질문은 총 7가지로 이뤄져 있으며, 대부분 Xeraph님의 제기하신 반론에 근거를 두고 있습니다. 이 인터뷰에 있어서 잘못 표기된 부분이 있다면, 그것은 전적으로 글을 쓴 제가 책임질 몫입니다. 그것을 전제로 읽어주셨으면 좋겠습니다.
1. 이번 디도스 공격을 사이버 테러라고 볼 수 있을까요?
논란의 여지가 있지만, 보는 관점에 따라 다르게 보일 수 있을 것 같습니다. 자세한 것은 원인 규명이 되야 밝혀지겠지만, 그건 현재로서는 어려운 편이구요. 기간 시설의 홈페이지가 공격받았다는 것을 중요하게 여기는 분들 입장에선 사이버 테러라고, 기술적인 면을 보시는 분들은 그냥 디도스 대란이라고 보시는 것 같습니다.
다만 이번 바이러스 공격은 조금 더 지능적인 면을 띄고는 있습니다. 바이러스에 걸린 사람들이 잘 눈치채기 어렵게 소량의 트래픽만을 발생시켰으며, 대신 많은 PC를 감염시켜서 공격했기 때문입니다.
2. 이번 사건에 있어서 정부와 일반 기업의 유기적 공조는 어떻게 이뤄졌는 지가 궁금합니다.
예전에는 정통부로 일원화되어 있었는데.. 지금은 각각의 기관으로 따로나뉘어 있어서, 민간업체의 입장에서는 좀 곤혹스럽습니다. 지금 당장만 봐도 행안부, 재경부, 국정원, 경찰, 지경부, 방통위, 기무사, 국방부… 각각의 정부 부서들이 저마다 자기 영역을 가지고 있고, 자기 영역을 우선시 하는 경향이 있거든요. KISA와 ISP 업체들과의 협조등도 어느 정도 이뤄지고 있는 편입니다만…
이번 사건에서도 드러났지만, 한국은 인터넷 인프라가 발달해 있어서 바이러스 공격을 받기 좋은 나라입니다. 그런 상황을 감안해서라도 위기 관리를 위한 전체적인 콘트롤 타워가 필요하다는 생각입니다. 저는 최소한 대통령 직속수준 이상이어야 한다고 생각합니다.
3. 사이버 테러법이 입법되면 콘트롤 타워가 설치되고, ISP등이 능동적으로 빠르게 대응할 수 있으므로 필요하다-라는 의견과 정통망법 개정으로 충분하다는 의견이 있습니다. 어떻게 생각하시는 지요?
정보통신망법은 너무 낡았습니다. 예전에 재정되어, 현재 발달된 사회 환경을 반영하지 못하는 면이 많습니다. 국가 안보의 문제에 국한해, 민간에 대한 간섭이 최소한으로 되는 수준이라면, 사이버위기대응법 같은 것도 필요할지도 모른다는 생각은 하고 있습니다.
무엇보다 제대로 위기 관리를 하려면 근거할 수 있는 법 조항이 필요한데, 그와 관계된 법이 없습니다. 이로 인해 오히려 보안기업이 악성코드등을 유포하는 기업들에게 영업방해등의 혐의로 소송을 당하는 경우도 있습니다. 솔직히 개인 정보 보호법이라도 빨리 처리되었으면 하는 바램이 있습니다.
4. 좀비PC의 인터넷 접속을 끊는 것이 맞다 vs 아니다의 의견 대립이 있습니다. 어떻게 생각하시는 지요?
역시 논란이 있는 사안으로 알고 있습니다. 개인적인 권리 침해의 문제가 아닌가 생각합니다. 국가안보차원이라면 몰라도, 쉽게 끊을 수는 없는 문제로 보고 있습니다. 무엇보다 민간-개인의 권리는 우선시 되어야 합니다.일방적으로 범죄에만 이용되는 PC라면 모르겠지만, 악의없이 정상적으로 사용하고 있는 이용자의 PC라면, 끊어서는 안된다고 생각합니다.
5. 행정기관의 디도스 관련 외교 대응이 잘되고 있다 vs 아니다-라는 의견이 있습니다. 현재 업체에서 체감으로 느끼는 국가의 외교 대응은 어떤 수준인지 궁금합니다.
방통위라고는 하지만, KISA(한국정보보호진흥원)의 행보에 대한 평가가 되겠네요. 이젠 어느정도, 외국과의 네트워크가 잘 이뤄지고 있는 것으로 알고 있습니다. 하지만 사실, 외교관계로 풀 수 있는 문제가 많지는 않아요. 아직 국가간의 협정도 정비가 안되어 있는 상태고. 정보 분석 기술 인력 숫자도 적은 것으로 알고 있습니다.정작 중요한 것은 외교보다는 국내의 보안 실력을 키우는 일입니다. 2003년 인터넷 대란때만 해도 240여개가 넘어가던 보안 업체들이, 이젠 수십백여개만 남았습니다. 이런 것들이 무엇을 의미할까요. 보안 업체들의 현황은 악화되고 있는 상황입니다. 결국, 나름대로 하고는 있지만 그것만으로는 해결되지 않는 일이 너무 많다-라고 요약할 수 있겠네요.
