해커 침입 실시간 탐지 "IDS", 보안시장 "떠오르는 별"

　지난 1월 미국 새너제이에서 개최된 세계 최대 보안 전시회인 「RSA회의」에서 네트워크 사용실태를 지속적으로 감시해 해커의 침입 여부를 실시간으로 파악해주는 침입탐지시스템(IDS) 업체의 제품 및 기술 발표가 잇따랐다.

　이 전시회에서 지난 1∼2년 동안 선풍적인 인기를 모아왔던 체크포인트 등 방화벽 업체들의 제품들이 업계의 관심 밖으로 멀어진데 반해 인터넷시큐리티시스템(ISS)·액센트테크놀로지스·사이버세이프 등 IDS업체의 제품들이 선풍적인 인기를 모았다.

　특히 최근 들어 미연방수사국(FBI)·미 상원·국무부 등 주요 사이트가 해킹당하고 중국이 해킹기술을 통해 미국의 핵무기 기술을 절취했다는 보도가 잇따르면서 IDS가 업계에 높은 관심을 불러일으키고 있다.

　IDS가 이처럼 최근 각광받고 있는 것은 해킹방법을 기반으로 해커의 침입을 탐지하는 IDS의 특징 때문. 현재 많은 IDS업체들은 과거의 해커들을 고용, 이들의 해킹기술을 활용해 제품개발을 추진하고 있다.

　또한 IDS는 외부로부터 공격하는 해커의 침입뿐만 아니라 내부자에 의한 해킹도 차단할 수 있다.

　이에 따라 IDS는 기존 방화벽이 지원하지 못하는 ID 도용을 통한 내부 공격자도 제지할 수 있다.

　IDS의 또 다른 특징은 시스템 침입에 즉시 대처하는 기능이다. 해킹사실이 발견됐을 때 해킹에 관한 정보를 휴대전화·무선호출기·전자우편 등으로 즉시 전송, 네트워크 관리자 부재시에도 시스템 보안을 유지할 수 있게 한다.

　또 탐지에 그치지 않고 침투경로까지 추적해 해커를 적발하며 데이터를 안전한 곳으로 전환시켜 놓는 등 방화벽의 수동적인 대처와는 달리 적극적인 보안기능을 갖추고 있는 점이 특징이다.

　IDS는 침입형태에 따라 네트워크자원의 비정상적인 사용에 대처하는 비정상 침입탐지 기능과 시스템의 허점을 통한 시스템 침입에 대처하는 오용침입탐지 기능을 갖추고 있다.

　비정상 침입탐지 기능은 사용자의 사용패턴을 데이터베이스화해 해킹에 대처하는 것으로 예를 들어 어떤 사용자가 컴퓨터를 주로 12∼6시 사이에 사용하는 경우 이 시간 이외의 사용에 대해서는 정상적으로 사용할 수 없도록 만드는 기능이다.

　오용침입탐지 기능은 시스템의 허점을 통해 침입할 경우 이를 대처하는 기법으로 현재 대부분의 IDS들은 이 두 가지 기능을 혼용해 제공하고 있다.

　IDS의 이같은 특징으로 주요 IDS업체들도 최근 이들의 IDS제품 업그레이드 계획을 속속 밝히고 있다.

　IDS의 대표적 제품인 「리얼시큐어」를 생산하는 ISS는 리얼시큐어에 해커의 침입 여부 및 경로를 추적하는 탐지기능을 강화하는 한편 보안허점이나 내부사용자에 의한 전산자원 침입에 대한 자동인식 기능을 확대할 계획이라고 밝혔다.

　액센트도 이달 중으로 실시간 침입 대처기능을 향상시킨 IDS를 발표할 계획이다.

　액센트는 이 제품이 일반적인 침입탐지 기능뿐만 아니라 새로운 형태의 침입에 대처할 수 있도록 할 계획이다.

　IDS는 현재 방화벽에 비해 인지도가 떨어지는 것이 사실이다. 또한 IDS는 방화벽과 달리 보안컨설팅이 선행되어야 하며 기업자원의 분산환경으로의 전환이 전제되어야 하는 등의 과제도 남아 있다.

　그러나 최근 들어 기업의 전자상거래(EC)가 활발히 전개되고 있고 정부기관들이 인터넷을 통한 전자문서교환(EDI) 결재가 급진전되면서 방화벽에 이은 보안부문의 새로운 대안으로 등장하고 있다.

　이에 따라 IDS는 앞으로 공개키기반구조(PKI)·인증·디렉터리 보안제품과 함께 차세대 보안시장을 주도하게 될 전망이다.

<정혁준기자 hjjoung@etnews.co.kr>