<방화벽 구축조건>
방화벽은 현재로서는 인터넷에서의 해킹을 효율적으로 막을 수 있는 거의 유일한 방법이다.
방화벽의 개념은 앞으로 인터넷과 내부망사이 뿐만 아니라 보안등급이 다른 내부망간의 통제수단으로도 발전해 나가고 궁극적으로는 기업이 필요로 하는 보안기능의 통합시스템으로 발전해갈 것으로 예상된다.
따라서 방화벽과 유사한 시스템이 인터넷 뿐만 아니라 상호간에 보안통제를 필요로하는 모든망과 망사이에 필요로 하게 돼 엄청나게 넓은 시장이 형성될 것으로 예상된다.
현재 대부분의 회사에서는 방화벽이라는 소프트웨어를 하나 사오는 것으로 해킹문제를 해결할 수 있다고 착각하고 있다. 해킹을 성공적으로 막는 문제는 방화벽이라는 소프트웨어로 끝나는 문제가 아니다.
보안문제는 궁극적으로 관리의 문제이고 사람의 문제다. 방화벽이 보안관리정책과 적절히 조화를 이루지 않으면 기업의 보안대책은 실패로 끝날 수 밖에 없다.
모든 기업은 필요로 하는 보안의 수준이 각각 다르다. 어떤 기업은 인터넷 사용자의 많은 불편을 감수하더라도 철저한 해킹방지 대책을 원할 수 있고 다른 기업은 가능한한 사용자의 불편이 없는 상태에서의 해킹방지 대책 정도만 원할 수 있다.
따라서 기업마다 방화벽을 설치하는 방식이 달라질 수 밖에 없다. 만일 한 기업에서 너무 강화된 보안기능이 있도록 방화벽을 설치하게 되면 인터넷 사용자들이 불필요하게 겪어야 하는 불편이 증대하게 되고 결국은 「이렇게 하고서 어떻게 일을 하라는 거냐」는 등의 엄청난 불평을 유발하게 된다. 이렇게 되면 보안에 관해 사용자들의 협조를 얻지 못하게 되고 이는 그대로 방화벽 구축의 실패로 연결된다.
한 기업의 방화벽은 그 기업에서 필요한 최소한의 보안수준으로 설치해야 한다.이를 위해서는 먼저 어느 수준의 보안정도를 기업이 원하는지에 대한 보안정책이 수립돼야 한다. 이 문제는 방화벽 설치를 주관하는 전산실 혼자서 결정할 문제가 아니다.
보안을 추구하려는 부서와 현업을 운영하는 부서간에는 필요한 보안수준에 대한 커다란 시각차이가 존재한다. 이 차이는 이 두부서간에서 해결되기 어려운 문제이기 때문에 좀더 상위에 보안정책을 결정하는 위원회의 기능이 있어야 한다. 이러한 적절한 보안정책의 수립은 성공적인 방화벽 구축의 기본 요인이다.
다음에 중요한 것은 이러한 정책들에 대해 사용자들에게 홍보와 협조를 얻는 일이다. 사용자들은 왜 이렇게 햐여야 하는지를 이해하는 경우 좀더 적극적인 협조를 하게된다. 그러나 왜 이래야 하는지를 설명하지 않고 일방적으로 어떻게 하라는식의 지시는 곧바로 사용자들의 비협조로 이어지게 돼 방화벽 구축 실패의 원인이 된다.
또한 보안의 문제는 시시각각 변화한다. 인터넷시스템은 지속적인 변화를 하고 있으며 새로운 해킹기술들을 이제는 고등학생들도 만들어내고 있다. 이러한 상황에서 현재의 해커를 막는데 있어서 몇년전에 설치한 방화벽이 효과를 거두리라고는 생각하면 큰 오산이다. 지속적으로 보완해 나가지 않는 방화벽은 곧 새로운 해킹방법에 속수무책인 무용지물이 될 뿐만 아니라 선량한 사용자의 불편만 초래하는 장애요인으로 바뀌게 될 것이다. 이 때쯤 되면 해킹 대책은 다시 원점으로 돌아 가게 된다.
마지막으로 가장 중요한 점은 보안은 관리의 문제다. 따라서 회사 최고 경영층의 이해와 지지가 무엇보다 필수적이다. 최고경영층에게 인터넷보안에 대한 단 한시간의 강의는 보안 실무자의 1년간의 노력보다도 더 효율적이 될 것이다.
<김세헌 과기대 교수>