'좀비PC 방지법' 실효성 있을까?

모든 PC에 백신설치를 의무화하면 좀비PC를 통한 분산서비스거부(DDoS) 공격을 막을 수 있을까.

정보보호가 사회적 이슈로 부각되면서 민간 영역에까지 백신설치를 의무화하는 방안이 추진되고 있다. 이른바 '좀비PC 방지법'이다. 그러나 실효성에 대해서는 여전히 찬반논란이 지속되고 있어 보다 세밀한 정책이 필요할 것으로 분석된다.

보안분야는 어떤 정책을 어떻게 집행하느냐에 따라 보안업계, 금융회사, 공공기관, 일반기업 등 주체들의 입장이 첨예하게 대립된다. 이 때문에 아직 잠재적인 수준에서 논의되고 있는 백신설치 의무화 방안이 어떤 식으로 영향을 미칠지에 대해서 간과할 수 없는 상황이다.

이에 대해 보안업계 관계자들은 보안성 강화를 위해 반드시 필요하다는 입장과 권고사항인 기존 법안으로도 충분하다는 상반된 입장을 내놓고 있다.

지난 2009년부터 국가통신망을 마비시키는 분산서비스거부(DDoS) 공격과 해킹을 통한 개인정보유출 사례가 자주 발생하면서 국회 문화체육관광방송통신위원회(문방위)는 재작년 말에 '악성 프로그램 확산 방지 등에 관한 법률안'을 국회 상임위원회에 상정했다.

그러나 이 법안은 오히려 개인정보와 사생활 침해 우려가 있다며 계류됐다. 처음 법안을 발의한 한선교 의원(새누리당)은 지난 6월 방송통신위원회의 조사권을 축소하는 내용을 담은 수정안을 법안을 재발의했으나 이마저 흐지부지됐다. 다만 한 의원측은 또 한번 큰 보안사고가 터지면 일사천리로 통과될 수도 있는 법안이라며 계류 중이라도 폭발력이 높다는 의견을 밝혔다.

문제의 핵심은 백신설치 의무화의 실효성 여부이다.

백신설치 의무화가 필요하다는 입장에 대해 보안업체 하우리의 김정수 보안대응센터장은 기업이나 기관을 목표로 한 공격이 늘어나면서 최소한 백신은 설치해야한다며 설치를 해도 업데이트가 안되는 곳들이 많고, 개인PC는 물론 기업, 기관 내 공용PC의 경우 관리소홀로 악성공격에 노출될 위험성이 높아 강제로라도 법적의무사항으로 하는 것이 맞다고 말했다.

김 센터장은 좀비PC가 돼서 피해자가 또다른 가해자가 되는 상황을 막기 위해서는 최소한 백신설치는 의무규정으로 두는 것이 맞다고 주장했다. 김귀남 한국융합보안학회장(경기대 교수)도 이에 동의했다. 사생활 침해보다도 개인정보나 중요한 기밀정보의 유출을 막아내는 것이 우선이라고 밝혔다.

그러나 백신설치의무화의 실효성에 대한 반론도 나오고 있다. 개인정보보호법이나 개정 정보통신망법 등에 담긴 시행령에서 이미 악성코드유입 방지를 위한 기술적 조치를 취할 것을 명시하고 있는데 굳이 더 많은 규제가 필요하냐는 것이다.

보안업체 SGA의 한 관계자는 기존에 마련된 법에서 악성코드를 방지하고, 백신 설치 및 보안패치 등을 유지하도록 권고하고 있어 의무화가 얼마나 의미 있는 대책이 될 수 있을지에 대해 의문이라고 말했다.

이 관계자는 또한 만약 의무화를 한다고 해도 기존에 개인PC 사용자들은 대부분 무료백신을 사용하고 있어 굳이 영향을 미치지 않을 것이라고 덧붙였다.