25일에 발생한 인터넷 대란은 네트워크간의 의사소통을 불가능하게 만들어 기존의 질서를 순간적으로 붕괴시킨 유감스러운 사건이다. 현재, 사건의 원인은 바이러스 공격에 의한 네트워크 마비 현상이라고 정통부는 밝히고 있으며 관련한 대국민 행동 요령을 통하여 특정 업체 소프트웨어 패치 프로그램 설치를 권고 하고 있다. 이는 특정 소프트웨어의 보안 취약성에 나온 사건임을 확인 시키고 있는 것이다. 확인된 사실에 근거한 정부측의 향후계획은 근본적이기 보다는 다분히 수동적인 계획을 내놓고 있다. 이에 다음과 같은 성명을 발표한다.
" 네트워크망은 공공영역이다. 공공영역의 안전성을 훼손하는 요소들은 제거되어야 하지만 현재 상태로는 소프트웨어의 보안성을 신뢰할 수 있는 방법이 없다. 소프트웨어의 소스공개를 통한 안전성, 보안성 검증과 소스 코드 이용을 통한 능동적 보안 강화와 사고 예방이 근본적 대책이다. "
지난 한 주간 우리 사회는 매일같이 온라인과 오프라인 상에서 각종 보안 및 정보유출 사고를 겪었다. 특히, 농협에서 현금카드 복제 사건이 드러난 이후 다른 여러 은행들에서 유사한 사건이 계속 확인되고 있다. 이번 인터넷 대란 역시, 대형 네트워크 시스템 운영자들이 보안에 대한 책임의식 없이 피해가 발생하면 사후 수습하는 방식으로 시스템을 운영하는 관행에 원인이 있다. 이런 상황에서 보안 사고로 인해 발생하는 피해는 언제나 이용자들에게 전가되어 왔다. 이는 일반 이용자들의 피해를 담보삼아 IT 산업을 육성시켜왔음에 다름 아니다.
이번 인터넷 대란을 계기로, 보안과 정보 보호라는 관점에서 정보화 체계를 재구축해야 한다. 우선 국가 전산망, 그리고 금융전산망 등 일반 시민과 밀접한 관련이 있는 주요 민간 전산망들에 대한 재점검에 나서야 한다. 지금까지 주요 전산망 인가 과정에서 보안에 대한 검토는 늘 형식적인 과정일 뿐이었다. 이용자들의 피해를 사전에 방지할 수 있는 실질적인 보안 감독 체계를 구축해야 한다.
보다 근본적으로는 네트워크 이용을 위한 값비싼 소프트웨어를 판매하는 기업은 보다 보안성이 뛰어난 제품을 생산할 의무가 있다. 보안, 신뢰성을 검증, 입증 받지 못하는 소프트웨어는 도태되어야 하지만 기업의 독점적 위치에 의해서 또는 소프트웨어의 각종 피해에 관한 회피조항만 있는 라이센스 규정에 의해서 보안성을 신뢰할 수 있는 방법이 존재하지 않아 사고예방에만 초점이 맞추어지는 현실이다. 특히, 보안성과 신뢰성 검증이 부족한 상태에서 시장에 소프트웨어를 내놓고 문제가 생길 때마다 보안 패치를 하는 것으로 책임을 면하려는 현재의 관행과 제도는 바뀌어져야 한다. 이것은 결과적으로 값비싼 소프트웨어를 구입한 소비자들을 일종의 베타 테스터로 보는 상도에 어긋나는 행위인 것이다.
이러한 현실이 바뀌기 위한 최소한의 조치로써 소프트웨어의 소스공개가 필요하다. 네트워크를 구성하는 소프트웨어는 구입자에게 소스를 공개하여 안정성의 검증이 가능하게 하고 소스 코드 이용을 통한 능동적 보안 강화와 사고 예방이 필요하다. 25일의 사태에 관해서 피해를 입은 네트워크를 운영하는 기업은 자체 보안 허술에 대한 책임과 더불어 불안정한 소프트웨어 구입에 대한 책임도 있는 것이다. 이에 기업측은 소프트웨어 제조업체에게 관련 소스코드 공개를 요구 해야 한다. 그리고 안정성과 보안성을 검증하는 프로그램을 진행하여야 할 것이다. 그리고 끊임없이 문제점이 생기는 소프트웨어에 대한 구매를 중단해야 할 것이다.
국가기관부터 법과 제도에 의거하여 오픈소스 소프트웨어에 대한 지원 정책을 마련해야 하며 이는 네트워크를 구성하는 모든 영역에 걸쳐 하나의 원칙이 되어야 할 것이다.
보안상 결함이 있는 소프트웨어가 있는 한 인터넷 대란은 오늘로 그칠 보장은 없는 것이다.
<끝>
