7·7 DDoS 대란은 사이버 보안 문제가 개인 또는 기업에 국한된 문제가 아니라 국가 안보와 국민 경제를 위협할 수 있음을 분명히 일깨워준 사건이었다. 이 사건은 우리나라가 세계적인 인터넷 인프라를 갖춘 반면에 보안에 대한 투자와 인식은 후진국 수준인 데서 비롯됐다는 지적이다. 한 마디로 사이버 안전 불감증이었다. 미국·일본의 경우 10년 전부터 IT 전체 예산의 10% 정도를 보안에 투자했지만 우리는 1%에 불과하다.

　이 사건을 계기로 정부는 사이버 위기 대응 공조체계를 새롭게 구축했다. 보안 예산도 늘렸다. 민간 기업도 정보보호 노력을 기울이기 시작했다. 하지만 사이버 공간의 안전에 대한 우려의 목소리는 여전히 높다. 민관에 정보보호 전문 인력이 여전히 부족할 뿐더러 정부 사이버 공격 대응 정책이 미덥지 못한 탓이다.

　이에 전자신문과 지식정보보안산업협회는 6일 JW메리어트호텔에서 토론회를 열고 민·학·관 전문가를 패널로 초청, 1년 전 DDoS 공격을 되짚어보고 앞으로 나아가야 할 방향을 논의했다.

　

　▲토론회 참석자(가나다순)

　강성주 행정안전부 국장(정보기반정책관)

　김대연 나우콤 사장

　김홍선 안철수연구소 사장

　박광진 한국인터넷진흥원(KISA) 인터넷침해대응센터장

　박철순 방송통신위원회 팀장(네트워크기획보호과)

　신수정 인포섹 사장

　임종인 고려대 교수(한국정보보호학회장)

　이득춘 한국지식정보보안산업협회(KISIA) 회장

　정만기 지식경제부 국장(정보통신산업정책관)

　

　▲사회

　김상용 정보통신담당 부장

　

　◇안수민 보안팀장(사회)=지난해 7·7 DDoS 공격 대란 시 침해 대응 과정에서 아쉬웠던 점을 말해 달라.

　◇강성주 행안부 국장=우리나라 인터넷 사이트를 마비시켰던 지난 7·7 DDoS 공격은 IT강국인 한국의 자존심을 손상시킨 사건이었다. 대규모 DDoS 공격에 대한 준비소홀, 체계적인 대응 체계가 부족해 발생한 사이버재난이었다.

　다만 DDoS 대응체계를 미리 준비한 정부통합전산센터에 입주한 정부기관의 웹사이트에는 피해가 발생하지 않은 것을 보면 사전 예방이 매우 중요하다는 것을 인식시켜준 사건이기도 했다. 전 국민에게 사이버안전과 정보보호의 중요성을 알리는 계기가 되었다.

　◇박철순 방통위 팀장=7·7 DDoS 사건을 계기로 당시까지 갖춰진 침해사고 대응시스템만으로는 새로운 공격기법이 개발되는 상황에 능동적으로 대처하기 힘들었다. 전문인력도 부족했다. 또 비상시에 ISP나 포털 등 민간기관을 통솔할 수 있는 법적 권한이 미비한 상태였다.

　이미 지난 2008년 11월 국회에 제출한 정보통신망법 정부개정안에는 좀비PC를 양산하는 악성코드 은닉 홈페이지 운영자에게 악성코드 삭제를 요청할 수 있는 권한을 정부에 부여하는 등의 내용이 담겨져 있었지만 국회에서 개정안이 통과되지 못하고 있는 상태였다.

