[디지털데일리 이민형기자] 우리나라에는 ‘감염병의 예방 및 관리에 관한 법률’이란 법이 있다. 국민 건강을 해칠 수 있는 감염병의 발생과 유행을 방지하고, 그 예방 및 관리를 위해 만들어진 법이다.

이번엔 사이버세상으로 눈을 돌려보자. 사이버세상에서도 악성코드라고 불리는 전염병이 있다. 하루에도 수십개의 웹사이트가 외부의 공격을 받아 악성코드를 유포하는 ‘숙주’ 역할을 하며 피해를 확산시키고 있다. 하지만 이를 예방하고 관리할 수 있는 법안은 미비한 실정이다.

웹사이트를 방문한 사용자들은 원인도 모른채 악성코드에 감염되고, 최악의 경우 파밍 등으로 인해 금전적인 피해를 입기도 한다. 사물인터넷이 확산될 경우 악성코드 유포로 인한 피해는 단순히 금전에만 그치지 않을 수도 있다.

이러한 상황이 한국인터넷진흥원(KISA)이나 국내 보안업체들이 일을 제대로 하지 못해서 발생하는 일은 아니다. 사이버세상에서는 현실과 달리 ‘감염 환자(웹사이트)’를 격리(차단)시킬 수 있는 법적인 근거가 없기 때문이다.

KISA 침해사고대응단의 한 직원은 “하루에도 수십개의 웹사이트가 외부의 공격을 받아 악성코드를 유포하는 ‘숙주’ 역할을 하고 있는 것이 확인되고 있다. 하지만 이들 웹사이트를 조사하거나 제재할 방법이 없어 고민이 많다”고 토로했다.

보안전문가들은 공격자들이 웹사이트 변조 등을 통해 악성코드를 유포하는 것이 눈에 훤히 보인다고 한다. 하지만 국내법상 이를 제재할 수 있는 방법은 없다. 웹사이트에 들어가 악성링크를 삭제하는 등의 조치를 취하면 정보통신망법 위반이 된다.

해당 사이트 관리자에게 유선이나 이메일 등으로 ‘귀하의 웹사이트가 악성코드 유포지로 악용되고 있습니다.’라고 통보를 해주는 것이 KISA의 입장에서도 최선의 방법이다.

경중은 있겠지만 웹사이트가 악성코드를 유포하는 행위는 기업이 개인정보를 유출한 것과 같은 맥락에서 이해해야 한다. 악성코드 유포로 인해 사용자가 금전적인 피해를 입을 수 있다는 것은 이미 여러 피해사례를 통해 알려진 사실이다.

이제 악성코드 유포지로 변한 웹사이트를 제재할 수 있는 법적 근거가 마련돼야 할 시기다. 더 이상 방치하면 겉잡을 수 없이 피해가 확산될 수 있다.

정보통신망법 개정 등을 통해 악성코드를 유포하는 웹사이트는 차단하거나 조사할 수 있는 권한을 관계기관에 부여하고, 사업자에게는 악성코드 유포 여부를 정기적으로 점검하는 의무를 이행토록 해야한다.

<이민형 기자>kiku@ddaily.co.kr