- “지나친 규제” 민간사업자·ISP·시민단체·여권 등 우려감 표시

7.7 분산서비스거부(DDoS) 사태 재발 방지를 위해  방송통신위원회가 추진 중인 ‘악성프로그램 확산 방지 등에 관한 법률(가칭)’을 둘러싼 논란이 가열되고 있다.  

보안 및 법·행정 분야의 상당수 전문가들은 “개인이용자의 보안수준을 높일 수 있는 전환점이 될 것이며 지금이 적기”란 평가와 지지를 보내고 있다.

하지만 “지나친 규제이며 통제”라는 사회적 우려와 반발로 인해 법안 제정을 위한 여정이 쉽지만은 않을 것으로 예상된다.

일명 ‘좀비PC 방지법’으로 불리는 이 새 법안에는 강력한 대책이 담길 것으로 예상된다.

예를들어, 방통위가 정보통신서비스사업자(ISP)를 통해 ▲개인PC의 악성코드 감염 여부 점검 ▲백신 설치 등 보안조치 수행 ▲이를 거부할 시 정보통신망 접속경로 또는 인터넷 접속 제한 ▲침해사고 원인분석을 위한 개인PC 조사 ▲PC방 등 공개된 곳에서 이용되는 PC 백신 설치 의무화 ▲보안패치를 일정 기한(한달) 내 내놓지 않는 소프트웨어(SW)의 보급 중단 등 이다.

대부분 지난 7.7 DDoS 사태를 수습하는 과정에서 대두됐던 방안이다.

앞서 ‘좀비PC’의 인터넷 접속 제한은 사고 당시 방통위가 ISP에 실제 요청하기도 했으나 실현되지는 않았다.  

법안이 아직까지 공개되진 않은 상태이지만, 정부가 내놓은 이같은 초강수 대책에 시민단체, 이용자, 심지어 야권인 민주당에서까지 개인의 프라이버시 및 통신 이용 자유, 재산권 등이 침해될 수 있다는 우려가 나오고 있다.

특히, 7일 열린 공청회 당일부터 즉각적인 반응을 보인 ISP 및 인터넷진흥협회, PC방 업계를 비롯해 SW업체 등 민간사업자들의 반발이 확대될 것으로 예상된다.

방통위가 한국인터넷진흥원(KISA)과 함께 정책 토론회를 열어 별도 법안 제정 입장과 방향을 ‘깜짝 발표’해 뒤늦게 소식을 접한 녹색소비자연대, 진보네트워크 등 시민단체들과 민주당 등 야권은 일단 이에 대한 우려와 반대 의견을 나타내고 공식적인 입장과 대응방침을 정리 중이다.  

안정상 민주당 방송통신전문위원은 8일 “방통위가 추진하는 이 법은 사업자와 이용자에 대한 엄청난 규제와 통제, 권리 침해 위험성이 매우 높다”면서 “정부가 미국에서 먼저 발생한 DDoS 공격을 인지해 사전예방·대응 조치하지 않아 손 놓고 당했던 7.7 사고의 책임을 개인이용자와 ISP에게 전가하는 것”이라고 말했다.

이어 “정보보호 수준을 제고하기 위해 필요하다면 새로운 법 제정보다는 정보통신망법과 정보통신기반보호법에 추가하면 된다. 방통위와 KISA가 민주당뿐 아니라 한나라당 의원 보좌진, 전문위원 등 국회 내 누구에게도 통보·공개하지 않은 채 새 법 제정을 추진하는 것은 다른 의도가 있는 것은 아닌지 의심스럽다”고 지적했다.

안 전문위원은 “공식 법안이 제출되면 국회 안에서도 대응하겠지만 그 이전에 민주당 내 입장을 모아 기존 법 개정안을 제출할 수 있도록 할 것”이라고 덧붙였다. 

녹색소비자연대 전응휘 이사도 “헌법에서 보장하는 기본권은 국가가 보호해야 하는 절대적 가치로, 별도의 법 제정으로 이를 흔드는 것은 말도 안되는 일”이라며, “악성프로그램과 악성이 아닌 좋은 프로그램을 어떻게 명확히 정의하고 구분할 지 방안이 있는지 제시해야 한다”고 지적했다.

그는 또한 “개인PC의 안전상태 점검과 분석·조사, 인터넷 접속제한은 도둑맞을 위험이 크다고 해서 국가가 계약한 사설 경비회사가 모든 국민의 생활터전인 주거공간에 언제든 침입하도록 하는 법을 만들고, 개인이 ‘동의’했다고 사람을 죽인다고 면죄돼 처벌을 안받는다는 것과 같다. 이것이 말이 되느냐”며 목소리를 높였다.

