7일부터 사흘간 이어진 디도스(DDoSㆍ분산서비스거부) 대란은 '정보기술(IT) 강국'이라는 미명 아래 가려진 우리의 헛점을 여실히 드러냈다. 전문 인력, 예산, 지휘체계, 관련 법 등 보완해야 할 문제점이 한 두 가지가 아니다. 그만큼 디도스 대란은 우리에게 재앙이자 교과서였다.
보안전문가ㆍ장비 보완 시급
급한 것은 인력이다. 이번 디도스 사태처럼 비상시 대응하는 국가의 전문 인력 부족이 가장 큰 문제다. 이를 분명하게 확인할 수 있는 정부관련 부서는 한국정보보호진흥원(KISA)이다.
KISA는 사이버 대란이 발생하면 현황과 대책을 강구하는 상황실 같은 곳이다. 그러나 내부를 들여다보면 역할에 걸맞지 않게 초라하다. 현재 KISA의 전체 인력은 250명. 이 가운데 사이버 사태에 대응하는 인터넷침해사고대응지원센터 인력은 센터장 포함 41명에 불과하다. 5년 사이 열악한 보수 때문에 보안 관련 전문 인력이 모두 빠져나간 결과다. KISA에 따르면 2004년부터 5년간 보안 관련 전문인력의 퇴직률 평균은 전체 직원대비 18%로, 현재 센터 인력과 비슷한 32명이 이직했다.
이들은 모두 연봉이 높은 통신, 포털, 호텔 등 업계로 빠져나갔다. KISA 관계자는 "연구직 초임 연봉이 2,300만원 수준"이라며 "임금에 불만을 갖고 많이 옮겼다"고 말했다.
상황이 이렇다보니 센터는 미국 컴퓨터긴급대응센터(CERT)가 하는 보안 기술 연구 개발은 꿈도 못꾼다. KISA 관계자는 "미 CERT는 전문가 40명이 오로지 연구개발만 한다"며 "우리는 사고처리나 전산망 감시활동에 모든 시간을 빼앗긴다"고 설명했다. KISA에 따르면 100명 정도 돼야 감시활동과 연구개발이 가능하다.
인력 뿐 아니라 장비도 문제다. 인터넷침해사고대응센터는 2003년 1월25일에 전국 인터넷망이 마비되는 1.25 대란이 터지고 나서 생겼다. 그때 도입된 장비들을 아직도 쓰고 있다. 지난해 20억원을 들여 장비를 추가로 늘리지 않았으면 이번 사태 때 분석은 엄두도 못낼 만큼 장비들이 낙후됐다.
보안업계 관계자는 "우리는 사고가 터져야 조직을 만든다"며 "이제는 인터넷침해사고대응센터 등 국가 사이버보안조직을 2.0으로 업그레이드하는 작업을 해야할 때"라고 지적했다.
컨트롤타워 및 관련 법 마련 필요
현재 우리는 사이버 비상 사태시 이를 통제하는 국가사이버안전전략회의가 있다. 국가정보원장이 주재하고 방송통신위원회, 행정안전부 등 11개 부처의 차관급이 참여하는 이 회의가 사실상 사이버 사태의 사령탑인 셈이다.
하지만 부처별로 나눈 역할을 유기적으로 연결해 통일된 움직임을 보이는 데는 한계가 있다. 실제로 이번 디도스 사태에서 각 관계 기관별 발표 수치나 내용이 제각각이었고 중복 업무로 시간을 낭비하는 모습을 보이기도 했다.
따라서 보안 전문가가 관장하는 사이버 컨트롤 타워가 필요하다는 지적이다. 황철증 방송통신위원회 네트워크정책 국장은 "미국 백악관 산하의 사이버 안보보좌관처럼 사이버 테러와 관련된 국가 안보를 총괄 지휘하는 사람이 필요하다"며 "나이 상관없이 관련 분야의 경험많은 전문가여야 한다"고 강조했다.
이를 위해서는 관련 법의 정비도 시급하다. 사이버 테러 대응을 위한 '사이버위기관리법'은 9개월째 표류중이다. 아울러 보안전문가들은 "공공과 민간분야의 보안의식 함양 및 사이버 보안 생활화가 절실하다"고 입을 모았다.
최연진 기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0