원하는가? 하는 문제이다. 첫 번째 이슈로서 기관이 받아들일 수 있는 위험 수준이 정해졌다면, 두 번째는 어떤 것을 모니터링하고, 허용하고, 거부할 것인가에 대한 체크리스트를 작성해야 한다. 즉, 기관의 전체적인 목적을 결정하고, 위험 평가에 근거한 필요성 분석을 하며, 계획했던 목록과 구별될 수 있는 문제점들을 가려낸다. 세 번째는 경제적인 문제이다. 예를 들어, 완전한 방화벽 제품의 구입에 드는 비용은 무료에서 100,000달러에 이를 수 있다. 무료에는 라우터의 비용과 구성 및 스태프 인건비 등은 포함되지 않은 것이다. 방화벽시스템의 우선 설치 및 구현 에 드는 비용 뿐 아니라, 지속적으로 드는 비용과 지원비 등 이 계산되어야 한다. 기술적인 측면에서 몇 가지 결정해야 할 것은 기관 내부의 네트워크 서비스 제공자 사이에서의 고정적 트래픽 라우팅 서비스 등에 대한 부분이다. 트래픽 라우팅은 라우터에서 IP수준의 스크린 규칙이나 혹은 프락시 게이트웨이 서비스에서의 응용 수준 등에서 구현되어야 한다. TELNET, FTP, NEWS, WWW 등의 프락시(proxy)를 외부 네트워크에 둘 것인가, 혹은 하나 이상의 내부 기계와 통신을 허용하는 필터링으로서의 스크린 라우터를 만들 것인가를 결정해야 한다. 프락시란 사용자를 대신하는 소프트웨어 에이전트이다. 대표적인 프락시는 어떤 사용자의 접속을 받아 이것이 허용된 호스트나 사용자인지 미리 점검하고 어떤 추가적인 인증 기능을 할 수도 있는데, 원격지 목적지를 사용자를 대신하여 접속 해 준다. 각각의 접근 방식은 장단점이 있는데, 프락시 기계가 고급 수준의 기록성과 잠재적인 보안 기능을 많이 구현해야 하는 만큼 비용 또한 많이 요구된다. 프락시 같은 경우 요구되는 서비스마다 따로 설계되어야 한다. 그리고 중요한 것은 편리성과 보안에 드는 비용은 상대적이라는 점이다.
Ⅷ. 결론 및 제언
우리 정부는 범 부처차원에서 해커대응팀과 함께 컴퓨터 바이러스만 전문적으로 다루는 전담조직을 구상하고 있는 중이다. 이에 따라 정부에서는 정보전 대응계획 수립과 발전계획을 세우고 국방연구원과 한국정보보호센터에 정보전 대응팀 구성과 정보보호제도 마련 등 구체적인 방안을 연구하도록 지시한 것으로 알려졌다. 특히, 정보보호 역기능 방지에 주도적 역할을 담당하고 있는 정보통신부는 외국의 입법사례와 제도에 대한 정밀 분석 작업을 시행하면서 관련기관과의 긴밀한 협조 체제를 유지하며 우리실정에 적합한 법·제도 구축과 교육 및 정보보호산업 육성에 더욱 전념하고 있다. 다음에는 국가적 지원이 요구되는 해킹 대비책을 열거해 본다.
1. 국민 의식 강화
국가 주요기관 및 민간기관의 정보시스템 실무운영자, 정보화 담당관, 결정권자 및 경영자에게 해킹으로 인하여 발생하는 국가 사회적 피해 및 혼란에 대한 인식을 제고시켜서 정보기반시스템의 보호능력을 점진적으로 향상시켜 나아가야 한다. 또한 일반 국민에게도 교육과 홍보를 통하여 해킹으로 야기될 수 있는 국가 사회적 혼란과 손실에 대한 이해를 증진시키고 준법의식을 갖도록 하며 해킹이 범죄라는 인식을 심어 주어야 한다.
2. 법제도 정책 지원
해킹을 범죄로 규정하고 형사 및 민사적 책임을 지울 수 있도록 하며, 해킹방지 및 탐지기술을 전담하는 조직 및 관련 연구지원과 정보보호산업 육성을 지원할 수 있는 정책지원이 필요하다. 또한, 국가 공공 차원에서 해킹을 방지하고 국가 기간산업을 보호해 줄 수 있는 암호관련 법안의 필요성이 강조된다.
3. 정보보호 관리체계 구축
정부 공공기관뿐만 아니라 회사나 단체에서도 해킹을 방지할 수 있는 정보보호관리체계를 구축하도록 하여야 한다. 물리적, 관리적인 대책도 필요하지만 해킹의 위협을 차단하기 위해서는 기술적인 보안대책이 가장 중요하다고 본다. 접근통제기술과 신분확인 기술, 암호 및 전자서명기술 등 핵심적인 기본 및 응용기술을 활용한 최대한의 정보보호체계를 갖추어야 한다. 물론, 민간기업에서는 항시 비용 대 효과를 고려하는 위험분석평가를 기반으로 최고 경영자의 올바른 의사결정이 요구된다.
4. 기반 기술 및 전문 해킹기술 연구
컴퓨터바이러스, 각종 해킹 기술뿐만 아니라 이들을 뒷받침하는 기반기술에 대한 연구가 활성화 되어야 한다. 또한, 이러한 임무를 전담하는 연구기관도 적극 지원되어야 할 것이다. 현재 한국정보보호센터에서 운영하고 있는 해킹사고 대응팀과 같은 조직의 활성화도 필수적이다.
5. 전문 인력 양성
국내에 정보기반시스템 침해에 대비할 수 있는 전문 인력이 절대 부족하므로 대학 및 대학원 과정에 정보보호 관련 과목 또는 학과를 개설함으로써 향후 정보기반시스템 침해대응에 필요한 전문 인력을 단계적으로 양성해야하며, 추가적으로 산·학·관이 공동으로 필요한 정보보호 교육프로그램도 개발하여야 한다. 특히, 대국민 홍보와 정보보호 마인드 확산을 위해서는 관련 학회나 연구기관을 통한 심포지움을 개최하여 저변인구 확대가 요망된다.
6. 국제적인 협력 강화
인터넷을 통한 해커에 대한 국제적인 공조 수사체제가 이루어져야한다. 관련되는 법규와 범죄자 인도법 등이 상호 체결되어 국제적인 범죄 집단이나 마피아 등의 수사가 이루어져야 한다. 그리고 국제컴퓨터침해사고대응협의회(FIRST)가 현재 조직돼 있는 것을 활용하여 각 나라별로 암호 기술 및 해킹 기술 등의 정보를 교환하고 협력하여 국제적인 해커를 끝까지 추적하여 퇴치할 수 있도록 하여야 한다.
참고문헌
ⅰ. 김태현, 인터넷보안과 해킹 White paper, 청암미디어, 1997
ⅱ. 류경춘·이요섭·전문석·이철희, 가상사설망의 침입탐지 방화벽의 구성, 1997년도 한국정보과학회 봄 학술발표논문집 Vol. 24. No. 1, 1997
ⅲ. 이선우·김봉한·이재광·이용준, 전산망 보호와 방화벽시스템에 관한 연구, 정보처리학회 96 추계학술 발표 논문집, 1996
ⅳ. 이용준·강창구·박성열·류근호, Wall & Walls 방화벽시스템의 설계 및 구현, 정보과학회논문지(C) 제 4권 제 4호, 1998
ⅴ. 최병렬, 정보화의 역기능에 관한 정책 연구 : 디지털 한국을 위하여, 세미나자료, 2000
한국정보기술원, Firewall 구축 세미나, 1996