“3·3 디도스 공격에 대한 주의 경보가 15일을 기점으로 해제됐지만 디도스 공격이 끝난 것은 아니다. 한때의 긴급조치나 유행이 아닌 꾸준한 투자가 필요하다”
16일 금융보안연구원, 한국침해사고대응협의회가 주최하고 방송통신위원회 등이 후원한 ‘기업 정보보호 이슈 전망(Security Forecast) 2011`에서 ’3·4 DDoS 공격 분석과 향후 대응방안‘에 대한 긴급진단 패널토의에 참석한 전문가들은 “3·4 디도스 공격을 비교적 잘 막아냈지만 앞으로 더 교활하고 규모가 큰 디도스 공격이 반드시 올것”이라며 이에 대한 대비가 필요하다는데 의견을 같이 했다.
박철순 방송통신위원회 과장은 “7·7 DDoS를 겪으면서 얻은 학습효과로 비교적 잘 막아냈지만 앞으로 더 지능적이고 규모가 더 큰 공격들이 예상된다”며 “방통위는 이에 대비해 △ 디도스 모니터링 24시간 지속 △침해사고 대응체계 강화를 위한 투자지속 △웹하드 업체에 주기적인 보안강화 조치권고 △무료 디도스 보안진단, 기술지원, 자가점검 및 보안도구의 제작 배포 등 추진 등을 지속적으로 수행할 것”이라고 말했다.
또 방통위는 국내 보안수준 강화를 위해 좀비 PC 방지법 등 법적 보완장치를 마련하는 한편 다음 공격은 스마트폰을 이용한 공격이 될 가능성이 높다고 전망해 지난해 연말 수립한 ‘스마트 모바일 시큐리티 종합계획’을 기반으로 스마트폰 보안을 강화할 방침이다. 박 과장은 “앞으로도 국내 정보보호산업 경쟁력을 강화시키는 한편 기업들의 정보보호 투자를 확대시키고 일반 네티즌 정보보호 생활화 등을 통해 꾸준히 디도스 공격을 막아내겠다”고 말했다.
패널토의에 참가한 홍석범 씨디네트웍스 차장은 “그간 디도스 공격에 대한 정보공유의 장이 절대 부족했다”며 “개인적인 인맥에 의존한 한정된 정보교환이 아닌 공격 트래픽의 특징이나 차단 방법 등에 대해 기관, 기업사이의 적극적인 정보교환의 장이 필요한 시점”이라고 강조했다.
다음커뮤니케이션 구자만 팀장도 “2010년은 디도스가 조용했으니 디도스 예산을 삭감한다는 식의 발상이 아닌 꾸준한 투자가 필요하다”며 “차후 공격자가 시시각각 변화하는 지능화된 공격을 감행한다면 이를 막아낼 대응 방안을 철저히 세워야한다”고 말했다.
또한 이번 3·4 디도스 공격으로 인해 논의의 중심으로 떠오른 좀비PC 방지법(악성프로그램 확산방지 등에 관한 법률안)의 향후 계획에 대해 박철순 방통위 과장은 “현재 국회에서 계류중이지만 4월 국회에서 논의될 예정”이라며 “정치적인 성격이 아닌 민생법안이기 때문에 빠른 추진이 가능할 것”이라고 말했다.
한편 이번 ‘기업 정보보호 이슈전망 2011’ 행사에서는 3·4 디도스 공격에 대한 패널토의 외에도 전응준 변호사의 ‘정보통신망법 및 개인정보보호법에 의한 기업이 갖춰야할 개인정보보호 수준’, 김인석 고려대 교수의 ‘금융 IT 현재와 미래전략’ 등의 강연이 이어졌다. 오후에는 이슈별로 ‘직원의 근무 환경과 보안관리, 악성코드의 확장, 데이터 보안 등에 대한 주제를 놓고 삼성증권 장재호 차장, 지식경제부 김유태 과장 등이 세션을 진행했다.
이번 행사에는 약 250여명의 IT 관계자가 참석했다.
장윤정기자 linda@etnews.co.kr