홍수·태풍보다 피해 커지는 '바이러스 재난'...대응의 발상이 바뀌어야

 


"인터넷 보안에 대한 정부의 인식이 이제 변화해야 한다"

지난 12일 블래스터웜이 출현한 이래 불과 10일도 안돼 갖가지 바이러스가 쏟아져 나오며 한국의 인터넷을 철저히 유린하고 있다. 누적된 물적, 심적 피해는 상상을 초월할 만큼 크다.

홍수와 태풍은 인명과 재산에 큰 손실을 끼치는 '오프라인 재난'의 대표적인 사례들. 그러나 최근 바이러스에 의한 피해도 홍수와 태풍 못지 않게 그 규모가 커지고 있다. 홍수와 태풍은 대부분 국지적 피해에 그친다.

반면, 1천500만대의 PC가 보급돼 있고, 초고속인터넷 가입자가 1천100만명에 달한 우리나라에서 '블래스트웜'이나 '소빅F'와 같은 강력한 바이러스가 출현하면 그 피해는 전국적이다. 수많은 기업의 업무가 마비되고, 수백만명의 인터넷 이용자가 꼼짝없이 '온라인 손발'이 묶이며 장애를 겪는다.

인명 피해가 발생하는 것은 아니지만, 가히 '온라인 국가재난'이라고 규정해도 지나치지 않다.

이에 따라 바이러스에 국가 차원에서 대응하는 쪽으로 발상의 전환이 이뤄지고, 대응시스템도 총력방어체제로 바뀌어야 한다는 지적이 소리 높다.

특히 현행 정보통신부를 중심으로 하는 인터넷 침해 사고 대응 체계에 근본적인 문제가 있다는 목소리가 높아지고 있다.

정통부가 적극적으로 인터넷 사고에 대처하는 것은 사실이지만 권한에 한계가 있어 국가 차원의 문제로 다루기는 어렵다는 지적이다.

안철수 안연구소 사장은 "보안은 리더의 관심과 지원이 중요해졌다"며 "국가는 대통령이, 기업에서는 CEO가 보안을 직접 챙겨야 할 시점"이라고 말했다. 보안은 이제 특정 부서의 소관 업무가 아니라 국가와 기업 차원에서 바라보고 접근해야 한다는 주장이다.

◆정부 대응 아직은 부족

정통부는 지난 1.25 인터넷 대란 당시 늑장 대응으로 구설수에 오른 뒤부터는 심기일전의 각오로 각종 인터넷 보안 사고에 대처해 왔다.

지금은 대응 속도 면에서도 과거와는 많이 달라졌으며 "나름대로 열심히 하고 있다"는 평가를 받는 것도 사실이다.

그러나 "잘한다"는 말은 나오지 않고 있다. "열심히 한다"와 "잘한다"는 분명 다르다.

한 보안업체 관계자는 "각종 바이러스 등 대형 인터넷 침해 사고를 정통부가 주도하기에는 한계가 있다"며 "상급 기관의 역할이 높아져야 한다"고 주장했다.

일본에서는 내각 직속에서 대응하고 있는데, 타 부처보다 권한이 약한 정통부가 국가 차원의 문제를 해결하기에는 역량이 부족하다는게 이 관계자의 견해다.

우리나라의 경우 인터넷 침해 사고가 발생하면 정보통신부를 중심으로 인터넷서비스제공업체(ISP)와 보안업체가 공조하는 시스템을 갖고 있다.

정보통신부는 이상 징후에 대한 신고가 들어오면 분석 작업을 거친 뒤 위험하다고 판단되면 예보와 경보를 발령한다. 그 후 통계를 모으고 트래픽을 모니터링하는 등 비상 대응 체제에 돌입한다.

그러나 '블래스터웜'과 '소빅F웜'은 이러한 프로세스를 쉽게 파고든 뒤 국내 인터넷 사용자들에게 엄청난 피해를 안겨줬다.

정부는 인터넷 침해 사고가 발생하면 책임을 '사용자들의 보안의식 탓'으로 돌리는 경향이 있다.

정통부는 지난 1.25 인터넷 대란의 원인 규명과 관련해서도 "사용자들에게 문제가 있다"는 납득하기 어려운 주장을 제기, 반발을 불러왔다.

그러나 인터넷 사용이 일상화됨에 따라 보안 사고가 국가 차원의 문제로 '격상'된 지금 보안에 대한 사용자 인식 부족을 정부가 '나 몰라라' 해서는 안되는 상황이다.

바이러스 하나가 국가 경제에까지 영향을 미치는 것을 감안할 때 사용자에 대한 정부의 '책임 떠넘기기'는 전염병에 감염된 사람에게 평소에 예방하지 못한 책임을 묻는 것과 같은 뜻이다.

한 보안업체 관계자는 "이제는 바이러스 문제가 국가 차원, 더 나아가 글로벌 차원의 문제로 커져버렸다"며 "전염병이 돌지 않도록 사전 예방할 뿐 아니라 전염병 발생 후 국가 차원에서 질병을 관리하는 것과 같은 수준에서 바이러스 문제에 대한 인식의 지평을 확대하는게 시급하다"고 지적한다.

◆전근대적인 정부의 보안 인식

보안이 국가 차원의 문제임에도 불구하고 보안을 바라보는 정부 인식은 크게 미흡하다는 평가가 지배적이다. "정부가 보안시장을 죽이고 있다"는 비판도 나오고 있다.

미국의 경우 IT 예산의 8%가 보안에 투입된다. 국내의 경우 기본 원칙이 세워져 있지 않아 보안을 포함한 소프트웨어는 정부 구매시 우선순위에서 하드웨어에 한참 밀리고 있다. 거의 '악세서리' 수준에 그친다.

이같은 상황은 자연스럽게 보안에 대한 정부 예산 부족으로 이어진다. 예산 부족은 또 공공기관의 저가 수주라는 한국 IT산업의 고질적인 병폐를 낳는다.

한 보안업체 CEO는 최근 "모 정부 기관 시스템에 문제가 발생해 손을 봐줬더니 돈은 한푼도 안주더라"며 "외국 업체엔 꼬박꼬박 돈을 내면서 국내 업체엔 공짜 서비스를 받으려 한다"며 공무원들이 갖고 있는 마인드의 후진성을 꼬집었다.

최근 전용 백신 유료화를 선언한 권석철 하우리 사장도 "인터넷 사고 대응 때 정통부가 민간업체에 지나치게 의존하고 있다"며 "정부와 민간 업체간 역할 분담을 재정립할 필요가 있다"는 견해를 제시했다.

보안업체는 지금 정부에 변화를 바라고 있다. 무리한 요구가 아니다. 산업을 죽이는 제도 만큼은 바꿔달라는 것 뿐.

각종 바이러스가 판을 치는 지금 사용자의 보안 인식을 나무라기 전 정부가 먼저 변화해야 한다는 요구가 거세지는 상황이다.

황치규기자 delight@inews24.com

관련기사


포토뉴스