◇카이스 로리◇
90년 6월 새너제이 대학 졸업(B.A.degree)
90년 8월∼97년 2월 새너제이 경찰국 사이버테러 담당 수사국장
99년 5월∼2000년 3월 파일로트사 이사
2000년 3월 파일로트사 보안탐색 및 운영담당 부사장
현재 미 정보보호협회 산하 기술전문위원회 최고위원
◆포레스터 리서치는 인터넷을 통한 비즈니스가 2002년까지 미국내에서1만3270억달러에 달할 것이라고 내다보고 있다. 지난 98년에만도 사이버 트랜젝션의 78%가 B2B 전자상거래를 위한 것이었다. 이제는 비즈니스를 인터넷을 통해 할 것인가가 문제가 아니라 어떻게 안전하게 할 것인가가 문제다.
이제 인터넷상거래는 비즈니스의 주류이긴 하지만 많은 비즈니스 취약성을 드러내기도 한다. 인터넷을 통해 각종 중요 데이터를 유입하고 자사의 상품과 서비스 정보는 인터넷으로 흘려보내는 기업들이 점점 더 많아지고 있지만 경쟁력을 갖게 만드는 중요 데이터나 그들의 기밀정보가 함부로 유용되고 쉽게 사취된다는 것 때문에 또 하나의 골칫거리다.
이 심각한 문제는 표출되지 않고 속으로만 앓고 있는데 미국 DISA(Defense Information Systems Agency)의 취약성 시험에서 잘 드러나고 있다. DISA의 보고에 따르면 시험공격의 65%가 성공했는데 주로 방화벽 뒤에 있는 시스템 루트권한의 새 계정을 얻는 공격이었다. 놀라운 것은 공격에 성공한 96%가 검출되지 않았고 감지된 일부 공격의 73%가 보고되지 않았다는 점이다.◆
이는 떠오르는 인터넷 경제에 새로운 의미를 부여하고 있다. 기업들이 사업 파트너나 고객과의 유용하고 유익한 전자상거래에 의존할수록 비즈니스 관계성을 확실히 하는 높은 수준의 신뢰가 필수적이며 이 신뢰를 확립하고 유지할 수 있기 위해서는 공유 데이터의 무결성을 보호하고 기업정보의 접근을 적절히 제어할 수 있어야만 한다.
따라서 신뢰성 있는 보안을 구축하고 유지하기가 너무나 힘든 인터넷 환경하에서 기업은 위험관리측면의 접근에서 벗어나 비즈니스 모델로만 접근하는 경향을 보이고 있다. 즉 전통적인 위험관리에서는 네트워크 보안이 하나의 보험과 같은 효과를 발휘하고 있으며 기업은 보안 솔루션을 구입해 전방위에 배치함으로써 자체적으로 보호방책을 마련하기도 하고 아예 아무것도 하지 않고 방치함으로써 손실을 감내하기도 한다.
그러나 인터넷 경제에 있어 보안은 계산된 위험에 대한 보험이 아니라 결정적인 비즈니스 가능자다. 온라인 파트너와 고객은 안전한 채널을 기대하고 요구한다. 무엇보다도 중요한 것은 인터넷상에서는 보안이 전혀 안돼 있는 것이나 약간 부족한 보안이나 차이가 없다는 것이다. 어느 것이나 전자상거래에 장애가 되는 것은 마찬가지다.
인터넷을 사용하는 모든 기업은 제품이나 서비스를 팔든, 공급자나 다른 파트너와 비즈니스를 하든, 타 조직과 어떤 종류의 데이터를 교환하든, 뭘 하든지 안전하게 할 수 있어야 한다. 그러면 남는 질문은 「어떻게.」이다.
보안 마켓플레이스에는 다음과 같이 신뢰성을 향한 다양한 수준의 접근방법을 제공한다. △인하우스(in-house)내에서 관리되는 온사이트(on-site) 방화벽 △인하우스 방화벽의 원격관리나 침입탐지 및 취약성 테스트와 같은 부가적인 소프트웨어를 가진 방화벽 그룹의 중앙관리를 포함하는 아웃소싱 보안 서비스 △축적된 보안 전문가의 경험으로써 대역폭내에 구축된 보안 유틸리티 등이다.
전자상거래가 필수불가결한 관건으로 부상하면서 안전장치를 선택하는 주 요인으로 보안에는 두 가지 양상이 있다. 신뢰성이 그 첫번째다. 인터넷상거래에 진출하면서 기업의 주 목적은 떡도 중요하지만 모든 고객과 산업 파트너와의 관계성에 있다. 고수준의 의존가능한 보안 솔루션의 선택은 하나의 비즈니스 요건이지 「고정」된 기술이 아니다.
보안은 인터넷 경제를 활성화하는 데 있어 하나의 플레이어가 되는 기초적 요구사항이기 때문에 보안 솔루션의 규모대응성(scalability)이 또 하나의 열쇠다. 온라인 마켓플레이스는 제품과 서비스 판매 및 전자자료교환과 같은 B2B 애플리케이션 모두 빠르게 팽창하고 있다. 성능저하 없이 보안 솔루션을 빠르고 쉽게 확장시키는 능력은 필수적이다.
