지난해 7.7 ddos 대란 이후 좀비pc 방지법 제정 추진 의사를 밝혔지만 야권 및 시민단체들의 사생활 침해 문제 제기 등으로 밀어졌던 악성프로그램 확산방지에 관한 법률안 지난 28일 발의 되었습니다. 최근 사이버테러의 중심이 되어버린 좀비pc의 확산을 막기 위해 추진된 법안이라고 하는데, 일부 조항에는 문제가 있어보입니다.
좀비pc 방지법
좀비pc 방지법 문제가 되는 일부 조항
- 다량의 PC를 보유한 PC방 및 공용 PC를 운용하는 민간기업 의무적 백신 설치/최신업데이트
- 기업의 경우 반드시 기업용 유료 백신 의무적 설치
- ddos 및 사이버테러시 인터넷업체에 명령하여 좀비PC 이용자들 웹사이트 접속 강제 차단,불복시 과태료 부과
- 백신의 성능 검사를 거쳐 백신 능력이 일정 수준에 이르지 못할 경우 퇴출 명령
- 웹 사이트 운영자들은 사이트에 악성 프로그램이 올라와 있는지 여부를 정기적으로 점검
- 일반 사용자들의 백신 설치 의무화
- 기업의 경우 반드시 기업용 유료 백신 의무적 설치
- ddos 및 사이버테러시 인터넷업체에 명령하여 좀비PC 이용자들 웹사이트 접속 강제 차단,불복시 과태료 부과
- 백신의 성능 검사를 거쳐 백신 능력이 일정 수준에 이르지 못할 경우 퇴출 명령
- 웹 사이트 운영자들은 사이트에 악성 프로그램이 올라와 있는지 여부를 정기적으로 점검
- 일반 사용자들의 백신 설치 의무화
아래의 조항은 작년 이맘때 쯤 문제가 되던 조항인데, 올해에는 이와 관련된 기사 및 권고문이 없어서
좀비pc 방지법에서 제외 되었는지 아닌지 잘 모르겠습니다.
시중에 유통 중인 소프트웨어의 보안 취약성을 점검, 취약점 발견시 해당 업체에 보안패치 제작 및 배포를 요청,
해당 업체들은 이 같은 사항을 한 달에 최소 두 번 이상 개인 이용자에게 알려야 하며
이를 어길 시 해당 소프트웨어 제공의 중지 명령
해당 업체들은 이 같은 사항을 한 달에 최소 두 번 이상 개인 이용자에게 알려야 하며
이를 어길 시 해당 소프트웨어 제공의 중지 명령
중요한것은 안보교육
기업의 경우 기업용 유료백신 의무화 설치, 소프트웨어의 취약점 보안패치 제작 및 제공 중지명령
사이트에 악성 프로그램이 올라와 있는지 정기적 정검 등..
중소기업 및 개인 기업자에게는 부담으로 돌아오는 조항입니다.
백신성능 테스트 이후 퇴출이란 조항 역시 그 기준점에 대한 모호함과 형평성에 대한 문제가 있습니다.
좀비pc 이용자들의 웹사이트 접속제한의 경우 IP를 파악하여 인터넷 서비스 업자(ISP)에게 제공하여
이들의 접속을 제한하는 조항 역시 기업들에게 책임을 전가하는 것과 다를바 없어 보입니다.
그 이전에 정부가 국가안보라는 이름으로 개인 사용자들의 웹사이트 이용을 제한할 수 있는
권한이 있는지의 여부가 더 궁금합니다.
자신의 pc가 좀비pc인지 모르고 사용하는 좀비pc 이용자들이 대부분일 겁니다. 그런 사용자들의
ip를 ISP에게 넘겨 웹사이트 사용을 제한하고 과태료를 부과하는 조항은 이해하기 어렵습니다.
방통위 및 감독기관의 권한만 높아질 뿐 이런한 조항들이 실질적인 방지대책이라 생각되지 않습니다.
아직도 7.7 디도스 대란이 뭔지, 좀비pc가 뭔지, 악성코드 및 바이러스의 실질적 문제점이 무엇인지
모르는 분들이 많습니다. 강압적 법률의 제정이 아닌 보안문제에 대해 국민들에게 교육하고 알려
개인 및 기업 스스로 PC 보안에 관심을 갖고 관리할 수 있는 분위기를 조성해 주는것이
장기적으로나 효율성 면에서 더 시급하지 않은가 생각해봅니다.