[기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수

지난 보안뉴스에 기고를 하였습니다. 기고문은 우선 온라인 웹사이트에 발행이 되었고, 보안뉴스를 온라인 발행하는 "인포더"에서 월간잡지 "정보보호21C"에도 실리게 되었습니다. 오늘 정보보호 월간 매거진에서 확인을 하였습니다.

월간 매거진 "정보보호21C"


사진 원본 파일이 큰 사진을 보내 달라고 해서 보냈는데 웬지 급조한 티가 조금 나네요..이젠 좀 제대로된 프로필 사진 한개라도 준비를 해 놓아야겠습니다. 갑자기 사진달라고 하면 가끔 난감할때가 있습니다. 막상 보낼 사진이 없기 때문에 맨날 같은 사진 사용하려니..식상한거 같아서리..

아래에는 보안뉴스에 기고한 기고문입니다. 참고 하시기 바랍니다.

===================================================================================

반짝 보안에 대한 관심, 잊혀지지 않길 바래

지난 7월 7일, 지금으로부터 한달 전 국내 정부 사이트 및 쇼핑몰 사이트를 무력화 시켰던 DDoS 공격이 있은 후 딱 한달이 지났다. 벌써 우리는 또 다른 이슈에 묻혀서 사람들의 머리 속에서 잊혀지려고 하고 있다.

하지만 7.7 DDoS 공격으로 인하여 사람들 사이에서의 보안에 대한 인식의 변화는 조금 있으리라고 생각이 된다. 그 대표적인 것 중에 하나가 연일 방송과 언론에서 집중 보도 하는 바람에 국민들은 백신을 설치하고 점검해야 한다는 소리를 많이 듣고 자신의 PC가 좀비가 되지 않았을까 하는 걱정을 하는 이들도 많았고, 업계에서는 이에 대비하여 밤낮 없이 노력 한 결과 일반인들로 하여금 감사하다는 메일도 받았다는 업체도 있었다. 또한 이를 계기로 새로운 화두로 던져진 ‘DDoS’ 보안 시장에 출사표를 던진 업체도 눈에 보인다.

처음 사이트가 다운이되고 공격을 받고 있을땐 ‘북한 배후설’도 있었으며 콘트롤 타워가 없어서 우왕좌왕하는 모습은 역력하였으며, 일부 민간 보안업체는 관련 단체에 보고하느라 정신이 없었다고 한다. 시간이 지남에 따라 공격에 대한 추척도 나오고, 있지만 네트워크를 통한 국제적 공격은 공격자를 찾기도 쉽지 않고, 상당한 시간을 요한다.  일부 웹하드 업체에 있는 프로그램을 변조 시켜 그 프로그램을 다운받은 일반 PC들이 좀비로 되었다는 경찰의 발표도 있었다.

DDoS 공격은 침해사고의 한 예시일뿐 또 다른 위협도 많아

이번 DDoS 공격 사태에 대한 의미는 남다르다고 보겠지만 보안인식 수준에는 아직도 미미한 부분에 지나지 않은가 하는 생각이 든다. 그것은 DDoS 공격은 침해사고의 일부분에 지나지 않으며 또 다른 위협요소는 지극히 많다는 이야기이다.

잠시 작년의 기억을 거슬러 올라가 보자.

연초에 국내최대 쇼핑몰의 개인정보유출로 세상이 떠들썩 하였다. 또한 일부 정유사에서 개인정보유출로 인하여 수많은 국민의 개인정보가 유출되었음에도 불구하고 법률적 제도적 정비가 되어 있지않아 결국 법적 처벌도 할 수 없었다.  그 후속조치로 작년 12월 14개 준용사업자를 망법 제67조에 추가하는 법률을 개정하고 2009년7월1일자로 시행에 들어갔다. 하지만 아직도 그 준용사업자들은 이러한 사실을 모르는 것이 상당하다, 지금 작년 개인정보 유출에 대하여 기억하고 있는 사람이 몇 명이나 있겠는가?

얼마전 휴대폰으로 아파트 관리소장이라고 자신의 신분을 밝히면서 케이블 사업자에게 개인정보를 왜 넘겨 주었냐며 아파트주민이 관리소장에게 항의를 한다고 한다. 아파트주민이 개인정보유출에 대한 자신의 프라이버시를 주장하는 것이다. 자신은 이런 법률이 있는 줄도 몰랐다며 일반적인 관행이었고, 그분은 법적 처벌이 두려워 몇날 몇일을 잠을 못잤다고 하면서 자문을 구하기도 하였다. 주택관리업이 이번 준용사업자에 포함이 된 것이다.

이렇듯 아직도 우리 생활에는 보안에 대한 인식이 낮기만 하다. 이런부분은 관련기관에서는 오히려 더 신경을 써야만 한다. 형식적인 절차와 전시행정 보다는 우리의 정보 안전을 지킬수 있는 ‘보안문화’ 를 만들어야 한다. 그것을 개인이 잘못을 해서 원인되었다고 개인에게 책임을 전가하기보단 어떻게 하면 전 국민 보안의식 수준을 높일수 있을까에 대한 고민을 하여야 한다. 일시적 하드웨어 도입으로 보안에 대한 처방을 했다라고 하면 오산이다.

보안문화 창출을 위한 선순환 구조 마련 시급

무엇보다 ‘보안문화’를 창출해 낼수 있는 선순환 구조를 만들어야 하는 것이다 이에 필자는 거시적이고 장기적인 안목에서 다음과 같이 몇가지를 제안하고자 한다.

◇SIS 국가기술자격증 승격으로 보안인력 양성

◇공공기관 및 민간기업 정보보호 전공 담당자 책임 지정제

◇초,중,고교의 정보보호 과목 신설

◇정보보호 홍보대사를 이용한 범 국민 보안인식 캠페인

◇정보보호를 일관성 있게 추진 할수 있는 독립기관 마련

◇전 국민 보안업데이트 날 지정

◇국가에서 일부 비용 지원하여 백신 정품 사용

상당히 거창해 보이고 큰 일처럼 보일지라도 조금씩 천천히 바꾸어 나가면 된다. 차라리 안되는 것 보다는 하나라도 되는 방향으로 장기적인 안목에서 국내 사이버 안전에 대한 대응 방안을 찾아야 할 것이다. 그렇지 않고서는 언제 어떻게 또 국내 주요 사이트가 마비가 되어 국제적인 망신을 당하는 일은 없어야 할 것이다. 그때마다 수백억씩 긴급 예산 편성을 하여 임시처방을 할순 없지 않은가?

이제 한달이 지났다. 앞으로 DDoS 공격 사태에 대한 기억은 또 다른 사회적 이슈로 인하여 가슴 저편으로 사라져 버릴 것이다. 하지만 늘 일상 생활에 ‘보안문화’를 정착 시킴으로 인하여 또 다른 위협에서 자신의 소중한 ‘정보의 보호’와 국가의 사이버 안전을 지킬수 있도록 민.관,학 협동으로 다 같이 동참해야 할 것이다.

[글· 전주현 보안인닷컴 운영자  sis@sis.pe.kr]

====================================================================================================================

최근 제가 블로그를 통하여 제안한 내용들이 정보보호정책에 간간히 묻어 나오는 것을 보면서 정책 담당하시는 분이 저와 생각을 같이 하는 것인지 아니면 검색하다가 이곳저곳에서 참고 하여 정책 수립을 하는것인지는 잘 모르겠으나 아무튼 발전방향이 같아서 다행스러움을 느끼게 됩니다. 더욱 정보보호 인식확대와 수준제고에 일조하는 글들을 많이 쓰겠습니다. 감사합니다.