디지털타임스

 


[DT 시론] 정보보호의 중심 `민간PC`

프린트 페이스북 트위터 카카오스토리
김세헌 KAIST 시스템공학과 교수 인터넷 정보보호협의회 의장
이틀 후면 7ㆍ7 DDoS 사건이 일어난 지 1년이 된다. 그 당시 이 공격에 대응하여 우리나라에서는 정부를 중심으로 정보보호 업체, 그리고 ISP들이 협력하여 단기간 내에 사태를 진정시켰으며 이러한 대응과정은 세계 여러 나라에 좋은 사례가 되었다.

그리고 정부에서는 미래의 7ㆍ7 DDoS 사태와 같은 국가적 사이버 도발에 대비하여 종합적인 대책을 발표하였다. 여기에는 정부 부서간의 업무 분담, 업무 협조에 관한 내용들이 포함되어 있고 3000명에 이르는 사이버보안관 양성 등 구체적인 투자 내용을 담고 있다. 그리고 사이버 보안 관련 법규의 추진의사도 보이고 있다.

그러나 1년이 지난 지금 그 동안 추진된 DDoS 대응 정책들을 보면 일관성이 없고 중구난방이다. 행정안전부에서는 200억원의 투자를 해서 전국 지방자치단체에 DDoS 방어 인프라를 갖추는 노력을 해왔고 지식경제부에서는 얼마 전 사이버 안전관리 규정을 시행하여 지자체 및 공공기관이 운영하는 보안관제 센터에 기업체 보안 인력을 파견하는 `보안관제 전문업체 지정제도'를 추진하고 있으나 시행은 아직 늦어지고 있다.

한편 국가정보원, 행정안전부, 방송통신위는 각기 모의시험을 실시, 공공기관의 DDoS 방어 태세를 점검하고 있으며, 방송통신위에서는 사이버 공격에 취약한 중소기업을 지원하기 위해 `중소기업 DDoS 대피소'를 조기 운영할 계획에 있다. 또한 방송통신위에서는 좀비PC방지법 초안을 준비 중에 있는 한편, 금융권에서는 `DDoS 비상대응센터'를 공동으로 구축하여 대응하고 있다. 또한 국제적인 공조도 추진되었는데 인터넷진흥원에서는 금년 초에 아시아 태평양 지역 국가들과 DDoS 공격 공동대응 훈련을 실시한 바 있다.

이러한 다양한 정책들이 과연 전체적인 조율 과정을 거치고 있을까? 우리나라의 인터넷 망에는 약 3500여만 대에 이르는 PC가 연결되어 있는데 이 중 95%는 민간부문의 PC로서 이에 대해서는 방송통신위원회에서 관장하고 있고 약 4%에 해당하는 100여만 대 정도가 정부기관의 PC이며 이는 행정안전부가 관리하며 이에 대한 정보보호는 국가정보원이 관장하고 있다. 그리고 약 1% 미만인 3만 여대의 PC가 국방부에 속하여 국방부에서 관장하고 있다.

전체 보호대상의 95%가 민간부문의 PC들이다. 이들은 정부기관의 PC에 비해 보안의식이 낮고 보안투자도 작다. 이러한 이유로 정부기관이나 국방부의 PC의 보안을 민간부문과 같이 볼 수 없기 때문에 이 세 부문은 각기 적용되는 법도 다르고 정보보호 책임기관도 다르다.

이러한 이유로 위기의 상황에서 국가적 차원에서 총체적으로 지휘할 수 있는 기관이 불분명해서 일관성 있게 대응하기 어려운 체계를 가지고 있다. 이에 따라 행정안전부, 지식경제부, 방송통신위, 국가정보원에서는 조율되지 않은 사이버 안전 관련 정책들을 추진하고 있다.

다른 주요국들의 정책 추진을 살펴 보면 DDoS에 국한된 전략보다는 사이버 테러에 관한 전반적인 대응책 마련에 초점을 맞추고 있다. 이에 따라 국가 총괄 조정 기능 강화를 가장 중요한 핵심적인 전략으로 삼고 있다. 미국의 사이버보안정책관 신설, 영국의 사이버보안실 설립, 일본의 정보보호센터 설립 등이 이러한 맥락에서 추진되었다.

또 다시 7ㆍ7 DDoS 와 같은 사이버 공격이 발생한다면 우리나라는 안전할까? 과연 조직적이고 효율적인 대응이 이루어질 수 있을까? 물론 아니다. 또 다시 허둥댈 것이다. 우리는 아직도 7ㆍ7 DDoS의 공격자가 누구인지 밝혀내지 못했다. 정부 부서간의 업무 분담, 업무 협조 체제도 수립되지 못했고 3000명의 사이버 보안관 양성 계획도 잠자고 있다. 우리는 이러한 불안한 사이버 세상에서 살고 있다.

안전한 사이버 공간을 정립하기 위한 정보보호 정책은 인터넷에 연결된 PC중 95%를 점하고 있으며 상대적으로 보안 의식이 취약한 민간부문의 PC에 중점을 두어야 한다. 이들에 대해 정보보호의 기본인 예방, 탐지, 대응을 적절히 수행하기 위한 정책들을 도입하여야 한다.

예방대책으로는 좀비PC 발생을 줄이기 위한 대책과 DDoS 공격 피해를 줄이기 위한 DDoS 장비 도입 등을 들 수 있고, 탐지대책으로는 공격의 징후를 실시간으로 탐지하는 조기경보기술을 들 수 있으며, 대응 기술로는 공격자를 역추적하는 기술들이 정책적으로 추진되어야 한다.
민간부문은 공공부문이나 국방부문에 비해 이러한 정책들을 추진하는 것이 훨씬 어렵다. 이러한 이유로 정보보호는 민간부문이 중심이 되어 조율되고 추진되어야 한다. 약한 곳을 우선 보강하고 대마를 살리는 것이 정보보호의 기본 전략이다.