　◇임종인 고려대 교수=가장 아쉬운 점은 역시 1·25 인터넷 대란이 우리 사회에서 다시 반복되었다는 것이다. 1·25 인터넷 대란이 우리에게 던져준 커다란 역사적 교훈을 7·7 DDoS 위기 극복의 지혜로 삼지 못했다. 1·25 인터넷 대란 당시에도 오늘날과 동일한 문제의식과 대안 제시들은 넘쳐났지만 결국 법제화까지 이르지 못하고 흐지부지된 바 있다. 다행히 7·7 대란 이후에 국가 사이버위기 종합대책이 만들어졌지만 이의 실행을 강제하는 법제화와 실물적인 지원이 이어지지 않는다면 또 다시 쓰라린 역사가 반복될 수 있다는 점을 명심해야 한다.

　◇신수정 인포섹 사장=컨트롤타워로서 정부 역할 부재가 아쉬웠던 부분이다. 우리나라의 서비스 특성상 DDoS 공격에 대한 방어는 민관 협력이 절대적으로 필요하지만 민간의 대응에 비해 정부의 대응은 시기 적절성과 신속성, 대응 과정, 공격 이후의 후속 조치 등에서 불만족스러웠다. 그렇지만 이후 민관협조체계를 구축하고 정부차원에서 지속적인 예산을 투입해 보안 강화 노력을 수행한 점에 대해 정부의 노력을 높게 평가한다.

　◇이득춘 KISIA 회장=7·7 DDoS 대란 시 보안 불감증으로 방어 준비가 전혀 되지 않은 상태에서 어떻게 해야 하는지 몰라 허둥대는 장면이 연출됐다. 업계 및 관련 정부기관의 전문가들이 모여 대책을 세웠으나 그건 어디까지나 장기적인 관점에서의 보편적인 대응책일 뿐 당장 유사한 공격이 시작되었을 때는 방어할 수 있는 근본적인 해결책은 될 수 없었다.

　7·7 DDoS 대란 전에도 DDoS 대응시스템을 구축하는 것을 주요 내용으로 한 종합대책을 수립하겠다고 정부가 발표한 적이 있었다. 하지만 정작 대란이 일어났을 때 종합대책은 마련된 것이 없었던 것이다. 이런 정황에서 본다면 7·7 DDoS 공격은 예고된 공격에 예상된 대응결과라고 볼 수 있다.

　◇김대연 나우콤 사장=사실 그동안 큰 규모의 공격이 없었던 것에 비하면 정부나 민간 부문의 대응은 상당히 선방했다고 생각한다. 비교적 조기에 상황을 파악하고 체계적인 방어수단을 동원해 서비스의 연속성을 보장한 건 분명하다. 하지만 보안업계 입장에서 아쉬운 건 작년 하반기 행안부를 중심으로 200억원 규모의 DDoS 대응 장비 구축사업이 시행됐지만 기존 SI사업으로 진행되다 보니 보안 업계에 큰 도움이 못 되었다.

　◇사회=1년 전에 비해 올해 눈에 띄게 변화한 점은 무엇인가.

　◇정만기 지경부 국장=R&D 측면에서는 기존 지능형 40G급 DDoS 공격 대응 기술개발 외에 지능형 악성코드 자동 분석 및 유포지 탐지 기술, 통합보안제어시스템 개발 등 사이버테러 차단을 위한 핵심 원천기술 투자를 올해 39억원에서 내년 82억원으로 늘렸다. 인력양성 측면에서도 사이버테러 대응 산업현장기술인력 확보를 위해 침해사고 및 DDoS 대응 실무과정, 보안관제과정을 신설했다. 고용계약형 석사과정 및 정보보안 분야 ITRC를 확대하는 등 고급인력 양성에도 투자를 확대했다.

　◇강성주=대형 DDoS 공격에 대비해서 추경 200억원을 긴급 확보해 132개 주요 정부기관이 범정부적 DDoS 대응시스템을 구축한 점이 눈에 띈다. 정부통합전산센터에서는 국가통합망에서 1차 대응하고, 2단계로 분야별 관제센터, 3단계 각 행정기관이 대응하는 DDoS대응체계를 정립했다. 일선 학교, 경찰서, 시도 등 56개 기관에는 좀비PC를 사전에 탐지하는 시스템을 구축했다.

