한국정보보호진흥원(KISA)이 연말 구축할 예정인 ‘국가 분산서비스거부(DDoS) 대응 체계’ 사업에 특정 외산기업 제품만 선택될 가능성이 높아 국내 기업이 국책사업에 오히려 역차별받게 될 것이라는 우려가 제기되고 있다.
6일 본지가 입수한 KISA의 ‘DDoS 대응체계 구축 계획안’에 따르면, KISA는 교환(IX) 구간의 DDoS 대응 시스템 구축방식을 트래픽 소통 구간을 경유하지 않는 ‘아웃 오브 패스(Out of path)’가 타당할 것이라고 명시했다.
KISA 관계자는 “아직 결정한 것은 아니지만 시스템에 장애가 생기면 문제가 될 수 있는 인라인(Inline) 방식보다는 아웃오브패스 방식이 타당할 것”이라며 “현재는 인터넷서비스기업(ISP) 들과 사업 계획을 논의하는 단계이고 발주는 3분기에 진행할 것”이라고 말했다.
이 사업에 대해 국내 보안업계는 벤치마크테스트(BMT)도 하기 전에 구축 방식을 규정한 점과 보안 장비 중 아웃오브패스 방식을 채택한 장비는 외산 제품 밖에 없다는 점을 들어 반발하고 있다.
논란이 되고 있는 아웃오브패스 방식은 물리적회선구성 바깥으로 탐지해 제거하는 시스템으로, 라우터 같은 네트워크 장비에 주로 적용됐던 기술이다. 트래픽이 발생하면 우회시킬 수 있는 것이 장점이다.
이에 비해 인라인 시스템은 기존 물리적 회선 구성에 탐지 제거시스템을 설치하는 것으로, IPS 등 기존 보안장비시스템에 적용된 방식이다. 라우팅설정이 쉬운 것이 장점이다.
KISA가 진행중인 이 사업은 KT·하나로·데이콤 같은 주요 ISP의 망 교환지점에서 발생할 수 있는 DDoS 공력을 막기 위한 시스템 구축 사업으로, 올해 말까지 총 20억원을 투자해 진행할 예정이다. 최근 미래에셋홈페이지가 공격당하는 등 전 세계적으로 DDoS 공격이 증가하고 있는데 따른 대책이다.
DDoS 공격에 대비하는 정부의 첫 사업인 만큼 이 사업에서 어떤 장비가 선택되느냐에 따라 향후 시장이 판가름날 수 있다. 때문에 업계에서는 이 사업에 촉각을 곤두세우고 있다.
국내 보안 업체 개발자는 “아웃오브패스 방식의 제품은 전세계적으로 한 기업밖에 없는 것으로 안다”며 “BMT를 통해 어떤 방식이 타당한지 겨뤄보지 않고 스펙을 잠정적이나 결정했다는 것은 문제”라고 지적했다. 그는 “IPS 방식을 응용한 인라인 방식이 그동안 네트워크에서 사용됐고 또 문제를 일으킨 적은 한번도 없다”며 “오히려 아웃 오브 패스 방식이 보안장비에 적용된 스펙이 아닌만큼 검증이 안된 방식”고 토로했다.
또다른 보안 업체의 한 임원은 “금융정보공유분석센터가 18개 은행과 공동으로 시스템을 구축할 사업에서도 같은 방식이 논의되고 있다는 것을 한 은행으로부터 전해 들었다”며 “이렇게 되면 초기 시장부터 국내 기업들은 발을 붙일 틈이 없을 것”이라고 말했다.
문보경기자 okmun@