‘DDoS 사태’로 드러난 문제점
임현주기자 korearu@kyunghyang.com
ㆍ정부 - 컨트롤타워 부재
ㆍ기업 - 보안인력 태부족
ㆍ개인 - 백신 설치 소홀
이번 분산서비스거부(디도스·DDoS) 공격 사태는 ‘세계 1위의 IT 강국’이라는 위상에 걸맞지 않은 허술한 사이버 보안 현실을 여실히 보여줬다.
정부는 제대로 된 컨트롤 타워도 없이 대처할 방법을 찾지 못해 허둥댔고, 기업과 개인도 미리 했어야 할 준비를 사태가 터지고 나서야 시작했다. 이 때문에 함께 공격을 받은 미국은 별다른 혼란 없이 사태가 마무리된 반면, 우리나라는 며칠 동안 나라 전체가 시끄러웠다.
이번 디도스 공격 사태 내내 정부 기관들은 우왕좌왕했다. 전문 능력이 부족한 데다 사이버 보안을 총체적으로 책임질 컨트롤 타워까지 없었기 때문이다.
정부는 지난 7일 저녁 디도스 공격이 발생한 뒤 6시간가량이 지나서야 대국민 경보 발령을 내렸다. 국정원이 지난 4일 미국에서 먼저 디도스 공격이 발생하는 등 조짐이 있음을 알고도 관련 기관에 미리 알리지 않은 탓이 컸다.
방송통신위원회도 며칠이 지나도록 “한국정보보호진흥원(KISA)의 샘플 분석 결과가 정확히 나온 게 없다”며 원인 분석도 하지 못한 채 허둥거렸다. 관련 정보를 모으고, 지휘하는 사령탑은 정부 어디에도 없었다. 이 과정에서 국정원은 근거도 없이 ‘북한 배후설’을 내놓아 혼란만 가중시켰다.
만약 안철수연구소 등 민간 보안업체들이 원인을 찾아내고 백신을 만들어 유포하지 않았다면 사태는 더욱 확산됐을 것이 틀림없다.
사실 사이버 보안을 책임질 컨트롤 타워 부재에 대한 우려는 이명박 정부 출범 초기부터 제기됐다. 옛 정보통신부가 해체되면서 정보보호 기능이 행정안전부, 국정원, 방송통신위원회, 한국정보보호진흥원, 지식경제부 등으로 나뉘었지만 이를 조정할 기구는 만들지 않았기 때문이다.
정부의 투자도 미흡하다. 기획재정부에 따르면 올해 정부의 정보보호 분야 투자 예산액은 1742억원으로 정부의 전체 정보화 예산 3조1555억원의 5.5% 수준이다. 2007년 957억원에 비하면 크게 늘어났지만 외국에 비하면 여전히 부족하다는 평가다.
미국의 경우 정보화 대비 정보보호 예산 비율이 우리나라의 두 배 수준에 이르고, 국토안보부(DHS)의 내년 사이버 보안 분야 예산은 426억달러(55조3800억원)에 이른다.
각 기업과 개인들도 책임에서 자유롭지 못하다.
지난해 실시된 기업별 정보보호 실태 조사결과 전체 기업 29만곳의 절반에 가까운 44.5%가 정보보호 관련 지출이 전혀 없다고 답했다. 정보화 투자와 비교해 정보보호 투자 비율이 1% 미만이라는 응답도 22.2%에 달했다. 전체 기업의 3분의 2는 보안시스템이 없는 것이나 마찬가지인 셈이다.
사이버 보안이 고객의 개인정보와 재정 보호로 직결되는 금융·보험업계도 보안시스템은 허술했다. 금융·보험업체 1만6532곳 중 약 20%가 보안패치를 수동 업그레이드하거나 사고 뒤에만 업그레이드했고, 아예 관련 프로그램을 설치하지 않은 곳도 있었다.
개인들도 마찬가지다. 현재 전국에 보급된 3000만대의 PC 가운데 200만대 이상이 백신을 전혀 사용하지 않고 있는 것으로 알려졌다. 나머지 PC들에도 가짜나 구형 백신이 깔려 있는 경우가 많다는 게 보안업계의 얘기다.
정부와 기업·개인의 외면 속에 국내 보안업체들은 지난해 기준 매출액이 151곳을 합해 7724억원 수준에 그쳐 우수 인재를 끌어들여 질적인 발전을 이루는 데 어려움을 겪고 있다.
안철수연구소 김홍선 대표는 13일 “실력있는 인재들이 포털과 대기업으로 빠져나가 보안업체들은 인력이 절대적으로 부족하다”며 “큰 사건이 터졌을 때만 관심을 갖고, 시간이 지나면 금방 잊어버려서는 이런 사태가 반복될 수밖에 없다”고 말했다.
<임현주기자 korearu@kyunghyang.com>
ㆍ기업 - 보안인력 태부족
ㆍ개인 - 백신 설치 소홀
이번 분산서비스거부(디도스·DDoS) 공격 사태는 ‘세계 1위의 IT 강국’이라는 위상에 걸맞지 않은 허술한 사이버 보안 현실을 여실히 보여줬다.
