[1·25 인터넷 대란 1주년]정보보호 좌담회

　사상 초유의 인터넷 대란이 한국을 강타한 지 벌써 1년이 가까워졌다. 인터넷대란은 세계 최고 수준의 인터넷강국이라는 국민적 자부심에 큰 상처를 줬다. 하지만 정부, 기업, 그리고 국민에게 정보 보호의 중요성을 각인시켜준 값진 교훈도 남겼다. 전자신문은 정보산업연합회와 공동으로 인터넷대란이 남긴 교훈과 현재 우리 사회 정보보호의 현주소를 점검하는 자리를 마련했다.

◆ 참가자(가나다 순)

안철수 안철수연구소 사장

양승욱 전자신문 정보사회부장

이창희 정보산업연합회 기획실장

한동훈 KT 상무

황철증 정통부 정보보호기획과장

정태명 성균관대 교수(사회)



　△사회:1년 전으로 돌아가서 인터넷 대란의 원인과 책임 소재를 가을 전문가적인 시각으로 파악하는 것으로 좌담회를 시작할까 합니다.

　△한동훈 상무:인터넷대란을 일으킨 발단은 많이 알려진 대로 보안패치 파일을 설치하지 않은 SQL서버가 해외에서 유입된 슬래머 웜에 감염되면서 발생했습니다. 세계적으로 대략 7만5000대의 컴퓨터가 감염됐으며 국내에서도 약 8800개 컴퓨터가 피해를 입었습니다. 보안패치 파일을 설치하지 않은 SQL서버의 90% 이상 감염됐습니다. 기술적으로 설명하자면 슬래머 웜은 초당 1만개에서 5만개의 패킷을 만들어내고 이를 불특정 다수의 컴퓨터에 발송합니다. 예를 들어 모 IDC의 경우 3970대 서버 중 1600대가 이러한 패킷의 공격을 받았습니다. 특히 슬래머 웜이 만든 패킷의 93% 정도가 해외로 몰리면서 인터넷의 관문 역할을 하는 도메인네임서버에 과부하 발생했고 결과적으로 인터넷 사용이 불가능하게 된 것입니다.

　△안철수 사장:지난 2001년 코드레드 웜이 등장했을 때부터 해킹과 바이러스가 결합된 복합공격이 시작됐습니다. 인터넷대란은 이러한 복합공격의 피해가 일시에 불거진 것이구요. 기술적인 원인은 어느 정도 밝혀졌지만 문제는 책임 소재가 불분명하다는 것입니다. 인터넷침해사고의 성격이 과거에는 피해자와 가해자가 명확했지만 이제는 그 구분이 모호해졌기 때문입니다. 결국 일부의 방심은 전체의 피해로 직결된다는 것을 명확히 보여준 것입니다.

　△황철증 과장:인터넷대란은 인터넷침해사고의 대상이 개별 컴퓨터에서 네트워크로 옮겨가는 과정에서 나타난 것입니다. 과거 아날로그망은 정부 차원의 통제가 가능했지만 인터넷으로 대표되는 디지털망은 항상 취약점이 존재하고 통제도 불가능합니다. 문제는 아날로그망에 해당하는 정책과 제도가 디지털망이 대세를 이룬 상황에 맞지 않았다는 것입니다. 인터넷대란 이후 정부에서도 많은 대책을 마련했고 소기의 성과도 거뒀다고 봅니다.

　△사회:인터넷대란은 엄청난 충격만큼이나 많은 교훈을 남겼습니다. 1년 동안 우리 사회에서 일어난 변화는 무엇인지요.

　△황철증:가장 큰 변화는 정보보호가 일부 전문가에게 국한되지 않고 사회적 관심사로 확대된 것입니다. 사회적으로 정보보호 시스템이 개선됐습니다. 정부의 정보보호 정책은 한마디로 ‘인터넷침해사고 발생 후 30분 내 조기대응 체계를 마련하는 것으로 요약될 수 있습니다. 인터넷침해사고대응지원센터를 만들어 국내 인터넷 상황을 24시간 감시하고 있으며 마이크로소프트나 시스코 등 세계적인 업체와 보안 관련 제휴를 맺었습니다. 또 최근 정보통신망이용촉진 및 정보보호등에 관한 법률 개정안이 통과되면서 정보보호 수준을 한 단계 높일 수 있는 법적 기반도 마련했습니다.

　△한동훈:인터넷대란 당시에는 이른바 컨트롤타워가 없었습니다. 만일 인터넷서비스업체 간에 정보 공유 통로가 있었다면 피해를 줄일 수 있었다고 봅니다. 이제는 인터넷침해사고대응지원센터가 그 역할을 담당하고 있습니다. 인터넷침해사고대응지원센터와 인터넷서비스업체, 보안업체 등이 인터넷 장애에 영향을 받지 않는 무선 네트워크를 갖춰 만일의 사태에 대비하고 있습니다. 이러한 대책 덕분에 지난 8월 블래스터 웜이 세계적으로 기승을 부렸을 때 상대적으로 국내는 피해가 적었습니다.

