<인터넷 금주의 키워드>침입탐지시스템(IDS)

IDS는 시스템이나 네트워크에서 일어나는 침입을 즉각 탐지할 뿐만 아니라 실시간으로 대응하는 보안시스템으로 침입 차단을 목적으로 하는 방화벽과는 달리 각종 해킹수법을 이미 자체적으로 내장, 침입 행동을 실시간으로 감지·제어할 수 있는 기능을 제공한다.

컴퓨터의 데이터 병목현상을 해소하는 차세대 인터페이스 기술 개발이 급진전하고 있다. 올해 급부상할 ATA100, AGP 8배속, USB 2.0 등 세 가지 인터페이스에 대해 자세히 살펴본다.

침입탐지시스템(IDS : Intrusion Detection System)

IDS는 침입차단시스템(방화벽)과 함께 활용되는 네트워크 보안솔루션으로 정보시스템의 보안을 위협하는 침입행위가 발생할 경우 이를 탐지해 대응하기 위한 것이다. 인터넷 등 외부망과의 접속시 일정 요건을 갖추지 않은 사람이나 데이터의 침입을 차단하는 방화벽과는 달리 각종 해킹수법을 이미 자체적으로 내장, 침입행동을 실시간으로 감지·제어할 수 있는 기능을 제공한다. IDS의 개발 기원은 지난 1980년 미국의 제임스 앤더슨이 보안을 목적으로 자동감사자료와 추적시스템의 필요를 주창한 데서 찾을 수 있으며 85년 미 해군 연구지원을 받은 데닝과 뉴만에 의해서 처음으로 실시간 침입탐지시스템 모델이 개발됐다. 이후 민간기업에 의해 오늘날의 형태로 발전했다. 국내에서는 98년 7월 발표된 인젠의 「네오와처」와 같은해 8월에 출시된 펜타시큐리티시스템의 「사이렌」이 그 효시라고 볼 수 있다.

그동안 보안솔루션의 대명사 역할을 해온 방화벽을 출입자 인증용 「대문」에 비유한다면 IDS는 대문 안팎으로 설치한 「감시카메라」 정도로 설명할 수 있다.

IDS는 시스템이나 네트워크에서 일어나는 침입을 즉각 탐지할 뿐만 아니라 실시간으로 대응하는 보안시스템으로, 침입차단을 목적으로 하는 방화벽과는 달리 각종 해킹수법을 이미 자체적으로 내장, 침입행동을 실시간으로 감지, 제어할 수 있는 기능을 제공한다.

IDS의 중요한 특징은 시스템 침입에 즉시 대처하는 기능이다. 해킹사실이 발견됐을 때 해킹에 관한 정보를 이동전화, 전자우편 등으로 즉시 전송, 네트워크 관리자 부재시에도 24시간 시스템 보안을 유지할 수 있게 한다. 또 탐지에 그치지 않고 침투경로까지 추적해 해커를 적발하며 데이터를 안전한 곳으로 전환시켜 놓는 등 방화벽의 수동적인 대처와는 달리 적극적인 보안기능을 갖추고 있는 점이 특징이다.

IDS는 침입형태에 따라 사용자들의 행동을 통계적 방법으로 처리, 정상적인 행동양식에서 벗어난 침입행위를 탐지하는 비정상침입탐지(anomaly)와 내부 및 외부로부터의 시스템 및 네트워크에 대한 기술적인 공격을 탐지하는 오용침입탐지(misuse)가 있다. 예를 들어 비정상침입탐지 기능은 사용자의 사용 패턴을 데이터베이스화해 기존 사용자의 시스템상의 행동과 상이한 행동을 했을 때 이를 발견할 수 있으며, 오용침입탐지 기능은 시스템의 허점을 통해 침입할 경우 이를 대처할 수 있는 기법이다. 현재 앞서 가는 IDS들은 이 두가지 기능을 혼용해 제공하고 있다.

이와 함께 IDS는 자료수집에 따라 호스트 기반 IDS와 네트워크 기반 IDS가 있는데 최근에는 이를 혼합한 하이브리드 방식 IDS가 대중화될 전망이다.

미국 CSI(Computer Security Institute)의 최근 자료에 따르면 IDS 시장은 급속히 성장하고 있으며 몇년 안에 방화벽 시장 규모를 넘어 앞으로 공개키기반구조(PKI) 솔루션, 인증·디렉터리 보안제품과 함께 차세대 보안시장을 주도할 것으로 전망하고 있다.

주요 IDS업체들로는 국내에서는 펜타시큐리티시스템, 인젠 등이 기반기술을 바탕으로 관공서와 금융권을 중심으로 IDS 제품을 선보이고 있으며, 해외에서는 세계시장 점유율 1위인 ISS와 최근 2위인 액센트를 인수한 시만텍 등이 대표적인 IDS업체다. 이들 외산 제품은 국내 협력업체를 통해 국내시장에 이미 들어와 있으며 앞으로 IDS 시장을 놓고 국산업체와 외산업체간 경쟁이 한층 가열될 전망이다.

<주문정기자 mjjoo@etnews.co.kr>