　◇박철순=‘DDoS 사이버대피소 구축’ ‘정보보호예보체계 구축’ ‘악성코드 감염PC에 대한 사이버 치료체계 시범도입’ 등을 포함해 정부 보안 예산은 지난해(108.1억원)보다 올해(384.9억원) 256% 증액됐다.

　이를 통해 KISA 인터넷침해대응센터의 전문인력을 대폭 보강했고 새로운 관제시스템 구축을 추진 중에 있다. 영세 중소기업을 대상으로 하는 DDoS 공격을 방어할 수 있는 DDoS 사이버대피소도 구축했다. 악성코드 탐지 점검대상 웹사이트를 20만개에서 100만개로 확대하기 위한 시스템을 증설 중에 있다. 국내 인터넷망 연동구간(IX)의 DDoS 대응체계 시스템을 확대·구축해 나가고 있다.

　◇박광진 KISA 센터장=올해 2월 진흥원 내 인터넷침해대응센터의 조직을 확대개편하고 전문인력을 대폭 확충했다. 인터넷침해대응센터 조직을 기존 5개팀에서 2단 7개팀으로 확대했다. 직원은 44명에서 91명으로 늘렸다. 또 2003년 1·25 인터넷대란 때 구축했던 인터넷침해대응센터를 리모델링하고 있다. 오는 9월 새로운 센터 개소를 예정하고 있다.

　이와 함께 유기적인 국내 민간분야 침해사고 대응 협력을 강화하기 위해 인터넷서비스사업자, 인터넷 도메인 사업자 등과 정보를 공유하는 침해사고 정보공유 포털을 연말까지 구축, 사고 발생 시 신속대응할 계획이다.

　◇임종인=7·7 DDoS 대란 이후 정부차원의 국가 사이버위기 종합대책이 만들어졌다. 각 부처 간 책임과 역할에 대한 조율이 이뤄지고 국가적인 차원의 사이버 위기 대응체계의 큰 그림이 만들어졌다.

　하지만 DDoS 시스템 구축과 같은 시급한 과제가 해결됐다면 이제부터는 장기적인 차원에서 보다 근본적인 대응 수단 마련을 위해 하루라도 빨리 과감한 예산을 투입할 필요가 있다. 정보보호 전문 인력양성과 정보보호 R&D 지원, 정보보호 산업 지원 및 활성화 등에 정책적인 노력을 기울여야 할 때다.

　◇이득춘=가장 큰 변화는 보안 불감증에서 벗어났다는 것이다. DDoS 대란을 계기로 보안의 중요성이 사회 전반에 대두됐다.

　특히 국가 및 공공기관이 사이버 공격에 대응할 보안관제센터를 구축, 운영해야 하고 보안관제 전담인력을 상시 배치하고자 한 것은 지난 7·7 DDoS 대란 당시 대응과정에서 발생한 문제점을 개선하고 범정부 차원에서 사이버위기에 대한 종합대책을 마련하고자 하는 의지가 보이는 부분이기도 하다. 아울러 각 부처는 사안마다 힘겨루기를 하던 1년 전과는 반대로 각 부처가 DDoS 공격에 대한 사전예방차원에서 정보를 공유하고 공동대처방안을 마련하기 위해 회의를 개최, 대응활동을 강화하는 것도 큰 변화라고 볼 수 있다.

　◇신수정=주목할 점은 정부가 DDoS 대응에 국한하지 않고 각 부처의 사이버 컨트롤타워 역할을 할 수 있는 사이버안전센터를 구축하는 데 집중했다는 점이다. 이는 DDoS 공격과 같은 사이버테러의 발생 시 국가차원에서 공조 체계를 확보했다는 점이 새로운 변화로 보인다.

