지난 5월28일 인터넷뱅킹 사용자들을 불안에 떨게 한 사건이 있었다. 인터넷뱅킹을 이용한 고객들의 비밀번호, 계좌번호뿐만 아니라 인증서까지 복사하는 악성 프로그램이 발견됐기 때문이다. 그리고 최근 인기 소셜커머스 사이트 ‘쿠팡’까지 악성코드에 의한 해킹 피해를 당하면서, 악성 프로그램에 대한 걱정이 높아지고 있다.
앞서 2009년 7월7일, 우리나라 주요 정부기관과 금융권 등의 사이트들을 목표로 한 분산 서비스 거부(Distributed Denial of Service, 이하 디도스) 공격이 있었다. 이 공격으로 당시 청와대, 국회, 국방부, 외교통상부, 국가정보원 등 정부 사이트와 몇몇 금융권 사이트 접속이 안되는 일이 벌어졌었다.
이 보안 공격 이후인 2010년 11월 23일, 한선교 한나라당 의원은 좀비 PC 방지법이라고 알려진 ‘악성프로그램 확산 방지 등에 관한 법률안’을 대표 발의했다. 그리고 지난 6월15일, 이와 관련한 공청회가 문화체육관광방송통신위원회 주관으로 열렸다.
악성프로그램 확산 방지 등에 관한 법률안은 방송통신위원회(이하 방통위)가 ▲이용자 컴퓨터에 백신 등 보안 프로그램 설치와 이용을 유도하고, ▲디도스 감염 컴퓨터의 인터넷 접속 주소 변경 제한과 악성 도메인 차단 등의 긴급조치를 내릴 수 있으며, ▲대규모 디도스 공격 발생 시, 이를 치료하기 위한 컴퓨터보안프로그램을 이용자에게 긴급 배포 할 수 있다는 내용을 주로 담고 있다.
그런데 이 법률안을 놓고 찬반이 팽팽하다.
논쟁이 일고 있는 부분은 방통위의 ‘디도스 감염 컴퓨터의 인터넷 접속 차단 권한’과 ‘악성프로그램 확산 방지를 위한 컴퓨터 보안프로그램 설치 책무’다. 여당은 ‘거세지는 디도스 공격을 대비하기 위해서라도 접속 차단과 보안 프로그램을 배포해야 한다’고 목소리를 높이고 있는 반면, 야당은 ‘좀비컴퓨터 법률안을 가장한 인터넷 여론 통제다’라며 맞서고 있다.
한선교 의원실 진성오 비서관은 “법률안의 목표가 좀비 컴퓨터 생산과 확산 방지인 만큼, 국민들의 기본권 침해 등 인권 침해가 실제로 이뤄진다고 하면 이를 수정할 생각이 있다”며 “다만 이 법률안 자체가 필요 없다는 야당의 주장은 말도 안된다고 생각한다”고 밝혔다.
지난 15일 공청회에 참석한 염흥렬 순천향대 정보보호학과 교수는 블로터닷넷과 통화에서 “국내에서 사용자 컴퓨터의 악성프로그램 감염을 막기 위해 무료 백신 프로그램 보급 등 다각적인 노력을 기울여왔음에도 불구하고, 2010년 10월 마이크로소프트가 발표한 자료에 의하면 한국 봇넷(Botnet : 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 네트워크) 감염률이 천대 당 14.6대로 세계 최고수준”이라며 “지난번 디도스 공격 대란 이후 많은 사용자들이 백신 프로그램을 설치했다고 하지만, 앞선 수치가 우리나라의 보안 취약성을 설명해 주고 있다”고 이번 법률안 제정 필요성을 주장했다.
염 교수는 “이미 인터넷 진흥원이 일부 디도스 공격 시도에 대해 예방하고, 보호나라 사이트를 통해 감염 여부를 개인이 확인할 수 있게 하는 등 노력을 하고 있지만, 이는 디도스 공격 유형 중 극히 일부에만 적용된다”며 “디도스 공격에는 이상 트래픽 발생뿐만 아니라 스팸 등으로 개인 정보는 뺴가는 경우도 있기에, 좀 더 포괄적이고, 근본적인 치료를 위해서는 이번 법률안 개정이 꼭 필요하다”고 덧붙였다.
