실시간
뉴스

법제도/정책

‘좀비PC방지법’ 국회 논의 본격화…진통 예상

디지털데일리 발행일 2011-06-16 10:07:39
이유지 기자

- 문방위 공청회 개최, “DDoS 사전예방·대응에 필수”-“이용자 권리 침해” 전문가 법 제정 찬·반 의견 엇갈려

[디지털데일리 이유지기자] 지난해 국회에 발의된 ‘악성프로그램 확산방지 등에 관한 법률(일명 좀비PC방지법)’ 제정 논의가 시작된다.

국회 문화체육관광방송통신위원회(문방위)는 15일 한선교 의원(한나라당)이 대표발의한 좀비PC방지법안을 안건으로 상정하고, 본격 심사에 들어가기에 앞서 전문가 의견을 듣는 공청회를 가졌다.

이날 공청회에 참여한 전문가들은 DDoS 공격 등 사이버침해사고에 악용되는 좀비PC 확산을 막고 이용자의 PC를 안전하게 보호해야 한다는데 공감했지만, 별도 법 제정 필요성이나 악성코드 감염 PC의 인터넷 접속 차단 조치 방법 등에서는 의견이 갈렸다. 반대 입장을 밝힌 전문가들은 이 법이 이용자의 기본권을 침해할 수 있고 방송통신위원회가 막강한 권한을 행사할 수 있다는 우려를 지적했다.  

법 제정에 찬성 입장을 가진 권창범 법률사무소 인 변호사는 “현재 분산서비스거부(DDoS) 공격 대책이 될 만한 실효성 있는 근거법률이 부재하다”며, “악성코드 감염으로 좀비PC를 막을 수 있는 인터넷 접속경로 차단에 대한 사업자와 정부의 권한이 없어, 이를 규정하고 악성프로그램 확산을 방지해 이용자 컴퓨터 보호할 사전예방 법률이 필요하다”고 말했다.

권 변호사는 “침해사고시 인터넷 이용자에 대한 차단이 아니라 접속경로를 차단하는 것이고, 일정규모 이상의 침해사고 발생시에만 인터넷 접속을 차단한다는 점에서 피해를 최소화할 수 있어 법적 균형성이 인정된다”고 강조했다.

염흥렬 순천향대 교수도 “DDoS 공격 사전예방과 긴급대응이 가능하고 이용자 사회적 책임을 강화할 수 있도록 기술·관리적 대책뿐 아니라 법제도 기반이 필요하다”고 전제하고, “최근 악성 애플리케이션 증가로 좀비 스마트폰과 국내 특성을 고려한 공격코드가 나타나고 있어 민간과 공공 각 주체의 사이버위협 사전예방을 촉진해야 하지만 현행 정보통신망법에서는 이용자 정의가 다르고 기술적으로도 담기 어렵다”고 설명했다.

조창섭 이글루시큐리티 상무는 “지난 7.7 DDoS 공격이나 3.4 DDoS 사건 때 모두 파일공유서비스 사이트에서 악성코드가 유포돼 공격이 이뤄졌는데, 이를 미리 조치했거나 이용자 PC 보안 프로그램이 설치돼 있었다면 공격은 예방될 수 있었다”며, “현재 법적근거 미비를 이유로 보안취약점 수정 등의 조치를 거부하는 상황에서 제도적 장치가 필요하다”고 강조했다.

조 상무는 “이용자 컴퓨터 접근 요청권은 악성코드 샘플을 빨리 획득하는 것이 목적으로 감염사실이 확인된 경우에만 PC 사용자에 동의를 얻게 돼 있고 승인받은 경우에만 접근할 수 있어 안전성이 확보돼 있으며, 정부의 인터넷 접속 차단 명령권도 국가적 위기 상황시 혼란을 막기 위해선 불가피한 제도”라고 의견을 덧붙였다.

이 법이 이용자 권리를 침해하고 정부의 권한을 강화하는 수단으로 악용될 우려가 크다는 지적도 많이 나왔다.

김기창 고려대 교수는 “이 법은  악성코드 감염을 방지, 억제하는데 별 도움이 되지 않을 뿐 아니라 오히려 광범위한 악성코드 유통·감염 경로를 제공해 줄 우려가 크고, 방통위가 막강한 권력을 행사할 수 있도록 돼 있다”고 강조했다.

김 교수는 “방통위가 보안취약점이 있는 소프트웨어 배포 중지 명령 권한을 갖게 되면 국내 사업자에게만 막강한 권한을 행사할 수 있고, 결함있는 백신 판매나 제공 금지 명령권 역시 반시장적 조치”라며, “특정 백신 프로그램이 결함이 있다는 것을 알려주면 아무도 안 쓸텐데 강제로 못쓰게 한다면 부작용이 나타날 수 있다”고 지적했다.

이어 “자료제출 요구, 영업장 출입, 수색·조사 권한 부여도 문제”라며, “특정 기업의 서버의 악성코드 감염이 의심된 경우 사업장에 사전통지조차 없이 방통위 공무원이 들이닥쳐 물품과 서류를 조사할 권한을 갖게 할 수 있는데, 악성코드 대처와는 무관하게 과도한 권력을 행정주체에게 제공하는 것”이라고 목소리를 높였다.

최성진 인터넷기업협회 사무국장도 “입법 취지에 공감하지만 법의 명확성과 구체성이 떨어져 법이 제정된 이후 행정부의 재량과 사법부의 해석에 따라 달라질 여지가 많고, 이용자 권리 침해가 발생할 수 있어 별도 입법 보다는 기존 법률 활용 가능성을 포함해 신중하게 판단해줬으면 한다”고 제안했다.

최 사무국장은 “백신 설치 등 PC 보안관리 의무는 선언적 규정이며, 웹사이트 정기점검 등도 정상 사업자라면 악성 프로그램이 있다는 것을 알게 되면 당연히 지울 것이기 때문에 행정적으로 불필요한 조항”이라며, “방통위의 자료제출 요구나 소프트웨어 보안취약점 개선`중지 명령도 여러 문제를 일으킬 수 있으며, 이용자 컴퓨터 접속 요청도 PC 활용 능력이 부족한 이용자들이 피싱에 악용될 우려가 있다”고 지적했다.

KT 법무센터장 이상직 전무는 “악성프로그램이 사업에 위협이 되지만 이를 막자고 고객 컴퓨터를 두고 이래라 저래라 명령하는 것은 더 큰 위험을 자초할 가능성이 있다”며 사업자 입장에서 감염 컴퓨터 조치에 대한 어려움을 설명하고, “정보통신망법, 정보통신기반보호법 등 현행 법률을 개정해 해결할 수 있진 않은지 충분히 검토해 볼 필요가 있다”는 의견을 내놨다.

이날 전문가 진술 직후 전병헌 의원(민주당)은 “사이버공간, 인터넷상에 새로운 빅브라더를 만들어 낼 부작용이 있다”며  “DDoS 공격 보다 더 무서운 개인의 권리를 심각하게 침해할 수 있다”는 의견을 밝혀, 향후 문방위 법안 심사 과정에서 상당한 진통이 예상된다.  

한선교 의원은 “공청회에서 나온 전문가 의견을 바탕으로 법안을 보완, 토론 과정을 거쳐 고쳐 나가도록 하겠다”고 말했다.

<이유지 기자> yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

이 기사와 관련된 기사

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언

x