국내 호스팅 업체 '가비아'가 디도스(DDos·분산서비스거부) 공격을 받고도 관련 정부 보안당국에 신고하지 않았다는 의혹이 제기된다.
7일 업계에 따르면 한국인터넷진흥원(KISA)은 오전부터 이상 트래픽을 모니터링 하던 중 11시 40분경 가비아의 디도스 공격이라는 것을 확인하고, 가비아에 몰리는 트래픽을 우회해 사이버대피소 서비스와 침해사고 신고를 안내했다.
당시까지 KISA에는 아무런 신고가 없었다. 관련 법에 의하면 발생 즉시 KISA에 신고해야 한다.
가비아의 호스팅 서비스를 사용 중인 디시인사이드는 오늘 새벽부터 디도스 공격을 받았다. 그 영향으로 가비아를 사용하는 또 다른 호스팅 업체 '엔디소프트' 등 여러 중소업체들의 접속 장애가 발생했다.
문제는 새벽부터 이어진 디도스 공격이 있었음에도 오전 11시 40분 이전까지 가비아는 공격 사실을 KISA에 신고하지 않았던 것으로 드러났다.
KISA 관계자는 "이날 오전부터 일부 웹사이트에 접속이 간헐적으로 오류가 발생한 것을 확인했고 공통적으로 가비아에서 웹호스팅 서비스를 이용하고 있는 것임을 확인했다"며 "이후 가비아에 연락하여 디도스 공격으로 고객 웹사이트 접속에 장애가 발생하고 있음을 확인했다"고 말했다.
이어 "11시 40분 이전에 디도스 공격과 관련된 침해 신고가 접수되지 않았다"고 덧붙였다.
이와 관련 가비아 관계자는 "우리는 가상 인터넷서비스 제공업체(ISP, Internet Service Provider)로 디도스 공격과 관련해 신고할 의무가 없다"고 말했다.
업계 일각에서는 서비스 장애 원인을 파악하는데 시간이 걸려 디도스 공격을 몰랐을 수도 있다는 이야기가 나온다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의 3(침해사고의 신고 등)에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 '즉시' 방송통신위원회나 한국인터넷진흥원에 신고해야 한다. 이를 지키지 않으면 1천만원 이하의 과태료에 처한다.
가비아는 오전 중에 발생한 디도스 공격 사실을 알고도 침해 사실을 신고하지 않았다는 의혹이 제기된다.
가비아는 이날 오후 '일부 도메인 시스템 정기 점검에 따른 서비스 단절 안내' 공지문을 통해 8일 새벽 3시부터 4시까지 'Uniregistry 도메인 시스템 점검'을 실시한다고 밝혔다.
가비아 관계자는 "정기적으로 진행하는 점검일 뿐 이번 디도스 공격으로 점검하는 것은 아니다"라고 말했다.
한편, 가비아 서비스를 사용 중인 엔디소프트가 오전 10시 30분, 11시 5분, 11시 50분 등 총 3회에 걸쳐 디도스 공격을 받았다고 밝히면서 또 다른 논란을 예고했다.
정동진 기자 lycaon@greened.kr