청와대가 7·7 분산서비스거부(DDoS) 공격 대란을 계기로 언론은 물론이고 정부나 여당도 필요성을 주장한 ‘정보보호 컨트롤 타워’에 부정적인 견해를 밝혔다. 청와대가 너무 안이하게 판단하는 것 아니냐는 비판의 목소리가 나오고 있다.
청와대의 한 관계자는 “DDoS 사태와 관련해 별도로 정보보호컨트롤 타워를 설립하거나, 기존 조직을 재정비할 계획은 없다”며 “위기 대응 매뉴얼도 만들어진 상태여서 일부 보완하는 후속 대책을 수립 중”이라고 30일 밝혔다.
청와대 측은 “이번 사태의 핵심적 원인은 개인 이용자의 보안 의식이 없기 때문”이라며 “언론 보도와 달리 정부는 이번 사이버 위기에 적절하게 대응했다”고 진단을 내렸다.
이에 앞서 지난 16일 최시중 방송통신위원장은 “기관이 분산돼 있다 보니 대응이 어려운 측면이 있어 컨트롤타워가 있어야 한다는 공감대가 형성됐고 논의 중인 것으로 안다”면서 “다만 어디서 컨트롤타워를 맡아야 할지 이야기하기 힘들다”고 밝힌 바 있다.
이번 DDoS 공격은 민간의 PC가 민간 사이트와 공공 사이트를 공격해 발생한 것으로 원활한 정보공유가 필수적이지만 정보보호정책을 총괄했던 옛 정보통신부의 업무가 국정원·행안부·지경부·방통위 등으로 쪼개짐에 따라 실무 부처 간 혼선으로 초기대책이 원활히 이루어지지 않았다는 분석이 지배적이다.
김홍선 안철수연구소 사장은 “청와대가 이번 DDoS 대란을 범죄가 아닌 단순사고로 이해하는 것 같다”고 전제한 뒤 “이번 사태처럼 국제적 공격이 펼쳐지는 상황에서 조직 없이 다른 나라들과 원활한 협조체계를 갖출 수 있을지 의문”이라고 말했다.
청와대가 현재 수립한 위기 대응 매뉴얼로 향후 발생할 사이버위기에 대응할 수 있다는 판단에 대해 정부부처 내에도 이견이 나오고 있다
정부의 한 관계자는 “현재 NSC가 만든 사이버 위기 대응 매뉴얼에는 미흡한 점이 있다”며 “실제 위기 상황이 발생했을 때 정보보호 유관부처 간의 역할 배분 등 유기적 기능 조정 대책은 빠져 있다”고 말했다.
법률상으로 사이버위기 정의도 유명무실하다. 사이버 위기 대응 매뉴얼은 대통령 훈령으로 국가 재난 관리에 필요한 사항을 전반적으로 관장하는 ‘재난 및 안전관리기본법’에는 사이버위기라는 용어 자체가 없다.
한나라당은 최근 DDoS 대책 특위를 구성, 관계 부처의 의견을 수렴해 정보보호컨트롤 설립 방안을 건의할 것으로 알려졌다. 청와대가 향후 DDoS 후속 조치를 만드는 과정에서 정부부처는 물론이고 당과 갈등도 예상됐다.
임종인 고려대 정보보호대학원 교수는 “이번 사태는 정부 부처 간 원활한 정보공유가 없어 사태 해결이 장기화됐다”면서 “미국에서 사이버안보 기능을 갖춘 컨트롤타워를 둔 것처럼 청와대 내에도 정보보안 전문가를 둬 향후 발생할 DDoS 대란에 대비해야 할 것”이라고 강조했다.
유형준·정진욱 기자 hjyoo@etnews.co.kr