정부 발표와 샘플 공유 늦어, 정보공유 소통 안됐다!

14일 보안뉴스에서 주최한 ‘7.7 DDoS 대란 좌담회’에 참석한 전문가들은 이번 대란의 피해의 확산은 사용자 보안에 대한 민관의 노력이 부족했다는데 입을 모았다. 또한 정부가 적극적으로 대처하지 못하고 민간사업자들과의 정보공유를 멀리했다는데도 의견을 같이했다.

▲SK커뮤니케이션즈 송재훈 보안문화추진팀 차장 ⓒ보안뉴스

일단 사용자 보안에 관심을 두지 않았다는 지적이 많았다. 1.25 대란 이후 기업에 대한 보안 강화는 많은 부분 이뤄졌지만 사용자 보안에 대한 노력은 크지 않았다는 것.

송재훈 SK커뮤니케이션즈 보안문화추진팀 차장은 “해커들이 보안수준이 낮은 쪽으로 공격하기 때문에 공격대상이 자연스럽게 기업에서 사용자로 넘어오고 있다. 점점 사용자 보안성이 중요해지고 있다”며 “가령 교통사고 발생률이 세계 1등이면 정부는 교통사고가 안 나도록 안전벨트를 착용하는 등 노력을 기울여야 하지만 정부가 한 일은 그렇게 많지 않다”고 지적했다.

▲다음커뮤니케이션 박나룡 개인정보보호팀 차장 ⓒ보안뉴스

박나룡 다음커뮤니케이션 개인정보보호팀 차장은 "사태에 대해 반성을 해야 할 부분이 있다. 원인을 보면 여러 가지가 복합적으로 작용한 부분이 있는데, 적절한 준비를 해야 할 곳들이 미리 마땅한 준비를 못한 경향이 있다. 가장 큰 역할을 정부가 했어야 한다고 본다. 즉 보안사고시 기관 간에 조정하는 능력이나 그동안 악성코드 유포 막는데 얼마나 노력을 했는지 되돌아 봐야 한다.

 기업입장에서도 책임을 다 했는지 고객이나 사이트 이용자에게 보안의식을 높일 만한 계기를 충분히 제공했는지도 되돌아봐야한다. 이런 복합적인 부분이 국민들의 낮은 보안인식과 결합하여 국가적 혼란이 발생했다"고 지적했다.

 

이어 그는 "이번 디도스 대란의 책임에 대해 나오는 이야기를 보면 개인 사용자 보안인식 없어서라고 돌리고 있는데 가장 큰 책임은 정부고 다음이 기업, 국민이라고 볼 수 있다"며 "개인 사용자에게 가장 큰 책임을 돌리는 것은 적절하지 않다"고 말했다.

▲모젠소프트 심우정 기술지원부 차장 ⓒ보안뉴스

그간 몇몇 정보보호 캠페인이 있지만 개인정보보호 등 부분적으로 하고 있을 뿐 아니라 소극적으로 하고 있어 사용자들이 크게 호응을 하지 않고 있다는 지적이다. 단지 캠페인뿐만 아니라 보다 적극적인 방안을 정부에서 제시해야 한다는 주장이다. 

이번 대규모 공격과 같은 비상상황에서의 공조체계에 대한 지적도 잇달았다. 일단 사태를 파악하고 이를 조율하는 부분에서 부터 문제가 발생했다는 의견이다.

심우정 모젠소프트 기술지원부 차장은 “사태를 파악 하는 시점이 늦었다. 공격에 대한 뉴스는 목요일 아침에야 나오기 시작했다. 사실 모 포털사이트 블로그나 메일이 잘 열리지 않았지만 사용자들은 인터넷은 안 될 수 있다는 생각을 하고 있기 때문에 디도스 공격이라고 알려진 것까지 6시간 이상 파악이 늦어졌다”며 “이런 경우 보안을 조정해주는 기관에서 파악해 알려야 하는 부분”이라고 말했다.

