“분산서비스거부(DDoS) 공격 대란 재현을 막기 위해 비상 경계근무를 서느라 휴일도 반납하고 일했는데 이제야 한시름 놓고 쉴 수 있게 됐습니다.”
심원태 한국인터넷진흥원(KISA) 침해사고대응단장은 7·7 DDoS 대란 1년을 앞두고 두 달 가까이 강화했던 비상 대응근무 체제가 이제 막 풀렸다면서 말문을 열었다. 올해도 지난해와 같은 날 DDoS 공격이 일어났다. 지난해 사고 후 22개 피해 사이트에 보안장비를 설치하거나 증설했고, 각 분야별로 DDoS 공격 대응훈련을 하는 등 대응체계를 강화해 큰 사고 없이 지나갔다.
하지만 심 단장은 결코 경계를 늦출 수 없다고 강조한다. 해커 입장에서 좀비PC를 활용해 손쉽게 공격을 가할 수 있는 DDoS 공격은 앞으로도 끊이지 않을 것으로 내다보기 때문이다.
인터넷 세상이 사라지지 않는 한 언제 어디서나 사이버 공격이 일어날 수 있기 때문에 KISA 침해사고대응단 90명 직원은 늘 긴장한 상태로 일한다.
심 단장은 “평상시에는 상황관제실 직원들이 최전방에서 긴장의 끈을 놓지 않고 일하지만, 비상 상황이 발생하면 후방에서 악성코드 분석과 샘플 채집 업무를 하는 직원들도 총동원돼 사이버 공격에 대응한다”고 설명했다. 그는 “정부 및 공공영역을 제외한 인터넷망의 97% 가까이를 KISA가 관장하는데 365일 24시간 쉬지 않고 지켜야 하기 때문에 체력적으로 힘든 점이 많아 사명감 없이는 일하기 힘들다”고 말했다.
KISA 침해사고대응단은 사이버 사건 수사만 안 할 뿐 사이버세상을 지키는 경찰과 다름없는 역할을 수행한다. 이 같은 사실을 잘 모르는 일반인이 많은 탓에 좀비PC나 악성코드 샘플을 채취하려고 협조를 구하면 거절당하는 해프닝도 자주 겪는다.
심 단장은 “지난해 DDoS 공격이 일어날 당시 신속하게 좀비PC에 감염된 PC를 찾아 샘플을 수집하고 분석해야하는데 PC 사용자의 반발로 샘플 수집부터 무척 힘들었다”면서 “사이버세상의 안전을 지키기 위해서는 정부와 기업은 물론이고 일반인의 자발적인 참여가 무엇보다 중요하다”고 강조한다.
그는 “특정 서버를 장악해 공격하는 기존 방식과 달리 최근 공격 양상은 개인 컴퓨터를 좀비PC로 만들어 공격에 악용하는 식이기 때문에 일반인의 각별한 주의가 필요하다”고 말했다.
지난 2003년부터 인터넷침해대응센터에서 실무를 맡아온 심 단장은 IT 강국에 걸맞게 우리나라가 정보보호 강국이 될 수 있다고 자부한다. 심 단장은 “인터넷서비스사업자(ISP)와 자동으로 연계해 통신망 이상 징후를 5분 단위로 확보하고 유관기관과 긴밀한 협력을 할 수 있는 형태의 인터넷침해대응센터는 거의 세계 최초였다”면서 “2003년 슬래머웜 공격이 발생하기 전까지는 수작업과 사후 대응에 의존하던 것을 같은 해 말 자동시스템으로 바꿔 현재에 이르렀다”고 말했다.
그는 “과거에는 우리나라에서 시작된 공격 트래픽이 많았는데 보안산업 활성화와 국가 보안 수준 강화를 위한 꾸준한 노력으로 이제 공격 위협 국가라는 오명을 벗었다”면서 “외산 보안제품이 힘을 못 쓰고 국산 보안제품이 득세할 만큼 기술면에서 우위를 점하고 있다”고 평가했다.
심 단장은 정보보호 수준이 높아졌지만 우리나라는 초고속인터넷 망 등 인터넷 인프라와 인터넷 비즈니스가 크게 발달해 인터넷 공격이 발생하면 피해 규모가 상당하기 때문에 정보보호를 위한 노력을 게을리 해선 안 된다고 재차 강조했다.
이경원기자 won@etnews.co.kr
