[디지털데일리 이유지기자] 방송통신위원회와 인터넷진흥원(KISA)이 9월 정기국회를 목표로 추진중인 악성프로그램 확산방지 등에 관한 법률(일명 ‘좀비PC방지법’) 제정 필요성에 대한 전문가 공감대가 형성되고 있다.
국회 김을동 의원이 22일 ‘7.7 DDoS 사태 1주년을 뒤돌아보며, 다시 뛰는 사이버보안강국 코리아’를 주제로 연 간담회에 참여한 전문가들은 DDoS 대응책으로 감염된 이용자 PC의 인터넷접속 제어 조치와 치료를 규정할 법적근거가 필요하다는 지적이 이어졌다.
이와 함께 정보통신망법 등 정보보호관련법 정비가 시급하다는 의견도 주를 이뤘다. 이를 통해 작년 7.7 DDoS 대응과정에서 문제로 지적된 정부의 사이버침해대응체계를 확립하고, 각 부처·기관의 역할을 명확히 규정해야 한다는 것이다.
이날 토론회에 앞서 주제발표를 맡은 심원태 KISA 인터넷침해대응센터 단장은 “현재 (DDoS 공격에 악용되는) 좀비PC 현황을 파악하기 어렵고 치료여부도 확인할 방법이 없는 상황”이라며, “이용자 정보보호 인식제고 노력만으로는 한계가 있기 때문에 감염된 이용자 PC의 인터넷 접속을 제어하는 제도가 뒷받침되면 더 나은 사전 예방책이 될 것”이라고 강조했다.
◆좀비PC·인터넷 사용 규제 불가피, 정보통신망법 정비 필요=심 단장은 “사이버대응체계를 강화하려면 네트워크와 이용자 PC 안전성, 서비스 연속성을 기술적으로 확보하고, 악성봇 C&C(명령제어)서버 차단과 악성코드 제거를 위한 국내외 정보공유 협력을 강화하는 것도 중요하다. 이와 더불어 개방된 인터넷 환경에서 사고를 예방하기 위해선 이용자와 서비스제공자에게 책임과 의무를 부과할 필요가 있다”고 설명했다.
이어 주제발표를 맡은 법무법인 인(仁)의 권창범 대표변호사는 “작년 7.7 DDoS 사태 발생 후에 정부역할이 여러 부처와 기관으로 크게 분산돼 있어 신속한 대응에 한계를 노출했다. 법치국가인 대한민국의 정부 역할이 법에 명확히 규정돼 있지 않기 때문”이라고 꼬집었다.
권 대표변호사는 특히, 사이버침해 대다수가 민간 영역에서 이뤄지는 것을 감안해 실질적인 민간 정보보호 업무를 수행하는 방송통신위원회의 역할을 법에 명확히 규정해야 한다는 견해를 피력했다.
이어, “사이버침해 대응을 위해서는 법제도 정비가 필요하다”고 강조하면서 “평상시와 비상시 사이버안전을 규율하는 이원적인 법률 제정과 너무 많은 내용을 담고 있는 정보통신망법을 발전적으로 해체하고 악성프로그램 확산방지법안과 같은 사이버안전을 담당하는 새로운 법률을 별도로 만드는 것이 바람직하다”고 덧붙였다.
권 대표변호사에 따르면, 보다 근원적인 사이버침해 대응을 위해서는 현재 국회에 계류돼 있는 사이버위기관리법 제정과 정보통신망법 전부개정안 통과로 대응조치를 보완하는 것 보다는 평상시에 적용할 일반법과 비상시 특별법으로 이원화할 필요가 있다.
일반법은 평상시 사이버안전을 규율하고, 비상시 사이버침해 대응체계와 운영, 위기시 긴급조치사항 등을 내용으로 하는 특별법을 제정해 적용해야 한다는 것이다.
이를 위해서는 정보통신망법을 발전적으로 해체, 침해사고를 대응하는 정보통신망 안전성 확보와 악성프로그램 확산 방지법안 일부 내용을 추가해 사이버안전을 담당하는 일반법으로 삼자는 이야기다.
배성훈 국회 입법조사처 입법조사관도 “정보통신망법은 140조에 이르는 거대법으로 규제 대상영역을 적용하는데 한계가 있기 때문에 사이버침해사고 대응을 위한 법률을 정비하고, 이를 세분화해 좀비PC방지법도 추진해야 한다”고 지적했다. 다만, 규제적 요소를 감안해 사업자의 자율성과 국민의 기본권을 해치지 않도록 신중을 기해줄 것을 주문했다.
