분산서비스(DDoS) 거부 공격을 막기 위해 금융권이나 공공기관이 서둘러 전용 장비 도입에 나섰지만, 어떤 장비를 마련해야 하는지 기준이나 규정조차 없어 입찰을 사이에 둔 잡음이 끊이지 않고 있다. 이에 따라 업계는 날이 갈수록 수위를 더해 가는 DDoS 공격 대응 장비 도입 기준으로 삼을 수 있는 인증이나 규정마련이 시급하다고 지적했다.
4일 업계에 따르면 DDoS 공격은 여러 곳에서 동시에 대량의 데이터를 보내 네트워크 성능을 급격히 저하시키는 방식으로, 최근 해커들이 DDoS공격을 빌미로 금품까지 요구하면서 DDoS 공격 대응책 마련이 시급해졌다.
금융감독원은 현재 은행들을 대상으로 전용 장비를 도입할 것을 권고하고 금융결제원 금융ISAC(정보공유분석센터)는 시중 은행과 공동으로 은행공동 방어 시스템을 발주한 상황이다.
하지만 DDoS 전용 장비 도입에 대한 수요가 높아지고 발주 역시 일부 진행되고 있음에도 불구하고 어떤 장비가 정말 좋은 장비인지 성능을 가늠할 수 있는 기준은 마련되지 않았다. 일반적으로 공공기관에 보안 제품을 공급하기 위해서는 보안적합성 검증을 받거나 국제공통평가기준(CC) 인증을 받아야 하지만, DDoS 공격 방어 장비는 이와 관련 기준이 없다는 것이다.
CC를 받기 위해서는 보호 프로파일이라는 기준이 있어야 하는데 이 마저도 없는 상황이다. 이 때문에 방어 장비 업계는 인증을 대체하는 용도로 공개 벤치마크테스트(BMT)를 통해 장비를 구입할 것을 요구하고 있지만, 정작 도입하는 입장에서는 이 마저도 부담스러워 하며 철저하게 비밀에 붙이고 있다.
대량 데이터를 보낼 수 있는 방법이 다양하기 때문에 어떤 기준으로 평가를 해야 하는 지도 명확하지 않아서다. 심지어 DDoS공격을 조금이라도 막기 위해 전용 장비 도입을 서두르고 있지만 어떤 기준으로 도입해야 할 지 모르다보니 장비를 마련해 놓고도 다시 공격을 받는 일까지 벌어지고 있다.
상황이 이렇다 보니 입찰을 앞두고 잡음이 심화되고 있다. 제안요청서에 특정 방식을 요구, 외산 제품을 밀어주는 것 아니냐는 것에서부터 예산 낭비가 될 수 있다는 비난까지 쏟아지고 있다.
보안 장비 업체 한 임원은 “DDoS장비 판도가 기술이 아닌 기업의 영업력에 따라 좌우되고 있다”며 “이를 방지하기 위해서는 인증이나 기준이 필요하다”고 지적했다.
문보경기자 okmun@