▲13일 프레스센터에서 열린 '정보보호 강화 대책 수립을 위한 정책토론회' ⓒ 정통부
`1.25 인터넷 대란'를 계기로 유사사고 재발을 방지하고, 사고 발생시 효과적인 대응을 위해 사이버공격 대응센터(가칭)가 설립될 것으로 보인다.
정보통신부는 13일 오전 서울 프레스센터에서 `정보보호 강화대책` 정책토론회를 갖고 이같은 사실을 밝혔다.
이날 토론회는 김세헌 KAIST 교수(한국정보보호학회장)의 사회로 '정보보호체계 강화방안`, `정보보호법·제도의 정비방안`, `정보보호 기술개발·투자확대·인식제고 방안` 등 세 가지 주제에 대해 발표와 토론 형식으로 진행됐다.
첫번째 주제인 '정보보호체계 강화방안'의 발표자로 나선 차양신 정통부 정보보호기획과장은 "`1.25 인터넷 대란'과 같은 피해를 입지 않기 위해 한국정보보호진흥원 산하에 사이버공격 대응센터(가칭)을 설치해 사이버공격에 대한 대응체계를 강화해야 한다"고 밝혔다.
차 과장은 "이번 사태를 통해 ISP(인터넷접속서비스 사업자), IDC(인터넷데이터센터) 등 관련기관들의 상호 공조 체계가 미흡하고, 전체적인 네트워크 이상 트래픽에 대한 체계적인 모니터링 시스템도 부족한 것이 문제로 드러났다"며 "이를 해결하기 위해 (가칭)사이버공격대응센터를 구축할 계획"이라고 밝혔다.
사이버공격 대응센터는 24시간 네트워크를 모니터링하고 사이버공격에 대한 예.경보 발령, 긴급조치 등 사이버 공격에 종합적으로 대응하는 기능을 수행하게 된다. 또 ISP, IDC, 보안관제업체, 백신업체, 전자상거래업체 등에 대해 인터넷 침해사고 발생사실을 사이버공격 대응센터에 통보토록 의무를 부과하고 이를 이행하지 않았을 경우 과태료를 물릴 계획이라고 차 과장은 설명했다.
아울러, 인터넷침해사고 원인분석 등을 위해 ISP에 로그 기록를 보전토록 하는 '보전 명령제도'와 함께 현장 조사 및 자료 제출권 등의 도입도 필요하다고 밝혔다.
그러나 이에 대한 반론도 만만치 않았다.
이날 토론자로 나선 문영성 경실련 정보통신위원장은 정통부가 지난 2월 18일 발표한 '인터넷 대란 결과 보고서'의 문제점을 지적하면서 "조사자 전원이 피의자인 신분에서 나온 조사결과는 뻔했다"면서 재조사의 필요성을 역설했다.
문 교수는 "이번 인터넷 대란의 핵심은 보안이 아니라 네트워크 문제"라면서 "조사 결과를 보면 원인과 결과만 있을 뿐 조사 과정은 전혀 없다"고 주장했다.
문 교수는 사이버공격 대응센터 설립 문제에 대해서도 "정통부는 이번 인터넷대란의 책임 규명을 통한 대책 수립은 뒷전이고 조직확대를 통한 권한확대만 생각하고 있다"고 맹비난했다.
YMCA 열린정보센타 김종남 사무국장도 "피의자가 가해자라는 정통부의 조사결과를 인정하지 못하겠다"면서 "네티즌의 자율성과 창발성을 가로막는 규제 일변도의 정부 대책은 문제가 있다"고 지적했다.
또 이날 토론회에서는 정보보호 관련 법제도 정비방안과 정보보호 기술개발·투자확대·인력양성 등에 대해서도 다양한 의견이 개진됐다.
다음은 두 번째 주제 발표자인 강경근 교수와 세 번째 주제 발표자인 염흥렬, 정익재 교수 발표문 요약이다.
△ 정보보호 법·제도 정비 - 강경근 숭실대 교수
우리사회 각 부문별 정보보호체계를 강화하기 위해 정보보호 안전기준 부과 및 안전진단 의무화가 필요하다. 이를 위해 전국망을 구축한 ISP는 네트워크 보호를 포함한 'ISP 안전기준'을 부과하여 이행을 의무화하며, IDC, 다중이용서비스 제공자(대형 쇼핑몰, 포털업체, 온라인게임업체 등)에 대해서도 안전기준을 마련하고, 특히 IDC에 대해서는 비상시 이상 트래픽 등을 할 수 있는 긴급조치권을 부여하는 것이 필요하다.
또한, 부문별 정보보호 조직체계를 강화하기 위해 주요 ISP, IDC, 일정규모 이상 전자상거래업체 등에 전담 정보보호 최소 보유요건'을 규정하여 부과하는 것이 필요하고, 주요 PC제조사의 경우 백신S/W의 설치를, 주요 ISP의 경우 바이러스 진단·치료 서비스 제공을 의무화하는 것이 필요하다. 아울러 정보화 사업 초기부터 정보보호 요소(관리적·기술적·물리적)를 평가하여 반영될 수 있도록 '정보보호영향평가제도'의 도입이 필요하다.
△ 정보보호 기술개발·투자확대·인력양성 - 염흥렬 순청향대학교 교수
인터넷의 안전성 강화를 위한 네트워크 정보보호 기술개발이 필요하다. 민간의 정보보호 투자확대를 위해 현재 중소기업으로 한정하고 있는 세액공제(3%) 제도를 일반기업까지 확대해야 한다. 공공부문 정보화 사업 추진시 '정보보호영향평가'를 의무적으로 받도록 해야 한다. 또한, 해킹·바이러스에 대한 체계적인 전문인력 양성을 위해 우수대학을 지정하여 '해킹·바이러스 연구센터' 설립이 필요하다.
△ 정보보호 인식제고를 위한 소고 - 정익재 서울산업대 교수
국민전반의 정보보호 의식을 높이기 위해 정보화 교육시 정보보호 교육을 병행해야 한다. '정보보호 포털사이트'를 구축하여 정보보호 관련 정보를 종합적으로 제공하고, 보안 취약점 DB를 구축해야 한다. 아울러, 전방위 정보보호를 위해서는 궁극적으로 정보보호문화(Culture of Security) 구축이 무엇보다 필요하다.