신뢰성과 규모대응성의 견지에서 보안 유틸리티는 e비즈니스 가능자로 나타난다.
유틸리티의 고전적 정의는 물이나 전기와 같은 생활필수품을 지속적으로 제공하는 서비스다. 모든 유틸리티 고객은 고품질의 제품을 동일하게 제공받으며 수질개선과 같은 서비스 개선이 발생하면 모두에게 동시에 적용된다. 이와 함께 보안 유틸리티도 공격과 취약성으로부터 안전하게 보호되는 전자상거래 서비스를 모두에게 균등하게 제공한다.
보안 유틸리티의 토대는 유일한 아키텍처로서 경험을 통해 습득하고 분산되고 다계층적인 보안 인프라이며 유틸리티에 의해 제공되는 전자상거래 서비스내에 구축된다. 이러한 서비스(웹호스팅, 전자메일을 위한 게이트웨이, 익스트라넷, 가상사설망 등을 포함하는 모든 범위)는 고객이 서비스에 가입함으로써 가용하고 이 유틸리티의 보안센터내에 배치, 운영된다. 안전장치는 서비스내에 구축돼 모든 가입자 네트워크에 속속 스며든다.
보안 유틸리티는 가장 진보한 기술과 최고의 전문인력을 획득하고 최적화하는 쪽에 자원을 집중할 수 있다. 대조적으로 인하우스내에 보안 인프라를 구축하자면 상당히 복잡하고 엄청난 비용, 시간 등이 요구되며 결국 부적절한 보호책으로 전락한다.
여러가지 기술과 접근방법에 투자함으로써 보안 유틸리티는 실패단일점(single point of failure)의 함정을 피하고 다운시간을 없애준다. 이는 인하우스든 아웃소스든 방화벽 장치의 취약성에 견주어 볼 때 상당한 이점이다.
보안 유틸리티의 아키텍처는 보안 엔지니어가 수집한 지식과 경험으로부터 습득한 현란한 기술이 어우러져 설계된다. 공격을 탐지하고 쫓는 새로운 업그레이드가 개발되면 곧바로 모든 유틸리티 가입자에게 전파된다. 일단 설치되면 주어진 작업만을 하게 돼 있는 소프트웨어 애플리케이션을 훨씬 능가하고 가장 잘 유지관리되는 스탠드얼론형 장비 그 이상인 것으로서 진정한 네트워크 보안은 끊임없는 프로세스다.
보안은 하나의 프로세스로 시간상의 한 정점이 아니다. 궁극적인 보안은 매 시험과 각 공격시도에 항상 반응하고 개선되며 강해져야 한다. 보안 유틸리티의 끊임없는 개선과정은 하나의 피할 수 없는 비즈니스다.
보안 유틸리티의 24×7(7일 24시간) 보호의 주된 구성요소는 실시간으로 시스템을 모니터링하고 있는 경험있는 보안 엔지니어와 네트워크 전문가로 구성된 팀이다.
인하우스 실무진은 시스템 유지관리와 보안간에 주의를 분산해야 하나 보안기술이나 최근의 취약성 이슈 등에 대한 적절한 교육을 잘 받지 못하고 있다. 보안 유틸리티 엔지니어는 보안에 관계되는 것에만 집중하고 있으며 보안 이벤트에 대한 응답시간을 최적화하고 발전시킨 그들의 지식을 발생하는 위협에 반응하는 데 곧바로 적용한다.
기업정보에 대한 안전장치의 점증하는 요구에 부응, 보안시장에서는 방화벽 중심의 옵션들로 구성된 범주(고객을 전제로 하는 것과 제공자를 전제로 하는 것)에서부터 최고 수위의 솔루션인 보안 유틸리티에 이르기까지 하나의 개혁이 이뤄졌다.
보안에 대한 전형적인 접근방법은 상용 방화벽을 구입하고 인하우스에 설치하는 것이다. 하나의 문제점은 방화벽 기술이 그것을 유지관리하는 사람들에게 잘 이해돼야 하는 것이다. 보안 전문가를 구하는 것은 어렵고 비싸다. 또한 인하우스 실무진들로 하여금 방화벽을 충분히 모니터링하도록 하는 것은 전략적 내부 프로젝트와 시스템 유지관리 업무로부터 주의를 산만하게 한다. 「인퍼메이션 위크」지의 기업을 대상으로 보안을 구현하는 데 가장 두드러진 장벽이 무엇인가에 대한 설문조사에서 상위에 오른 이슈는 기술의 복잡성, 이에 걸맞는 담당 실무진의 결핍, 시간의 결핍이었다. 인하우스로 가는 것은 분명히 이러한 장벽을 넘지 못한다.
