7일 발발한 분산서비스거부(DDoS) 공격이 나흘째 이어지면서 다소 진정국면으로 가고 있지만 정부와 관계부처의 '늑장대응', '처방책 부재' 논란은 오히려 가열되고 있다.
사이버공격에 근본적인 원인을 분석하고 실시간 상황실을 통해 피해 사례등을 접수해 관계 기관에 조속한 대응책을 지시하는 컨트롤 타워가 사라져 화를 키웠다는 지적이다.
이번 일로 사이버테러 공격에 속절없이 당하는 'IT강국 코리아'의 오명도 피할 수 없을 것으로 보인다.
◆ 늑장 대응 = 이번에도 한발 늦었다. 방송통신위원회는 지난 7일 오후 6시40분, DDoS 공격 사실을 처음 확인했지만, 6시간이 지난 8일 새벽 1시 반에야 '주의'경보를 발령했다. 웹사이트 장애의 원인을 파악하는데 보통 2시간 정도 걸린다는 점을 감안한다면 '늑장 대응'이라는 비판을 면할 수 없다.
상황이 일파만파로 확산되자 방통위는 뒤늦게 DDoS 공격 배후를 추적하는 동시에 일반 PC사용자들에게도 좀비PC로 악용되지 않도록 철저하게 PC를 관리할 것을 당부하고 나섰지만 만시지탄의 감이 있다.
검찰은 피해 현황 파악에 나섰고, 경찰청 사이버테러대응센터는 전담 수사반을 꾸려 해킹에 대한 수사에 본격 착수했지만 움직만 요란했다는 전문가들의 중론이다.
근본적인 문제는 정보보호정책을 총괄적으로 담당했던 정보통신부가 없어진 뒤 DDoS 공격 등 사이버 공격에 대응할 컨트롤 타워가 사라지면서 수사력이 탄력을 받는데 역부족이었다.
최시중 방송통신위원장도 "전체적으로 볼때 통합된 컨트롤 타워가 없기 때문에 문제라는 지적이 있다"며 한계를 시인했다.
현재 공공 부문에 대한 정보 보호는 행정안전부와 국가정보원이, 민간은 방통위와 한국정보보호진흥원이 관장한다.
또 사이버범죄는 경찰청 사이버테러대응센터가 각각 담당하고 있다. 여기에 보안 산업 전반에 관한 사항은 지식경제부가 주관하고 있다. 사이버테러에 대한 주무부처가 사분오열로 나뉘어진 셈이다.
전문가들은 평소 기업과 정부 기관이 사이버 공격에 대한 정보 공유를 할 수 있는 채널을 만들고, 무엇보다 정보보호 정책을 총괄할 기구를 마련하는 것이 시급하다고 입을 모은다.
범국가적인 위험관리 체계에 대한 투자가 미흡했다는 비판도 나왔다. 안철수 KAIST 교수는 9일 자신의 블로그를 통해 "77 대란은 범국가적인 위험관리 체계에 대한 투자가 미흡했기 발생한 것으로 우리 스스로 자초한 측면이 있다"고 꼬집었다.
안 교수는 "미국과 일본의 경우 10년 전부터 전체 예산의 10% 정도를 보안에 투자하고 있는데 우리는 전체 예산의 1% 정도만 투자하고 있다"며 "1999년의 CIH 바이러스 대란, 2003년 인터넷 대란에 이어 이번 사태에 이르기까지 한국은 악성코드에 가장 많은 노출이 되고 있는 나라가 됐지만 사고가 일어난 후에도 별다른 조치가 취해지지 않았다"고 지적했다.
아울러 신속한 대응을 규정할 수 있는 관련 법들이 수년째 국회에 계류돼 있다는 점도 문제다. 개인정보보호법, 사이버위기대응법 등 사이버테러에 대비할 수 있는 법안들은 국회의 늑장대응으로 5년째 제 역할을 못하고 있다.
@include $docRoot.'/uhtml/article_relate.php';?>
김진오 기자 jokim@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>