넷 서비스의 지연이나 불통이 잇따르면서 인터넷쇼핑몰·포털 등은 하루 피해액이 100억원에 육박한다. 청와대에 이어 국가 안보를 책임지는 국가정보원, IT 보안업계의 상징으로 꼽히는 안철수연구소 등도 DDoS 공격을 피하지 못했다.
자연스럽게 정부의 안일한 대응이 도마에 올랐다. 정부가 초보적인 보안시스템만 갖췄어도 충분히 막아낼 수 있었고, 첫 공격 이후 체계적인 대응이 미숙했다는 점 등이 속속 확인되면서 비난의 목소리가 높다. 과거 주무부처였던 정보통신부가 국정원·행안부·지경부·방통위 등으로 쪼개지면서 실무 부처 간 공동 대응체계도 약해졌다는 지적이다.
특히 공격을 당한 청와대, 국회, 국방부, 외교통상부 등 주요 정부부처는 DDoS 공격 대응 보안 장비를 전혀 갖추지 않아 작은 트래픽 공격도 잡아내지 못하고 서버가 다운되는 어처구니없는 사태가 빚어졌다.
이미 늦었지만 이번 사태를 계기로 국가 보안시스템을 전반적으로 개선해야 한다는 게 전문가들의 공통된 의견이다. 차제에 대대적인 보안인프라 확충을 뼈대로 한 범국가적인 사이버테러 종합대응전략을 조속히 수립하고, 범부처 차원에서 보안 정책을 컨트롤할 수 있는 ‘사이버안보 보좌관’ 신설의 필요성이 제기되는 상황이다.
이에 전자신문은 9일 본사에서 보안 관련 전문가 4명과 함께 ‘DDoS 해킹 대란 긴급좌담회’를 가졌다. 이들 전문가들은 정부의 미흡한 대응체계를 지적하며 이 같은 사태가 다시는 되풀이되지 않도록 대책 마련이 시급하다고 입을 모았다.
◇사회(박승정 전자신문 정보미디어부장)=지난 7일 시작된 DDoS 공격이 좀처럼 수그러들 기미를 보이지 않고 있다. 2차 공격에 이어 3차 공격까지 예견되는 상황이다. 이번 사태가 언제까지 지속될 것이라고 보는가.
◇김광조(한국정보보호학회장)=DDoS 공격은 인터넷에서 항상 일어났던 것이고, 앞으로도 일어날 수 있는 것이다. 현 패턴은 과거와 달리 명령 서버의 제어 없이 이뤄지고 있다는 점이 특징이다.
물론 이러한 공격에 대응하는 것이 전혀 불가능한 것은 아니다. 기술적으로는 대응할 수 있다. 하지만 언제 종료된다고 단언하기는 어려운 상황이다. 좀비 PC의 문제가 있기 때문에 당분간은 경계를 늦추지 말아야 한다.
◇박동훈(한국정보보호산업협회장)=이번 공격이 계속될 것인지 파악하기 위해서는 우선 좀비 PC를 명확히 파악해야 한다. 안타깝게도 현재는 위험이 잠재된 좀비 PC가 얼마나 되는지, 언제까지 공격을 계속하도록 설정돼 있는지를 정확히 파악하기는 힘든 상황이다.
◇사회=DDoS 공격에 필요한 도구를 30만원이면 구매할 수 있다고도 한다. 우리 사회가 광범위한 해킹 위험에 노출된 것 아닌가.
◇권석철(터보테크 부사장)=맞다. 이러한 공격 툴은 중국에 공개된 사이트에서 쉽게 찾을 수 있다. DDoS 툴의 가격은 좀비PC를 얼마나 많이 운용할 수 있느냐에 따라 달라진다.
이미 국내에도 많이 유입된 것으로 알고 있다. 마음만 먹으면 기존의 해커가 아니더라도 일반인도 쉽게 DDoS 공격을 진행할 수 있는 것이다. 우리 사회가 이미 보안상 상당히 높은 위험요소를 안고 있는 것이다.
◇사회=이번 DDoS 공격은 공격범위가 예전에 비해 훨씬 광범위하면서 집중적이다. 앞으로 DDoS 공격 방식이 다양하게 응용되고 발전될 것으로 보는데 어떠한가.
◇박동훈=새로운 공격이 발생했을 때 이를 극복할 수 있는 보안패치를 찾는 것은 그다지 어려운 것이 아니다. 중요한 것은 이러한 보안패치와 백신을 얼마나 효과적으로, 빠르게 보급하는지다.
이번 공격 이후에도 이를 해결할 수 있는 패치는 재빨리 나온 것으로 알고 있다. 그런데 이러한 패치가 실제로 사용자들에게 제대로 전달됐는지는 의문이다. 이를 효과적으로 전할 수 있는 대응체계를 마련하는 데 많은 노력을 기울여야 한다.