　◇김대연=작년 7·7 DDoS 대란을 계기로 각 부처마다 DDoS 공격 대응체계를 구축했거나 구축 중에 있으며 과거와는 달리 구축 자체로만 끝나지 않고 여러가지 형태로 DDoS 공격대응 모의훈련을 진행해 기구축된 대응체계를 점검하고 수정해서 앞으로 있을 사이버 위협에 대비하는 것 같다.

　◇사회=DDoS 공격은 상시 출현한다. 향후 DDoS 대응 전략 중 중점을 둘 분야는 무엇인가.

　◇정만기=점증하는 사이버 위협의 대비를 위해선 정부·보안기업이 협력하는 국가 차원의 대응이 요구된다. 국가 중요정보에 대한 안전과 보호를 자력으로 해결하기 위해선 보안기업 육성이 중요한 과제다. 경쟁력 미확보 시 국가 사이버 안보를 외산 제품에 의존할 수밖에 없는 상황이다. 지식경제부는 우수한 제품 개발을 지원하기 위한 테스트베드 확대, 분리발주 및 유지보수요율 현실화 등 제값받기 문화 정착, 보안원천기술 개발 및 상용화 연구개발 지원, 보안 전문인력 양성 등 보안산업 육성을 위한 지원을 지속적으로 확대하겠다.

　◇강성주=정부통합전산센터에 ‘사이버위협분석팀’을 설치해 사이버위협에 대한 종합분석과 위협동향, 탐지규칙 개발 등 국가 정보통신망 이용기관에 사이버 공격정보를 제공할 계획이다. 사이버 공격을 차단하기 위한 인프라도 강화한다. 악성코드 유포 및 좀비PC(봇넷) 등을 감지하는 행위기반 ‘DDoS탐지시스템’과 ‘DDoS테스트 시스템’을 연내 정부통합전산센터에 구축할 예정이다.

　내년에는 DDoS 공격에 열악한 시·군·구와 소규모 기관을 위한 ‘DDoS 대피소’를 구축한다. 또 공무원 PC가 좀비로 악용되는 것을 막기 위해 올해 중앙행정기관에 ‘PC해킹방지 시스템’을 도입하고 내년부터 지방자치단체로 확대, 공무원 PC보안을 강화할 계획이다.

　◇박철순=국내에서 하루에 수십 차례의 크고 작은(수Mbps~수십Gbps) DDoS 공격이 발생하고 있다. 이러한 추세는 향후에도 지속될 것이다. 방통위는 이러한 상시적인 DDoS 공격을 선제적으로 예방하고 효과적으로 대응하기 위해 민·관 공동 대응 체제를 강화하고 지속적으로 유지해 사안발생 시 신속한 대응을 통해 유사 7·7 DDoS 사고를 막는데 중점을 둘 계획이다.

　또 중점을 둔 분야는 좀비PC 방지다. 지난 7·7 DDoS 공격에도 많은 좀비PC가 동원돼 공격이 이뤄졌으나 사적인 영역에 속하는 일반 PC의 대응체계는 여전히 어려운 것이 사실이다. 올 하반기 구축 예정인 신 상황관제시스템에 미확인 좀비PC에 대한 선제적인 대응시스템을 반영함으로써 미확인 조종서버 탐지기술을 적용해 알려지지 않은 조종서버를 신속 차단하고 좀비PC 치료에 활용할 계획이다. 정보통신망법 개정 및 ‘악성프로그램 확산방지 등에 관한 법률’(가칭)의 제정 등을 통한 좀비PC 관련 종합적 대응기반 마련에도 노력을 기울일 것이다.

　◇임종인=정부와 기업이 진정한 DDoS 대응을 위해 투자해야 할 자원은 서비스와 절차를 수행할 사람이다. 아무리 좋은 시스템이나 제품이 있어도 전문 인력이 없으면 지속적으로 진화해 나가는 공격패턴에 쉽게 무용지물이 될 수 있다.

