네트워크가 발전하지 않았다면 세상은 어떻게 변했을까? 최소한 지금처럼 해킹이 만연하지는 않았을 것이다. 미션 임파서블의 톰 크루즈는 네크워크 연결이 되지 않은 컴퓨터를 해킹하기 위해서는 목숨을 걸어야 한다는 사실을 몸소 보여주었다. 그러나 현실은 너무나 발전해버린 네트워크 덕분에 목숨을 걸지 않고도 언제, 어디서나 해킹이 가능하다. 우리가 네트워크 보안에 집중해야 하는 이유가 되겠다.

그런데 사실 네트워크 보안에 집중하기 싫어도 우리는 그럴 수가 없다. 최초의 네트워크 보안솔루션 IDS는 시스템 단위로 동작하는 HIDS로 시작해서 네트워크 단위로 동작하는 NIDS로 발전했다. 모든 사람이 착해지길 바라듯, 모든 시스템을 감시하길 바랬던 HIDS는 그 비효율성으로 인해 자연 도태되었고, 정보가 오가는 네트워크 길목을 감시하는 NIDS가 자연 선택된 것이다. 다른 보안솔루션은 어떨까? IPS, 웹방화벽, 안티DDoS 등등 대부분의 보안솔루션은 네크워크 단위로 동작하며, 시스템 단위로 동작하는 보안솔루션은 백신, 서버보안 정도에 불과하다. 왜 그럴까?
 
잠시 휴전선 얘기를 해보자. 북한의 도발에 대비해서 군인들을 집집마다 배치하는 게 나을까? 아니면 휴전선을 지키는 게 나을까? 질문이 너무 쉬운 듯하다. 마찬가지 이유로 대부분의 보안솔루션은 시스템/애플리케이션 감시보다 모든 정보가 통과하는 네트워크를 감시하는 방향으로, 생존에 가장 유리한 형태로, 환경에 가장 적합한 형태로 진화했다. 다시 한번 우리가 네트워크 보안에 집중해야 하는 이유이다.
 
그렇다면 이렇게 중요한 네트워크 보안의 현황은 어떨까? 2010년 '공공기관 보안관제 의무화' 조치 등을 통해 많은 보안관제센터가 구축되었다. 네트워크 보안 수준이 높아졌을까? 보안관제센터는 네트워크 보안솔루션에서 발생하는 로그를 감시한다. 누가? 사람이 감시한다. 인공지능이라도 갖춘 듯 하지만 보안솔루션은 사람이 최종 판단을 해주지 않으면 무용지물이기 때문이다.
 
그런데 보안관제센터 구축이 트렌드가 되면서 한동안 '인력난'과 '인력 빼가기'란 주제가 지면을 장식했으며, 그 주제는 곧 '인력 양성'으로 바뀌었다. 양성이 필요하다는 얘기는 인재들이 외면하는, 즉 그만큼 매력 있는 분야가 아니라는 뜻이다. 보안관제센터는 트렌드가 되었지만, 정작 정보보안은 트렌드가 아니었던 것이다.
 
결국 그렇지 않아도 부족한 인적 자원은 다수의 보안관제센터로 흩어져버렸고, 그 보안관제센터들은 표면적으로는 조직별 특수성이나 보안상 공유 불가 등을 이유로, 그러나 결정적으로 부족한 인적 자원 때문에 정보 공유나 협력 체계가 거의 없다시피 한 상황에서 마치 점조직과도 같이 운영되고 있다. 인적 자원의 한계로 인해 내부 업무 처리에도 급급한 나머지 공유, 협력 등을 통한 시너지 창출은 꿈꾸기 힘든 상황이 된 것이다. 부족한 인적 자원이 분산된 결과다.
 
'사이버 6.25' 사태 당시 청와대가 뚫린 이유 역시 보안솔루션이 없어서가 아니라, 그 솔루션을 최종 판단할 사람이 부족해서였다. 이제라도 우리는 부족한 인적 자원을 효율적인 분야에 집중할 필요가 있다. ROE(Return on Equity)가 높은 '패턴매칭'과 '네트워크 보안'에 집중할 필요가 있는 것이다.
 
물론 새롭게 발표된 취약점이나 해킹 도구(해킹 도구를 발표하다니!)의 영향도를 파악하고, 사고 터지면 밤새 피해 시스템의 로그를 뒤지며, 기존 솔루션도 제대로 활용 못하는 상태에서 장미빛 미래를 약속하며 구축된 새로운 솔루션의 사용법도 익혀야 하는 현실을 부정할 수는 없다. 부족한 자원과 투자에도 불구하고 시장이 성과와 실적을 원하는 이상, 그리고 그 시장에 참여하는 한, 우리는 구색을 맞출 수 밖에 없다.
 
그러나 시장에 순응하여 그저 구색 맞추기에만 그친다면 정보보안은 영원히 트렌드가 될 수 없으며, '인력난 > 인위적 양성 > 수준 저하'의 악순환이 되풀이될 것이다. 시장이 올바로 기능할 수 있도록, 약점을 무시하고, 강점에 집중할 수 있는 배짱을 기를 수 있도록 조언을 아끼지 말아야 하며, 더디더라도 '패턴매칭'과 '내트워크 보안' 수준을 높이는 다양한 활동 역시 지속해야 할 것이다.
 
3회에 걸쳐서 왜 네트워크 보안이 중요하고, 왜 패턴매칭에 의존해야 하는지에 대해서 살펴봤다. 필자의 의견이 무조건 옳다고는 생각하지 않으며, 다양한 의견 교환을 통해 오류를 찾고 정보보안의 발전을 위한 최선의 길을 찾게 되길 바란다.
 
마지막으로 제언을 하나 하고 싶다. 휴전선이 안보 전략의 기점 및 중심점이 되고 있는 것처럼 정보보안 분야에도 휴전선과 같은 역할을 해줄 장치가 필요하다. 해킹은 거미줄처럼 엮어진 네트워크를 이용해서 민간을 경유한 공공, 공공을 경유한 민간 공격이 얼마든지 가능하다. 정부 등 주요 시설만의 보안성 향상은 전체의 안전을 보장하기 힘들며, 민간-공공을 망라해서 해킹을 감시할 수 있는 체계가 필요하다.
 
그리고 민간-공공을 망라해서 가장 많은 정보를, 가장 먼저 수집할 수 있는 곳은 모든 트래픽이 모였다 흩어지는 ISP(Internet Service Provider), 즉 망 사업자 구간이다. ISP 단위의 감시 체계는 가장 많은 정보를, 가장 먼저 수집할 수 있는, 즉 가장 효과적인 곳에 한정된 인적 자원을 집중할 수 있게 해줌은 물론, 최소한의 안전망인 '사이버 휴전선'의 역할을 해줄 것이다.
 
(?편집자 주: 바쁘신 가운데 유용한 내용 기고 해 주신 강명훈님께 감사드립니다. 다양한 의견 교환을 통해 정보보안 발전에 기여할 수 있는 노력들이 필요해 보입니다.)

글. <빅데이터 분석으로 살펴본 IDS와 보안관제의 완성> 저자 강명훈 truese@hanmail.net