물론 이러한 부분은 민간뿐 아니라 정부 차원에서 해결해야 한다. 정부가 효과적이고 신속한 홍보 및 경고 체계를 갖춰야 한다.
◇김광조=인터넷상에서 해킹 공격 대상이 상당히 광범위해지고 있다. 사태 발생 시 악용되는 좀비 PC를 찾아내고, 불필요한 트래픽을 유발하는 불법 행위를 사전에 찾아낼 수 있는 기술적 역량을 길러나가야 한다.
◇사회=국가 안보상 가장 중요한 곳으로 꼽히는 청와대, 국방부까지 공격받았다. 우리 정부의 방어체계가 그렇게 녹록한 것인가. 무엇이 부족한 것인가.
◇주대준(IT21 글로벌 컨퍼런스 조직위원장)=핵심 부처 내에 보안에 관한 전문가가 부족한 것이 가장 큰 문제다.
역대 정부마다 전문가가 없다. 이는 현 정부만의 문제가 아니다. 악성코드를 분석하고, 이에 대응할 수 있는 전문가가 턱없이 부족하다. 책임자급도 부족하다. 문제를 보고해도 이를 이해하고 대응조치를 취할 수 있는 전문성을 지닌 책임자가 없다.
전문가도 없을 뿐더러 각 부처의 보안 공조를 이뤄낼 컨트롤타워도 없다. 청와대 내에 사이버테러에 대응하는 수석보좌관 등을 두는 것이 필요하다.
◇사회=이번에도 어김없이 정부의 안이한 대응방식과 미흡한 사전 대응체계 미비가 도마에 올랐다. 문제점과 개선안은 무엇인가.
◇박동훈=사실 이번 사태에서 사전 준비가 그다지 미흡하지는 않았다. 우리나라는 그간 정통부 해체 이후 보안에 관한 역할이 분산되면서 오히려 더 많은 기관이 보안 기능을 수행하게 됐다. 문제는 보안정책을 수행하는 여러 기관이 효과적으로 운영되지 못한 데 있다.
최근 업계와 함께 미국 오바마 정보보호 정책을 리뷰했다. 오바마 정부는 효과적인 보안정책 수행을 위해 대통령 직속으로 ‘사이버안보조정관’직을 신설했다. 이는 우리나라에 시사하는 바가 아주 크다.
미국은 지난 9·11 테러 이후 다양한 부처와 기관이 보안에 관여하는데, 이와는 별도로 오바마 정부는 사이버안보조정관을 만든 것이다. 다양한 부처를 거쳐 논의, 제기된 제안들을 대통령 직속의 코디네이터가 조정하는 것이다. 오바마 정부는 컨트롤타워의 역할을 중요하다고 판단한 것이다.
◇사회=정통부 해체 이후 방통위, 지경부, 행안부, 국정원 등으로 정보보호 기능이 쪼개진 것을 문제삼는 이가 많다. 대책은 무엇인가.
◇권석철=정부가 보안 전반에 걸쳐 투자 체계를 재정비해야 한다. 과거 1·25 인터넷 대란 때도 보안에 대한 전반적인 개선책 마련이 논의됐지만 결국 또 이러한 사태가 나왔다. 정부가 빨리 투자 정책을 강화하고, 전문 인력을 양성하는 등 실질적인 대책을 마련해야 한다.
◇박동훈=이는 산업계나 학계 차원에서 해결할 수 없는 문제다. 정부가 나서야 한다. 좀비 PC는 사실 지엽적인 문제다.
부처별로 따로 돌아가는 보안 정책이 가장 큰 문제다. 방통위 따로, 행안부 따로 정책이 운용되고 집행되는 것으로는 곤란하다.
문제의 본질이 보안 관련 컨트롤타워 부재에 있다는 것을 인정하고 빨리 대비책을 마련해야 한다. 지금 상황은 기술이 모자라서, 뒤처져서 발생한 것이 아니다. 제3차, 4차 공격이 나올 텐데 또다시 피해를 보기 전에 빠르게 실질적인 대응책을 마련하는 것이 중요하다.
◇사회=제도 측면에서는 무엇이 필요한가. 정보보호와 관련한 법률 등 제도 개선안은 어떤 게 있나.
◇김광조=국회에 국가사이버위기관리법이 계류 중이다. 일각에서는 이를 두고 국정원의 영역 확대에 우려를 표하기도 한다. 이러한 우려를 해소하기 위해 객관성을 지닌 기관과 단체가 활동에 관여해 국정원의 권한 남용을 방지할 수 있는 시스템을 갖춰야 한다.
또 일부의 우려 때문에 입법화 자체를 미루는 것은 곤란하다. 계속 미루면 또다시 이런 사태를 낳을 수 있다.
