7.7 DDoS 공격 대상 사이트 중 안전진단평가 대상 5개 뿐

문방위 소속 전병헌 의원(민주당) 13일 열린 한국인터넷진흥원외 3개 기관 국정감사에서, DDoS 피해 사이트 중 안전진단평가 대상자는 5개뿐이었으며 그마저도 ‘정상’ 등급을 받고도 DDoS 피해를 입었다며 안전진단평가의 실효성에 대해 비판했다.

한국인터넷진흥원은 정보통신망법 제45조(정보통신망의 안전성 확보 등), 제46조의3(정보보호 안전진단)을 근거로 매년 일정 기준 이상의 사이트에 대한 정보보호 안전진단을 실시하고 있다. 이 제도는 정보통신서비스제공자에게 정보통신망의 안전성 확보를 위해 최소한의 보호조치를 통한 정보보호 체계를 구축하여 정보보호 수준을 제고 하고자 하는 취지다.

안전진단 대상은 일정규모 이상의 주요 ISP, IDC, 쇼핑몰 등 정보통신서비스 제공자(’08년 232개, ’09년 250개)로 2009년 7·7 DDoS 사태 발생년도인 2008년도에는 총232개 사이트를 대상으로 20개 안전진단 수행기관이 실시했다.

이중 2009년 7월 7일 DDos 공격 대상이 되었던 국내 대상 사이트는 모두 23개로 파악되고 있다. 그중 5개 사이트만 2008년 정보보호 안전진단을 받은 사이트이며, 5개 사이트의 ’08년도 정보보호 안전진단 결과를 보면 양호 수준인 ‘개선사항없음’ 평가를 받았음에도 DDoS 공격에 피해 발생했다는 것이 전병헌 의원 측의 설명이다.

DDoS 관련 안전진단의 세부항목을 보면, 기술적 보호 조치로서는 ‘정보보호시스템 보안’ 항목으로 △ 이상 징후 탐지를 알리는 경고기능을 설정하여 운영, △ 정보보호시스템 보안기능 (비정상 트래픽 차단 등)의 정상 작동 여부를 월 1회 이상 점검하도록 돼 있다. 또한 ‘DNS서버보안 및 DHCP 서버 보안’ 항목에는 과부하에 대비한 부하분산 대책을 마련 등을 점검하도록 돼 있다. 그러나 ’08년도 안전진단 대상 사이트 232개중 4개(1.7%) 사이트만 ‘개선권고’ 조치를 받았던 것으로 파악되고 있다.

□ 2008 정보보호안전진단 대상자 중 7·7 DDoS 공격 대상 사이트

번호	안전진단대상자	진단시기		수행기관	진단방법	진단결과 및 제재	조치결과
		시작	종료
112	농업협동조합중앙회	4.1	5.8	시큐아이닷컴	서면, 현장검사	개선사항 없음	조치사항 없음
118	디지틀조선일보	12.2	12.24	넷시큐어 테크놀로지	서면, 현장검사	개선사항 없음	조치사항 없음
134	옥션	12.11	12.29	한국전산감리원	서면, 현장검사	개선사항 없음	조치사항 없음
170	다음커뮤니케이션	1.1	6.5	인포섹	서면, 현장검사	개선사항 없음	조치사항 없음
176	엔에이치엔	6.2	6.13	STG시큐리티	서면, 현장검사	개선사항 없음	조치사항 없음

전병헌 의원은 “안전진단평가 대상자도 피해를 입었다는 것은 사실상 안전진단이 형식적으로 이뤄지고 있는 것은 아닌지 의심스럽다”며 “DDoS 관련 안전진단의 세부항목을 보면, 기술적 보호 조치를 평가하고 있음에도 피해를 입었다는 것은 보다 근본적인 대책마련이 필요하다”고 주장했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>