좀비PC방지법 공청회...주요 논의 사항들 정리-1편 시큐리티 핫이슈2011-06-15 18:51:05

<6월 15일, 국회 문방위 상임위장에서 열린 '악성프로그램확산방지 등에 관한 법률안'에 대한 공청회>

일명 좀비PC방지법으로 불리는 '악성프로그램확산방지 등에 관한 법률안' 공청회가 15일 국회에서 열렸습니다.
총 6명의 진술인들이 나와 찬, 반 진술을 얘기했습니다.
기사는 지면 관계상 주요 내용만 들어갔습니다.
모든 내용을 다 전달해드릴수 없지만, 지면에 실린 내용외에 6분들의 주요 진술 내용에 대해 정리해드리고자 합니다.

우선 3명씩 찬, 반 의견 진술인들은 아래와 같습니다.
찬성측: 권창범 법률사무소 인 변호사, 염흥열 순천향대 정보보호학과 교수, 조창섭 이글루시큐리티 상무
반대측: 김기창 고려대 법과대학 교수, 이상직 KT법무센터장, 최성진 인터넷기업협회 사무국장

양측의 의견 내용이 많아 우선 찬성측 3분 의견 먼저 전달해 드리겠습니다.

-권창범 변호사 주요 법률 내용 검토의견
1)이용자의 책무(안 제7조): 본 조항은 백신 설치 등 기본적인 보안수칙을 지키지 않아 악성프로그램에 감염된 컴퓨터가 소위 '좀비PC'가 돼 DDoS공격에 악용되는 것을 방지하고자 하는 것으로 , 최근 사이버침해의 특징은 이용자를 공격 대상뿐 아니라 공격도구로도 사용하는
것이므로 이용자의 조치없는 침해사고 대응은 실효성을 거두기 어려우므로 반드시 필요한 내용임.
2)서비스제공자 등의 협력(안 제8조): 이용자의 백신 소프트웨어 설치 등 침해사고 예방 및대응에 대한 책무를 규정하면서 사업자에게
아무런 협력의무를 부과하지 않는 것은 법 체계에 맞지 않음. PC방, 도서관, 호텔 등 불특정 다수가 이용하는 컴퓨터의 경우 특정 개인이
사용하는 컴퓨터에 비해 관리가 소홀해 위험에 노출될 우려가 매우 높으므로 백신소프트웨어 설치 및 주기적 갱신 의무 부과는 타당함.
3)이용자 컴퓨터에 대한 접속요청(안 제12조): DDoS 등 침해사고는 인체나 동물에 발병하는 전염병과 마찬가지로 실제 감염된 컴퓨터를 확인하지 않고는 그 원인분석이 불가능해 적절한 대응이 곤란하므로, 침해사고 대응 및 원인조사를 위해 필요한 경우 이용자의 컴퓨터에 접근을 요청할 수 있는 법적 근거가 반드시 필요하며, 이 경우 접속업무 종사자의 목적외 열람 등을 금지함으로써 이용자의 사생활 및 통신비밀을 보장.
4)침해사고 대응 명령 등(안 제17조): 본 조항은 제정안의 핵심적인 규정으로 본 조항이 없을 경우 제정안의 제정이유 및 취지가 멸각될 수 있으나 동시에 접속경로 차단 및 접속 제한의 경우 국민의 통신기본권을 과도하게 제한한다는 비판이 있을 수 있음.

