국가 사이버 보안 대응체제 이대로 괜찮은가. 정부와 민간 사이트를 대상으로 한 분산서비스거부(DDoS) 공격이 주말을 고비로 수그러들었으나 정부 대응체제에서는 여전히 문제를 드러냈다. 각 부문에 비전문가들이 포진해 있는 것도 문제이고,컨트롤타워가 사실상 없는 것도 문제로 꼽혔다. 지난 4일엔 정부 보안 담당기관의 사이트가 일시적으로 다운되기도 했다.

가장 큰 문제는 정부 각 부문에 비전문가들이 포진해 있다는 점이다. 현재 사이버 보안은 민간은 방송통신위원회가,정부기관은 행정안전부가,군은 국방부가,금융회사는 금융위원회가 맡고 있다. 문제는 공격이 터진 상황에서 비전문가들이 나서는 바람에 대처가 늦어진다는 점이다. 이번에는 공격이 강하지 않아 큰 피해는 없었지만 이제라도 전문가를 키워야 한다는 얘기도 나왔다.

사이버 보안은 보안 전문가들이 담당하는 게 순리다. 그러나 정부 부처에서는 순환근무가 관행이다. 사이버 보안에 대해 알 만하면 사람이 바뀌고 보안에 대해 잘 알지 못하는 사람이 오면 다시 배워야 한다. 이 과정에서 사이버 공격이 터지면 감당하기 어렵다는 지적이다. 보안 전문가들은 사이버 보안만큼은 보안 전문가들이 지속적으로 담당하게 해야 한다고 주장했다.

컨트롤타워 혼선은 여전히 문제로 꼽혔다. 정부는 2009년 7월7일 DDoS 공격을 받은 이후 국가 위기 상황에서는 국가정보원이 총괄하고 방통위,행안부와 산하 한국인터넷진흥원(KISA),경찰청 사이버대응센터 등이 실무를 맡기로 합의했다. 대외 브리핑을 방통위가 맡고 있으나 실제로는 국정원이 총괄하는 체제다. 비상시엔 그렇다 쳐도 평시에는 사실상 컨트롤타워가 없는 상태다.

전문가들은 "정보통신부를 해체하면서 사이버 대응체제가 복잡해졌다"고도 하고,"방통위와 행안부가 대등한 관계에서 사이버 보안을 담당하다 보니 주도권 다툼 양상이 나타나곤 한다"고도 말한다. 한 전문가는 "날마다 사이버 전쟁이 벌어지고 있어 없는 조직도 만들어야 할 판에 정보보호진흥원을 인터넷진흥원에 통합한 것도 과연 잘한 일인지 의문스럽다"고 지적했다.

사이버 위협에 대한 대응을 국가 정보기관이 총괄하는 것은 바람직하지 않다는 지적도 있다. 남북대치 상황을 감안,정보기관이 맡게 하는 것은 한편으론 일리가 있지만 부작용도 있다는 것.기업이 사이버 공격을 당했을 땐 국정원에 신고해 도움을 받아야 하는데,기업 입장에서는 정보기관에 전산망을 공개하는 게 꺼림칙해 아예 신고를 안 하는 경우도 있다는 얘기다.

사이버 위협 대응능력에서도 허점을 드러냈다. 방통위는 신속히 대처해 실질적인 장애가 없었다고 발표했지만 전문가들은 공격 강도가 약했기 때문일 뿐 정부 부문에서는 여러모로 문제가 드러났다고 지적했다. 인터넷진흥원 보호나라 사이트는 과다 트래픽을 견디지 못해 서버가 다운되기도 했다. 이번에 가장 심하게 공격을 받은 국민은행의 경우 평소 철저히 대비해 무사히 넘겼다.

가장 근본적인 문제는 체질화된 보안 경각심 부족이다. 정부도 예산부족을 이유로 사이버 보안 소프트웨어를 헐값에 구매하고,기업에서는 사이버 보안 솔루션 도입이 후순위로 밀리기 일쑤다. 일반인들은 공짜 소프트웨어에 익숙해졌다. 이런 상황에서 사이버 보안 시장이 제대로 성장하기 어렵다. 국내 1위 사이버 보안업체인 안철수연구소 매출이 700억원으로 NHN의 5%밖에 안 된다.

한 해커는 "사이버 전쟁은 미래 얘기가 아니다. 날마다 사이버 공간에서는 전쟁이 벌어지고 있다. 한국은 인터넷 인프라는 세계 최고인데 보안의식은 바닥이어서 외국 해커들이 만만하게 생각한다"고 지적했다. 이 해커는 "국가 차원에서는 대응체제를 정비하는 게 시급하고,민간 차원에서는 보안 프로그램은 제돈 내고 사서 쓰는 풍토 조성이 시급하다"고 덧붙였다.

김광현 IT전문기자 khkim@hankyung.com