지난주 우리나라는 좀비PC의 잇단 분산서비스거부(DDoS)공격을 무사히 넘겼다. 지난해 7월 7~9일 사흘간 정부는 의도를 알 수 없는 해커 세력의 DDoS 공격에 중심을 못 잡고 허둥지둥됐지만 올해는 침착했다. 올 상반기 모의 사이버 공격 대응 훈련이 공공기관을 대상으로 실전처럼 수차례 진행되는 등 정부가 악성코드 공격 출현 시 신속한 대응이 가능토록 침해대응 체계를 구축한 덕분이다. 지난해 10만대 좀비 PC 중 치료되지 않은 채 살아남은 일부 좀비 PC가 다시 동원돼 공격의 날이 다소 무딘 것도 한 몫 했다.
정부는 앞으로 침해사고에 따른 경제적 피해 확산 방지를 위해 대국민 정보보호 홍보 서비스에 나설 예정이다. 또, 좀비 PC 뿌리를 뽑기 위해 (가칭) ‘좀비 PC방지법’제정에 속도를 내는 등 악성코드 퇴치에 적극 나서기로 했다.
보안 업체들은 이러한 정부의 DDoS 공격 방지 대응 노력을 지켜보면서 마음이 무척 심란했다고 한다. 좀비 PC의 사이버 공격을 성공적으로 차단한 결과에 기뻐하기보다 반대로 허탈감을 느꼈다는 것이다. 이러한 반응은 의외다. 하지만, 이들 보안 업체의 속사정을 듣곤 고개를 끄덕일 수밖에 없다. 정보보호 전문가들은 이번 모의 사이버 침해대응 훈련에 수차례 동원됐지만 정부로부터 별도의 침해대응 서비스 비용을 한 푼도 받지 못했다. 밤새워 DDoS 방어에 나서는 등 궂은일을 도맡았지만, 돈벌이는 시원찮았다.
정부의 모의 사이버 침해 대응 훈련 지원은 ‘을’인 보안업체에게는 ‘갑’에게 수익과 무관하게 무조건 제공해야 하는 고된 노동이었다. 보안 업체가 별도 서비스 비용을 받겠다는 건 한 마디로 다음 번 재계약을 포기하겠다고 선언한 거와 다를 바 없다.
그렇다고 정부가 연간 보안 SW 유지보수비용을 넉넉하게 쳐주는 것도 아니니 정보보호 전문가가 신바람 나게 일할 리가 만무하다. 민간 분야가 보안 업체를 대하는 자세도 정부와 크게 다르지 않았다.
해킹 기법은 고도화하고 좀비 PC는 지능화한다. 사이버 공격 위협 가능성은 이처럼 갈수록 높아지는 데 반해 민·관이 보안 업체를 대하는 인식은 7.7DDoS 대란 1년 전이나 지금이나 별반 차이가 없다. 보안 업체는 먹이 사슬 피라미드에서 일반 SW 보다도 낮은 밑바닥에 있다. 이 때문에 사이버 위기에 대응하는 전문 지식에 대해 제대로 평가받지 못한다.
자신이 몸담은 기업이 정보보호 분야에서 제대로 된 대접을 받지 못하니 보안 전문가들은 이분야를 떠날 수 밖에 없다. 보안 업계 비전이 워낙 불투명하다보니 CEO들도 이들을 붙잡기 힘들다.
보안 산업의 핵심은 사람이다. 민·관이 보안 관련 법 내지는 사내 규정을 만들어 봤자 정작 정보보호 전문가가 사라진다면 사상누각에 불과하다. 민·관은 정보보호 전문가의 이탈과 사기 저화를 막는 방책을 시급히 내놓고 실행에 옮겨야 한다. 정보보호 전문가의 가치를 제대로 인정하는 사회가 7.7DDoS 대란 등과 같은 사이버 테러를 용납하지 않는 사회라는 점을 이제라도 되새겨야 한다.
안수민기자 smahn@etnews.co.kr
-
안수민 기자기사 더보기