급변하는 IT 환경에 대한 예측은 쉽지 않겠지만 전 세계적인 인터넷 사용 증가로 인해 매년 50~60% 이상의 트래픽 폭증과 2011년 즈음에는 인터넷 사용자가 전체 인구의 22%인 15억명에 달할 것이라는 유력 기관들의 최신 조사 결과들을 미뤄보면 IT 환경이 웹과 네트워크를 기반으로 하는 유비쿼터스 환경으로 발전하고 진화할 것이라고 예측할 수 있다.

이와 같이 웹을 기반으로 한 급속한 IT환경의 진화는 사용자에게는 편리성과 효율성을 안겨 주지만, 그 이면에는 보안 위협 및 정보 노출이라는 난제를 던지고 있다. 이에 전 세계적으로 관련 시장과 업계는 기업의 이익과 직결되는 보안 문제에 대처할 수 있는 방안들을 마련하는데 고심하고 있다. 우리나라 역시 이러한 위험을 대비함에 있어 결코 예외일 수 없다.

최근 국내 상황을 살펴보면, 올해 들어서만 모 대형 인터넷 쇼핑몰이 해킹 공격으로 고객들의 개인정보를 유출시킨 사고를 시작으로 누구나 이름만 들으면 알 수 있는 증권사가 DDoS 공격을 받아 취약한 보안 체계를 드러내며 고객들의 불신을 산 바 있다. 이렇듯 국내의 허술한 보안체계는 특히 중국발 해킹 공격의 주 타깃이 되고 있다. 대가성 공격으로 사이버 범죄가 급증하고 있는 현 상황을 볼 때 규모에 상관없이 기업에서 정부기관에 이르기까지 IT 인프라와 보안 체계에 대한 재고가 필요한 시점이다.

안타까운 사실은 보안 문제에 대한 우려는 우려에만 그칠 뿐 실질적으로 문제를 해결하기 위한 접근 방식은 소극적인 대책을 수립하는데 머무르고 있다는 것이다. 외부에 대한 적극적인 방어와 예방적 차원이 아닌 보안문제가 발생한 후 소 잃고 외양간 고치는 격의 사후약방문은 오히려 도둑을 불러들이는 꼴이 되고 있다.

“근시안적인 대처는 근본적인 해결책이 될 수 없다”
최근 일어난 대형 보안 사고들로 인해 불거진 경각심으로 관련 업계는 앞 다퉈 영업과 마케팅을 강화하고 신제품을 출시하는 등 특수를 누리고 있다. 하지만 이들 업체들이 제시하고 있는 해결책은 각종 네트워크 공격에 대한 단일 장비의 도입 정도에 머물고 있다.

그 이면을 자세히 들여다보면 이는 비효율적인 미봉책에 불과하다는 것을 어렵지 않게 알 수 있다. 단일 제품을 통한 접근 방식은 여전히 높은 가격과 웹사이트 속도 저하, 추가 솔루션의 증설 및 관리 포인트 증가로 인프라의 복잡성과 유지보수 비용 부담을 증가시키는 원인이 되고 있다. 이처럼 또 다른 문제를 야기하는 단일 제품의 도입이 과연 관련 업계의 홍보처럼 근본적인 해결책이 될지는 의심이다.

이렇듯 오늘날 전형적인 네트워크 인프라 설계의 결함은 우선 대부분의 네트워크가 애초의 포인트 제품 도입을 넘어 보안을 염두에 두고 설계되지 않았다는 것이다. 이런 식의 해결 방식은 물론 애플리케이션의 성능과 가용성에 대한 보안 효과도 충분히 해결해 주고 있지 않다.

이러한 문제는 정보보안 솔루션의 확장성과 유연성이 제한돼 있고, 진화하는 최신 비즈니스 시스템에 신속하게 적응하지 못해 생기는 복잡성, 또 순수하게 보안에만 초점을 맞춰 전체적인 시스템을 고려하지 않는 보안 정책 등이 원인이 될 수 있다. 다시 말해 보안 문제에 있어 이것을 전체적인 관점에서 접근하는 경우는 극히 드물다.
포괄적인 관점에서 네트워크를 설계하지 않을 경우 발생하는 많은 비효율적인 문제들에도 불구하고 국내 기업에서는 서버, 스토리지, 네트워크, 애플리케이션, 보안 등 각 부문별로 담당자를 따로 두고 그 역할을 명확히 구분하고 있다. 이러한 현실은 단일 장비의 도입을 부추기는 요인이 되고 있다.

최근 이슈로 부상한 DDoS 공격을 예로 들어보자. IT 인프라에 있어 L7 스위치 기능의 어드밴스드 ADC를 주로 도입하고 있는 가까운 일본이나 유럽의 경우는 단순한 DDoS 공격과 같은 네트워크 공격은 이슈화조차 되고 있지 않다. 이렇게 낮은 수준의 네트워크 공격도 사전에 예방하지 못하고 고민하는 국내 보안 체계는 성능 위주의 단순한 장비 도입으로 눈앞에 보이는 문제만 해결하려고 드는 근시안적인 대처에서 그 원인을 찾을 수 있다.