<열린마당>IDS K4 인증

정현우 세보아 사장 (hwchung@sevoi.net)

우리가 예로부터 사용하는 백문이 불여일견(百聞 不如一見)이란 말은 인터넷을 통해 실시간으로 화면을 보면서 물건을 사고 파는 전자상거래나 화면으로 상대방과 마주 보면서 대화를 나누는 데 익숙한 현대인에게 가장 적합한 말인 것 같다.

그러나 모니터 화면이 현실을 기초로 재창조된 가상현실(VR)에 불과하고 시각의 잔상효과를 이용하는 불연속 화면이라는 것을 아는 사람은 많지 않다. 모니터 화면 속에 보이는 것이 실물 그대로라고 생각하게 마련이다.

예컨대 화면감시장치를 설치하면 모든 도둑들을 감시할 수 있을 것이라고 생각하지만, 실제로 화면을 구성하는 프레임은 통상 초당 24∼30프레임으로 이뤄지기 때문에 영화에 나오는 플래시맨이 프레임속도인 30분의 1초보다 빠른 속도로 카메라 앞을 통과하면 아무리 한눈 팔지 않고 화면을 감시한다 하더라도 플래시맨이 지나간 것을 알 수 없다.

하지만 화면감시장치를 판매하는 사람은 이같은 화면감시장치의 맹점을 사용자에게 알리지 않고 제품의 장점만 알려주기 때문에 사용자는 그 기술의 한계를 모른 채 사용하게 된다.

이처럼 인류가 개발한 어떤 기술도 한계점이 있게 마련이고 이러한 한계점은 개발 초기에는 크게 문제되지 않지만 결국에는 다른 관련기술의 발전과 함께 그 기술의 한계점이 노출돼 새로운 기술개발이 요구된다.

정보공유라는 패러다임에 의해 새로운 산업혁명을 진행시켜 나가고 있는 인터넷시대에 외부침입을 실시간으로 감지하는 보안관과 같은 역할을 하는 침입탐지시스템(IDS)의 경우에도 네트워크의 고속화에 따라 기술의 한계점이 노출되고 있다.

IDS는 네트워크를 통과하는 모든 패킷을 하나도 놓치지 않고 관찰해야만 외부침입을 완벽하게 감지할 수 있다고 평가할 수 있겠지만 기존의 SW방식으로 구현된 IDS는 100Mbps 이상의 고속환경에서는 패킷 탐지율이 현저히 낮아진다.

이상적인 IDS가 갖추어야 할 가장 기본적인 기능은 IDS가 감시하고 있는 통신망에서 이루어지는 모든 형태의 통신행위를 완벽히 감시해야 한다는 점이다. 100% 패킷 탐지는 고성능 IDS가 가져야 할 가장 기본적인 기능이라 할 수 있다.

세계 IDS업체들은 일찍이 현존하는 SW 패킷 캡처를 이용한 기존 IDS의 한계에 주목하고 모든 크기의 패킷에 대한 100% 패킷 탐지를 보장할 수 있는 방안들에 대한 다양한 연구를 수행하고 있다. 그렇다면 우리 업체들은 과연 이러한 세계 IDS 연구의 조류에 부합되는 쪽으로 어떤 노력을 기울이고 있는가를 생각할 때 필자는 솔직히 착잡한 마음을 금할 수 없다.

침입차단시스템(방화벽)에 이어 IDS가 차세대 보안시장을 주도한다는 점이 부각되면서 IDS에 대한 고객들의 관심은 점차 높아지고 있다. 하지만 국내 관련업체들이 100% 패킷 탐지 등 핵심 문제를 어떻게 구현할 수 있는가에 대한 솔루션이나 방향제시보다는 향후 시장선점을 위한 인지도 제고를 위해 K4 인증평가 계약 우선순위 확보 같은 비본질적인 부문에 진력하고 있는 것은 안타까운 모습으로 비추어질 뿐이다.

아이디어와 기획, 마케팅 능력에 의존하는 닷컴사업과 달리 정보보안 분야는 철저하게 기술의 총아이며 경쟁력은 차별적·선도적 기술의 내용으로 평가되어야 함이 기본임에도 경쟁업체들보다 인증평가를 먼저 받는 것이 마치 기술력 우위를 증명한다는 등식으로 설명하려 한다면 이는 결과적으로 고객들에게 잘못된 인식을 심어주고 그것을 구매의 기준으로 판단한 고객의 피해로 연결될 수밖에 없을 것이다.

방화벽의 선례를 놓고 볼 때 K4 인증이 국내 시장에서 외산 제품으로부터 국산 제품을 보호하는 데 기여한 점은 높이 평가된다. 그러나 IDS K4 인증이 고객이 믿고 사용할 수 있는 제품의 기준들을 제시하고 국내 보안업체들의 기술력을 끌어올리는 역할을 수행하기 위해서는 평가항목에 있어 IDS가 갖추어야 할 핵심적이고 기본적인 요소들을 간과하고 있지 않은가에 대해 심층적인 검토를 해볼 필요가 있다고 생각한다.