<열린마당>정보 보안 사전대비를

　◆하현 이카디아 사장 hh@ekadia.com

　

　최근 ‘보안’이란 단어가 자주, 가깝게 그리고 자연스럽게 입에 오르내리고 있다. 여러 가지 이유가 있겠지만 무엇보다도 ‘러브레터’ ‘써캠’ ‘코드레드’ ‘님다’에 이르는 상상을 초월한 웜바이러스의 심각성 때문이다. 바이러스가 이제는 재산이나 자산을 위협하는 21세기 대표적인 위험 요인으로 부상한 것이다.

　이런 위험 요소는 80년대를 기점으로 전세계적으로 급속하게 늘어나고 그 기술 또한 우리가 상상하는 것 이상으로 발전하고 있다. 인터넷의 발달로 인해 호기심 많은 청소년들은 1∼2시간만에 해킹 툴을 구하고 사용법을 익혀서 불법적인 해킹이 가능한 세상이다. 이런 해킹 정보는 또 인터넷 검색을 통해 누구나 쉽게 얻을 수 있다.

　마찬가지로 보안 상의 위험을 막기 위한 보안 기술도 급속하게 발전하고 있다. 네트워크 보안을 위한 방화벽, 해킹이나 침입을 탐지하기 위한 침입탐지시스템(IDS), 전자상거래의 기본이 되는 공개키보안구조(PKI), 보안의 기본 이론인 암호학에 이르는 다양한 분야의 기술이 그것이다.

　그러나 최근에 발생한 무단 해킹 유형을 분석해 보면 기존의 보안 솔루션이 더 이상 시스템이나 서버를 완벽하게 보호해 주지 못하고 있다. 님다, 코드레드가 감염되기 시작했을 때 방화벽은 웹 서버의 공격을 차단할 수 없었고 IDS는 공격 감지조차 제대로 할 수 없어 몇 시간 심지어 몇 일 후에 보안 패치가 제공되었다. 그 때는 이미 악성 웜바이러스가 전세계적으로 널리 퍼진 후였다.

　즉 네트워크에서 동작하는 보안 시스템을 피해 서버로의 공격을 시도할 수 있는 기법이 개발되고 있으며 앞으로는 이러한 기반 위에서 기존 보안 제품을 우회해 서버를 공격하는 해킹 수법이나 웜바이러스가 계속해서 증가할 것으로 보인다.

　이런 현실 속에서 새롭게 떠오르고 있는 것이 바로 서버 보안이다. 이 중에서도 실시간으로 진행되고 있는 공격을 막아내는 ‘IPS(Intrusion Prevention System)’ 기술이 부각되고 있다. 기존의 보안 시스템인 방화벽은 단순 차단 기능, 이미 알려진 공격 패턴을 기반으로 공격 감지시 관리자에게 알려주는 기능을 제공해 님다나 코드레드 같은 새로운 공격을 막아내는 데는 역부족이다.

　실시간 공격 방어 기능을 제공하는 IPS는 IDS와 비슷한 기능을 가지고 있는 것처럼 보이지만 IDS가 공격에 대해 즉각 대응하지 못하는데 비해 IPS는 수상한 활동을 감시하다가 서버에서 비정상적인 행동을 실행하고자 하면 그 즉시 중지시켜 버린다.

　미국에서는 이미 님다나 코드레드와 같은 일련의 사건을 겪으며 이를 막는 가장 효과적인 기술로 IPS를 꼽고 있다. 실제로 IPS를 적용한 주요 은행은 웹 서버로 사용하던 윈도 서버에서 코드레드 공격을 이상 동작으로 감지해 해킹 피해를 면했다. 　보안이 가장 우수하다고 알려진 시큐어 OS 제품도 접근에 대한 방어를 제공하지만 신종 공격을 정확하게 감지하지 못한다. 또한 시큐어 OS는 커널 변경으로 인해 많은 단점을 가지고 있다. 국내에서도 리눅스 커널을 기반으로 시큐어 OS 제품이 개발되고 몇몇 프로젝트가 진행중이지만 시큐어 OS의 특성상 커널의 소스를 보유 해야 해 상용 OS, 즉 윈도나 기타 상용 유닉스 계열에서는 개발 자체가 어려운 것이 현실이다.

　날로 발전하고 똑똑해지는 해킹 수법이나 웜바이러스를 막기에는 방화벽이나 IDS만으로는 부족하다. 그렇다고 해서 이런 제품이 결코 무용지물은 아니다. 이런 제품과 IPS는 상호 보완적인 관계다.

　보안은 더 이상 문제가 발생한 후에 원인을 분석하고 대책을 세우는 차원이 아니라 사전 예방이 필요하다. 정보기술 대국이라 말할 수 있는 우리나라가 더 이상 외국 해커의 해킹 공부를 위한 학습장으로 이용되지 않기를 바랄 뿐이다.