▲NHN 류성하 플랫폼보안팀장 ⓒ보안뉴스

최상명 하우리 연구원은 “MS의 제로데이나 취약성이 알려져 있어 감염이 많이 늘었는데 보안 업데이트가 선행되지 않아  많은 PC가 악성코드에 감염돼 사이트들을 공격하면서 트래픽이 발생했다”며 “각각 업체들이 이에 대한 분석을 진행했지만 분석정보를 공유시키지 못하는 등 컨트롤해주는 중앙센터의 능력이 부족했다”고 지적했다.

악성코드 샘플 공유에 대해서도 문제점도 노출됐다.

류성하 NHN 플랫폼보안팀장은 “초기 KISA 등 기관에서 공격에 대한 정보가 입수됐겠지만 이런 정보가 제공되지 않아 각자 대응하다보니 대응 시간이 늦었던 것 같다”며 “악성코드 샘플만 봐도 NHN은 다행히 피씨그린을 배포하고 있어 악성코드 분석파트에서 분석에 대한 정보를 빨리 받아 대응을 빨리 할 수 있었지만 다른 기업들은 상황이 달랐다”고 꼬집었다.

▲하우리 최상명 연구원 ⓒ보안뉴스

최상명 연구원은 “악성코드를 일부 채취할 수는 있겠지만 직접 사용자의 좀비PC에 접근할 수 있는 권한 없어 한계가 있다”며 “좀비PC에 접근해 샘플을 채취하는 것은 국가기관이 처음 했을 텐데 샘플을 채취하고 기업이나 보안업체에게 까지 전해지는데 시간이 너무 오래 걸렸다”고 토로했다.

박나룡 차장은 "정부와 민간의 공동대응이 어느 때보다 중요하지만 제대로 되지 않았다. 특히 정부나 민간에서 보안관련 협의체가 있지만 실제 작동이 안 되고 있다"며 "각 기관, 부처마다 자체적으로만 성과를 내려고 했던것은 아닌지 반성해 볼 필요가 있다"고 지적했다.

 

샘플의 공유가 늦어진 것은 KISA가 자체적인 분석에 많은 시간을 소모했다는 지적으로 이어졌다. 즉, 악성코드 분석 성과에 집착해 공동대응을 지연시켰다는 것. 이는 부처와 기관들이 해결을 위해 힘을 모으지 않고 자체적인 목적에만 집착해 대응이 늦어졌다는 지적으로 이어졌다. KISA 뿐 아니라 국정원과 수사기관도 악성코드 유포지 추적을 위한 공조가 없었고 정치적인 이슈에만 집착한 듯한 모습을 보였기 때문. 아울러 민관 보안관련 협의체도 제대로 작동하지 않았다는 문제도 제기됐다.

민간기업간 정보공유도 부족했다는 의견도 나왔다.

박나룡 차장 “이번 공격은 디도스 공격에서 목적지가 명확했기 때문에 대응하기에는 어렵지 않은 수준이었다. 실제 공격에 대한 첫 번째 대응도 도메인을 바꾸는 일부터 시작했다. 이런 대응 노하우가 초기에 알려져 다른 기업들도 공유했다면 빨리 대응을 할 수 있었을 것”이라고 강조했다.

 

류성하 팀장은 “이런 사태에 각자 해결해야할 일도 많은데 민간기업들끼리 스스로 정보를 공유하는 것은 쉽지 않은 일이며 정부 차원에서 조율이 필요하다”라며 "사용자 보안에 대한 책임을 사용자에게만 떠맡기지 말고 기업이 적극적으로 주도해야 하며, 특히 포탈이나 ISP 같은 서비스 제공기관에서 자사의 서비스를 더 잘 이용하게 하기 위해서라도 일정부분의 투자를 통해 사용자 보안에 대해 적극적인 서비스를 제공해야 한다"고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>