보안업체 CEO 10명 중 6명은 정부와 기업의 분산서비스거부(DDoS) 공격 대응 능력이 1년 전에 비해 개선된 것에 찬성표를 던졌다. 나머지는 부정적인 입장을 보였다. 또 제2의 DDoS 공격대란 재발 방지를 위해선 개인(정부)과 기업이 보안의식을 더욱 높이고 투자를 늘려야 한다고 보안업체 CEO 7명꼴로 주문했다.
한국지식정보보안산업협회(KISIA)와 전자신문이 7.7 DDoS 공격 1년을 맞아 공동으로 협회 회원사 CEO들을 대상으로 긴급 설문조사를 실시한 결과 이같이 파악됐다. 7월 7일이란 날짜를 강조하고자 설문조사 대상 CEO는 77명으로 제한했다. 응답자 수가 다소 적어 통계치에 큰 의미를 둘 수 없지만 주요 보안산업계에 종사하는 CEO들의 분위기를 전달했다는 데 의미를 뒀다.
우선 7.7 DDoS 대란 발생의 가장 큰 원인을 묻는 질문에 응답자 32.46%는 ‘사용자 보안의식 부족’이 지난해 사상 초유의 인터넷 대란을 불러왔다고 진단했다. PC를 소홀히 관리하는 등 사이버 공격에 대한 안이한 태도로 수많은 좀비 PC를 양산했다는 것이다.
‘민관 공동 대응체계 부족’을 원인으로 꼽은 비율은 30.52%로 뒤를 이었다. 지난해 사이버 공격 직후 감염 PC의 접속 경로를 차단하고 백신 설치 방안을 두고 정부와 업체간 이견을 보이는 등 민과 관은 유기적인 대응조치를 취하지 못했다.
전문적인 정보보호 인력 부족(18.18%)도 지목, 전문인력 양성의 필요성을 강조했다.
사고 발생 후 1년이 지난 현 시점에서 민과 관의 DDoS 공격 대응 능력을 평가하는 질문에 응답자 절반 이상은 공격 대응 능력이 향상된 것으로 평가했다. ‘나아졌다’(12.99%) ‘조금 나아졌다’(49.35%)의 62.34% 응답자가 민관의 DDoS 공격 대응 능력을 긍정적으로 평가했다. 1년 전 3일간의 뼈아픈 사이버 공격 피해 경험이 대응 능력 향상이란 학습효과로 이어졌다는 분석이다.
반면에 부정적인 DDoS 대응 능력 평가도 만만치 않다. ‘별로 나아진 바 없다’ 28.57% △‘아주 부족하다’ 5.19% △‘똑같다’ 3.89% 순으로 응답했다. 응답자 37.65%가 7.7 DDoS 공격 사건이 발생한지 1년이 지나도 민관의 DDoS 대응 능력이 답보상태에 머문 것으로 평가, DDoS 대응체계를 재정비해야 할 것으로 지적했다.
보안업체 CEO들은 DDoS 대응 능력이 1년 전에 비해 가장 많이 개선된 분야로 공공을 1순위로 지목했다. 응답자 35.71%가 공공 분야라고 응답했다. 이는 지난해 정부가 약 200억원 규모의 DDoS 대응장비 구축사업을 공공기관에 투자한 효과다.
또 응답자 30.52%는 통신 분야를 공공 분야에 이어 DDoS 공격 대응 능력이 우수한 것으로 평가했다. 금융 분야를 선택한 CEO 비율은 24.02%로 공공과 통신에 비해 상대적으로 금융권의 사이버 공격 대응 능력을 낮게 평가, 주목을 끌었다.
반면에 7.7 DDoS 대란 재발 가능성이 유력한 분야로는 공공과 금융 분야를 비중 있게 지목했다. 응답자의 29.22%가 ‘공공’이라고 답했다. 이는 DDoS 공격 대응 능력을 떠나 공공 특성상 사이버 테러 효과가 가장 커 해커들이 최우선 목표물로 삼기 때문으로 풀이된다.
또 근소한 차이로 응답자 27.92%가 ‘금융’을 재발 가능성이 높은 분야로 손꼽았다. 이밖에 통신(12.33%), 일반기업(11.68%), 유통(8.44%), 개인(5.84%) 등의 순으로 DDoS 재발 위험을 높게 지목했다.
마지막으로 DDoS 사고 재발을 막기 위해 우선적으로 강화해야 할 점에 대해서 보안업체 CEO들은 보안의식 제고와 보안 투자 강화를 강조했다. 특히 ‘정부의 정보보호 투자 예산 증액’(37.1%) ‘개인 기업의 보안의식 제고 및 투자 강화’(35.6%)를 강하게 주문, 무려 72.7%가 정부와 기업이 보안 분야를 ‘계륵’내지는 ‘비용’으로 바라보는 일방적인 시각에 커다란 변화를 줘야 한다는 점을 강조했다.
또 ‘개인정보보호법 통과 등 법제도 정비’(14.28%) ‘보안 SW 유지보수 대가 현실화 등 정부기업 지원책 마련’(14.28%) 등도 지적, 보안산업이 선순환 생태계를 갖춰 침해대응 기술력을 높일 것을 주문했다.
이득춘 KISIA 회장은 “지난해 7.7 DDoS 사건 등을 계기로 정부의 보안 관련 예산이 확대되는 등 보안 불감증이 사라졌지만 이것만으로는 부족하다”며 “보안 사고를 사전에 방지하기 위해서는 모든 보안 사고에 철저히 대비해야 하는 만큼 보안산업 전반에 걸쳐 대응체계를 구축하고 운영에 힘을 쏟아야 한다”고 말했다.
안수민기자 smahn@etnews.co.kr