　정부는 단기간의 훈련 프로그램이 아니라 4년제 대학 정보보호학과 설립 등을 통한 중장기적인 교육프로그램을 마련해야 한다. 상시 출현하는 고도화, 전문화된 공격에 적극적으로 대응하기 위해선 고급인력을 안정적으로 배출하는 시스템을 만드는 길 밖에 없다는 사실을 정부와 기업은 알아야 한다.

　◇박광진=DDoS 공격에 무방비로 노출될 수밖에 없는 영세기업을 대상으로 무료 DDoS 대응서비스(DDoS 긴급대피소)를 10월부터 제공할 예정이다. 더불어 주요 ISP의 이용약관을 검토하고 좀비PC 차단 관련 표준(안)을 마련해 각 사업자로 하여금 좀비PC 차단관련 내용을 이용약관에 반영토록 계도할 계획이다.

　◇김홍선 안철수연구소 사장=DDoS 공격은 장비만으로 막기에는 사실상 힘들다는 것을 지난 1년간 많은 사례를 통해서 알고 있다. 효과적으로 DDoS 공격을 방어하기 위해서는 클라이언트 PC의 좀비화를 막는 것에서부터 관제 시스템을 통한 분석요원의 모니터링, DDoS 전용장비 등 다양한 요소가 유기적으로 결합되어야 한다.

　◇사회=끝으로 기업 또는 정부에 당부하고 싶은 말은 무엇인가.

　◇정만기=보안 업체는 안정적 공공사업에 사업역량 집중, 업체간 과다출혈 경쟁, 국내 시장 위주의 사업영위로 인한 수익성 악화 및 산업경쟁력 약화 등을 경험해왔다. 신제품 개발을 통한 기술혁신, 해외시장 개척을 통한 글로벌 시장 확보 등 새로운 성장의 돌파구를 마련하는 데 역량을 집중해 한다.

　◇강성주=민간의 정보보호투자가 획기적으로 개선되지 않으면 제2의 DDoS 공격 발생 시 속수무책으로 당할 수밖에 없다. 민간기업의 정보보호 인프라 확충 및 지속적인 정보보호 투자가 필요하다. 보안 업체도 정보보호제품 개발을 위한 연구개발 확대 및 전문인력 양성에 동참해야 한다.

　◇박철순=전반적으로 기업의 정보보호 투자는 소극적이다. DDoS 대응장비 등 정보보호 시스템 구축은 타 사업 부문에 우선순위를 빼앗기고 있는 게 현실이다. 7·7 DDoS 대란과 같은 사이버 공격의 확산을 예방하고 사고발생 시 피해를 최소화하기 위해 범정부 차원의 다양한 대책이 추진되고 있지만 변화된 사이버 위협 환경에서 무엇보다 중요한 것은 민간 부문의 참여와 일반 개인의 협조라고 할 수 있다.

　기업은 사고발생 시 신속한 사고원인 파악·대응 및 피해복구를 위한 정보보호 책임자(CISO)를 지정하고 침해사고 대응 기술, 인력 및 전담조직을 운영하는 게 매우 중요하다.

　◇임종인=정보 보호 산업계는 7·7 DDoS 대란 시 국가 사이버 위기 극복을 위해 자발적이고 선도적인 노력을 통해 사이버 보안 위기 극복에 커다란 일익을 담당했다. 따라서 정보보호 산업계는 기업이나 정부의 투자가 몰리는 DDoS 대응뿐만 아니라 장기적인 관점에서 국가와 국민을 위협하는 다른 공격에 대한 대응책도 지속적으로 연구개발할 수 있는 R&D 부서에 투자를 강화하고 인력양성과 전문성 강화를 위한 자체 교육에 집중할 필요가 있다.

　◇박광진=현재 국내 기업의 보안 인식은 매우 낮은 상태다. 2009년 조사한 결과 정보보호 지출이 전혀 없는 기업이 무려 60%를 넘고 있다. 기업들은 정보보호 지출액을 비용으로 생각하고 투자하지 않고 있다는 방증이다.