온사이트 방화벽을 아웃소싱해서 원격관리하더라도 한 가지 문제는 많은 방화벽 장비들이 운영자가 물리적으로 곁에 있어 그래픽 사용자 접속(GUI)을 보고 사용하기를 요구한다는 데 있다. 또한 이 장비들은 고객쪽에 설치해 통신회선으로 연결돼 있기 때문에 원격 관리자와 방화벽 사이의 연결을 끊게 되는 어떠한 공격이나 통신상의 돌발사고에 대해 완벽히 보호할 수 없다는 데 있다.
무엇보다도 중요한 것은 상용화에 가장 성공한 방화벽 제품일수록 보안 비전문가도 쉽게 작동할 수 있게 만들어져 있다는 것이다. 즉 현란하고 깊이 있는 보안 테크닉은 작동을 단순화하게 마련인데 이는 전문 해커든 초보 운영자든 누구나 쉽게 건드릴 수 있고 결국 방화벽 자체가 온사이트에 있든 원격에 있든 중앙센터에 있든 비즈니스를 위험에 빠트릴 수 있는 요인이 된다는 것이다.
아웃소싱 방안 중 하나가 방화벽을 제공자쪽에 두고 관리해주는 서비스다. 이 또한 온사이트 방화벽과 마찬가지로 복잡한 문제에 얽히게 되는데 장비들은 기능이 많고 시간과 숙련된 인력자원을 한 곳에 집중시키지는 못하는 등 고객의 자산을 유효 적절히 사용하지 못한다는 것에 관한 이슈를 불러 일으키기 때문이다. 방화벽은 전형적인 스탠드얼론 장치이지 한 곳에 모여 공유됨으로 해서 조화를 이루고 이득을 얻을 수 있도록 만들어진 것이 아니다. 또한 상용화에 가장 성공한 방화벽일수록 고객 사이드에 있어야 가장 효율적으로 기능을 발휘한다.
방화벽 장치의 고질적인 약점 중 몇몇은 침입탐지와 취약성 시험과 같은 소프트웨어 솔루션을 추가함으로 해서 보완되기도 했다. 그러나 이러한 명백한 개선책은 실제로 방화벽의 복잡성만 더할 뿐이며 그것을 유효 적절하게 운영하는 데 필요한 시간과 비용만 증가시킨다. 그렇다고 하나의 장비에 복합적인 기술을 무겁게 쌓아 올리는 것은 고장과 공격 및 운영오류에 더욱 취약하게 만들 뿐이다.
보안 유틸리티는 숙련된 보안 전문가가 집중관리하는 다계층적 구조의 빌트인(built-in) 보안으로 무장된 네트워크와 전자상거래 서비스를 제공한다. 이는 △다계층 방어체계 분산구조의 유일한 보안 아키텍처-「바닥에서부터」 설계된 방어 네트워크 △가입자 하나하나에 대한 무수한 공격시도로부터 얻은 실전지식으로 무장, 새로운 공격형태가 감지되면 이에 대한 업그레이드를 만들고 이를 곧바로 전가입자에게 적용하는 보안 전문가들의 7일 24시간(24×7) 모니터링 △광범위한 범주의 공격으로부터 모든 가입자의 전자상거래 트랜잭션을 항상 보호하는 서비스에 내재된 보안 △인하우스 보안 인프라를 구축하는 데 드는 비용, 시간 및 복잡성 배제 등의 이점을 가지고 있다.
비즈니스가 인터넷이 주는 광범위한 기회와 이득을 좇아 빠르게 확장됨에 따라 네트워크 침입, 데이터 사취 및 여타 사이버 위험에 노출되는 것 또한 더욱더 많아지고 있다. 이러한 취약성은 고객, 공급자, 유통배급자 등 상호작용하는 파트너의 전체 네트워크에 영향을 줄 수 있기 때문에 특히 더 위험하다.
이러한 잠재적인 위험을 인식함에 따라 보안은 이제 기술적인 문제가 아니라 비즈니스 이슈가 됐다. 보안은 더이상 「관리할 수 있는 위험」이 아니다. 규모 대응적이고 마음놓고 의존할 수 있는 기업 네트워크 보안은 전자상거래와 더불어 자라나는 비즈니스 기회를 잡아 지속적으로 영위할 수 있는 필수요건이다.
보안 유틸리티는 가장 진보적인 기술과 프로세스를 우선순위를 두고 구현해 기술적용의 핵심 경쟁력을 가진 안전장치에만 전적으로 집중돼 있으며 최고의 효율성을 가지고 프로세스를 모니터한다. 다계층적인 아키텍처와 방어체계를 지속적으로 개선하도록 숙련된 유일한 인력으로 하나의 팀을 이룸으로써 보안 유틸리티는 비즈니스를 안전한 네트워크와 전자상거래 서비스로 확장할 수 있다. 보안 유틸리티는 웹 호스팅, 전자자료교환을 위한 게이트웨이, 익스트라넷, 가상사설망 등 모든 서비스를 최고 수준의 보호장치로 안전하게 이끌어갈 수 있다.