인력양성도 중요하다. 정보보호 기술을 개발하고, 각종 악의적 공격에 대응할 수 있는 인력을 대학 등에서 양성해야 한다. 음지에서 활동하는 해커도 국가 안보를 위해 활용하는 방법을 검토해야 한다.
◇사회=정부가 DDoS 공격 보안 장비 구매를 서두르는 등 이번 사태를 계기로 보안 및 정보보호 분야에 투자가 시급하다는 지적이 있다. 투자의 양과 질은 어떠해야 하나.
◇박동훈=과거 1·25 인터넷 대란 이후에도 보안 장비 구입이 이어졌지만 중장기적으로는 큰 효과를 보지 못했다. 단 한 번의 보안 투자로 모든 문제를 해결할 수 있다는 환상에서 깨어나야 한다.
사고 이후 대응도 문제다. 지금 피해 기관들은 보안업체 30∼40개사로부터 무조건 한 명씩 차출받아 위기에 대응한다. 아무런 근거도 없는 것이다. 모든 것은 보안과 관련된 ‘서비스’의 문제다. 사고가 일어나기 전부터 서비스 체계를 갖춰놓아야 한다. 다시 말해 사고 뒤처리를 하는 차원이 아니라 체계화된 대응 체계가 필요하다.
◇사회=이번 사태를 계기로 갈수록 지능화되는 보안 위협에 관한 종합대책을 다시 재구성해야 한다는 목소리도 높다. 새롭게 반영해야 할 정책기조나 대안이 있다면 무엇인가.
◇김광조=인터넷 시대 초기에는 보안보다는 얼마나 많이, 빨리 트래픽을 처리하는지가 관심이었다. 그러나 인터넷 경제가 발전하면서 ‘악과 선’이 공존하는 인터넷이 됐다. 사이버 공간에서 어느 PC가 공격용 컴퓨터인지를 알아내기는 어렵다.
IT전문가가 머리를 맞대고 선용과 악용을 구별하는 기술을 연구 개발해야 한다. 공격기술은 빠르게 진화하는데 대응방식은 뒤따라가기 급급하다. 일시적이고 반작용식(reacticve) 대응에 머물지 말고 지속적이고 선행적(proactive) 대응 방식으로 변화해나가야 한다.
사고가 일어난 후에 대응하는 것이 아니라 사전에 먼저 대응할 수 있는 기반을 마련해야 한다. 이를 통해 ‘클린 인터넷’을 실현해야 한다. 대학이나 연구계도 고급인력을 지원해 깨끗하고 안전한 인터넷 환경을 만드는 데 힘써야 할 것이다.
◇권석철=공격이 언제까지 지속될지 모르는 상황이다. 대한민국의 대응상태와 관련, 앞으로 어떻게 대응할 것인지가 더 중요하다. 태풍 앞에 놓여 있을 수도 있다. 이번 사태가 정부가 보안 전문가들의 말에 더 귀를 기울이고, 인력 양성에 힘쓰는 계기가 되길 기대한다. 해커들의 능력도 국가 보안에 활용해야 한다.
◇주대준=해킹 공격은 항상 일어난다. 외부에 공개되지 않을 뿐이지 상당히 많은 공격이 늘 뒤따랐다. 이러한 문제는 1년 전에도, 5년 전에도 발생했다. 이에 대응할 수 있는 국가 차원의 정책이 마련돼야 한다.
사이버테러에 대응하기 위해서는 국민 개개인의 계도도 필요하다. 안전한 인터넷 환경은 사용자가 지켜내는 것이다.
과거 우수한 해커가 많았는데 이들을 정부가 수용하지 못했다. 인력 양성도 정부가 신경써야 할 부문이다. 이번 사태가 반드시 우리나라 정보보호와 보안 정책을 개선하는 계기가 돼야 한다.
◇박동훈=국내 보안시장 규모가 7000억원밖에 안 된다. 이번 사태가 국내 보안기업이 신성장, 글로벌 기업으로 성장할 수 있는 계가가 돼야 한다. 정부 투자 중 일정 비율은 무조건 정보보호에 투자하는 등의 예산정책도 마련되길 바란다.
◇사회=오늘 의견을 종합해 보니 모두 보안 정책을 총괄하는 컨트롤타워 신설이 필요하다는 데 동의하는 것 같다. 또 보안 관련 투자가 일회성이 아닌 중장기적인 효과를 가져올 수 있는 방향으로 진행돼야 한다는 의견으로 모아졌다. 오늘 여러분의 고견대로 이번 사태가 국가 정보보호 및 보안 인프라를 개선하고, 나아가 향후 이러한 사태가 재발하지 않도록 하는 계기가 되길 바란다.
정리=이호준·이경민기자 newlevel@etnews.co.kr