정부 대응 미흡-투자 소홀…책임 놓고 `시각차`
관련 통계자료 다운로드 DDoS 사태 원인 지난 7.7 DDoS 해킹 대란의 원인과 책임 소재를 놓고 정부와 IT기업, 일반 기업간 시각차가 큰 것으로 나타나 효율적인 보안 대응체계를 위한 공감대 마련이 시급한 것으로 지적됐다. 또 DDoS 공격을 증폭시킨 원인으로 지목돼 온 액티브X 등 플러그인 방식의 보안 접근에 대해 전면적인 재검토가 필요하다는 주장도 제기됐다.
전자신문 미래기술연구센터(ETRC)가 7.7 DDoS 해킹 대란 한 달을 맞아 발간한 ‘사이버테러와 IT코리아 현주소’ 보고서에 따르면 정부와 IT기업 종사자들은 7.7 대란의 발생 원인으로 ‘사용자의 인식부족’과 ‘보안 솔루션 투자 미비’를 가장 많이 꼽은 반면 사용자층이라고 할 수 있는 일반 기업은 ‘해킹기술 진화’와 ‘정부 대응정책의 미흡’을 핵심 원인으로 봤다. 지난달 16일 전자신문이 개최한 ‘한 여름밤의 사이버 전쟁’ 세미나 참석자 216명을 대상으로 실시한 설문조사 결과다.
정부 관련 응답자의 39.1%는 개인 사용자의 인식 부족을 가장 큰 문제라고 보았으며 정부 대응정책이 미흡했다는 응답은 17.4%에 그쳤다. 이는 얼마전 청와대가 ‘이번 사태의 핵심적인 문제는 사용자에게 있으며 정부 대응에 별 문제가 없다’며 정보보호 컨트롤타워 설립 계획이 없다고 밝힌 것과 맥을 같이 한다. 보안업체가 다수 포함된 IT기업 응답자들 역시 29.5%가 사용자 책임을 으뜸 원인으로 꼽았으며 보안 솔루션 투자 미비(25.4%)라는 응답도 높아 IT기업의 입장을 반영했다. 그러나 일반 기업 응답자들은 해킹 기술 진화가 원인이 됐다는 응답이 32.5%로 가장 많았으며 그 다음으로 정부 대응 미흡(27.5%)을 꼽아 큰 시각차를 드러냈다. 서로 다른 이해 관계가 응답에 그대로 반영된 셈이다.
이에 대해 그 동안 정부나 기업의 웹서비스 방식이 액티브X 플러그인을 허용할 수밖에 없도록 길들여 놓고 사용자에게 책임을 돌리는 것은 무책임한 발상이라는 비판이 나오고 있다. 김기창 고려대 교수는 최근 펴낸 ‘한국 웹의 불편한 진실’이라는 저서에서 “금융 등 각종 서비스를 이용할 때 보안 경고창이 나타나기는 하지만 이는 설치를 안할 자유가 아니라 무조건 설치하도록 강요하는 것일 뿐”이라고 전제하고 “어떤 플러그인이 선의인지, 악의인지 판단할 수 없는 이용자들에게 책임을 전가시키는 것은 말도 안된다”고 지적했다.
보고서에 따르면 올 초부터 악성코드에 감염된 컴퓨터 수가 92만여대에 달한다는 조사가 나오는 등 DDoS 사태가 이미 예견됐으며 7월 7일 이틀 전부터 미국 등에서의 공격 사태가 보고됐음에도 정부가 적절히 대응하지 않았다고 지적했다. 특히 사이버테러의 진화 속도에 반해 국내 인터넷 대응체계는 상당히 심각한 문제점을 노출했다는 분석을 곁들였다. 김광조 KAIST 교수는 “사이버 공격 기술은 빠르게 진화하는데, 대응 방식은 뒤따라가기 급급하다”며 “IT전문가들이 머리를 맞대고 선용과 악용을 구별하는 기술을 연구 개발해야 한다”고 강조했다.
7.7대란으로 IT강국 이미지 하락도 우려됐다. 전문가들의 의견을 종합한 결과 대란 이전의 IT강국 이미지를 100점으로 했을 때 대란 이후 66.2점으로 떨어져 큰 브랜드 손실을 겪은 것으로 파악했다.
보고서는 사이버 위기 대응체계 강화 방안으로 △통합적 위기관리 체계를 위한 컨트롤타워 설립 △대응 효율성 제고를 위한 관련 법령 개정 △민관 협의 테이블 구성 △취약한 보안 인프라 강화 △플러그인 방식의 보안접근에 대한 재검토 등을 제시했다. 특히 웹브라우저에 대부분의 핵심 보안 기능을 내장함으로써 플러그인 프로그램의 경우 거부를 우선적으로 하는 네거티브 방식으로 전환하는 것도 고려해볼 필요가 있다는 설명이다. 이 보고서를 전자신문 리포트몰(http://report.etnews.co.kr/report_brand.html?etp_id=etrc)에서 무료로 내려받을 수 있다.
이강욱 ETRC 연구기자 wook@etnews.co.kr