-염흥렬 교수 주요 검토 의견
1)미래 사이버 보안 위협 환경 대비한 별도 법제정 필요: 3.4 DDoS 공격을 7.7 DDoS공격에 비해 성공적으로 막았으니 별도의 법제정까지는 필요없다는 의견도 있지만, 스마트폰에 대한 악성 앱이 급증함에 따라 좀비 스마트폰이 등장할 가능성이 높아지고 있음. 또 악성프로그램이 날로 지능화, 조직화 및 고도화 되고 있으며 국내 정보통신체계의 취약점을 이용한 악성 프로그램이 다수 출현하고 있음. 이 같은 현실을 고려하면, 확산 방지를 위한 기술적 관리적 대책의 고도화도 필요하지만, 기술, 관리적 대책이 실효적으로 작동하게 만드는 법제도적 기반 마련이 절실히 필요함. 또 지금까지 법 근거 없이 수행되고 있는 기술적 대응을 법적 근거를 갖는 대응 체계로 전환해 미래 신규 보안 위협 환경에 대응할 필요가 있음.
2)인터넷접속서비스제공자의 역할 강화: 제17조 1항에서 방통위 명령에 의해 인터넷접속서비스사업자가 악성프로그램 유포 사이트와 명령 제어 서버에 대한 접속 경로를 차단 가능케 하고, 2항에서 개별 이용자에 대해 방통위가 일정 수준 이상의 침해사고 발생 시 악성 프로그램에 감염된 해당 이용자에 대한 인터넷주소 차단 또는 이용자 정보통신망 접속 제한하며, 3~5항에서 정보통신망 차단 설비를 구축하고 있는 법인 및 단체 이용자에 대한 자체적인 차단 조치도 침해사고의 확산을 조기에 방지하기 위한 불가피한 측면이 있다고 판단됨. 이 과정에서 이러한 조치가 감염된 컴퓨터의 치료를 어렵게 하고 국가에 의한 지나친 규제가 된다는 의견도 있을 수 있으나, 이는 국가 위기 상황에서 정보통신망을 포함한 국가 기반의 붕괴를 막기 위한 최소 제한 조치로 판단되며, 침해사고 위기 상황이 종료되면 해당 이용자에 대한 정보통신망 차단 조치는 해제됨을 유의할 필요가 있음.
3)악성프로그램 유포 사이트와 소프트웨어 제작자의 사전 예방 활동: 제9조 1항의 소프트웨어 사업자에 의한 소프트웨어 보안 취약성 점검 및 보안 패치 제작 및 배포, 제10조 1항의 웹 사이트 운영자에 의한 악성프로그램 정기 점검 및 발견 삭제 등 조치, 제10조 2항의 게시물에 포함돼 있는 악성프로그램 삭제 및 조치하도록 규정하고 있음. 다만, 이 과정에서 제기될 수 있는 국민 감시 우려의 경우, 소프트웨어에 의해 악성 프로그램 포함 여부를 판단하고, 현재 대부분의 PC사용자가 설치해 운영하고 있는 기존 백신 프로그램이 이용하고 있는 탐지 기술을 이용하며, 게시물이나 웹 사이트에 포함된 악성 프로그램 감겸 여부 만을 살펴보고, 게시된 자료에 대한 삭제가 아니라 게시 자료에 포함돼 있는 악성프로그램만을 탐지해서 제거토록 규정하고 있어 일정 부분 해소될 수 있다고 판단됨.
4) 이용자 등 보안 지원 강화와 사회적 책임 강화: 제11조에서 규정한 각종 정보제공, 긴근 배포용 백신소프트웨어의 보급, 상당 및 운격 지원 등 인터넷방역사이트 구축 및 운영을 규정하고 있음. 다만 제11조 인터넷방역사이트의 기능에 지원 대상으로써 이용자뿐만 아니라 민간 웹 사이트 제공자 등 응용서비스사업자 등도 포함해 침해사고 대응 능력이 부족한 민간 응용서비스사업자를 지원할 필요가 있음. 또 제12조 3항의 악성프로그램 확산 방지와 함께 침해사고 대응을 위한 기술 개발 등에 관한 협력 근거는 필요함. 다만 표준화된 방식을 이용한 정보공유가 중요한 만큼 기술 개발 협력뿐 아니라 정보 공유 표준 개발도 명시적으로 포함할 필요가 있음. 또 제5조에서 '악성프로그램 대응 기술의 개발, 보급 등'도 '악성프로그램 대응 기술, 표준의 개발, 보급 등'으로 확대할 필요가 있음