6. 보안기술 개발에 좀더 투자해야 한다는 의견 vs 이미 KISA나 중기청에서 기술 개발 지원 잘 하고 있다. ETRI에서 기술 이전 잘 하고 있다는 의견이 있습니다. 현장에선 어떻게 느끼고 계신지 궁금합니다.
하나도 안되고 있습니다. 솔직히 말해, 아무도 신경쓰지 않습니다. 예전 정통부에서도 마찬가지였고, 지금 지경부에서도 찬밥 신세입니다. 보안은 재난과도 같습니다. 언제 어떻게 올 지는 아무도 모르죠. 다만, 피해를 예방하고 줄일 수가 있을 뿐. 그렇지만 당하기 전에는 아무도 신경을 안쓰지요.
지금 기업 전산실이나, 정부기관 전산부서의 상황을 보세요. 권한도 없고 예산도 삭감되고 있는 상황입니다. 의식을 바꾸지 않으면, 보안에 제 값을 투자하려는 생각을 가지지 않으면 어렵습니다. 그렇지만 어지간한 크기의 기업들도 보안을 돈 내고 사야하는 것으로 보는 사람은 없지요.
7. 바이러스 백신 프로그램은 사야한다 vs 이미 알약 때문에 시장 판도가 바뀌었는데, 일반 사용자들이 굳이 살 필요까지 있겠냐-는 의견 대립이 있습니다. 의견을 부탁드립니다.
역시 논란이 있는 문제라고 알고 있습니다. 업체입장에서야 무조건 사야만 하는 거라고 이야기하고 싶지만, 그렇게 얘기하긴 어렵겠지요. 🙂 그렇지만.. 다들 아시다시피, 백신은 서비스입니다. 24시간 돈이 들어가는 제품입니다. 항상 감시해야하고, 백신을 업데이트해야만 한다는 것은, 다들 알고 계실거구요.
기왕이면 사주시는 쪽이면 좋겠습니다. 일본의 경우 1조원 규모의 백신 시장이 형성되어 있는데, 그 가운데 1/3이 개인 시장입니다. 한국은 거의 없는 편이구요. 보안에서는 기업이 살아야 보안도 삽니다. 보안 인력도 키울 수가 있구요. 그런데 그럴려면 모두 돈이 들어갑니다.
정말 꼭 필요한 서비스는 저희도 무상으로 제공해 드리고 있습니다. 그러니 가급적, 사시는 쪽으로 생각을 해주시면 고맙겠습니다.
…그 밖에 오프 더 레코드의 이야기도 몇개 들었지만, 그 이야기는 싣기가 어려워서 뺐습니다. 이해해주세요. 사실, 인터뷰를 하면서 내내 드는 생각은, 저도 잘 모르고 있는 부분이 많이 많구나…하는 쪽입니다. 예를 들어 KISA와 ISP 업체들과의 관계나, 정보통신보안이 어떤 구조로 협조체계를 만들어가고 있는가-하는 부분이나.
사이버위기대응법이나 개인정보보호법이 어디는 문제가 있고 어디는 먼저 통과시키면 좋겠는지-하는 부분도 그렇구요. 그런 부분에 있어서 친절하게 설명을 해주실 분들이 계시면 좋겠지만… 제가 그동안 쌓아놓은 덕이 있어서, 그런 것이 쉽지 않겠죠. 🙂 덕분에 정말 몇년만에 남자와 30분 가량 통화하는 일이 벌어졌습니다…ㅜ_ㅜ
이상이 제가, 다른 분들의 반론을 받은 사항에 대해, 업체 관계자 분에게 물어본 내용들입니다. 여기서도 더 모르는 부분이 생기면, 때되면 더 파고 들어가겠지요. 아참 마지막으로, 저는 사이버 테러에 대해 미 조지타운 대학 도로시 데닝(Dorothy Denning) 교수의 의견을 따르고 있음을 밝힙니다. 찾아보니, 2002년에 이 규정에 대해 이미 정리된 내용들이 있더라구요. 그 내용은 아래와 같습니다.
데닝 교수를 비롯한 전문가들은 사이버 공간에서의 공격(attack)과 테러(terror)를 구분한다. 데닝 교수는 한 심술 사나운 해커가 악성 바이러스를 퍼뜨림으로써 수십억달러의 손해를 입히고 수백만명에게 스트레스를 줄지라도, 이를 테러로 규정하기는 어렵다고 본다. 이는 파괴행위, 만행(vandalism), 절도, 사기, 강탈로 볼 수는 있지만 9·11에서 목격된 바처럼 무시무시한 공포를 일으키는 테러는 아니라는 얘기다. 데닝 교수가 규정하는 ‘사이버 테러’는 발전소나 화학공장 등 주요 인프라의 컴퓨터 운용체계를 공격해 대량 살상을 저지르는 경우다.
도로시 데닝 교수의 PPT 발표 자료는 아래에 파일로 첨부합니다.