좀비PC방지법 공청회...주요 논의 사항들 정리-2편 시큐리티 핫이슈2011-06-16 19:25:28
앞서 1편에서 좀비PC방지법 공청회 찬성측 의견진술자들의 의견을 정리해 드렸습니다.
좀비PC방지법 공청회 반대측 3인의 진술을 정리해드리겠습니다.

-김기창 고려대 법학전문대학원 교수
1)보안취약점 있는 소프트웨어에 대한 배포 중지 명령권(제9조 3항): 무엇이 중대한 보안취약점 인지를 누가 어떻게 판단할 수 있는지. 만만한 국내 사업자만이 정부의 강제조치에 구속될 우려가 있음. 예를 들어, IE6는 이미 알려진 여러 보안취약점이 있지만, 한국 정부가 MS를 상대로 배포중지명령권을 발동 할 것인가. 전문업계가 해당 문제점이 중대한 보안취약점이라는 점에 대해 합의점을 형성할 수 있다면, 이 사실을 공지하고 대처방법을 안내하는 것이 적절하며, 그것만으로 충분히 효과를 거둘 수 있음. 무수한 프로그램의 보안취약점을 정부가 모두 탐지, 평가할 수 없으므로 이규정은 결국 자의적 법집행 시비를 불러일으킬 것.
2)결함있는 백신프로그램의 판매, 제공 금지 명령권(제13조 3항): 진단이나 치료를 제대로 못하는 백신프로그램은 판매, 배포를 못하도록 명령할 권한을 방통위에 부여하는 이 규정은 매우 이례적이고, 과도한 권한을 행정청에 부여하는 것임. 이른바 가짜 백신이 사회적 문제가 되는 것은 맞지만, 그런 행위는 상도덕이나 민형사상 사기사건으로 접근하는 것이 옳음. 방통위가 백신 프로그램 품질관리를 자처하고 나서서, 일정 수준에 미달하는 제품은 판매/제공을 금지하겠다는 것은 백신프로그램 개발, 판매 사업에 대한 사실상의 면허제도와 별다를 바가 없음. 이 규정은 시장 경제질서를 정면으로 부정하는 것임. 구체적으로 어느 수준에 못미치면 방통위가 백신업체에게 이러한 사형선고를 내릴 수 있는지는 기술적으로도 매우 큰 논란이 불가피함.
3)감염 사실 통지 제도(제15조 2,3항): 감염 컴퓨터를 운용하는 이용자에게 ISP가 전화, 전자우편 등 대통령령이 정하는 바에 따라 감염 사실을 알리고, 치료에 필요한 소프트웨어를 내려받을 수 있또록 링크 등을 제공하도록 하는 이 규정은 악성코드를 유포하려는 공격자에게 매우 유용한 기회를 제공해 주는 결과를 낳게됨. 전화를 이용한 피싱 기법으로 이용자에게 '당신의 컴퓨터가 감염됐으니 치료에 필요한 소프트웨어를 내려받으라'는 지시를 하고, 실제로는 악성 프로그램을 내려받도록 하는 행위, 이메일을 보내거나 화면에 팝업창을 띄워서 '귀하의 컴퓨터가 감염됐으니, 치료에 필요한 소프트웨어를 내려받으라'는 식의 공격방법이 발호하는데 최적화된 환경이 조성될 것임.
4)감염 컴퓨터 이용자의 인터넷 접속 박탈(제15조 4항): 해당 PC, 단말기가 감염 컴퓨터라는 점이 확인되는 순간, DDoS 공격을 받고 있는 서버는 그 컴퓨터로부터 오는 트래픽을 즉시 차단할 수 있고, 실제로 DDoS 공격에 대한 대응은 이 방법을 기본적으로 채택하고 있으므로, 굳이 해당 이용자의 인터넷 접속자체를 박탈할 합리적 이유는 없음. 해당 컴퓨터 이용자에게 다른 서버에 대한 접속까지를 모두 차단할 경우, 인터넷전화, IPTV는 물론 장차 클라우드 기반의 컴퓨터 이용 패턴이 자리잡을 경우 당사자의 거의 모든 파일이나 정보에 대한 접근마저 차단당하는 포괄적인피해가 당사자에게 발생함. 이러한 피해는 기술적으로 정당화할 근거가 없음. 하나의 가구 구성원들이 다수의 단말기, PC를 사용하는 추세에 있고, 비록 특정 기기가 감염되더라도 다른 기기로 인터넷에 접속하는 것까지 봉쇄하는 것도 기술적으로 무모함.