-조창섭 이글루시큐리티 상무 검토 의견
1)사용자의 기본권 침해: 백신프로그램의 설치, 이용을 규정하고 있으나 이는 미이행에 대한 처벌규정도 없어 선언적 규정으로 악성프로그램을 예방하기 위한 홍보와 교육에 대한 효과를 높일 수 있는 필요한 조항으로 사용자는 필요에 따라 유, 무상의 프로그램을 설치하면 됨.
2)사업자의 부담증가와 정부의 시장 개입: 컴퓨터보안프로그램의 보급과 악성프로그램 치료지원에 대한 사업자의 과도한 비용 발생을 우려하나, 이는 강제 조항이 아닐뿐더러 현재도 사업자들이 수행하고 있어 추가적인 비용이 발생하는 것은 아님. 사업자들로 하여금 치료방법 안내와 지원을 체계화, 제도화해 정부와의 유기적인 협력을 구축하고자 하는 것, 정부의 차단명령권 또한 국가적인 위기 상황시에만 적용하는 것으로 국민적 혼란을 막기 위한 불가피한 제도로 생각됨.인터넷 접속차단은 현행 정보통신망법에 ISP사업자의 이용약관에 규정돼 있으나 정부의 명령권한이 없어 사업자가 손해배상 책임, 고객이탈 등의 이유로 접속제한에 소극적인 경우가 많아 실효적 대응이 안되므로 명령권을 도입하는 것이 타당함.
3)공격받는자에 대한 대책 필요: 현재 제안법안에는 공격받는 자에 대한 대책이 빠져있음. 서비스를 제공하는 입장에서 가장 중요한 것은 가용성. 이는 공격을 받으면 신속히 복구하고 정상화하는 것을 의미하며, DDoS 공격의 특성상 공격이 시작되면 방어만으로 서비스를 정상화하는 데는 한계가 있음. 즉, 공격이 시작되고 수분, 수초 후에는 서비스를 중지할 수밖에 없음. 공격을 받는 쪽에서 방어하는 것은 네트워크 자원과 시스템 자원이 고갈되기 때문에 아무리 공격을 잘 막아도 결국 서비스를 할 수 없는 것. 그렇게 때문에 공격을 하고 있는 쪽의 치료 또는 네트워크를 단절하는 것이 가장 효과적이고 확실한 방법. 공격받는 자는 누가, 어떤 공격을 하는지 알 수 있음. 공격받는 자가 명확한 근거를 확보하고 ISP나 소관기관에 차단 요청을 할 수 있는 항목이 절대적으로 추가돼야함.
4)백신프로그램 설치, 이용과 협력요청에 대한 지원방안 필요: 이용자의 책무중 제7조 2항 백신소프트웨어의 설치, 이용에 관해 벌칙조항은 없다 할지라도 의무설치를 규정하고 있는바 이용자들의 사용도를 높이기 위해 정부의 지원방안이 마련돼야함. 사용자 입장에서 금액의 많고 적음을 떠나 매년 지불해야 하는 비용이 발생하는 것을 부담스러워하는 것이 사실이므로 사용료의 할인 등을 통해 누구나 사용하고자 하는 인식을 가질 수 있도록 방안 마련이 필요.

개괄적으로 세 분의 찬성측 의견 중 주요 내용을 정리했습니다.
이후 2편에서는 반대측 의견과, 3편에서는 이날 주요 쟁점이 됐던 내용을 다시 한 번 정리해드리겠습니다.

좀비PC방지법, 지난 2009년 7,7 DDoS이후 최근 3,4 DDoS가 이어지면서 다시 부각되고 있습니다.
이날 토론 참석자들 모두 좀비PC를 없애야한다는 점에 대해서는 동의를 했는데요.
결국 방법론적 문제인거 같습니다.
스턱스넷 공격의 주 타깃이 된 지멘스사의 PLC장비   
개인정보보호 연구회 구성 및 주요업무-행정안전부 제공   
Copyright ⓒ 푸우. All rights reserved.