7·7 인터넷 대란과 ‘국가의 주책’

DDoS 문제의 핵심은 민간 부문의 허술한 보안 의식…
국가가 팔 걷고 나선다고 문제 해결되지 않아

‘서비스 거부 공격’(DoS·Denial of Service Attack)이란 어떠한 서비스를 정상적으로 사용하기 어렵게 만드는 것을 말한다. 인터넷은 거의 모든 서비스가 이용자에게 개방돼 있는데, 이러한 서비스에 일시에 과도하게 많은 접속이 일어나면 해당 서비스는 장애에 빠질 수밖에 없다. ‘분산형 서비스 거부 공격’(DDoS·Distributed DoS Attack)이란 이같은 접속이 여러 컴퓨터에 분산돼 이루어지는 경우를 말한다. 불과 몇 개의 컴퓨터에서도 짧은 시차를 두고 수많은 트래픽을 특정 대상 사이트에 집중시킬 경우 서비스 마비가 일어날 수 있고, 훨씬 더 많은 컴퓨터를 동원할 경우 특정 사이트만을 목표로 일반적인 웹서핑을 하듯 천천히 접속을 시도하더라도 동일한 결과가 발생한다.

‘공격의 재구성.’ 지난 7월8일 경찰청 사이버테러대응센터에서 정석화 수사팀장이 ‘7·7 대란 DDoS 개요도’를 펼쳐놓고 공격 흐름을 설명하고 있다. 악성 코드를 내려받은 5만여 좀비 컴퓨터는 미리 짜인 대로 특정 시간에 특정 사이트를 일제히 공격했다. 사진 한겨레 김태형 기자

과도한 접속으로 인한 사이트 다운과 같은 증세

사실 서비스 거부 공격에는 근본적 대책이 없다. 일반적인 이용자들의 특정 사이트 접속 시도가 일시에 과도하게 집중되는 것과 특정 사이트를 마비시키기 위해 악의적으로 분산 공격을 시도하는 것 사이에는 아무런 차이가 없기 때문이다. 인터넷의 보안 취약점을 사전에 파악해 공지하는 ‘서트’(CERT)가 서비스 거부 공격의 가능성을 1996년에 처음 알린 이후, 이에 대한 대응책으로는 의심스러운 접속의 유형을 분석해 차단하는 여러 가지 방법들이 소개됐고 그러한 방법을 구현한 보안 상품이나 서비스가 판매되기도 했다. 하지만 이번 청와대와 국정원 등 주요 인터넷 사이트에 대한 DDoS 공격 사태에서도 보는 것처럼 사전에 예고되지 않은 서비스 거부 공격에는 어떤 경우든 완벽한 해결책이 없다.

이번 서비스 거부 공격에서 보면 외부 지휘형, 자체 공격형, 스팸을 통한 트래픽 유발형, 감염 컴퓨터 데이터 손상형 등 악성 코드의 종류와 드러나는 피해 유형은 다양하다. 하지만 피해를 줄이는 측면에서 보면 사실 방법이 없는 것은 아니다. 첫째는 공개적으로 서비스하는 웹사이트의 경우 이런 공격이 발생했을 때 이를 이른 시간 안에 포착해서 대응할 준비를 미리 갖추는 것이며, 두 번째는 분산 공격에서 분산 공격 출발지가 되는 문제의 악성 코드 감염 컴퓨터의 수를 백신 등을 사용해 최대한 줄이는 것이다.

그런데 이 두 가지 측면에서 이번 7·7 인터넷 대란이 보여주는 것은 지난 2003년의 1·25 인터넷 대란 때와 본질적으로 하나도 달라진 게 없다. 공개적으로 서비스하는 사이트들의 대응 조처도 충분히 효과적이었다고 보기 어렵고, 이에 대응하는 기술과 인력이 2003년에 비해 비약적으로 늘어난 것처럼 보이지도 않는다. 이 점은 국가 공공 부문이라고 해서 더 나을 것도 없었다.

더욱 중요한 것은 이용자 쪽에서의 변화이다. 인터넷 이용 환경은 그야말로 세계 최고·최적의 수준으로 구축돼 있고, 이용자들의 네트워크 이용 실태도 다른 어떤 사회보다 역동적이고 적극적이라고 할 수 있는 반면, 개별 이용자들의 네트워크 보안 의식은 그만큼 진화하지 못한 것으로 보인다. 이번 7·7 인터넷 대란에서도 5만여 대의 좀비 컴퓨터가 이용됐고 이들 좀비 컴퓨터의 비정상적인 작동이 이른 시간 안에 제어되지 못했다는 것은 이용자 측면에서의 인터넷 보안 의식이 앞으로도 상당히 개선돼야 함을 보여준다.

