지난해 말 발생한 한국수력원자력(한수원) 사이버테러 사건 등으로 올해 '악성프로그램 확산방지 등에 관한 법률(이하 좀비PC 방지법)' 제정이 재추진될지 관심이 쏠리고 있다. 좀비PC방지법은 2009년 이후 대규모 사이버테러 사건이 발생할 때마다 거론됐지만 진척이 없다.
20일 관련업계에 따르면 수면 아래로 가라앉았던 좀비PC방지법이 다시 주목받고 있다. 한수원 정보유출 사건이 사이버테러에 대한 경각심을 불러일으킨 데다 정부도 사이버보안에 힘을 쏟겠다고 재차 강조하고 있기 때문.
미래창조과학부는 지난달 사이버침해 대응을 위한 전담 부서를 신설했다. 지난 연말 백기승 한국인터넷진흥원(KISA) 원장은 더 고도화되는 사이버 공격에 대응하기 위해 좀비PC방지법 제정이 필요하다는 의사를 밝혔다. 백 원장은 "법률로 사전에 방지한다는 것은 기술 이슈"라며 정치적 논란이 있었지만 빠른 제정이 필요하다는 점을 강조했다.
KISA는 자체 정책 분석 전문지 '인터넷&시큐리티 포커스'에 '악성프로그램 확산방지 등에 관한 법률(안)의 주요내용 및 발전방향에 관한 소고'를 게재했다.
이 법은 악성 코드에 감염된 PC를 신속히 처리해 디도스(DDoS·분산서비스거부) 공격을 막기 위한 내용을 골자로 한다. 디도스 공격은 해커가 사전에 악성 코드를 유포해 이른바 좀비PC를 만든 다음 악성 프로그램에 감염된 좀비PC를 일제히 움직여 특정사이트나 시스템을 공격하는 방식이다. 이러한 디도스 공격으로 인한 피해액은 매년 증가하고 있다. 2013년 3·20 사이버 테러 피해액만 8800억 원으로 추정된다.
국회에 계류 중인 좀비PC방지법은 18대 국회에서 회기 종료로 폐지된 법안을 보완해 2012년 한선교 새누리당 의원이 대표 발의했다. 하지만 18대 국회 당시와 마찬가지로 개인의 기본권 침해와 정부에 대한 과도한 권한 부여 문제 등으로 반발에 부딪힌 상황이다.
예를 들면, 법안에 포함된 '컴퓨터 보안 프로그램 설치 및 좀비PC 치료를 위한 IP제공, 이용자 컴퓨터에 대한 접근 요청 허용' 등의 조항은 이용자의 사생활을 침해하고 패킷 감청 등을 허용하는 것이라는 비판을 받았다. 취득한 정보를 목적 외 사용하지 못하도록 하는 조항이 있지만, 이용자 컴퓨터에 접속 주체가 명확한 규정이 없는 등 악용 가능성이 있다는 것이다.
또한 이상 징후 발생 시 정부가 인터넷 접속 경로를 차단토록 명령할 수 있는 조항도 위법성 여부를 검토해야 한다는 지적이다. 제한적인 차단 명령 등 범위를 축소하거나 적용 경우를 구체적으로 명시하는 등 조치가 없다면, 정부가 과도한 힘을 갖게 된다는 우려다.
보안 전문가들은 디도스 공격이 매우 빠르게 일어나고, 갈수록 빈번해지는 만큼 관련 법 제도가 필요하다는 입장이다. 좀비PC방지법이 기본권 침해 우려가 있다면 기존 법안을 수정하는 방식을 추진해서라도 빠른 대처가 가능하도록 하자는 것이다.
한정연 한국인터넷진흥원 연구원은 좀비PC방지법 발전 방향 관련 보고서를 통해 "좀비PC방지법이 국회에 통과되지 못하더라도 지속적으로 발생하는 사이버 공격에 대응할 수 있는 법 체계 구축은 필요하다"며 "'정보통신망법' 개정 등 다른 방식도 고려해볼 필요가 있다"고 밝혔다.
악성코드 감염 PC에 대한 접속요청권을 신설하거나, 접속경로 차단 요건 등을 강화해 침해확산 방지를 위한 접속경로 차단명령을 규정하는 등 개선이 필요하다는 설명이다. 이어 "물론 시민단체, 인터넷협회 등 여러 민간사업자 등 각계 관계자들의 충분한 논의가 선행돼야할 것"이라고 덧붙였다.