안일한 보안 의식 '7·7 사이버테러' 초래했다

지난 7일 시작돼 3일 연속 지속된 분산서비스거부(DDoS) 공격은 그동안 제기돼 왔던 문제점을 방관한 국가기관과 업체들의 안이한 시설 투자로 인해 벌어진 사건으로 기록될 전망이다.

국내 보안 전문가들은 DDoS 공격 자체가 해킹의 가장 원초적 시스템 침투 임에도 불구하고, 이를 제대로 해결하지 못한 정부와 시설투자에 인색한 기업들이 자초한 것이라고 지적했다.

특히 정부에서는 각 부처별로 좀비 PC 피해 신고 현황이 제각각으로 발표되는 등 혼선을 빚었고 국정원은 배후 세력과 숙주사이트 파악에 늑장 대응으로 일관해 엇박자를 보였다.

행정안전부는 10일 오전 8시 현재 하드디스크 피해 신고가 36건이라고 발표한데 반해 방송통신위원회는 같은날 오전 10시 현재 34건이라고 집계해 혼란을 초래했다.

전문가들은 DDoS 공격이 이미 지난해 이슈로 떠 오른데다 지난 1999년 CIH(체르노빌)바이러스 대란, 2003년 1ㆍ25 인터넷 대란이 발생 했지만, 그 이후로 어떤 대응책도 나오지 않았다며 정부 정책을 비난하고 나섰다.

안 교수는 이번 사이버대란의 교훈으로 “첫째, 보안 사고의 패러다임이 특정 국가나 단체 공격으로 바뀌었기 때문에 우리나라 자체적으로 대응능력을 길러야 한다”고 말했다.

카이스트 안철수 박사는 자신의 블로그를 통해 “지난 2003년 1ㆍ25 인터넷 대란은 전세계 불특정 다수를 공격해 일어난 대표적인 보안 사고였지만 이번 7ㆍ7 사건은 특정한 국가, 그리고 특정한 정부기관과 회사를 공격해서 일어난 보안 사고”라며 “이러한 경향은 앞으로도 더욱 심해질 것이며, 우리나라 자체적으로 이에 대응할 수 있는 기술과 조직을 갖추는 것이 필수적”이라고 지적했다.

경기대 정보보호학 이동휘 박사도 “가장 중요한 것은 DDoS 관련 솔루션이 많은데 비해 원천적 공격에 대한 방어가 부족하다”며 “일반 국민들의 80% 이상이 무료 백신을 사용하는 만큼 보다 효과적인 백신의 유료화나 정부에서 국가차원으로 백신을 배포하는 방법이 강구돼야 한다”고 역설했다.

민간전문가로 구성된 사이버안전협의체 구성도 이번 사건을 계기로 다시 거론될 것으로 보인다.

고려대 임종인 정보경영대학원장을 필두로 서울대, 경기대, 서강대 등 학계에서는 지난 2003년 인터넷 대란 이후로 수차례 민간 협의체 구성을 정부에 건의해 왔다.

국정원의 기능이 국가 사이버안전보다 국가 전체 안보에 치중한 다는 점을 볼 때 사이버 테러를 담당하기에는 한계가 있다는 견해다.하지만 정부와 정치권에서 매년 사이버 테러 관련된 사항에 미온적 태도를 보이면서 민간 협의체 구성은 난항이 계속됐다.

임종인 원장은“제3국에 의한 국가주요 시설에 대한 이같은 사이버 해킹은 이미 예견된 일”이라며 “우리도 미국의 오바마 행정부처럼 대통령이 나서 사이버안보를 국가 핵심 아젠다로 부각시켜 사이버안보총괄조정기구(가칭)를 서둘러 구성해야 한다”고 강조했다.

익명을 요구한 국내 해커는“DDoS의 경우 해커들 사이에서 가장 기본적인 사항이기 때문에 대다수 동호회에서 조차 하지 않는 기술인데, 국가 전체가 이 문제로 혼란을 겪는다는게 그만큼 방어가 부족했다는 방증”이라며 “아마 이번 7·7 사이버테러를 시작으로 본격적인 공격이 감행 될 것으로 예상되며, 이때를 위해서라도 국가에서 기술적, 인적 시스템을 마련해야 할 것”이라고 전망했다.