정부는 제대로 된 컨트롤 타워도 없이 대처할 방법을 찾지 못해 허둥댔고, 기업과 개인도 미리 했어야 할 준비를 사태가 터지고 나서야 시작했다. 이 때문에 함께 공격을 받은 미국은 별다른 혼란 없이 사태가 마무리된 반면, 우리나라는 며칠 동안 나라 전체가 시끄러웠다.
이번 디도스 공격 사태 내내 정부 기관들은 우왕좌왕했다. 전문 능력이 부족한 데다 사이버 보안을 총체적으로 책임질 컨트롤 타워까지 없었기 때문이다.
정부는 지난 7일 저녁 디도스 공격이 발생한 뒤 6시간가량이 지나서야 대국민 경보 발령을 내렸다. 국정원이 지난 4일 미국에서 먼저 디도스 공격이 발생하는 등 조짐이 있음을 알고도 관련 기관에 미리 알리지 않은 탓이 컸다.
방송통신위원회도 며칠이 지나도록 “한국정보보호진흥원(KISA)의 샘플 분석 결과가 정확히 나온 게 없다”며 원인 분석도 하지 못한 채 허둥거렸다. 관련 정보를 모으고, 지휘하는 사령탑은 정부 어디에도 없었다. 이 과정에서 국정원은 근거도 없이 ‘북한 배후설’을 내놓아 혼란만 가중시켰다.
만약 안철수연구소 등 민간 보안업체들이 원인을 찾아내고 백신을 만들어 유포하지 않았다면 사태는 더욱 확산됐을 것이 틀림없다.
사실 사이버 보안을 책임질 컨트롤 타워 부재에 대한 우려는 이명박 정부 출범 초기부터 제기됐다. 옛 정보통신부가 해체되면서 정보보호 기능이 행정안전부, 국정원, 방송통신위원회, 한국정보보호진흥원, 지식경제부 등으로 나뉘었지만 이를 조정할 기구는 만들지 않았기 때문이다.
정부의 투자도 미흡하다. 기획재정부에 따르면 올해 정부의 정보보호 분야 투자 예산액은 1742억원으로 정부의 전체 정보화 예산 3조1555억원의 5.5% 수준이다. 2007년 957억원에 비하면 크게 늘어났지만 외국에 비하면 여전히 부족하다는 평가다.
미국의 경우 정보화 대비 정보보호 예산 비율이 우리나라의 두 배 수준에 이르고, 국토안보부(DHS)의 내년 사이버 보안 분야 예산은 426억달러(55조3800억원)에 이른다.
각 기업과 개인들도 책임에서 자유롭지 못하다.
지난해 실시된 기업별 정보보호 실태 조사결과 전체 기업 29만곳의 절반에 가까운 44.5%가 정보보호 관련 지출이 전혀 없다고 답했다. 정보화 투자와 비교해 정보보호 투자 비율이 1% 미만이라는 응답도 22.2%에 달했다. 전체 기업의 3분의 2는 보안시스템이 없는 것이나 마찬가지인 셈이다.
사이버 보안이 고객의 개인정보와 재정 보호로 직결되는 금융·보험업계도 보안시스템은 허술했다. 금융·보험업체 1만6532곳 중 약 20%가 보안패치를 수동 업그레이드하거나 사고 뒤에만 업그레이드했고, 아예 관련 프로그램을 설치하지 않은 곳도 있었다.
개인들도 마찬가지다. 현재 전국에 보급된 3000만대의 PC 가운데 200만대 이상이 백신을 전혀 사용하지 않고 있는 것으로 알려졌다. 나머지 PC들에도 가짜나 구형 백신이 깔려 있는 경우가 많다는 게 보안업계의 얘기다.
정부와 기업·개인의 외면 속에 국내 보안업체들은 지난해 기준 매출액이 151곳을 합해 7724억원 수준에 그쳐 우수 인재를 끌어들여 질적인 발전을 이루는 데 어려움을 겪고 있다.
안철수연구소 김홍선 대표는 13일 “실력있는 인재들이 포털과 대기업으로 빠져나가 보안업체들은 인력이 절대적으로 부족하다”며 “큰 사건이 터졌을 때만 관심을 갖고, 시간이 지나면 금방 잊어버려서는 이런 사태가 반복될 수밖에 없다”고 말했다.
<임현주기자 korearu@kyunghyang.com>
'기사 > 경제' 카테고리의 다른 글
| “디도스 공격 진원지는 영국아닌 미국 (1) | 2009.07.17 |
|---|---|
| “사이버 공격 진원지는 영국” (0) | 2009.07.17 |
| 북, 국제인터넷기구 미가입…해외서버 이용 (0) | 2009.07.17 |
| 방통위 “북한은 IP주소 없다” 배후설 근거 부인 (1) | 2009.07.12 |
| 북, 국제인터넷기구 미가입…해외서버 이용 (0) | 2009.07.12 |