◆ 사이버테러 대응 이대론 안된다 (1) ◆

"평소 그렇게 보안 컨트롤타워 중요성을 주장했건만…."

DDoS(분산서비스거부) 사태가 발생한 이후 보안업계 전문가가 한탄하듯 쏟아낸 말이다. DDoS 공격으로 인해 국가가 '패닉' 상태에 이르렀지만 평소 이를 전담하는 주무부처조차 없었다는 것이다.

그는 "사이버 보안을 관장하는 정부부서가 방송통신위원회, 국가정보원, 지식경제부, 행정안전부 등에 분산돼 있는 상황"이라며 "이래서는 체계적으로 제대로 된 보안 정책을 펼치는 게 불가능에 가깝다"고 말했다.

미국은 연간 정보기술(IT) 예산의 5% 정도를 사이버 보안에 투자하도록 규정하는 가이드라인을 세우고 사고가 발생하면 정부 매뉴얼이 자동으로 가동되는 구조다. 이에 반해 한국은 사고가 터질 때마다 임기응변식 대처를 되풀이하며 후진적인 보안체계를 드러내고 있다.

보안을 전문적으로 다루는 부처가 부재한 탓에 사고를 수습하는 과정도 매끄럽지 못했다는 목소리가 높다.

방통위가 사건 발생 후 6시간이 지나도록 대국민 경보 발령을 미룬 것이 대표적인 사례다. 방통위는 7일 오후 6시40분께 주요 정부기관 사이트와 포털에 DDoS 공격 사실을 인지하고도 인터넷 침해사고 경보단계 중 '주의'경보를 다음날인 8일 오전 1시가 넘어서야 발령하는 등 늑장대처로 일관했다.

자정이 넘은 시간에 경보가 발령되면서 감염된 PC를 보유한 사용자 가운데 상당수가 오전 출근 이후 문제의식 없이 PC를 켠 탓에 상황이 악화됐다는 것이다.

보안 업계 관계자는 "공격 사실을 인지하자마자 바로 경보를 발령했다면 피해를 최소화할 수 있었을 것"이라며 "통상 한두 시간 안에 상황을 파악해야 했을 주무부서가 6시간 만에 조치에 나선 것은 이해할 수 없다"고 말했다. 8일 자정께 이명박 대통령에게 상황이 보고됐지만 이 역시 문제가 심각해진 이후 '사후 보고'에 지나지 않았다는 지적이다.

대응책을 마련하는 과정에서도 부처간 권한과 책임이 분배되면서 우왕좌왕하는 양상이다.

황철증 방통위 네트워크국장은 "청와대와 국방부 사이트는 국가사이버안전센터와 행정안전부 책임이라 방통위가 대응책을 내놓기 어려운 상황"이라고 털어놨다.

민간부문 피해에 대해서는 방통위가 대책을 마련해야 하지만 공공부문은 국정원과 행안부가 담당해야 하는 구조라는 것. 과거 정보보호정책을 관장했던 정보통신부 업무가 여러 부처에 분산됨에 따라 개별 부처의 업무 범위에 대해 실무진간 혼선을 피할 수 없는 상황이다.

정부 관계자는 "공공과 민간부문 피해가 종합적으로 얽혀 있어 이를 포괄하는 대책을 마련하는 것이 쉽지 않다"고 말했다. 한국정보보호진흥원(KISA)이 사고 발생 2~3일 전 민간부문에 DDoS 공격이 진행되는 징후를 포착하고도 평소 정부와 원활한 교류가 없었던 탓에 초기 대응에 실패했다는 지적도 높다.

개인과 기업 피해에 대해서도 정부는 '권고' 형태 지침만 제공할 뿐 사실상 손을 놓고 있는 실정이다.

업계에서는 지금이라도 정부가 제대로 된 사이버 컨트롤타워나 사이버 워룸을 만들고 전문 인력을 집중 육성해야 한다고 지적하고 있다.

'사후약방문'식 대책으로는 근본적인 문제에 접근할 수 없다는 것이다.

이희조 고려대학교 교수(컴퓨터학과)는 "지금같이 권한과 책임이 부처별로 나뉘어 있는 상황에서는 효과적인 대책이 나올 수 없다"며 "정부와 민간 합동으로 전투적으로 상황에 대처할 수 있는 통합된 조직을 마련하는 것이 시급하다"고 말했다.

이에 전문가들은 청와대 사이버안보보좌관(가칭) 등을 신설하고 사태 이후에도 사이버 보안 전문 기구를 신설해야 한다고 목소리를 높이고 있다. 정진홍 서울과학종합대학원 산업보안MBA 교수는 "이번에는 홈페이지 다운 정도로 그쳤지만 향후 더 큰 피해가 있을 수 있다"며 "전문기관을 통한 체계적인 인력 양성과 부처 통폐합이 요구된다"고 조언했다.

[유진평 기자 / 홍장원 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]

모바일로 읽는 매일경제 '65+NATE/MagicN/Ez-I 버튼'