그리고 일단 원천을 파악한 다음 원인을 제공한 머신을 운영하고 있는 외부 업체의 IT 부서에 연락을 했다. 다행히 해커의 공격은 아니었고, 잘못 구성된 SNMP 머신에 의한 악의 없는 실수 탓인 것으로 밝혀졌다.
■ 침입 탐지 서비스의 허와 실
침입 탐지 기술을 이용하다 보면 유감스럽게도 이러한 잘못된 경보를 쉽게 접하게 된다. 기업들은 예를 들어, 라우터를 지나는 IMCP(Internet Message Control Protocol) 트래픽이 적법한 메시지를 디바이스에 실어 나르고 있는지, 아니면 서비스 부인(Denial of Service,Dos) 공격을 위한 수단으로 이용되고 있는지 판단하기 위해 소프트웨어에만 의존할 수 없는 상황이다. 따라서 365일 내내 보안 기술자들을 직접 배치하든지, 아니면 아웃소서를 이용하는 편을 선택하게 된다.
『경보 이벤트의 중요성을 가려내고 분석하려면 인간의 개입이 필요하다는 것』이 디펜드넷의 사장 겸 CEO인 빈센트 지오다노(Vincent Gi- ordano)의 생각이다.
침입 탐지 서비스는 외부 전문가들이 24시간 네트워크에 설치된 침입 탐지 센서에 의해 발생된 모든 정보를 대조해 걸러주며, 모든 하드웨어와 소프트웨어 툴들을 관리해준다. 서비스 이용료는 대개 월 단위로 지불된다.
대부분의 보안 서비스 제공자들은 현재 방화벽, 취약성 평가, 경우에 따라서는 시큐어 VPN으로 구성된 매니지드 보안 서비스 스위트에 침입 탐지를 함께 묶어 제공하고 있다.
디펜드넷, IBM 글로벌 서비스, ISS(Internet Security Systems), 파일럿(Pilot Network Services), 립테크(RIPTech Technologies) 같은 업체들은 이미 침입 탐지 서비스를 제공하고 있다. 또 액센트(Axent Technologies) 같은 보안 업체들도 조만간 침입 탐지 서비스를 제공할 계획이다. IDC에 따르면 세계 매니지드 보안 서비스 시장은 2003년까지 20억 달러 규모를 넘을 것이라고 한다. 1998년에는 5억1,200만 달러 규모였다.
그러나 침입 탐지 서비스는 아직 초기 단계다. 불과 얼마 전까지만 해도 침입 탐지는 흰 모자(white hat) 해커들이 기업의 네트워크에 모의 침투해 그 네트워크에 어떤 허점은 없는지 찾아내는 것을 의미했었다.
이제 기업들은 끊임없이 침입자들의 낌새를 탐지해내기 위해 네트워크의 중요한 부분에 풀타임으로 소프트웨어 보초를 서는 즉, 모니터링 툴들을 배치해야 하는 부담을 안고 있다.
