“디도스 방어 서비스 상품 가입률은 4%도 되지 않습니다”

국내 IDC를 운영하고 있는 A업체 관계자의 말이다. 

디도스(DDoS) 공격은 과거 2000년대 초반에 위협적이었던 고전적 공격 방법에 불과한데도 최근에도 공공기관과 기업의 피해가 속출하고 있는 가운데 투자에 인색한 기관과 기업의 책임론이 일고 있다. 

최근 보안뉴스에서 발간된 ‘2019 국내외 보안시장 전망보고서’에 따르면 2019년 국내 보안시장 규모는 5조7,517억원(물리보안시장 3조8,144억원, 사이버보안시장 1조9,373억원)으로 지난해 대비 4.2% 성장할 것으로 전망한다.

이 전망보고서에 따르면 국내 보인사장은 다른 산업군에 비해 고성장세를 유지할 것으로 예측하고 있지만, 최근 디도스(DDoS, 분산 서비스 거부 공격)에 대한 피해가 속출하면서 정작 필요한 시스템에 대한 보안은 이뤄지지 않고 있다는 지적이 일고 있다.

“보안 = 비용” 공식 앞세워 위험 노출 자초

지난해에 이어 올해 초에도 디도스 공격을 받은 가비아는 국내 IDC를 운영하고 있는 기업의 회선을 임대해 서비스 하고 있었으며, 디도스 방어 서비스 상품에 가입하지 않은 것으로 알려졌다.

이로 인해 지난 7일 커뮤니티 사이트인 ‘디시인사이드’가 디도스 공격을 받아 서비스 장애가 일어났다. 디시인사이드가 있는 가비아 서초센터 또 다른 고객사인 엔디소프트, 보배드림 등까지 영향을 받아 피해가 커졌다.

특히 가비아는 IDC, 클라우드, 보안 등 서비스를 전문으로 하는 기업이라는 점과 16Gbps 규모 안팎 디도스 공격을 막지 못하고 피해를 받은 점, 지난 2017년 1월에도 도메인네임서버(DNS) 디도스 공격을 받고 피해를 받았다는 점에서 전반적인 보안 체계에 문제가 있다는 지적이다.

관련 업계 한 관계자는 “디시인사이드 같은 사이트는 미션 크리티컬한 사이트가 아니기 때문에 사실 디도스 공격 시 방치하는 수준으로 공격을 당하는 경우가 많다"며 "대응이 곧 비용이라는 공식 때문에 딱히 사전 대처에 투자를 하지 않는다”고 지적했다.

한 보안전문가는 "일부 중소기업 등은 보안에 대한 인식이나 투자 여력 자체가 없는 점도 문제"라며 "과학기술정보통신부를 비롯 정부 차원에서 근본적 해법이나 지원은 물론 보안 공격에 대해 피해 발생 시 책임 등 국가 사이버 재난 차원에서 대책이 필요하다"고 말했다.

디도스 공격, 더 자주 일어난다…보안은 비용 아닌 피해 최소화하기 위한 노력

한국인터넷진흥원은 중소기업을 대상으로 피해 웹사이트로 향하는 디도스 트래픽을 우회하여 분석, 차단함으로써 정상적으로 운영할 수 있도록 하는 사이버대피소를 운영하고 있다.

사이버대피소는 최근 3년간 총 5,506건의 디도스 공격을 방어했다. 16년 1,012건에서 18년 2,854건으로 182%가 증가한 수치다. 이처럼 디도스 공격은 과거보다 더 자주 일어나며, 이는 곧 피해로 이어질 수 있다는 것이다.

관련 업계 관계자는 “쓰나미를 막을 순 없는 것처럼 디도스 역시 막을 수 없다. 다만 사전 방어 시스템 구축을 통해 피해를 최소화할 수 있다”며, “보안은 비용이라는 잘못된 시각을 버리고 필수 불가결이라는 생각을 가져야한다”고 지적한다.