지난 2월 22일 국회의원회관 소회의실에서 ‘국가 사이버 안보 정책 포럼 워크숍’이 개최됐다. 이번 워크숍은 국회 유정복, 변재일, 서상기, 김종태, 민병주 의원실에서 주최하고 한국정보보호학회, 국가사이버안보포럼, 해킹보안기술포럼이 주관했다.
 
이날 워크숍 마지막 시간에는 국가 사이버 안보 정책 토론회가 열렸다. 토론 참석자는 김우한 정부통합전산센터 센터장, 김영대 법무부 형사사법공통시스템운영단 단장, 이재일 한국인터넷진흥원 단장, 정준현 한국사이버안보법정책학회 회장, 조규곤 지식정보보안산업협회 회장 등이 참석했고 사회는 염흥열 순천향대교수가 진행했다.
 
김우한 센터장은 “정부통합센터는 사이버 전장의 최전선에 서 있다. 항상 긴장감이 감돌고 있다”며 “이런 상황에 사이버 대응업무가 힘든 것은 바로 정보공유가 어렵다는 점이다. 공격자들은 마음대로 돌아다니는데 이를 막고 보호해야 할 사람들은 정보공유에 제약이 너무 많다. 통신사실확인 자료도 공유하기 힘든 상황이다. 제도개선이 필요하다. 수세적 대응보다는 공세적 대응이 필요한 상황이다”라고 강조했다.
 
이재일 KISA 단장은 “최근 사이버 공격은 일반사용자 PC를 감염시켜 다양한 공격활동을 진행하고 있다. 즉 일반인들의 PC가 피해자인 동시에 가해자로 악용되고 있다”며 “이런 상황임에도 불구하고 법은 아직 이를 따라가지 못하고 있다. 이용자를 포함한 새로운 사이버 법제 개선이 필요하다”고 강조했다.
 
이 단장은 “좀비PC로 확인될 경우 이용자는 감염상태 체크와 치료를 의무화할 필요가 있다. 다른 PC를 감염시키고 공격에 악용될 수 있는 위험성이 크기 때문이다. 현재는 이를 강제로 규제할 방법이 없다”며 “7.7 DDoS 공격때 11만대의 좀비PC가 이용됐다. 올해도 7만대 가량의 좀비PC가 만들어져 동작하고 있다. 침해사고 원인분석과 피해확산을 위해 이용자 감염 PC를 조사할 수 있는 법규정이 마련돼야 한다”고 밝혔다.
 
그는 “이용자의 동의 후 감염 PC를 조사할 수 있는 권한이 있어야 한다. 7.7 때도 관련 규정의 한계로 조사에 어려움이 컸다”며 “18대 국회에서 한선교 의원이 발의한 좀비PC확산방지법을 다시 추진해야 한다. 다양한 부분에서 책임이 지워지는 방향으로 법이 만들어 져야 한다”고 제안했다.
 
사실 한국인터넷진흥원에서 취약점 혹은 감염 PC에 대해 개인이나 기업에 알람을 줘도 강제성이 없기 때문에 무시되고 제대로 치료가 이루어지지 않고 있다고 한다. 이를 방치할 경우 향후 더 큰 사이버 공격을 양산할 수 있는 상황이기 때문에 이에 대한 법적 규정 마련이 시급한 상황이다.
 
정준현 회장도 “사이버 안전을 위해 모든 분야에서 일부분 희생을 해야 한다는 국민적 공감대가 중요하다”며 법 규정 마련이 필요하다는 의견에 동의했다.
 
조규곤 회장 또한 “사생활 침해 등 고려해야 할 부분들이 많은 것 같다. 이런 부분들에 대해 국민적 공감대가 형성될 수 있도록 법을 마련해 좀비PC가 되도록 방치한 개인과 기업에 대해서도 책임을 묻고 개선될 수 있도록 조치해야 한다. 지금은 어떠한 통제 방법도 없다. 관련 법 제도를 마련해 사용자와 소프트웨어, 장비 제조사 모두가 좀더 안전한 사용과 제품을 만들기 위해 노력하는 사회 시스템을 만들어야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com