정부가 7·7 분산서비스거부(DDoS) 공격 이후 대대적인 사이버 보안 강화 대책 수립에 나섰으나 결과물은 전혀 새로운 것이 없어 전형적인 용두사미형 정책이라는 비판이 높다.
오히려 사생활 침해 논란을 빚은 ‘개인 PC 백신 의무화’ 조치를 밀어붙이면서 취약한 사이버 보안 문제를 지나치게 일반인의 잘못으로 몰고 간다는 지적도 제기됐다.
1일 국정원·행정안전부·방송통신위원회 등 보안 관계부처는 7·7 DDoS 대란에 따른 국가 사이버 위기 종합 대책을 마련했다. 조만간 청와대에 보고할 예정이다.
대책안에는 △공공기관에 200억원 규모 DDoS 장비 도입 △보안 취약 개인 PC에 백신 설치 강제화 △공공기관 내 보안 교육강화 등이 담긴 것으로 알려졌다.
또 문제가 됐던 정부 내 보안 컨트롤타워 부재에 대해 새 총괄조직을 만드는 것보다 현 체제를 유지하면서 시나리오별 위기 대처 매뉴얼을 만들기로 했다.
이 같은 대책은 이미 7·7 DDoS 대란 때 밝힌 내용을 재정리하는 수준에 불과해 2개월 만에 나온 종합대책 치고는 너무 부실하다는 평가다.
특히 보안 예방책이 DDoS 장비 투자 하나에 집중되면서 ‘나무만 보고 숲은 보지 못한다’는 업계의 비판이 쏟아졌다.
외국계 보안업체 한 지사장은 “이번 대책으로 공공기관이 10 안팎의 DDoS 대응장비를 갖출 수 있을 것으로 보여 최소 수만명의 좀비PC 공격에는 대응할 수 있겠지만, 공격 트래픽량이 이보다 늘어나면 속수무책으로 당할 수밖에 없다”며 “장비 투자가 능사가 아닌만큼 DDoS 공격이 뚫렸을 때 정보 유출을 막을 수 있는 보안솔루션도 함께 갖추는 등 종합적인 보안 대책이 필요한데도 정부 대책이 너무 안이하다”고 지적했다.
실제로 지난 7·7 DDoS 대란 3차 공격 시에 좀비PC의 바탕화면 아이콘 목록 정보를 빼내가 DDoS 공격이 단순한 서버 마비가 아닌 정보유출로 이어질 수 있음을 시사했다.
정부는 보안이 취약한 개인 PC에 통신사가 원격으로 백신을 직접 설치해주거나 백신을 설치하지 않으면 인터넷포털 접속 자체를 제한하는 이른바 ‘개인PC 백신 의무화’ 조치를 추진하기로 했다.
이 때문에 향후 통신사 약관 및 법 개정 과정에서 사생활 침해 논란이 불가피할 전망이다. 이 같은 조치를 취한 나라는 한 곳도 없어 진통이 심할 것으로 예상된다.
정태명 성균관대 교수는 “인터넷 환경에서 보안에 관한 한 피해자가 될 수 있지만 가해자도 될 수 있어 일반인의 자발적인 백신 설치는 필요하다”면서도 “정부가 강제화할 경우 백신을 구매해야 하는 부담도 만만치 않은데다 특정 백신을 구매하면서 시장경쟁 체제를 해칠 우려도 있다”고 비판했다.
보안 컨트롤타워도 논의만 무성했지 현 체제를 유지하는 쪽으로 일단락됨으로써 향후 제2의 국가 사이버위기 시 또 정부 당국이 우왕좌왕할 수 있는 불씨를 남겨뒀다는 지적이다.
정부 관계자는 “발표한 정책을 종합적으로 정리한 측면도 있지만, 이번 종합대책 확정으로 200억원 규모 장비투자가 연내 이뤄지는가 하면 공공기관내 전문인력 양성 프로그램도 본격화된다”며 “개인 PC 백신 의무화는 사생활 침해를 최소화하면서 보안을 극대화하는 방안을 모색할 것”이라고 말했다.
정부는 사이버보안대책 정부안이 마련됨에 따라 한나라당 사이버테러대책 TF와 2일 당정협의회를 열고 정책을 최종 조율할 예정이다.?
장지영·정진욱기자 jyajang@etnews.co.kr