-이상직 KT 법무센터장
1)규제대상 관련(이용자의 컴퓨터): 본 법의 목적은 이용자의 컴퓨터를 보호해 침해사고를 방지하는데 있는바, 컴퓨터의 정의는 본 법 자체에서 명확하게 정의할 필요 있음. 그럼에도 본 법 제2조 1호는 컴퓨터의 개념요소로 전자적 방법에 의한 정보전송 처리, 정보통신망에의 접속가능, 정보처리장치 중 개인용 컴퓨터단말기 등 대통령령으로 정하는 장치라고 규정함으로써 하위 법령에 규제 대상인 컴퓨터의 종류와 범위를 위임함으로써 규제의 불확실성을 높이고 있음. 따라서 규제 대상인 컴퓨터가 무엇인지 예측할 수 있도록 본 법에 명확하게 규정할 필요가 있음.
2)다른 법률과의 관계: 본 법은 컴퓨터의 보호 및 악성프로그램의 확산방지에 관해 다른 법률에 우선한다고 규정하고 있고, 부칙 제 3조에서 정보통신망법 제47조의3 2항 및 4항(정보통신망 일시 접속제한, 약관 규정사항)만을 삭제하고 있음. 그럼에도 불구하고, 정통망법 등과의 관계에서 정보통신망 침해행위의 금지(제48조), 침해사고의 대응(제48조의2), 침해사고의 신고(제48조의3), 침해사고의 원인분석(제48조의 4) 등과 관련해 어느 조항이 우선하는지또는 보충적으로 적용되는지에 관해 명시적인 규정이 없음.
3)감염컴퓨터에 관한 조치: 인터넷접속서비스제공자는 방통위로부터 감염컴퓨터에 관한 정보를 제공받거나 피해를 입은 자의 요청이 있는 경우에 감염컴퓨터의 이용자에게 감염 사실 및 조치 방법을 알려야 할 의무가 있음. 그러나 피해를 입은 자의 요청이 있다는 이유만으로 그러한 요청을 뒷받침하는 근거가 있는지에 관한 확인없이 이용자에게 감염사실을 알리는 경우에 혼란이 야기될 수 있음. 따라서 피해를 입은자의 요청이 있는 경우를 포함하고자 한다면 컴퓨터의 감염 등에 관한 구체적인 증거자료를 제시하는 경우로 제한할 필요가 있음.

-최성진 인터넷기업협회 사무국장
1)이용자의 책무관련(제7조): 법안 7조에는 백신소프트웨어 설치, 이용 및 정기적 갱신, 소프트웨어 보안취약점보완프로그램의 확인 및 설치 등 이용자가 자신의 컴퓨터를 악성프로그램으로부터 안전하게 보호하기 위해 지켜야 할 책무를 규정하고 있는바, 네트워크에 접속하는 이용자 일반을 잠재적 위해 요소로 인식해 그들에 대한 국가의 일방적 계몽을 선언하고 있음. 악성프로그램 전파는 이용자가 선택적으로 사용하는 OS의 종류, 컴퓨터 활용 방식, 디바이스의 종류 등 다양한 변수가 존재. 이와 같은 다양한 변수 고려 없이, 이용자 일방을 타인의 컴퓨터에 위해를 가할 수 있는 잠재적 위협으로 간주하는 것은 국가가 국민을 계몽해야 한다는 전 근대적 사상에 기반하는 것으로 보일 우려가 있음.
2)소프트웨어 보안취약점 점검 등(제9조): 법안 9조에는 소프트웨어사업자가 소프트웨어의 보안 취약점을 점검하고 이를 보완할 수 있는 프로그램을 제작, 배포해야 하며 이를 보완할 수 있는 프로그램을 제작, 배포해야하며, 방통위는 중대한 보안 취약점이 있는 소프트웨어에 대해서 개선을 명하되 불응 시에는 제공의 중지 명령을 할 수 있도록 규정하고 있는바, 특정 SW에 보안취약점이 존재한다는 기준이 명확하지 않음. OWASP 10대 취약점을 기존으로 삼을 것인지, 아니면 실제 아무런 위험이 발생하지 않았음에도 위험을 사전에 탐지해 이에 대한 기준을 마련할 것인지 불분명하게 명시하고 있음.
3)웹사이트의 정기점검 등(제10조): 10조에는 웹사이트 운영자에게 웹사이트 게시자료의 정기점검 및 악성프로그램 발견 시 삭제조치를 하도록 하고, 방통위는 악성프로그램이 숨겨진 게시판을 발견한 경우 해당 게시판의 운영자에게 삭제 명령 등 필요한 조치를 할 수 있도록 하고 있는 바, 비공개 카페 등 외부에서 접근이 용이하지 않은 방식으로 악성코드를 유포하는 경우, 근본적인 문제점에 대한 해소는 되지 않은 채 외부에 드러나는 현상에만 집중하는 문제점이 여전히 존재함. 방통위 등 국가 기관의 일반적 업무협조로 이행 가능한내용을 굳이 법제화하는 것은 필요가 없어 보임.
4)이용자 컴퓨터에 대한 접속 요청 등(제12조): 방통위를 가장한 제3자에 의한 피싱이 발생하는 경우, 법제도로 인한 새로운 유형의 피해가 발생할 우려가 있음. 이용자 컴퓨터에 대한 접근은 악성프로그램에 감염된 컴퓨터에 한정되고, 이용자 동의하에 이뤄진다 하더라도 많은 경우, 온라인 소외계층은 국가기관의 접속요청에 대한 이용자 동의의 의미를 잘 이해하지 못하고 수동적, 반사적으로 응할 수 있고 이로 인한 프라이버시 침해 문제도 존재할 것.



현대캐피탈과 농협 CISO 임명을 바라보는 시각   
스턱스넷 공격의 주 타깃이 된 지멘스사의 PLC장비   
Copyright ⓒ 푸우. All rights reserved.