창과 방패의 대결. 승패는 처음부터 정해져 있다. 창이 이긴다. 아무리 무딘 창이라도 최소한 비기기는 한다. 방패는 어떤가. 잘해야 비길 수 있을 뿐이다. 해킹이나 바이러스 같은 유해 코드와 이를 막기 위한 보안시스템의 관계가 그렇다.현재 일반적으로 사용되고 있는 보안시스템은 방화벽, 가상사설망, 침입탐지시스템, 침입방지시스템, 안티바이러스 등이다. 새로운 공격법에 대응하기 위한 신기술들이 끊임없이 개발되고 있지만 그 효과는 제한적이다. 어떤 보안시스템이라도 이를 뚫을 방법은 있기 마련이라고 전문가들은 입을 모은다.웜 바이러스에 뚫린 방화벽방화벽은 가장 기본적인 형태의 보안장치다. 개념은 간단하다. 네트워크 안으로 들어올 수 있는 허가를 받지 않은 신호는 악성 코드든 그렇지 않든 가리지 않고 차단하는 것이다. 마치 극장에서 입장권이 없는 사람을 막는 것과 같다.수상한 신호를 아예 막아버리므로 얼핏 완벽한 보안시스템으로 보일 수 있다. 하지만 그렇지 않다. 최근에는 보안업계 일각에서 ‘방화벽 무용론’이 등장할 정도로 역할이 의심받고 있다.문제는 완벽하게 보이는 방화벽 자체의 원리에서 일어났다. 해커들은 방화벽을 통과할 수 있는 통로, 다시 말해 허가된 통로를 이용한 공격법을 개발, 네트워크를 오염시키고 있다. 어떤 상황에서도 열어둬야 하는 메일이나 웹으로 통하는 길을 이용한 공격법이 대표적인 경우다. 메일을 통해 전파되는 웜 바이러스의 피해가 크게 증가하고 있는 것도 방화벽이 메일을 통한 공격에 속수무책이기 때문이다.한국정보보호진흥원의 성재모 인터넷침해사고대응지원센터 대응협력팀장은 “웜 바이러스는 메일 서버로 통하는 25번 포트를 경유해 유입된다”며 “서버에 들어오는 모든 메일의 패턴을 일일이 체크해 수상한 메일을 걸러내지 않고는 막을 방법이 없다”고 말했다.웜 바이러스처럼 허가받은 통로를 이용해 네트워크를 제집 들어가듯 하는 악성코드를 잡으려면 우선 들어오는 신호가 악성이냐, 아니냐를 판단할 필요가 있다. 말하자면 검문검색을 강화해 수상한 용의자를 색출하는 것이다. 이런 역할을 하는 보안장치가 침입탐지시스템(IDSㆍIntrusion Detection System)이다.IDS는 네트워크상에 존재하는 데이터의 패턴을 분석해 얻은 정보를 바탕으로 신호의 악성 유무를 탐지한다. 정상으로 등록되지 않은 패턴의 정보가 들어오면 미리 정해진 규칙에 따라 유해정보의 침입을 알리는 것이다. 하지만 IDS 역시 ‘구멍’이 있다.IDS가 사용하는 패턴은 주로 패킷단위로 이뤄져 패킷 하나하나에 대한 분석과 탐지능력은 높지만 여러 개의 패킷들을 이용하는 세션 기반의 공격에 대해서는 맹점이 있다. 미리 정의되지 않은 패턴의 공격을 막아내지 못하는 것이다. 더욱이 악성 코드를 탐지하기만 할 뿐 실시간으로 이들을 차단하지 못한다는 치명적 약점이 있다. IDS가 악성 코드를 탐지하고 이를 알리는 시점이면 바이러스의 공격은 이미 시작되고 있는 것이다.최근 보안업계는 차세대 보안시스템으로 침입방지시스템(IPSㆍIntrusion Prevention System)을 주목하고 있다. 방화벽의 차단 기능과 IDS의 탐지 기능을 결합해 수상한 코드를 발견하는 즉시 차단하므로 더할 나위 없는 시스템으로 여겨지고 있다. 시장전망도 밝다. 정보통신 시장조사업체인 가트너그룹은 2006년까지 방화벽시장이 연평균 7.37%, IDS시장은 13.47% 확대될 것으로 예측한 반면, IDS시장은 연평균 81.71%씩 성장할 것으로 내다보고 있다.대다수 전문가들이 IPS가 향후 보안업계에 큰 반향을 일으킬 것으로 관측하고 있지만 약점이 없는 것은 아니다. 무엇보다 인터넷 속도가 현저히 떨어질 가능성이 있다고 지적한다. 패킷 하나하나를 정밀 분석하는 데 시간이 많이 걸리기 때문이다. 