반면 민주당 안정상 수석전문위원은 이에 대해 반박 보도자료를 배포하고 “이 법안이 통과되면 방통위는 심각한 디도스 공격 발생시 인터넷서비스제공업체 등을 통한 인터넷주소 차단, 정보통신망 접속 제한 등의 조치에 대한 모든 권한을 갖게 된다”며 “정부가 국가 안보라는 추상적인 개념을 내세워 개인의 권리 뿐만 아니라 나아가 기업의 권리도 침해하고 있다”고 법률안 제정을 반대했다.
염흥렬 교수와 함께 지난 15일 공청회에 참석한 김기창 고려대 법대 교수 역시 안정상 수석전문위원과 같은 생각이다.
김기창 교수는 블로터닷넷과 통화에서 “디도스 공격 구조(사진)를 알면, 이 법안이 왜 말도 안되는지 알 수 있다”며 “디도스는 감염된 개인 컴퓨터가 지정된 서버를 공격하게 조종하는 것으로, 현재 서버는 이상 트래픽에 대해서 차단하는 기능을 가지고 있기 때문에 이를 해결하려고 굳이 법을 만들 필요가 없다”고 설명했다.
사진출처 : 보호나라
이어 김 교수는 “악성코드를 유포하는 서버나 개인 컴퓨터에 대한 대처는 현행 법을 통해 이미 이뤄지고 있다”며 “감염 컴퓨터나, 서버에 대해 강제로 악성코드를 제거하고 백신 프로그램을 의무로 설치하게 하는 것은 정부의 과도한 개입”이라고 주장하고 "법률안에 ‘사용의무/악성코드 삭제의무를 위반한 혐의가 있다고 판단됐을 경우 방통위가 해당 사업장에 출입해 관계 물품이나 서류 등을 검사할 수 있다’는 조항이 있는데, 대체 이 법이 디도스 공격 방지와 무슨 관련이 있는지 모르겠다”며 “이 말이 ‘방통위가 검찰처럼 압수, 수색 권한을 영장 없이 행사한다는 것’과 다른 점이 없다”고 법률안에 대해 의문을 표했다.
김 교수의 반박은 계속됐다. 김 교수는 법률안 ‘제13조 제3항 결함 있는 백신 프로그램의 판매/제공 금지 명령권’과 관련해 “진단이나 치료를 제대로 못하는 가짜 백신이 사회적으로 문제가 되고 있긴 하지만, 이를 방통위가 직접 나서서 해결하게 되면 보안과 백신 프로그램 시장이 방통위 결정에 좌지우지 되는 위험천만한 상황이 올 것”이라며 “이미 우리나라 방통위는 무소불위의 권한을 가지고 있는데, 이 이상 권한을 가지면 백신과 통신 사업체가 무너질지도 모른다”고 경고했다.
정부는 현재 정보통신기반 보호법을 통해 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 ‘정보통신기반시설’에 대하여 국가 위급 상황시 규제하고 명령할 수 있는 권한을 가지고 있다.
한편 익명을 요구한 방통위 관계자는 이번 법률안의 국회 심의 통과 가능성을 점치며 “과거 디도스 공격 당시, 주요 문제로 거론된 악성코드 감염 PC 관련 정보를 수집하지 못해 분석에 애로사항이 많았다. 공기업을 향한 디도스 공격이 점점 지능화 되고 다양해진 만큼 이를 적발하기가 쉽지 않다. 비록 일거리는 늘어나겠지만, 악의적인 해커의 공격을 막기 위해서라도 이번 법률안이 통과돼 국민들이 안전하게 컴퓨터 생활을 누릴 수 있게 됐으면 좋겠다”고 말했다.
이 법률안은 현재 다음 달 정기국회에서 논의될 예정이지만, 찬성 의견과 마찬가지로 반대 의견도 상당 부분 설득력을 얻어가고 있어, 법률안 처리 과정에 진통이 예상된다.