보안 기능이 마침내 팔리는 수준에 이르렀다는 사실을 확인하고 정말 기뻤다. 애틀랜타에서 열린 넷월드-인터롭에서는 거의 모든 업체가 부스 어딘가에 보안 기능을 강조했다. 잠재적 고객이 보안에 대해 물을 때, 업체들은 귀를 기울이고 있다. 보안 자각은 드디어 절정에 도달했다. 하지만, 보안 방안은 코어 컴포넌트로 보고 이행해야 한다. 아직 하드웨어 업체들의 경우는 보안 기능용으로 ‘팔아치운다’는 경향이, 그리고 소프트웨어 업체들의 경우 보안 ‘애드온(add-on)’들을 권하는 일이 흔하기 때문이다. 하지만 아마도 조만간 이런 현상도 바뀔 것이다.

■ 두가지 도전에 직면

업체들은 제품에 보안을 추가하는 데 있어 두 가지 도전에 직면하고 있다. 첫 번째 도전에는 코어 소프트웨어 내에 있는 고유의 구조적 결함이 포함되는데(하드웨어 장비의 경우 운영시스템 및 서비스/애플리케이션), 이는 클라이언트를 오용에 대해 취약하도록 내버려둔다. 두 번째 도전은 보안 네트워킹이 아직도 상대적으로 새로운 작업이며(비록 오래된 개념이긴 하지만), 대부분의 프로토콜이 보안 위험을 염두에 두고 있지 않다는 사실이다. 따라서 업체들은 현재 총예산을 계속 주시하면서 보안 기능을 포함하도록 자사 소프트웨어를 재설계, 혹은 수정하는 작업에 직면해 있다. 업체들이 보안 염려를 해결하기 위해 오랫동안 노력해 온 것은 사실이지만, 아직도 보안은 부가 비용으로 처리된다.

이러한 환경은 부득이한 공격을 발견 혹은 막는 독특한 비즈니스 기술 라인을 조성했다. 이것은 12년 전 안티바이러스 소프트웨어로 시작되었다. 오늘날에는 인간의 허약함으로부터 시스템을 보호해줄 완벽한 제품 및 인핸스먼트 스위트들이 있다. 그리고 이 모든 것은 처음부터 우리가 제대로 할 수 없을 것 같았기 때문에 다름 아니다.

포괄적인 기업 네트워크 보안에는 상당한 비용이 든다. 우선, 네트워크 및 인터넷 접속이 보안용으로 설계돼야 한다. 여기에는 지식과 사거나 만든 장비가 필요하다. 이제 전문 보안보호 소프트웨어 제품과 이들을 정확하게 사용할 수 있는 능력이 추가돼야 한다(1998 ICSA 연구에서는 전체 방화벽의 80%가 잘못 구성돼 있음이 밝혀졌다). 다음으로 이 모든 것이 계속 잘 돌아가도록 하기 위한 인력이나 컨설팅 서비스가 필요하다. 그리고 마지막으로 위험의 현황을 계속 파악할 수 있는 정보 소스를 사거나 만들어야 한다. 중간규모의 회사라도 ‘네트워크 보안’을 위해 충분한 양의 예산을 확보해두어야 할 것이다.