해커들이 서비스 거부(DoS) 공격을 일으켜 몇몇 유명 웹 사이트에 어림잡아 20억 달러의 매출 손실을 입힌 지 1년이 지났다. 2000년 2월, 그 48시간 동안 발생했던 일들은 서비스 제공 업체들(SP)에게 특히 두려움을 안겨 주었다.
진퇴양난에 빠진 고객
SP들은 자신들이 얼마나 취약한지 알게 됐다. 그 결과 일부 ISP들은 기업 고객들에게 최후통첩을 보내기 시작했다. 일정한 보안 기준을 만족시키든지, 아니면 자신들에게 서비스 받을 생각을 하지 말라는 메시지였다.
물론 기업 고객들이 지켜야 할 보안 요건들을 공식 리스트로 만든 것은 아니다. 그러나 많은 SP가 어떤 업체는 고객으로 적합하고, 어떤 업체는 그렇지 못한지, 또 SP로부터 서비스를 구입하려면 기업들이 사전에 어떤 종류의 보안 시스템을 갖춰야 하는지 등을 제시하는 정책을 가지고 있다. 그런 정책을 갖고 있는 SP로는 아메리테크, AT&T, CTC, 그리고 전국적인 ISP들인 어스링크, 엑소더스, PSI넷이 있다.
이런 SP들이 기업 고객들에게 원하는 내용은 암호화 및 사용자 인증 제품, 침입탐지 소프트웨어와 상호 작용하는 방화벽, 전용 서버, 시큐어 데이터에 대한 VPN 링크를 설치해달라는 것 등이 주류를 이루고 있다. 또한 안티바이러스 소프트웨어, 특정 침입탐지시스템(IDS), 안티스팸 콘텐츠 필터링 같은 툴들을 이용해달라는 것이다.
ISP가 고객을 가려 받는 이 새로운 추세를 보여주는 좋은 예가 뉴잉글랜드 최대의 CLEC 중 하나인 CTC(CTC Communications)이다. CTC는 스패밍과 포르노물의 이용을 금하고 있고, 고객들이 한 가지 이상의 코어 애플리케이션용으로 라우터를 이용할 수 없게 하고 있다. 또 모든 서버를 방화벽으로 보호하도록 고객들에게 요구하고 있다. 『이런 것들을 지키든지, 아니면 우리 고객이 못 되든지 둘 중 하나』라고 이 회사의 제품관리 이사인 글렌 넬슨(Glen Nelson)은 말한다.