이상훈 KT 정보보호담당 부장도 “ISP 입장에서 통신인프라를 지난해 7.7 공격 때처럼 3일동안 24시간 내내 공격을 받고, 더욱 대규모 공격으로 변화된다면 제대로 대응하기가 쉽지 않을 것”이라며, “결국은 좀비PC를 없애야 하지만 기술적으로 불가능하기 때문에 공격시 감염 PC의 접속을 차단하고 백신을 설치할 수 있도록 법제화가 중요하다”고 말했다.
KT는 3년 전부터 고객의 통신서비스를 보장하기 위해 공격시에 감염된 PC 이용자에게 백신을 설치하라고 공지하고 있다. 앞으로는 긴급상황 시 문제가 되는 이용자 PC에 대한 조치를 더욱 빠르게 수행할 수 있는 체계를 구축할 예정이다.
이 부장은 “사실 백신도 완벽하지 않다”라며, “궁극적으로는 아이폰처럼 인터넷에 접속하면 자동으로 악성코드를 다운로드하지 못하도록 하고 PC전용 프로그램이나 앱스토어 검증 프로그램을 통해서만 받도록 해 악성코드에 감염된 위험이 없도록 하는 시스템을 만들어야 할 것”이라고 지적했다.
황수익 시큐아이닷컴 부장도 “인터넷은 공공인프라로, 기본적으로 지켜야할 예의범절로서 규범을 정하는 차원에서 좀비PC방지법을 제정한다면 상당한 효과가 있을 것”이라며 좀비PC방지법 제정에 동의했다.
그러나 이상용 한국마이크로소프트 부장(CSA)는 “네트워크의 경우는 가능하지만 사용자PC까지 정부가 법제화로 대응해 사용자에게 악성코드 감염 책임을 묻는 것은 적절치 않다”면서, “악성코드 패턴은 새롭게 나타나기 때문에 운영체제(OS)를 만드는 기업이 좀비PC화 되는 것을 막을 수 있도록 역할을 해야 한다”는 반론을 폈다.
◆정보보호 산업·시장이 발전해야 전문인력 양성 가능=이 자리에서는 사이버침해사고 대응을 위해서는 장기적인 안목으로 정보보호 전문인력을 양성하기 위해 노력해야 하며, 보안산업 발전 토대도 중요하다는 의견도 많이 나왔다.
조시행 안철수연구소 상무는 “정보보호 전문인력을 양성하려면 단기적 투자로는 안되고 5~10년의 장기적 관점에서 고민해야 한다”면서, “특히, 정보보호 시장이 커지고 산업이 발전해야 유능한 인재가 들어와 인력이 양성될 수 있기 때문에 소프트웨어 제값받기나 분리발주를 정상화 해 산업발전 토대를 만들어야 한다”고 강조했다.
박동훈 닉스테크 대표도 “작년 DDoS 사태가 발생한 후 전문인력 양성 중요성이 강조됐지만 특별한 프로그램을 생각할 필요 없이 보안 시장 규모가 비전을 제시할만하면 자연히 인력은 양성될 것”이라며, “현재의 전문인력이 이탈되지 않도록 제도적 배려가 필요하다”고 말했다.
이상용 부장은 “DDoS 공격 이후 1년간 공격을 막을 수 있는 체계를 구축하는 효과가 있었지만, 이를 위해 형성된 시장에서 보안업체가 얻은 수익은 별로 없다”며, “보안업계의 수익모델을 만드는 것이 앞으로 남은 숙제”라고 지적했다.
이같은 보안산업을 확대하기 위한 방안으로 김태성 충북대 경영정보학과 교수는 “보안 제품과 함께 침해사고 발생시 손실 위험을 보상하는 보험이 결합돼 판매된다면 5000~6000억원 수준의 보안산업이 수십조원의 보험 시장과 만나 외형이 커지는데 중요한 역할을 할 수 있을 것”이라고 제안했다.
황 부장은 “보안 시장이 커지려면 공공, 금융, 대기업 위주의 투자 보다는 중소기업의 투자를 이끌 수 있도록 법제도를 통한 국가적 혜택이 필요하다”며, “일본은 우리나라와는 달리 중소사업자로부터 소형장비 수요가 많고 정보보호 의식도 상당히 높은 이유를 연구해 벤치마킹했으면 한다”는 의견을 밝혔다.