[인터넷 대란]긴급좌담회

<사진> 지난 25일 국내 정보통신업계를 강타한 인터넷망 마비사건과 관련, 원인진단과 향후 대처방안을 논의하기 위한 전문가 좌담회가 전자신문사 주최로 27일 한국정보보호산업협회 회의실에서 열렸다. 왼쪽으로부터 오경수 시큐아이닷컴 사장, 고승철 KISA 기반보호사업단장, 정수환 숭실대 교수, 조석일 코코넛 사장, 안철수 안연구소 사장. <윤성혁기자 shyoon@etnews.co.kr>

　

　고승철 <정보보호진흥원 기반보호사업단장>

　안철수 <안철수연구소 사장>

　오경수 <시큐아이닷컴 사장>

　조석일 <코코넛 사장>

　※사회=정수환 <숭실대 교수>

　(가나다순)

　

　지난주말 발생한 인터넷망 다운 사고는 이제 더 이상 정보통신망을 개인이나 일개 기업에게만 맡겨둘 수 없다는 것을 극명하게 드러낸 사이버 대란이었다. 이러한 사고가 일어날 가능성은 그동안 여러 차례의 징후들을 통해 이미 예견된 인재임에도 불구하고 아무런 대책없이 당했다는 점에 문제의 심각성이 있다. 더욱이 이같은 유형의 사고는 앞으로 인터넷 인프라가 발전하면 할수록 더욱 고도화될 것으로 보여 대처방안 마련이 절실한 시점이다.

　본지는 정보통신망에 대한 사이버 위협이 ‘시공을 초월한 총성없는 전쟁’이 될 수도 있다는 인식 아래 27일 보안관련 전문가들을 초청, 긴급 좌담회를 개최했다. 전문가들은 이번 사고의 원인이 IT업계의 안이한 태도에 있다고 지적했으며 향후 재발방지를 위해 국가적 차원의 종합대책 마련을 촉구했다. 또 기업들이 보다 적극적으로 정보보호시스템을 도입할 수 있도록 각종 지원을 늘려야 할 것이라고 강조했다. 한국정보보호산업협회 회의실에서 개최한 간담회의 토론 내용을 요약한다.

　◇사회(정수환 숭실대 정보통신전자공학부 교수)=인터넷 대란을 놓고 온 나라가 책임론으로 시끄럽다. 관련 업계와 정부가 사태수습에 나서 일단 진정국면을 보이고는 있지만 사고재발 가능성은 늘 잠재한다. 따라서 당장의 대증요법도 중요하지만 중·장기 대책 마련이 시급하다. 우선, 이번 사고의 원인을 냉정하게 되돌아보는 것이 필요할 것 같다.

　◇고승철(한국정보보호진흥원 기반보호사업단장)=직접적인 원인은 해당 서버프로그램에 대한 보안패치 미비를 들 수 있다. 보안패치만 적기에 했어도 이같은 사고는 충분히 미연에 막을 수 있었다.

　또 간접적으로는 해킹이나 웜바이러스 등에 대한 일반인들의 관심도가 부족한 것도 한 원인으로 생각한다. 자동차의 라이닝 패드를 생각해보자. 이를 제때에 갈아주지 않으면 결국은 사고로 이어지고 자신은 물론 남에게까지 피해를 줄 뿐만 아니라 고속도로의 교통 자체를 마비시키는 결과를 초래한다. 사이버 세계에서는 이같은 사고가 인터넷망을 타고 순식간에 퍼지는 것이 다를 뿐이다. 이제는 보안에 대한 마인드가 바뀌어야 한다.

　◇안철수(안철수연구소 사장)=보안의 패러다임이 바뀌었다는 점을 직시해야 한다. 이전에는 바이러스 감염 등이 자기 자신만의 피해여서 남의 일로 치부했지만 이제는 피해자가 피해자로 그치지 않고, 그것이 바탕이 돼 다른 컴퓨터 사용자를 공격하게 되는 상황이다. 피해자가 곧 가해자가 되는 상황에서 전국민적 사고는 아직까지 이전의 안일한 수준에 머무르고 있다. 다른 사람과 국가가 입을 피해는 생각하지 않는다. 국민들의 의식구조가 못따르고 있다.

　◇오경수(시큐아이닷컴 사장)=사이버 윤리의식이 부족하다는 데는 동감한다. 나 하나쯤이야 하는 생각이 문제다. 하지만 보안업계에 종사하는 입장에서 보면 자책감이 든다. 보안업체들도 기술개발을 했어야 한다는 생각이다.

　◇안철수=일본과 비교해보면 확연히 차이가 있다. 한국은 위험을 감수하면서 전진을 고집하지만, 일본은 있을 수 있는 위험은 모두 확인하고 일을 추진한다. 지난해 안티바이러스협회(AVAR) 회의가 열렸을 때 한 발표자는 한국을 제1의 가해자국이라고 지적했을 정도다.

　◇조석일(코코넛 사장)=윤리의식이 뒷받침돼야 함은 물론이다. 많은 사람들이 바이러스에 걸리면 음주운전으로 단속에 걸렸을 때처럼 ‘재수없음’으로 치부하는 것은 문제다. 이제는 윤리에 호소하는 것만으로는 한계가 있다고 본다. 권고·장려 차원으로는 곤란하고 어느 정도는 강제성이 필요하다는 생각이다.

　◇사회=사고발생 이후 대응체계상의 문제는 없었나.

