- 개인PC 백신 설치 의무화, 좀비PC 인터넷 접속 제한 명시 

DDoS(분산서비스거부)사태를 원천적으로 차단하기 위해, 앞으로 보안수준이 미흡한 개인 PC는 인터넷 이용이 원천적으로 차단 당하거나 제한적인 이용만 가능하도록 하는 강력한 조치가 법제화될 전망이다.

정부는 인터넷서비스(ISP)회사들을 통해 개인 인터넷 사용자들의 PC수준을 원격으로 진단하고, 미흡하다고 판단될 경우 개인 사용자에게 인터넷 사용 제한을 공지함으로써 사실상 업그레이드를 유도하겠다는 방침이다.

그러나 이 법이 시행될 경우, 개인의 사이버 프라이버시에 대한 국가 권력의 과도한 침해 논란이 제기될 가능성이 높아 법제화 과정에서 적지 않은 파장이 예상된다.  

방통위와 한국인터넷진흥원(KISA)은 7일, 서울 명동 은행회관에서 이 법률 제정을 위한 정책토론회를 개최하고, 현재 추진 중인 법률 제정 방향을 공개했다.

이날 토론회에서 방송통신위원회는 7.7 DDoS 사태 재발 발지를 위해 악성코드에 감염된 ‘좀비PC’의 인터넷 접속을 제한하는 등 개인PC 이용자 보호 수준 강화를 위한 ‘악성프로그램 확산 방지 등에 관한 법률(가칭)’제정을 추진한다고 밝혔다.

여기에는 개인PC 이용자의 보안수준을 강화해‘좀비PC’ 확산을 원천 차단하겠다는 강한 의지가 담겨있다.   

실제로 이날 토론회 개회사에서 KISA 김희정 원장은  “DDoS와 같은 신·변종 사이버 공격 대책을 수립하는데 가장 빠른 방법이 미진한 법을 개선해 새로운 제도를 만드는 것”이라며 이 법의 제정을 찬성했다.

김 원장은 이어“침해사고 대응을 위한 기존 정보통신망법은 망보호 중심으로 구성돼 있기 때문에 개인 PC를 악용한 DDoS 피해 확산 방지에는 한계가 있어, 별도의 법안을 마련하게 됐다”고 말했다.
     
또 방통위 황철증 네트워크정책국장도 “DDoS와 같은 사이버 침해사고 대응을 위해서는 인터넷상을 대부분 차지하고 있는 민간 부문의 개인이용자의 자산을 보호·관리할 수 있는 법적근거가 필요하다”고 강조했다.

황 국장은 이와관련“그동안 많은 노력을 해왔지만 아직까지 취약한 영역으로 남아있는 이용자 보호를 위한 법적근거를 만들어 기존 법률과 제도를 보완해 보다 완벽한 수준으로 침해사고 사각지대를 해소해 나갈 것”이라고 강조했다.

이에 따르면, 과태료나 벌금 부과 등 처벌규정은 없지만 정보통신서비스사업자(ISP)를 통해 필요한 보안조치와 악성프로그램 점검 등의 조치를 수행하고, 그 이행을 이용자가 거부할 시에는 인터넷 등 정보통신망 접속을 제한하거나 접속경로를 차단함으로써 보안조치를 이행토록 한다는 방침이다.

이를 통해 개인이용자들이 자신의 PC에 보안패치와 백신 등 보안프로그램의 설치·업데이트를 수행해야 한다.   

또 침해사고 발생시 그 원인을 조사하기 위해 악성프로그램에 감염된 개인PC 이용자의 동의를 받아 해당 PC를 조사할 수 있는 규정도 담는다는 계획이다.

이에 따라 앞으로 ISP에 보안조치 점검이나 인터넷 사용 제한 등을 조치함으로써 과도한 부담을 지우고, 개인이용자의 인터넷 사용 등의 권리도 다소 침해될 수 있다는 일각의 논란과 우려도 예상된다.  

실제로 이날 공청회 패널로 참가한 임인수 한국인터넷진흥협회 사무국장은 “아직 구체적인 법안은 없는 상태이지만 이 법은 정보통신망 접속제한, 접속경로 차단, 보안프로그램 제공, 악성프로그램 점검 등을 ISP가 수행토록 함으로써 ISP에 많은 비용 발생, 민원처리, 고객감소 우려 등의 큰 부담과 강제의무를 지울만한 법이 될 수 있다”고 지적했다.

류재철 충남대 교수와 김민호 성균관대 교수 등도 법을 보다 실효성 있게 집행할 수 있도록 ISP에 지울 수 있는 비용이나 책임 문제를 해결하거나 경감시킬 수 있는 인센티브 제공 등의 항목 신설·추가 필요성을 제기했다.