한편 방통위·KISA는 악성프로그램 감염 PC의 인터넷 접속제한 조치 관련 내용을 ISP가 이용약관에 반영하고, 제한 조치 이행을 위해 개인PC에 필요한 프로그램을 설치·운용할 수 있도록 한다는 방침을 수립했다.

이에 대해 이창범 KISA 법제분석팀장은 “먼저 이용자에게 악성프로그램 감염 사실을 알려주고, 조치방법을 제시한 후 이를 못할 경우 기술지원을 수행할 것이며, 이를 거부할 경우는 제3자의 피해를 막기 위한 조치로써 수행하는 것”이라며, “무조건적인 차단이 아니라 접속경로만을 차단해 TV나 전화 등 다른 서비스는 그대로 이용할 수 있도록 하는 방안을 시행령 등을 통해 반영할 예정”이라고 설명했다.

긴급한 침해사고 위험시 ISP가 이용자 정보통신망 접속 제한을 할 수 있도록 정보통신망법에 명시돼 있기도 하다.

정부가 긴급조치 권한을 갖고 있지 않다는 점에서 그동안 침해사고가 발생해도 실시하지 못했던 점을 감안해 방통위의 긴급 접속제한 명령권을 명시해 놓겠다는 것이다.   

전 이사는 이러한 인터넷 접속 제한 조치와 관련해 “ISP와 개인 쌍방이 초고속 인터넷을 사용하도록 맺은 계약을 국가가 개입해 차단하려면 그 명백한 요건과 절차 등의 근거를 제시해야 하고, 이를 반드시 법에 반영해야 한다”고 꼬집었다.

현재 ISP와 민간사업자들은 아직 법안이 나와 봐야 구체적인 분석과 입장을 정리할 수 있다고 설명하면서도 우려감을 드러내고 있다.   

임인수 한국인터넷진흥협회 사무국장은 “정부의 법 제정 방향은 ISP를 대상으로 한 규제와 통제, 비용 등의 부담을 가중시킬 것으로 예상된다. 그러나 아직 법안을 보지 못한 상태이기 때문에 법안 전문이 나오면 ISP들과 함께 분석한 뒤 그 규제 수준에 따라 의견과 입장을 정리하기로 했다”고 방침을 전했다.  

하지만 임 사무국장은 앞서 정책 토론회 패널토의 때 “이 법은 정보통신망 접속제한, 접속경로 차단, 보안프로그램 제공, 악성프로그램 점검 등을 ISP가 수행토록 함으로써 많은 비용이 발생하고 민원도 빗발칠 것이며, 고객감소로까지 이어질 수 있다. 이 법은 ISP에 많은 부담을 지우는 강제적인 의무가 크게 강화된 법이 될 수 있다”고 발언한 바 있다.

보안패치 의무화로 인한 SW업계 또한 우려를 나타내고 있다. 이들은 주로 실효성에 의문을 제기하고 있다.

또 백신업체를 비롯해 SW 보안취약점 점검 등에서 보안업계가 직접 수혜를 입을 것이란 예상이 나오고 있지만, 보안업계에서도 무조건적인 환영의 목소리만 나오는 것은 아니다.

한 보안업체 관계자는 “수많은 SW의 보안취약점을 계속해서 점검하기 위해서는 해당 SW의 무결성을 검증할 역량과 이를 수행할 인력이 필요한데, 이것이 확보돼 있는지 의문”이라며, “자칫 안전진단처럼 일정 주기에 따라 겉핥기로 실시되지 않을 지 우려된다”고 말했다.

SW 업계 관계자도 “취지는 공감하지만 SW의 기준과 범위를 어떻게 만들고 점검할지 모르겠다”면서, “특히, 외국계 SW 업체는 본사에서 취약점을 분석하고 패치하는데 이를 강제하기는 역부족일 것으로 보이며, 판매 중지조치도 현실성이 없거나 정부의 과도한 규제와 개입이 될 것”이라고 분석했다.

이같은 의견들은 방통위·KISA가 이 법을 통해 시중 공급되는 SW의 보안취약점을 점검해 SW 사업자에게 보안패치 제작·배포를 요청하는 내용을 담겠다고 발표된 것에 따른 반응이다.

이와 관련해 방통위는 특정 SW에 중대한 보안취약점이 발견된 경우 한 달 내 개선 명령을 내리고, 이를 이행치 않으면 판매를 중지시킨다는 방침이다. 또 SW사업자가 보안패치를 제작할 때에는 방통위·KISA에 통보하는 동시에 한 달에 두 번 이상 이용자에게 알려야 한다.

