침입 탐지 시장은 현재 활기를 띠고 있어서 많은 대형 엔터프라이즈 환경들이 IDS 프로그램을 시험하고 있다. 사실 이 시장은 매우 달아올라, 시장 조사 회사인 IDC에 따르면 50%라는 놀라운 성장률을 구가하고 있으며 매니지드 보안 서비스 제공 업체들이 속속 등장하고 있다. 놀라운 성장률을 보이고 있는 침입 탐지 시스템 기술 중에서도 이번 조사에서는 기업들이 활용하기에 적합한 IDS 제품들을 테스트해 보았다.

기업들은 IDS 배치 문제들을 극복하더라도 곧 이어지는 유지에서의 어려움 때문에 매우 힘들게 된다. 그런 이유 때문에 IDS(Intrusion Detection System)를 아웃소싱하는 경우가 늘고 있으며 이 추세는 더욱 증대될 것 같다. 이처럼 산업적인 관심 증대에 따라 IDS 제품이 전성기를 맞이할 준비가 되어 있는지는 생각해볼 문제다. 사실 이 기술은 유용하지만 아직은 그다지 성숙되지 않았다.

서명 발표(signature release) 적시성에 문제가 있는 데다가 오퍼레이터를 압도할 정도로 많은 양의 데이터를 다룰 수 있는 제품은 거의 없는 실정이다. 시스코 시스템즈와 엔터라시스 네트웍스는 확장성이 아주 좋은 솔루션을 구축한 유일한 업체들이다. 벤더들은 집합(aggregation) 문제를 해결하기 시작했지만 고도의 의사 결정을 내릴 수 있게 데이터간의 상관 관계를 따지는 데 이용할 수 있는 제품은 거의 없다시피 한다.

하지만 성공적으로 활용된다면 IDS는 이로울 것이다. 그것은 기본적인 주변 장치들로는 얻을 수 없는 매우 세세한 정보를 제공할 수 있어서 중요 기기들을 보다 긴밀히 감시할 수 있게 해준다. 또한 IDS는 임박한 공격에 대한 초기 경보 시스템으로 기능할 수 있으며 공격이 성공하더라도 그에 대한 반응 시간을 줄여줄 수도 있다. IDS는 인터넷 위에서의 공격적인 활동에 대한 확실한 보고서들을 만들 수 있는 방법도 제공한다.

인적 자원 고려 명심

대형 기업의 유능한 IT 관리자는 자사의 네트워크 위에서의 추세, 기본적인 공격, 약한 시스템과 악의적인 사용자를 알아내는 데 도움을 받기 위해 NIDS(Network IDS)를 사용할 것이다. 오늘날의 NIDS 제품들은 일반적으로 침입을 막을 수는 없지만 초보 해커를 찾아내고 기업의 위험 지대를 알아내는 데는 확실히 도움이 된다.

이번 테스트에서는 엔터프라이즈급 환경을 감시하고 보호하는 데 이용되는 이러한 시스템들의 기본 기능들을 살펴봤다. 그들의 사용 목적인 네트워크를 감시하고 공격자와 침입자를 찾아내서 침입을 중단하게 하거나 견제하는 것은 간단해 보이지만 테스트는 결코 간단하지가 않았다. IDSnet을 운영해서 테스트 공격을 가했었는데 센서들이 폭발하고 콘솔이 망가졌고 데이터베이스도 파괴됐다. 그리고 연결성 문제와 동기화 문제가 이어졌다. 하드웨어는 작동이 중지됐다. 처음에는 이러한 문제들이 계속됐다.

제품들에 친숙하게 된 뒤에는 테스트가 가능했지만, 침입 탐지가 결코 쉬운 기술이 아니라는 것을 분명히 알게 됐다. 이 시스템들에는 활용을 담당할 인력, 감시를 담당할 인력과 유지를 담당할 인력이 필요하다.

IDS의 활용을 계획하는 관리자라면 반드시 인적자원 측면을 고려해야 됨을 명심해야 한다. 노력이 성공하려면 적당한 사람이 필요하다. 게다가 조직은 IDS 활용이 IT의 다른 측면에도 영향을 끼칠 것임을 알아야 한다. 보안 작동을 네트워크 작동과 통합할 계획이 있는가? 성공한 공격처럼 보이는 것을 찾아냈을 때는 어떻게 해야 하나? 보안 문제가 확인됐을 때 그것을 조사할 유능한 사람이 있는가?

프라이버시 법에 대한 잠재적인 침해나 HR(인적 자원) 정책에 대한 위반 가능성 같은 비IT적인 문제들도 해결돼야 한다. NIDS 장치의 활용은 정책적인 관점에서는 평범한 것 같지만 일간 거래나 구직 탐색 활동에 로그인하는 서명들을 가능하게 하기란 조직이 견뎌낼 수 있는 것보다 훨씬 더 침략적일 것이다. 위험한 바다로의 항해를 시작하기 전에 법률팀과 간략하게나마 이야기 해보는 것이 현명할 것이다.

사전 시험이 중요

6개월의 테스트 동안 다음과 같은 처리 과정 문제들을 해결하고자 했다. 이번 테스트에서 선택한 경로는 드폴 대학의 네트워크 팀에 추가된 일원으로서 서비스하는 것이었다. 그 결과 중대한 공격을 알아내는 데 제품들을 사용함으로써 사고 정보를 네트워크 팀에게 건네줄 수 있었다. 그러면 그 팀은 보다 상세한 조사를 위해 시스템 조정 팀과 연락했다.

이 전략은 효과적이었지만 다른 조직에게는 맞지 않을 수도 있다. 이것은 실제 기술과는 거의 관련이 없는 과정적인 문제이지만 IDS 솔루션을 활용하고자 하는 사람에게 확실히 영향을 줄 것이다. 이러저러한 이유에서 전사적인 활용에 앞서 반드시 IDS 시험 프로그램을 사용해 볼 것을 적극 권한다. 시험 프로그램은 기술적인 문제를 찾아내는 데 도움이 될 뿐 아니라 처리 과정상의 결함을 발견하는 데도 도움이 된다.

중대한 자산을 보호하는 데 IDS가 도움이 될까? 확실히 그렇다. 하지만 자신의 한계를 알고 그것들이 조직에 얼마나 영향을 끼칠지를 확인해야 한다. 침입 탐지 제품들은 보다 좋은 경고 시스템이 되고 있지만 그것들이 강력한 자물쇠, 강력한 호스트, 접근 제어 장치, 정의된 절차 및 강화된 정책을 대신할 수는 없다.