◆ISP의 인터넷 접속제한 조치=이용자 PC가 악성프로그램에 감염돼 DDoS 공격 등 침해행위에 악용되는 경우 방통위는 ISP가 해당 PC의 접속경로를 차단하거나 인터넷 접속제한 조치를 내릴 수 있는 명령권을 갖게 된다.  

악성프로그램 감염PC를 방통위나 KISA가 확인하면 해당 이용자에게 악성프로그램 삭제를 요청하고, 이용자 요청시 기술지원 등도 제공할 수 있도록 한다.

이를 이용자가 악성프로그램 삭제 조치를 거부할 경우,  ISP는 접속경로를 차단하거나 인터넷 접속제한 조치를 이행할 수 있다.

특히, 침해사고가 발생한 긴급 상황에서는 방통위가 ISP에게 좀비PC 등에 대한 인터넷 접속 제한 명령을 내릴 수 있게 된다.

◆보안패치·보안프로그램 설치 의무화=이용자는 취약점이 있는 소프트웨어(SW) 보안패치와 백신 등 컴퓨터 보안프로그램 설치와 최신 업데이트로 타인의 컴퓨터나 정보통신망에 위해를 주지 않도록 해야 한다.

이를 위해 ISP·포털 등 정보통신서비스제공자는 이용자에게 보안프로그램과 최신 업데이트를 제공하는 이용자 지원조치를 수행할 수 있다.

이용자 처벌 규정은 담지 않도록 하는 대신에 방통위와 KISA는 PC방 등 공중이 함께 공개된 장소에서 컴퓨터를 이용하는 곳을 대상으로는 보안프로그램 설치와 최신 업데이트를 의무에 소홀할 시 과태료 부과 등 처벌규정을 두기로 했다.

또 PC 이용자가 우수한 보안프로그램을 적극 이용할 수 있도록 유도하기 위해 컴퓨터 보안프로그램 성능을 점검해 우수 프로그램을 선정·추천·장려하는 제도도 운영한다는 계획이다.

◆침해사고 원인분석 위해 이용자 PC 접속요청권 명시=침해사고 원인주사 및 분석 대상을 침해당한 시스템뿐 아니라 이용자 PC로도 확대된다.

현재 침해당한 시스템 접근 필요시 해당 PC 이용자의 사전 동의를 받고 있지만 법적근거가 미비해 원인 분석이나 적절한 대응이 곤란한 상태라는 것이 방통위와 KISA의 분석이다.

이에 따라 이 법안에는 침해사고 원인조사 및 분석 등 긴급조치가 필요한 경우 방통위가 이용자 동의 하에 자료 수집·조사를 위해 이용자 PC에 대한 접속요청권을 발동할 수 있도록 명시할 예정이다.

대신에 PC에 접속해 조사`분석 업무를 수행하는 자가 개인정보 열람·훼손·유출 등 불법적인 행위를 저지르는 것을 방지하기 위해 해당 업무 목적 외에 이용을 금지하는 조항을 추가한다.

위반할 경우엔 5년 이하의 징역, 5천만원 이하의 벌금 등 처벌규정을 신설할 계획이다.

그러나 ISP가 방통위 명령에 따라 악성프로그램을 삭제하거나 이용자의 정보통신망 접속을 제한하는 등의 조치를 취해 이용자에게 손해를 발생시킨 경우엔 고의 또는 중과실 이외엔 손해배상책임을 감경시킨다는 방침이다.

◆보안에 취약한 SW 보급 중지 명령= 한편 방통위·KISA는 이용자가 정기적으로 SW의 보안패치를 설치하도록 하는 한편, SW 사업자들의 보안패치 제작`배포를 강력하게 견인할 방침이다.

이를 위해 시중 SW의 보안취약점을 점해 SW 사업자에게 보안패치 제작·배포를 요청하고, 특정 SW에 중대한 보안취약점이 발견된 경우 한 달 내 개선 명령을 내린 후 불응할 경우 보급을 중지토록 하는 내용도 법안에 담긴다.

이창범 KISA 법제분석팀장은 “보안취약점을 노출한 채 방치돼 있는 SW의 취약점을 보완토록 하기 위한 조치”라고 설명했다.

이밖에도 법에는 보안프로그램, 대형 포털, 웹하드서비스 제공자 등 ISP에게 게시판에 존재하는 악성프로그램 삭제 명령과 시중 공급되는 소프트웨어의 보안취약점을 점검하고 개선명령을 내려 일정기간 내 보안패치 제작`배포 등의 조치를 이행하지 않으면 제공을 중지시키는 등의 방안도 포함될 예정이다.

<이유지 기자> yjlee@ddaily.co.kr