IT/과학

보다 정의롭고 모두가 행복한 미래사회를 위해 달리는 경실련의 최근 이야기를 한자리에 모았습니다.
[과학/정보통신] 인터넷 마비 사태 및 정부종합대책에 대한 의견서
2003.02.05
3,806

 

  2003년 1월 25일 발생한 소위 인터넷 대란과 그에 대한 정부의 대응을 지켜보면서 안타까운 마음을 금할 수 없다. 그동안 정부는 정보통신 정책에 있어서 세계 최고의 초고속 인터넷망 구축 및 가입자 비율 달성, CDMA, LBS 등 큰 실적 위주의 정책을 구체화하는데 심혈을 기울여 왔다. 문제는 이러한 실적위주의 정책만큼 중요한 문제인 개인 소비자의 개인정보보호나 보안, 통신서비스 품질 등에 대해서는 매우 소극적인 자세로 일관해왔다는 점이다. 이번 사태에 대한 정보통신부의 보도자료를 보아도 실질적인 대책이나 소비자에 대한 보상 등의 문제는 외면한 채 원론적인 대책이 나열되고 있다. 이러한 접근방식의 대책으로는 이번과 같은  사태가 언제든지 다시 발생할 수 있어 우려하지 않을 수 없다.

 

  정부는 이번 사태를 계기로 사이버 방위팀 구성이니, 보안펀드 조성이니 하여 조직신설 및 자금 조성부터 하겠다고 하고 있다. 소비자의 보호와 사고재발방지를 위한 근본대책의 마련보다는 새로운 기구, 기금의 조성을 앞세우고 있어 조직의 발전부터 꾀하려는 태도가 아닌가 하는 의구심을 갖게 한다. 조직신설과 자금 조성을 논하기 전에 우선 정부는 이번 일로 피해를 입은 국민과 소비자에게 사과하여야 한다. 또 이 같은 사고의 발생을 결정적으로 방조한 기존의 허술한 보안체계를 근본적으로 개선하기 위해 법제도상의 미비사항을 정비하는 것이 우선적으로 필요한 일이라고 사료된다.

경실련은 이번 사태에 대한 정부의 대응과정과 발표된 대책에 대하여 다음과 같은 의견을 제출하며 앞으로 이런 사태가 재발되지 않도록 정부의 각별한 노력과 대비책 마련을 촉구한다.

 

1. 정부는 우선 인터넷 보안에 대한 법정비를 서둘러야 할 것이다. 인터넷은 전화망과 달리 자생적인 생물체와 같아서 끊임없이 변화한다. 따라서 정부의 인력만으로 인터넷을 구성하는 통신망 및 서버 등을 통제한다는 것은 불가능하다. 즉, 사이버 방위팀 등의 제한된 인력으로 작금의 사태와 같은 현상을 미리 감지하거나 방지한다는 것은 매우 어려운 일이다. 따라서 통신망이나 서버를 운용하는 기업들이 자발적으로 보안에 대해 높은 관심을 가질 수 있도록 할 수 있는 법적인 정비가 필수적이라 하겠다. 즉, 대형 ISP의 보안 관리요원의 자격기준과 인력확보기준, 적절한 보안관리기준을 명확하게 규정하고 법규에 정한 보안 수칙을 어겼을 때의 강력한 처벌 기준을 마련하고 소비자 피해의 배상 등에 관한 법적인 정비를 한다면 정부가 직접 나서지 않더라도 기업체들이 스스로 자신이 보유한 통신망 장비 및 서버에 대한 보안 관리에 철저를 기하게 될 것이다.

 

2. 이러한 법적인 정비를 한 연후에 조직과 자금을 논할 수 있을 것이다. ISP가 사전에 보안관리를 제대로 하지 않는 상태에서 사이버방위팀 같은 연합조직으로는 효과적인 역할을 하기가 전혀 불가능하다. 소잃고 외양간 고치려는 식의 대응이 반복될 것이다. 보안에 대한 사전조치와 대응은 법적인 정비를 통해 ISP가 자체적으로 할 수 있도록 하고, 신기술 연구 개발 및 자문을 위해 출연연구소, 대학연구소, 보안업계에 지원을 확대해야 할 것이다. 또한 정보보호진흥원, ETRI 등 기존의 연구조직을 재편하여 독립된 보안연구소간의 선의의 경쟁을 할 수 있는 체제를 만들어 보안관련 연구 개발을 활성화시켜야 할 것이다.

