[박광청] 차세대 보안솔루션과 '인간 방화벽'

과거에는 기업이나 조직환경에서 시스템 및 네트워크의 안정적 운영을 방해하는 위협요소는 외부로부터의 직접적인 해킹, 바이러스 및 불법적 데이터 변조 등이었다.

그러나 요즘에는 불특정 네트워크 인프라를 주요 목표로 한 지능화한 공격과 웜바이러스에 의한 공격이 주류를 이루고 있다. 이밖에 불법 개인정보 유출, 피싱(Phishing)과 같은 신종 금융사기 기법도 출현하고 있다.

지난해에도 기업들은 웜바이러스 및 크고 작은 보안사고를 경험했다. 이를 반영하듯 전반적인 IT 시장의 침체속에서도 2004년에는 침입방지시스템( IPS) 등 보안 솔루션의 성장세가 이어졌다. 올해에도 이같은 추세는 지속될 것으로 전망된다.

최근에는 새로운 애플리케이션 및 서비스 출현 등으로 인해 트래픽 유형이 다양해지고, 트래픽 양도 증가하고 있다. 이에 따라 보안 솔루션도 이러한 변화를 수용하는 방향으로 발전하고 있다.

특히 광대역통합망(BcN), 차세대네트워크(NGN)와 같은 개념이 확산되면서 네트워크 보안 솔루션도 높은 성능을 요구하고 있다.

앞으로 보안시장에서 떠오를 차세대 보안솔루션은 외부로부터의 다양한 공격 및 위협요소를 효과적으로 탐지 및 방어하고 고성능과 고신뢰성을 제공하는 능동형 보안솔루션이다.

지난해에도 IPS 및 통합보안솔루션, UTM(Unified Threat Management) 등을 표방한 제품들이 보안 시장 분위를 주도했다. 그러나 이같은 솔루션들은 이미 수십개로 늘어날 만큼 벌써부터 포화 조짐을 보이고 있다.

최근에는 시스코나, 주니퍼, 쓰리콤 같은 대형 네트워크 업체들이 보안사업을 강화하면서 보안시장 자체가 재편될 가능성도 없지 않다.

그렇다면, 이 시점에서 다음과 같은 질문을 한번 던져보도록 하자.

"좋다. 우리 회사 네트워크의 주요 포인트에 고가인 차세대 보안솔루션을 도입만 하면 현재 골치를 앓고 있는 모든 보안 이슈들을 말끔하게 해결할 수 있을 것인가?"

이미 대다수가 느끼고 있듯이 이 질문에 대한 대답은 다소 부정적일 수 밖에 없다.

이는 해킹과 그 방어 기법이 창과 방패의 관계처럼 수준이 향상되고 있기 때문이다. 무엇보다 공격방법 자체가 다양해지고 지능적으로 변화하고 있다는 것을 주목해야 한다.

아마 정답에 가장 근접할만한 것으로는 "보안은 제품이 아니라, 프로세스이다.(Security is a process, not a product.)"라는 브루스 슈나이어(Bruce Schneier)의 정의가 될 것 같다.

필자 개인적으로도 보안제품은 그것을 운용하는 관리자의 관점이나 역량에 따라 그 효과는 천차만별이라고 생각한다.

실제로 값비싼 고가 보안솔루션을 도입해 놓고도 활용률이 극히 떨어지거나 심지어는 방치하고 있는 곳이 적지 않다. 제공되는 기능중 가장 기본적인 것들만 활용하는 곳들도 많다. 대다수 중소기업의 경우 아직까지 방화벽도 없는 경우가 허다하다.

다소 뜬금없는 얘기로 들릴수도 있겠다. 필자는 가장 이상적인 보안 모델은 오히려 인간방화벽일 것이라는 생각을 하곤 한다.

인간방화벽이란 변변한 보안제품도 없이 몇몇 공개용 툴이나 운영체제에서 기본적으로 제공하는 TCP/IP 필터링 기능, 그리고 관리자의 지극한 '노가다' 작업으로 몇 년 동안 큰 보안이슈 없이 적지 않은 시스템들을 훌륭히 관리하고 있는 모 사이트의 담당자에게 지어준 별명이다.

모든 기업이나 조직에서는 나름대로의 특성이나 업무 프로세스가 존재한다. 이 때문에 보안에 대한 정확한 정답은 없다. 그러나 보안 솔루션 도입에 앞서 사전 분석 및 컨설팅 작업, 그리고 보안 솔루션이 수용 가능한 범위에 대한 협의는 필수적이다.

이에 못지 않게 중요한 것이 구성원의 보안 인식과 그것을 운용하는 담당자의 능력 및 마인드라고 할 수 있다.

현재 관심이 되고 있는 통합보안장비나 차세대 보안장비도 실제 그 솔루션의 역할은 전체 기업환경에서 필요로 하는 영역 중 일부로 봐야 한다.

이는 최신 보안기술 도입보다도 기업 보안 정책이나 각 구성원들의 보안 의인식 정립 및 대응책을 마련하는 내부 프로세스가 더우 중요하다는 것을 의미한다. 어려운 것도 보안 기술 도입이 아니라 바로 이것이다.

언제나 그렇듯이 보안은 완료형이 아니라 진행형이다. 따라서 완벽한 보안시스템 구현은 앞으로도 남겨진 미완의 숙제일 듯 하다.