　기업이 정보보호 지출액을 단순한 ‘비용’이 아닌 고객 만족도 제고를 위한 ‘투자’로 생각해야 한다. 이제 보안에서 신뢰받지 못하는 기업은 고객들에게 외면당할 수 있다. 기업들은 정보보호와 고객 개인정보관리를 전사적인 리스크 관리 차원에서 접근해야 한다. 종합적인 정보보호 대책을 수립하는 역할을 하는 CSO(최고정보보호책임자), 개인정보를 총괄 책임지는 CPO(개인정보보호책임자)를 운영할 것을 꼭 당부하고 싶다.

　◇이득춘=지난해 7·7 DDoS 대란 등을 계기로 정부의 보안관련 예산이 확대됐다. 하지만 이것만으로는 부족하다. 보안사고는 DDoS 공격만 있는 것이 아닌 만큼 지나치게 한 분야에 정부 지원이 치우치는 것은 바람직하지 않다. 보안사고를 사전에 방지하기 위해서는 모든 보안사고에 철저히 대비해야 하는 만큼 보안사고의 이슈가 DDoS 공격 등 한 분야로 이슈화되는 것보다는 보안산업 전반에 걸쳐 보안사고 대응체계 구축 및 운영에 힘을 쏟아야 한다.

　일례로 현재 폭발적으로 이슈화되고 있는 스마트폰 보안을 비롯해 융복합 보안, 스마트그리드, 클라우드 컴퓨팅 등의 분야에 보안예산이 골고루 책정돼 국가기반을 튼튼히 하고 사회안녕을 꾀할 수 있는 보안 정책이 장기적으로 실천되도록 정부는 적극 지원하길 바란다. 정책이 정책으로 끝나지 않고 실천될 수 있도록 감시와 지원을 소홀히하지 말아야 할 것이다.

　◇김홍선=지금 별 징후는 없지만 중요한 것은 DDoS 공격은 언제라도 발생할 수 있다는 점이다. DDoS 공격만이 보안 이슈는 아니라는 점이다. 7·7 대란 1년을 맞아 정부가 전반적인 보안 대책을 총체적으로 다시 점검하는 계기를 만들었으면 한다.

　◇김대연=7·7 DDoS 공격과 같은 사고가 생기면 민간 보안업체는 사이버 테러 대응전에 동원돼 긴급 대응의 역할을 하는 소위 ‘사이버 예비군’ 역할을 한다. 따라서 사이버 보안제품과 서비스를 하드웨어로만 보지 말고 소프트웨어로 인식해 주길 바란다. 그것도 보통 소프트웨어가 아닌 365일 24시간 연속적으로 관리되고 업데이트하는 등 늘 살아 움직여야만 평상시뿐만 아니라 7·7 DDoS 대란과 같은 전시에도 제역할을 할 수 있는 특별한 소프트웨어로 인식하고 다른 산업과 달리 특별한 제도와 장치를 만들어 보호하고 육성해줘야 한다.

　◇신수정=보안사고는 매년 발생하는 것이 아니다. 우리가 보안에 관심이 멀어졌을 때를 이용해 공격이 발생하다. 정보통신기반 보호라는 차원에서 정부가 많은 관심과 대책을 수립하고 있지만 DDoS 공격이 약해질 경우 다시 흐지부지될 위험이 있다. 투자 강화를 지속적으로 유지하고 주기적인 점검으로 현재 구축된 체계가 안정되게 운영될 수 있도록 했으면 한다.

　◇사회=7·7 DDoS 대란은 우리 사회에 커다란 충격을 줬다. 사이버테러로 인한 피해는 다시 일어나선 안 될 것이다. 그 해결책은 각 분야에 있는 패널들이 오늘 나눈 담화 속에 다 녹아있다고 본다. 실천만이 남았을 뿐이다. 바쁜 시간 좌담회에 참석하신 패널들께 감사드린다.

안수민기자 smahn@etnews.co.kr