‘가입자 불만 쏟아질라’… 통신업체들 좀비PC ‘접속차단’ 고민

일러스트 김수진 기자

백신설치 등 소극적 대응 그쳐
감염PC 2만여대서 안 줄어
인터넷 정보보안 주체 제각각
위기대응 공조 제대로 안돼

“사이버 전쟁이 시작됐습니다. 그런데 정부의 인식과 대책은 너무 안이합니다.”(정태명 성균관대 교수)

정체불명의 해커집단에 의한 디도스(DDoS·분산서비스거부) 공격이 이틀째 이어졌다. 전문가들은 국내 주요 웹 사이트가 마비됐지만 이에 대한 정부와 민간의 대책은 크게 미흡하다고 지적한다. KT 등 인터넷서비스제공업체(ISP)들은 좀비PC의 인터넷 주소(IP)를 파악해 놓고도 백신 프로그램 강제 설치나 접속 차단 등의 조치를 취하지 않았다. 인터넷 정보보안에 대해 공공 부문은 행정안전부가, 민간 부문은 방송통신위원회가, 기술 개발은 지식경제부가 나눠 맡는 등 위기에 대응하는 공조체제가 제대로 구축돼 있지 않아 대응이 미흡했다는 비난도 나온다.

○ 좀비PC 확인하고도 미온적 대응

방통위는 이날 최시중 위원장이 주재하고 KT, LG파워콤, SK브로드밴드, 케이블방송사업자(SO) 등 ISP와 안철수연구소 등 보안업체가 참석하는 긴급회의를 열고 대책을 논의했다. 최 위원장은 이 자리에서 “1, 2차 공격 때 긴장하지 못해 (피해가 계속 이어진 것이) 후회스럽다”며 “공격에 동원되는 좀비PC가 인터넷에 접속하는 경우에는 백신으로 감염을 치료받은 뒤 접속을 실행하도록 하는 서비스를 주요 ISP가 제공해 달라”고 요청했다. 또 관리가 제대로 되지 않는 좀비PC의 인터넷 접속 차단에 대해서도 신중히 검토키로 했다.

그러나 ISP 업체들의 온도는 차이가 났다. KT 등은 이용자 접속 차단이나 백신 강제 설치를 하면 가입자들의 불만을 야기할 수 있다고 보고, 현장 직원들을 동원해 좀비PC에 직접 백신을 설치해주는 미온적 대책만 가동하고 있다. 이용자가 인터넷에 접속할 때 ‘백신을 업데이트하라’는 팝업창이 뜨도록 했지만 효과가 크지 않을 것으로 보인다. 이런 식으로는 피해 확산을 막는 데 역부족이라는 지적이 나온다.

이런 탓에 공격에 동원되는 좀비PC의 수도 2만여 대 수준에서 줄지 않고 있다. 방통위의 한 관계자는 “강제 접속 차단이나 백신 설치를 할 경우 자칫 인권 침해 논란이 나올 수 있다”며 “벌써부터 이번 사고가 사이버위기대응법 등의 통과를 위한 자작극이라는 말이 나오는 것을 보면 강한 대책이 논쟁을 일으킬 것 같아 조심스럽다”고 말했다.

이런 현상은 정부와 민간이 사이버 전쟁에 대응할 수 있도록 하는 법체계가 미흡한 데 따른 것으로 보인다. 사고 발생 시 정부기관이 기업체 등에 협조를 요구할 근거를 마련하는 조항을 담은 정보통신망법 개정안은 국회가 파행을 겪으며 처리가 늦어지고 있다. 개인정보보호법과 사이버위기대응법 제정은 수년째 추진했지만 아직 진척이 없다.

전문가들은 이번 일을 계기로 위기 대응 매뉴얼과 좀비PC 이용자에 대한 강제 차단 및 행정적인 처벌을 검토해 제대로 된 대책을 만들어야 한다고 입을 모은다. 글로벌 보안업체인 시만텍의 윤광택 부장은 “한국에서 이번 공격과 같은 일이 재발될 가능성이 무척 크다”며 “공격에 대비한 대체설비를 만드는 등 대안을 마련해야 한다”고 말했다.

○ 기관 간 공조 미흡

“그건 경찰에 물어보십시오.”

9일 오후 방통위의 긴급 대책회의 직후 브리핑에서 경찰이 확보해 분석 중인 좀비PC에 대한 질문에 이런 답변이 돌아왔다. 기관 간 공조가 제대로 이뤄지지 않는다는 의미다. 이번 공격에서 청와대와 은행 사이트가 동시에 대상이 됐지만 공공과 민간의 분야별 구분을 해놓은 점이 정부 대응체계의 문제로 지목된다.

국정원이 행안부와 방통위를 총괄하도록 돼 있지만 실제로는 제각기 대응에 그친 데다 심지어 이번 디도스 공격 브리핑을 누가 할 것이냐를 놓고도 부처 간 미묘한 신경전이 벌어졌던 것으로 알려졌다. 이런 상황에서 제대로 된 대응이 가능할 리 없다는 얘기다.

미국의 경우엔 버락 오바마 정부가 사이버 보안의 심각성을 인식하고 사이버 안보정책조정관 직을 신설했다. 우리도 위기관리센터나 대통령실에 총괄조정관을 만들어야 한다는 주장이 많다. 한때 국정원이 사이버 안보보좌관 신설을 추진했으나 유야무야되고 말았다. 옛 정보통신부 시절 국장급인 정보보호심의관이 사이버 보안정책을 총괄했으나 지금은 과장급 정식 직제마저 사라졌다. 정보기술(IT) 강국이면서도 선진국(IT 투자의 5∼12%)에 훨씬 못 미치는 1% 미만의 보안 투자를 하는 등 ‘보안 불감증’이 심각하다는 지적이다. 이번 공격도 정부기관들이 기본적인 디도스 보안장비를 갖췄다면 1차 피해가 크지 않았을 것이라는 시각이 많다.

김용석 기자 nex@donga.com

유성열 기자 ryu@donga.com