[기자수첩]사이버 대란 6번째...보여주기 행정 여전

벌써 6번째다. 1999년 CIH, 2001년 림다, 2003년 1.25 인터넷 대란, 2009년 7.7 분산서비스거부(DDoS) 대란, 2011년 3.4 DDoS 공격, 2013년 3.20 전산망 마비까지 약 14년 동안 사이버 공격을 통한 굵직한 사건 사고가 끊이지 않았다. 그러나 정부의 대응은 크게 달라진 점이 없다. 사고발생->현장방문->재발방지책 마련으로 이어지는 공식은 그대로지만 2015년에 또 다른 사이버 공격이 벌어질지는 아무도 알 수 없다.

지난 20일 KBS, MBC, YTN, 농협, 신한은행 등 국민들의 실생활에 큰 영향력을 미치고 있는 두 분야의 전산망이 해킹 공격으로 마비됐다.

약 일주일 뒤인 26일에는 YTN 전 계열사 홈페이지가 마비되는 추가적인 장애가 발생했다. 보안전문가들은 공격자들이 오랜 준비작업을 거쳐 내부 서버의 취약점을 공략했다고 밝혔다. 해커들이 수차례에 걸쳐 마치 제 집 드나들 듯이 피해기관들의 전산망을 돌아다녔다는 것이다.

정부의 대응은 최근 사건에서도 크게 달라진 점이 없었다. 이번에도 과거와 마찬가지로 수많은 보도들이 쏟아졌다. 사고 원인을 밝히고, 책임자를 추궁하고, 재발방지 대책을 마련하겠다는 내용이었다. 문제는 같은 일이 반복되고 있다는 점이다. 마치 현장을 순시하듯 방문하는 정부 관계자들의 모습도 변한 게 없었다.

사고 하루 뒤인 21일 이계철 방송통신위원장은 한국인터넷침해사고대응센터를 방문해 이기주 한국인터넷진흥원(KISA) 원장으로부터 약식 브리핑을 받고 2, 3차 공격으로 인한 피해가 없도록 철저히 대비해 줄 것을 요청했다.

26일에는 윤종록 미래창조과학부 제2차관이 재차 KISA를 방문해 철저한 원인 분석과 대책 마련을 당부했다.

한번 사이버 사고가 터지면 KISA를 포함한 보안담당자들은 눈 코 뜰 새 없이 바빠진다. 20일 이후 현재까지도 KISA 담당자들은 24시간 대응체계 속에서 사건 내용을 분석하느라 분주한 상황이다. 경찰청 사이버테러대응센터, 대검찰청 사이버범죄 수사단, 주요 보안회사 담당자들도 마찬가지다.

긴박한 상황에서 정부책임자들이 해야할 것은 먼저 사건 내용을 정확히 파악하기 위해 관계기관들끼리 서로 협조할 수 있도록 조정하는 일이다. 정부 고위 책임자들이 분석현장을 방문해 브리핑을 듣는다고 해도 보안전문가가 아닌 이상 추가적인 대책이 나오는 것은 아니다. 그보다는 컨트롤 타워로서 다른 피해우려는 없는지 등을 정확히 파악해 국민들에게 알릴 내용은 알리고, 담당 기관들에게 필요한 지원을 아끼지 않는 것이 우선이다.

21일 이계철 위원장 방문 전 방송통신위원회는 중국IP를 통해 공격이 발생했다는 내용을 발표해 곤욕을 치렀다. 추가 확인 결과 중국IP가 아니라 농협 내부에서 사용하고 있는 사설IP가 악성코드 유포 경유지로 악용됐다는 내용을 확인됐기 때문이다. 조사결과 발견된 IP 주소(101.106.25.105)가 실제 국제인터넷주소관리기구(ICANN)가 중국 내에 배정한 공인IP 주소와 일치하기 때문에 나온 해프닝이다.

내부 소식에 정통한 관계자에 따르면 방통위는 분석 내용 발표하기 약 30분 전에 국방부, 국가정보원 등에 관련 소식을 알렸다. 유관 기관들끼리 제대로 사고수습을 위한 정보공유가 이뤄지지 않았었다는 설명이다. 현재 국가사이버 위기 관리 체계는 대통령 산하에 국가 사이버안전 대책회의를 두고 산하에 국방사이버지휘통제센터(국방부), 국가사이버안전센터(국정원), 인터넷침해대응센터(방통위)를 두고 관련 내용을 조율하고 있다.

전 국가적인 사이버 사고를 수습하기 위해서는 관계기관들 간에 유기적인 협력체제가 필요하나 실제로는 서로 정보공유 등 공조체계가 제대로 작동되지 않고 있는 것이다.