　△사회:나름대로 적지 않은 성과를 거뒀다고 봅니다. 그래도 과제는 남아 있기 마련입니다. 그동안 간과한 부분이나 앞으로 취해야 할 바람직한 방향에 대해 논의해보겠습니다.

　△양승욱 부장:소는 잃었지만 외양간은 고쳐야 합니다. 하드웨어 차원의 가시적인 성과는 인정하지만 소프트웨어적인 대안이 추가로 필요합니다. 정보보호 인력양성과 정보보호 인식 향상 등이 그 대안 중 일부가 될 수 있습니다. 또 정보보호 산업이 발전할 수 있는 기반을 마련해야 합니다. 실익을 기대하기 어려우면서 산업에도 악영향을 미치는 정책보다는 국민이나 업체 등 이용자의 관점을 감안한 정책이 필요합니다.

　△이창희 실장:인터넷대란 이후 과연 안심할 수 있는 상황이 만들어졌는가를 살펴보는 것이 중요하다고 생각합니다. 정부와 유관 업체에서 많은 노력을 기울였다는 사실은 인정하지만 아직도 많은 국민은 제2의 인터넷대란이 일어날 수 있다는 불안을 떨쳐 버릴 수 없습니다. 산업계 입장에서는 정보보호 시스템을 무조건 갖추라고 강제하는 것보다는 정보보호 시스템을 갖추면 그에 따른 인센티브를 받을 수 있는 제도가 아쉽습니다.

　△사회:사회적인 정보보호 시스템 수준을 업그레이드하는 것이 중요하다는 데 의견이 모아지고 있는 것 같습니다. 구체적인 방안은 어떤 것이 있을 수 있겠습니까.

　△황철증:지난해 10월부터 정보보호문화운동 2기에 돌입했습니다. 사실 장기적으로 정보보호 의식을 높이기 위해서는 정보보호의 중요성이나 방안을 교과과정에 반영하는 것이 가장 효과적입니다. 어릴 때부터 정보보호의 중요성을 알게 만들 수 있습니다. 올해 이를 반영할 수 있도록 기본적인 준비를 하고 있으며 유관 부처와 협의할 예정입니다. 또 대학 순회강연이나 정보보호 공모전, 각종 홍보 책자나 영상물 등 홍보 활동도 펼치고 있습니다. 정부뿐 아니라 언론과 기업 모두 하나의 협조 체계를 만들어야 합니다.

　△안철수:과속 단속 카메라는 교통사고 억제 효과가 큽니다. 마찬가지로 적절한 인센티브가 전제되는 규제가 필요합니다. 정부 부처간의 보이지 않는 벽 때문에 다양한 정책이 제대로 실행되지 않는 것도 문제입니다. 이를 전체적으로 아우를 수 있는 주체가 필요합니다. 또 정보보호는 모든 것이 정부 주도로만 이뤄지지 않습니다. 정부와 민간의 협조 필수적입니다. 소모적인 정부와 민간의 경쟁은 지양해야 합니다. 민간의 전문가를 아웃소싱해서 이를 정부가 조율하는 방안도 필요합니다.

　△양승욱:경우에 따라서는 정보보호와 관련된 상위 기관이 필요하다는 말로 들릴 수도 있을 것 같아 첨언을 하겠습니다. 기존 정부 부처 이외에 새로운 조직이 필요하다는 주장이 있지만 저 개인적으로는 반대합니다. 참여정부의 신성장동력에 관해서도 부처간 알력은 있습니다. 부처간 경쟁이 오히려 산업을 육성·발전시킬 수 있습니다. 문제는 정책 수요자를 중심으로 사고를 하는 것이라고 생각합니다. 민간의 이해와 요구를 받아들여야 한다는 것입니다.

　△사회:또다른 대안이나 고려 사항은 없는지요.

　△한동훈:인터넷서비스 업체는 정보보호 관련 유료 부가 서비스를 도입했지만 유료라는 장벽 때문에 보급 속도가 늦습니다. 사용자의 동의를 얻고 인터넷에 연결된 PC의 보안 상황을 체크하고 대안을 제공하는 방안도 가능합니다. 물론 이는 정책적 뒷받침이 전제돼야 합니다.

　△황철증:공공의 비용을 준비해야 합니다. 국내 전문가 풀을 만들어 사고 발생시 적절한 대응을 할 수 있도록 할 계획입니다. 또 인터넷보건소 개념을 도입해 네티즌에게 정보보호에 필요한 소프트웨어를 보급하는 방안도 검토중입니다.

　△안철수:정보보호 제품 임대 사업의 도입이나 온라인 보안 서비스의 확산이 필요합니다. 임대 사업은 정보보호가 취약한 중소기업을 위한 것입니다. 일례로 일본은 온라인 백신시장이 크게 활성화돼 있습니다.

　△사회:많은 이야기를 나눴지만 정보보호는 끝이 없는 지난한 길입니다. 인터넷대란의 교훈을 잊지 말고 보다 효과적인 정보보호 시스템 마련을 위해 모두 노력해야 할 것 같습니다. 바쁜 신년 초에 좌담회에 참석, 열띤 토론을 벌인 여러분께 감사드립니다.

　<정리=장동준기자 djjang@etnews.co.kr>