특히 고속전송을 필요로 하는 기업의 경우 업무의 효율성을 해칠 수 있다고 전문가들은 우려한다. 또 IDS와 마찬가지로 미리 정의되지 않은 패킷은 흘려보내기 때문에 바이러스의 패턴을 제때 업데이트하지 않으면 무용지물이 되기 십상이다.학습능력 갖춘 시스템 등장할 것바이러스 백신으로 대표되는 안티바이러스의 사정 역시 다르지 않다. 알려지지 않은 패턴의 공격에 맥을 추지 못하는 것. 하루에도 수십개씩 새로운 바이러스가 제작되고 있는 점을 감안하면 백신을 설치했다고 안심을 할 수 없는 상황이다. 바이러스 백신은 피해사례가 발생한 후에야 피해를 입힌 바이러스의 패킷을 분석, 업데이트할 수 있기 때문이다.더군다나 악성 바이러스의 샘플을 갖고 있으면서도 대응 기술이 부족해 ‘강 건너 불구경’을 해야 하는 경우도 있다. 완전히 새로운 형태의 바이러스를 분석하는 데는 그만큼 시간이 소요되기 때문이다.이미 피해사례가 있고 대응방법이 개발됐음에도 어떤 제품을 쓰느냐에 따라 피해 정도가 다를 수도 있다. 제품간의 성능 차이가 적잖기 때문이다. 영국의 바이러스 백신 평가기관인 바이러스 불레틴(Virus Bulletin)에 따르면 세계적 수준의 몇몇 업체를 제외하면 신종 바이러스에 대한 대응능력이 크게 떨어지는 상황이다. 국내제품들의 경우 세계적 제품과 격차를 많이 좁혔다고 하지만 아직도 성능의 차이가 분명히 존재한다. 특히 변종 바이러스에 대한 검출 능력은 절반 정도에 머무른다.이와 관련, 한 보안전문가는 “제품이 처음 나왔을 때의 차이는 크지 않지만 시간이 지날수록 격차가 크다”며 “글로벌 기업들에 비해 악성 코드의 패킷 수집능력이 모자라 업데이트를 자주 하지 못하기 때문”이라고 분석했다.이에 따라 최근 국내 보안업체들은 다각적인 방법을 통해 패킷 수집에 열을 올리고 있다. 정보보호기술은 세계적 보안업체인 시만텍과 제휴를 맺고 정보를 공유하고 있고 시큐아이닷컴은 세계적 규모의 인터넷 보안 커뮤니티를 통해 패킷을 수집하고 있다. 바이러스 백신 업체인 뉴테크웨이브는 한 글로벌 기업과 제휴해 세계 각국의 지사에서 발견된 패킷들을 공급받고 있다.기존의 시스템을 보완하는 노력도 이어지고 있다. 특히 방화벽업체들의 움직임이 두드러진다. 그동안 국내 방화벽은 주로 소프트웨어 기반으로 제작됐다. 이 제품들은 제작기간과 비용이 적게 든다는 장점이 있지만 속도가 느리고 컴퓨터의 운영체제가 감염됐을 때 무용지물이 된다고 지적돼 왔다. 하지만 최근 방화벽업체들은 소프트웨어 기반에서 하드웨어 기반의 제품으로 빠르게 변화하고 있다.국내 대표적 보안업체인 시큐아이닷컴의 황수익 전략마케팅 차장은 “기존의 방화벽과 IDS를 연동시키면 새로운 보안시스템을 도입하지 않고도 효과적으로 유해코드를 막을 수 있다”면서 “하드웨어 형식의 제품을 이용하면 속도를 크게 높일 수 있어 기존의 소프트웨어 방식의 방화벽이 가진 약점을 극복할 수 있다”며 방화벽 무용론을 강하게 반박했다.통합보안관리시스템(ESMㆍEnterprise Security Management)도 부각되고 있다. ESM은 제품이 아니라 서비스다. 기업이 보유한 보안시스템을 통합적으로 관리해 시스템의 효과를 높이자는 것. 대부분의 보안사고가 시스템의 성능이 떨어지기 때문이 아니라 적절히 관리되지 못해 일어나고 있다는 데 착안한 방법이다. 정보보호기술의 한 관계자는 “보안전문업체의 전문적 관리를 받을 수 있어 보안 효과가 크게 증가할 것”이라고 말했다.보안전문가들은 미래 보안시스템의 추세를 고성능화(고속화), 능동화, 통합화로 관측하고 있다. 점차 속도가 빨라지는 인터넷 환경에서 속도를 떨어뜨리지 않고 기능을 발휘해야 하고 정해진 패킷뿐만 아니라 스스로 학습해 새로운 형식의 패킷을 검출할 수 있어야 하며 유무선 통신이 결합하는 등 갈수록 융합화되는 정보통신 환경을 통합관리할 수 있는 시스템만이 살아남을 것이라는 분석이다.