　◇고승철=1차 조치는 역시 인터넷서비스제공업체(ISP)가 했어야 한다. 이상트래픽 증가 징후를 발견한 즉시 적절한 조치를 취했어야 한다고 본다. 앞으로 일찍 파악하고 조치할 수 있도록 조기에 자동으로 예·경보하는 시스템을 개발할 계획이다.

　◇오경수=일관성 있는 대응이 부족했다. 중앙에서 정보를 수집·분석하고 공유케하는 체제가 필요할 것이다. 관제시스템을 두고 있는 업체들은 이상한 징후가 발견될 경우 경보를 울리게 되지만 전문가들 사이에서도 그것이 무엇을 의미하는지 판단이 어려운 때가 있다. 따라서 국가 차원의 종합적인 대응체계 마련이 요구된다. 단기적으로는 정통부가 종합상황실을 중심으로 대처하겠지만 장기적으로는 사이버 테러나 사이버 시위 등에 대한 준비가 필요하다.

　◇사회=맞는 말이다. 지금까지의 보안이 개별시스템에 집중돼 왔다면 앞으로는 국가 전체의 인프라에 대한 보안개념이 도입돼야 할 것이다. 특히 사람이 모두 하기는 곤란하므로 이를 시스템화하는 작업이 필요하다고 본다.

　◇조석일=건축처럼 설계·시공·감리 등을 보안분야에도 적용하는 방안이 좋을 듯하다. 국가의 각종 프로젝트 입안시부터 보안인프라에 대한 투자계획이 동시에 검토돼야 한다. 더이상 그때그때의 대증 요법만으로는 안된다. 또 일부 공공기관들이 스스로 보안문제를 해결하기보다는 전문업체에 맡기는 것이 좋다고 본다.

　◇안철수=세계 여러나라에서 동시에 사고가 발생했는데도 불구하고 우리나라가 상대적으로 피해가 컸던 이유는 관련 업체·기관간의 공조체계도 문제지만 전체적으로 보안에 대한 인프라가 취약했기 때문이다. 이제까지 망을 보급하는데만 급급했었지만 보안은 이제 선택이 아닌 필수다. 사실 이번 웜바이러스는 서버의 성능이 좋으면 좋을수록 급속하게 퍼지기 때문에 한국의 피해가 컸다.

　◇사회=업계 자체에서도 노력을 기울여야 하지 않나.

　◇오경수=정보통신 인프라는 곧 디지털 자산을 의미하고 이는 다시 캐피털로 이어진다는 개념으로 정보보호 주체들로 하여금 예산을 편성하도록 설득해야 할 것이다. 이를 위해 보안책임자(CSO)제도가 도입돼야 한다. 또 기술적으로도 최신 공격에 대비하는 기술개발을 동시에 진행해야 한다.

　◇조석일=일부에서는 퍼포먼스 때문에 정보보호 제품 도입을 꺼린다는 얘기도 있지만 그런 경우는 많지 않다. 문제는 보안제품의 경우 각종 패치와 업그레이드가 필수적인데, 공공기관은 유지보수에 관한한 어떤 가이드라인도 없는 것이 현실이다. 이에 대한 개선이 시급하다. 정보화촉진기금을 활용하든지 정보보호기금을 신설하든지 하는 방법으로 정보보호 제품을 도입하는 기업들에 대한 세제상의 혜택을 주어야 한다.

　◇안철수=그렇다. 이번 사고로 대기업들은 투자를 하겠지만 앞으로 타깃이 되기 쉬운 PC방이나 학교 등은 여전히 취약하다. 이들은 저렴한 백신조차 구매를 꺼리고 있다. 보안소프트웨어에 대해서는 휴대폰 보조금처럼 사용자들에게 보조를 해 준다거나 부가세를 면제해주는 방안이 바람직하다.

　◇사회=지금까지 토론된 내용을 중심으로 앞으로 개인이 해야할 일과 보안업체·국가가 해야 할 일을 요약한다면.

　◇오경수=웜바이러스는 앞으로 클라이언트 환경에도 영향을 미칠 것이므로, 개인들이 보안패치를 생활화하는 일이 중요하다. 적어도 월 1회 정도는 보안상태를 점검하고 운영프로그램을 업데이트하는 것이 좋다. 보안업체들은 정보공유 체계를 구축해 신속하게 대응할 수 있도록 해야 한다. 이를 위해 협회 차원에서 정보공유 체계를 구축하고 정보보호 문화운동, 산업육성방안 등을 마련할 계획이다.

　한편 정부도 보안인력 양성 차원에서 병역특례제도를 활성화해야 하며 공익근무요원의 보안인력화 방안도 검토해볼 만하다. 또 정부 프로젝트 추진시 보안부문에 대한 체크리스트 개념을 도입하면 좋을 것이며 최저입찰제는 자칫 질적저하가 우려되므로 개선이 필요하다.

　◇안철수=보안업체들은 연구개발에 집중하고 공동으로 대응할 수 있는 체계를 마련해야 할 것이다. 이를 위해 사용자들이 보안소프트웨어를 구입하면 인센티브를 줄 수 있도록 제도적인 장치가 필요하다.

　또 정책적으로는 종합적인 조정기능을 가진 기관이 정보보호업계·ISP 간의 코디내이션 기능을 잘해 주길 바란다. 정보의 수집·분석·공유는 정부가 담당하고 문제해결은 전문업체에 맡기는 구조가 좋을 것이다.

　이번 사고는 국가적 대란임에 틀림 없지만 토요일에 발생해 그나마 다행이었다. 가장 적은 비용으로 소중한 경험을 얻은 만큼 앞으로 같은 사고가 재발되지 않도록 대응체계를 구축해야 한다.

　<정리=박영하기자 yhpark@etnews.co.kr>