김홍선 안철수연구소 사장은 “이미 PC방 등에서 대부분 백신을 사용하고 있기 때문에 매출 상승효과는 크진 않을 것으로 생각된다”며, “개인이용자들이 토대를 이루고 있는 국가 보안 기본기가 약하다는 측면에서 이 법의 취지엔 공감하지만, 보안 환경이 역동적으로 바뀌는 상황에서는 단편적이고 획일적인 방안이 아니라 보안인력을 양성하고, 보안감리·정보보호 영향평가 등을 사전에 수행토록 하는 등 프로세스상에서 보안수준을 꾸준히 제고시킬 수 있는 근본적 대책이 필요하다”고 말했다.   

이밖에 도입키로 한 우수 보안프로그램 추천·장려제도도 이용자의 백신 선택권이 제한될 수 있다는 점도 지적됐다.  

방통위는 개인PC의 백신 사용을 의무화하려면 이용자가 우수한 제품을 이용할 수 있도록 유도할 수 있어야 한다는 점에서 이 제도를 만든다는 입장이지만, 백신 성능 점검 신뢰성 확보 문제도 해결해야 할 중요 과제다.

방통위는 수준 미달 또는 허위 제품으로 인한 이용자 피해가 커지면서 몇 년 전부터 악성코드 방지 프로그램을 정기적으로 선정, 발표하고 있으나 샘플, 테스트 환경 등과 관련해 신뢰성 논란이 간간히 불거져 온 것이 사실이기 때문이다.

한편, 공중이 함께 컴퓨터를 이용하는 PC 방 등의 경우엔 백신 사용과 최신 업데이트를 의무화하고, 이를 이행치 않을 시 과태료 부과 등 처벌하겠다는  방안이 발표되자 PC방 업계도 즉각 반발했다.

정책 토론회에서 조영철 한국인터넷PC문화협회 정책국장은 “PC방에서 운용하는 공용PC는 악성코드에 감염되면 당장 영업에 지장을 받기 때문에 보안관리 수준이 오히려 높다. 백신이 안깔려 있다고 생각하고 이를 반영했다면 현실을 직시하지 못한 처사”라며, “이에 대해 전면 재검토가 필요하다”고 말했다.

이같은 우려에도 불구하고 보안 및 법제 관련 전문가들 사이에서는 좀비PC 방지법 제정에 대한 긍정적인 시각도 적지 않다.

한 보안업계 관계자는 “자신의 PC가 악성코드에 감염된 ‘좀비PC’라는 사실을 모른 채 인터넷을 사용할 경우, 이용자는 자신도 모르게 DDoS 공격 가해자가 된다”며 “서로 연결된 사이버 공간에서도 이젠 남에게 피해를 입히지 않도록 하는 보안 의무를 이행할 수밖에 없는 현실이며, 잠시 시간을 보안패치와 무료백신을 사용하면 되고, 안되면 정부가 제공하는 기술지원을 받으면 된다”고 설명했다.

류재철 충남대 교수도 “그동안 서버와 네트워크단의 정보보호 노력에 많은 결실을 맺긴 했지만 DDoS와 같은 새로운 침해사고 대응에는 역부족인 상황”이라며, “지난 DDoS 공격으로 좀비PC 문제 심각성이 본격 제기되면서 이미 국민 사이에 좀비PC 차단법에 대한 공감이 이뤄졌고 기술적 방안도 충분해 시기상 적절하다. 이 법이 절대적으로 필요한 시기”라고 못박았다.   

강정화 한국소비자연맹 사무총장도 “DDoS 사태로 좀비PC 문제가 심각히 지적된만큼 개인이용자들도 PC보안관리 이행 의무를 받아들일 수밖에 없는 상황이 됐다”고 전제하고, “하지만 누구나 이용되는 인터넷 사용이 제한`축소되지 않고 경제적 부담이 증가하지 않으면서 보안프로그램을 이용할 수 있는 환경을 조성하는 것이 필요하며 이용자 동의를 바탕으로 적극적인 이해와 참여를 이끌 방안을 만들어야 한다”고 제안했다.  
 
황철증 방통위 네트워크정책국장은 “DDoS와 같은 사이버 침해사고에 대응하기 위해서는 아직까지 취약한 영역으로 남아있는 개인이용자의 자산을 보호하기 위한 법적근거가 필요하다”며, “기존 법률과 제도를 보완해 보다 완벽한 수준으로 침해사고 사각지대를 해소해 나갈 것”이라고 강조했다.

<이유지 기자> yjlee@ddaily.co.kr