별 생각 없이 소프트웨어 내려받는 관행이 문제

물론 이 대목에서는 국가공인인증서의 이용 과정이나 공공기관 웹사이트, 여러 상업 서비스 사이트 등에서 앞다투어 마이크로소프트사의 액티브엑스(ActiveX) 형태로 파일을 다운받아 서비스 기능을 추가하는 방식을 사용하고 있는 점을 돌아볼 필요가 있다. 이 방식은 악성 코드가 들어있을 가능성이 있는 소프트웨어들을 이용자들이 별다른 생각 없이 자기 PC에 설치하도록 하는 관행을 만들어왔다.

하지만 이같은 문제들이 드러났다고 해서 국가적 차원에서 사이버 테러를 방지하기 위한 어떤 특별한 조처가 필요하다는 주장을 하는 것은 사실 납득이 잘 가지 않는다. 그리고 이런 식으로 문제 해법을 제시하려는 발상법 자체가 오늘날 인터넷 네트워크에서의 보안 문제에 대한 본질적인 인식을 외면하고 있는 것으로 보인다.

무엇보다 가장 중요한 점은 이제 사이버 보안 문제가 특정 국가기관의 문제가 아니라 일반 이용자의 영역이 되었다는 점이다. 즉, 이제는 민간 영역의 보안 문제가 본질적인 문제이기 때문에 이를 해결하기 위해서는 민간 부문의 보안 관련 투자와 민간의 보안 관련 의식이 증대해야 하는 것이다. 이미 그간에 나타났던 몇 차례 서비스 거부 공격에서도 드러났듯이, 사태가 발생한 뒤에 국가가 팔을 걷고 나선다고 해서 특별히 문제를 해결할 수 있는 방법이 거의 없다. 국가가 할 수 있는 일은 기껏해야 이미 사회적으로 존재하는 보안 관련 기술과 인력이 서로 효율적으로 협력해 대응할 수 있도록 매개 역할을 하는 것뿐이다. 이것은 기존의 정보통신기반보호법이나 정보통신망법, 국가사이버안전관리규정으로도 충분히 가능하다.

물론 싱가포르 같은 나라에선 과거에 특정 서비스 업체가 각 가정과 회사의 모든 PC 내부의 악성 코드를 청소하도록 하는 방식을 시도하기도 했다. 이 방식은 특정 업체나 국가가 ‘사이버 보안’이라는 이름하에 개개인의 사생활이나 민간 기업의 영업 비밀에까지 마음대로 접근하는 것이다.

놀랍게도 이와 같은 발상법이 우리나라에도 등장했다. 그것이 바로 공성진 한나라당 의원 등이 발의한 ‘국가사이버위기관리법’이다. 이 법안에서는 ‘사이버 위기’를 명목으로 국가정보원장이 공공 부문뿐만 아니라 민간 부문까지도 모두 포괄해서 광범위하고 강력하게 집행할 수 있는 권한을 부여하고 있다. 예컨대 단순한 해킹 사고도 모두 국정원장에게 즉시 보고하고, 또 즉각 사고 조사 결과를 통보해야 한다. 필요한 경우에는 아예 국정원장이 직접 사고 조사를 할 수도 있다. 한마디로 네이버든 다음이든 혹은 우리 회사의 컴퓨터든 뭐든 필요하면 언제든지 국정원장이 모든 시스템에 직접 접근할 수 있도록 하는 것이다.

황당한 발상인 국가사이버위기관리법

그러나 이러한 법을 제정한다고 해서 7·7 인터넷 대란과 같은 사태가 방지될 수 있는 건 전혀 아니다. 오히려 이같은 강압적이고 사생활을 침해하는 제도는 민간 부문의 자발적인 보안 투자를 위축시키고, 민간의 보안 의식을 더욱 둔감하게 만들 수도 있다. 국가 사이버 위기는 곧 민간의 위기이며, 민간의 위기는 민간의 자발적 동력을 끌어낼 수 있을 때 비로소 본질적인 해결이 가능하다는 점을 상기해야 할 때다.

전응휘 녹색소비자연대 상임이사