 

3. 이번 사태를 두고 불가항력적인 사태라 운운하는 것은 자신들의 실수를 감추려는 시도에 불과하다. 이번 사태는 기업체의 서버 관리자가 MS SQL을 사용하는 서버에 대한 보안 패치만 제때 시행하여 왔으면 막을 수 있는 사태였다. 특히 통신망까지 보유하고 있는 사업자는 이와 더불어 라우터 등 통신망장비의 보안에 대한 관심을 기울여왔다면 1월 30일의 두번째 사태도 미연에 차단할 수 있는 사태였다.라우터 등 네트워크 장비는 통신망의 핵심요소이나 보기와는 달리 보안에 상당히 취약한 장비라는 점을 인식하고 중점적으로 관리해왔다면 30일의 사태는 막을 수 있었을 것이다. 즉, 이번 25일과 30일의 사태는 막을 수 없는 불가항력적 사태가 아니라 보안체계에 대한 안이한 인식과 허술한 대처가 낳은 인재라고 할 수 있는 것이다. 따라서 개인 및 기업 소비자에 대한 적절한 보상이 이루어져야 한다.

  정부는 KT 등 대형업체를 두둔해서는 안 된다. 엄정하게 책임을 묻고 소비자가 입은 피해를 배상하도록 함으로써 기업의 보안의식을 제고시키고 실질적인 대책을 강구하도록 함으로써 향후 이와 같은 사태의 재발을 막을 수 있다는 것을 인식해야 할 것이다.

 

4. Microsoft사도 보안 패치를 만들고 이에 대한 설치를 권고했다는 것만으로 책임을 면할 수는 없을 것이다. 보안패치의 설치가 번거롭고, 패치의 설치로 인해 시스템에 다른 문제점이 발생하여 왔다는 점은 관리자가 패치 설치를 하지 않았던 중요한 한가지 원인이다. 따라서 Microsoft사도 역시 이러한 점에 공동의 책임이 있다. Microsoft사 역시 ISP와 함께 소비자의 피해배상에 공동의 책임을 져야 할 것이며 향후 보안패치의 설치여부를 일일이 관리할 수 있도록 하는 시스템을 구축해야 할 것이다.

 

5. 이번 사태는 통신망을 통해 MS SQL 서버를 공격하는 바이러스에 의해서 인터넷이 마비된 초유의 사태이다. 정부는 인터넷 마비라는 초유의 사태 이후 대국민 대처방안을 발표하여 바이러스에 대한 대처방안을 제시하였지만 이것은 소읽고 외양간을 고치는 격이다. 컴퓨터 바이러스는 그 종류가 수없이 많으며 그 특성 또한 매우 다양하여 적시에 조치를 취하는 것이 매우 중요하다. 또한 바이러스의 전파는 대부분 인터넷 사용자들의 클라이언트(사용자 컴퓨터)를 통해 전파되는 것이 대다수이기 때문에 인터넷 사용자들의 바이러스에 대한 보안 인식을 제고하는 것이 바이러스에 의한 피해를 최소화할 수 있는 최선의 방책일 것이다. 이번 사태의 경우에는 단지 서버에 국한된 바이러스 공격이었지만 그 과정을 보면 인터넷 사용자간의 바이러스 전파가 주요 원인이라 할 수 있다.

  정부는 컴퓨터 관련 전문가 뿐 아니라 일반 인터넷 사용자들에게도 보안의 인식을 증대시킬 필요가 있다. 따라서 정부는 보안관련업체의 지원과 함께 보안관련 정보를 보다 쉽게 일반인들이 접할 수 있도록 해야 할 것이며 아울러 보안인식 제고를 위한 교육을 지원하는 정책도 필요하다.