[DDoS 해킹 대란] 보안불감증으로 예고된 대란

[DDoS 해킹 대란] 보안불감증으로 예고된 대란

 “정부의 한심한 준비체계를 볼 때 7·7 DDoS 공격은 이미 예고된 사안이었습니다.”

 국내 12개 미국 14개 총 26개 사이트가 동시다발적으로 DDoS(분산서비스거부) 공격을 받은 것에 전문가들은 한목소리로 정부의 보안불감증을 질타했다. 정부차원에서 DDoS 공격 방어에 투입하는 예산도 적고, 실전상황 발생 시 범정부 차원의 컨트롤타워가 없어 관련 제도 정비가 시급하다는 지적이다. 예고된 인재였다는 설명이 뒤따르는 이유다.

 ◇좀비 PC 대책 마련 시급=이번 사건은 봇넷에 감염돼 악성코드가 삽입된 좀비 PC 2만3000대가 DDoS 공격자로 돌변함으로써 야기됐다. 악성코드에 공격시간과 공격대상이 설정돼 특정시간이 되면 특정대상에게 무차별적으로 트래픽을 송출해 홈페이지를 다운시키는 것이다.

 KISA에 따르면 2만3000대 중 99% 이상은 개인용 PC다. 사태를 예방하려면 평소에 개인이 KISA에서 제공하는 ‘보호나라’서비스 등으로 개인PC의 악성코드 감염 여부를 확인해야 하지만 개인 이용자에게 이를 권고·강제하는 조치가 전혀 없다.

 정부는 DDoS 공격이 단순히 홈페이지를 다운시키는 것에 불과하며 개인정보 유출·금전적 피해와 같은 일반 해킹공격과는 다르다고 의미를 축소했다. 그러나 정태명 성균관대 교수는 “만약 DDoS 공격이 증권회사나 은행을 타깃으로 집중된다면 엄청난 경제적·사회적 피해를 야기할 수 있다”면서 “특히 최근 전쟁은 정보전 양상으로 바뀌었는데, 개인용 PC로 인한 DDoS 공격으로 국방부 시스템이 다운될 수 있는 가능성도 상존한다”고 말했다.

 ◇정부·민간 이을 컨트롤타워가 없다=DDoS 공격은 민간과 공공이 공조해야 막을 수 있다. 그러나 과거 정보보호정책을 일률적으로 담당했던 정보통신부가 국정원·행안부·지경부·방통위 등으로 쪼개짐에 따라 개별 부처가 어느 사안까지 담당할 지에 실무 부처 간 혼선이 끊이지 않고 있다.

 현재 조직대로라면 피해자 중 공공부문에서는 국정원과 행안부가, 민간부문은 방통위가 대책을 마련해야 한다. 익명을 요구한 정부 관계자는 “이번 사안은 공공과 민간부문이 종합적으로 걸려 있어 종합적인 대책 마련이 힘든 게 사실”이라고 말했다.

 특히 KISA가 2∼3일 전 간헐적으로 민간부문에 DDoS 공격이 발현하는 징후를 포착했지만, 정부와 원활한 정보교류가 없어 대응속도가 늦었다는 것이다.

 정보보호산업협회(KISIA) 관계자는 “지금까지 대부분 사고 발생 후 민간을 거친 원인 파악 및 대응책 마련에 부심하는 모습이 현재까지의 상황”이라며 “향후 발생할 다양한 사고에 능동적으로 대처하려면 평소 기업과 정부기관이 정기적으로 정보공유를 할 수 있는 채널을 마련해야 한다”고 강조했다. 실제로 행안부는 DDoS 공격을 받은 부처로 하여금 민간 전문가를 참여시키는 특별 감시체계를 가동한다고 이날 오전 뒤늦게 밝혔으나 임시방편이라는 지적이다.

 정보보호정책을 총괄할 수 있는 컨트롤타워에 관한 논의도 실종된 상태다. 국정원 사이버테러대응센터는 이에 지난 4월 국정원 전 국가 정책에 사이버 안보를 반영할 수 있게 조율하는 역할을 맡을 사이버 안보 보좌관 신설을 추진할 계획이라 밝혔으나 하루 뒤 이를 번복하는 촌극을 연출하기도 했다.

 ◇보안불감증 걸린 정부=전용 DDoS 공격 보안 장비 도입도 시급하다. 방통위는 이번 DDoS 공격이 10G급 이하의 공격이라고 밝혔는데 시중에 나온 DDoS 공격 보안 전용 장비로 이 정도의 공격은 충분히 막을 수 있다. 중앙 및 지방 9000여개 공공기관 가운데 DDoS 공격 보안 장비를 갖춘 곳은 정부통합전산센터, 한국정보보호진흥원, 금융결제원 금융정보센터 등 10여개에 불과하다. 청와대에도 없다. 정부 관계자는 “청와대에는 DDoS 공격 보안 전용 장비가 갖춰져 있지 않고 망 대역폭이 작아 DDoS 공격에 취약할 수밖에 없다”고 말했다. 그러나 정부는 예산문제로 DDoS 공격 대응 장비 도입을 주저하는 상황이다. KISA 관계자는 “DDoS 사고는 1년에 많아야 두 차례가량 발생하는데 이 때문에 수천만원을 호가하는 장비를 도입할 수는 없는 것 아니냐”고 되물었다. 이에 업계 한 전문가는 “대부분의 공공기관 등은 과거에 구입한 장비를 그대로 쓰는 사례가 많다”며 “최근 관련기업들이 다양한 환경과 변수에 대응할 수 있는 최신 제품을 다량으로 공급하고 있지만 정부부처 및 공공기관에서는 적시 도입이 늦어지고 있어 피해를 키운다”고 비판했다. 실제로 장비 구축이 미비한 공공기관은 7일 오후 7시 사건 발생 20여시간이 지난 지금까지 사이트 접속에 장애가 나는 등 문제가 발생했지만, NHN 등 민간부문은 정상화했다.

 정진욱기자 coolj@etnews.co.kr