아웃오브패스 방식 보안장비로 제한…‘인라인 장비’ 업체들 발끈
업체들의 이같은 반발은 금결원의 RFP가 공격 탐지와 차단을 별도로 하는 아웃오브패스 방식의 DDoS장비를 요구하고 있는 데서 비롯된다. 현재 시중에 나와 있는 대부분의 국내외 DDoS 장비들은 인라인 방식이며 금결원이 요구하는 방식을 지원하는 장비는 시스코와 아보네트웍스 장비 밖에 없기 때문이다. 실제 이번 사업에는 이 두 회사의 장비가 3개사를 통해 제안된 것으로 알려진다.
특히 반발이 거센 인라인 장비업체들은 "차단은 스위치의 차단모듈에서 하고, 탐지 장비는 차단시스템과의 연동을 지원해야 하므로 스위치와 연관된 장비가 아니면 들어갈 수가 없어 다수 업체들이 BMT에 참여 조차 할 수 없는 상황이었다"고 불만을 토로. 이들 업체들은 또한 "금결원은 서비스의 안정적 유지를 위해 아웃오브패스 방식만을 고집하고 있는데, 그렇다면 인라인 방식의 IPS는 어떻게 운영하고 있는지 모르겠다. 더욱이 국가기관에서 국산 장비들의 안정성 테스트도 못하게끔 RFP상에서 부터 제한한 것은 있어서 안 될 일"이라고 말했다.
또한 외산장비 공급업체의 한 관계자도 "인라인 방식과 아웃오브패스 방식 모두를 지원하고 있으나 본사 차원에서도 해킹의 소지가 많은 아웃오브패스 방식을 권장하지 않고 있다. 이는 가드역할을 하는 장비에서 IP를 받아 보내지는 단계에서 IP 두 개가 노출되기 때문"이라고 설명했다.
금결원 "금융환경과 은행들 의견 반영한 RFP였다"
현재 이 사업은 금결원 내 업무기획팀(금융ISAC실)과 IT기획부에서 추진 중이다. 업무기획팀에서 은행들의 사전 수요조사를 통한 RFP를 작성했고, IT기획부에서는 업체 선정 및 계약 체결 임무를 맡고 있다.
금결원 업무기획팀 관계자는 "은행, 카드 사업부문에 문제가 발생하여 지난해 6월부터 18개 은행의 실무책임자들과 공동회의 결과, 금융환경에 맞는 공동 대응 시스템을 구축하기 위한 입찰제안서를 작성하게 된 것"이라며 "실시간 인터넷 뱅킹 서비스에 중점을 두다 보니 장비 구성을 미러링 방식으로 하고 DDoS 트래픽이 들어와 문제가 발생하더라도 바이패스 기능이 제공되도록 아웃오브패스 방식으로 하자는 게 공동 의견이었다"고 밝혔다.
IT기획부 관계자는 또 "은행들의 사전 수요조사를 통해 공동 사업을 진행하면 비용절감, 정보 분석 및 공유를 통한 공격 방어 등의 이점이 있어 이 사업을 추진하게 된 것이며 특정 업체의 제품을 원했다면 아마 수의 계약을 했을 것"이라고 반박했다.
이번 사업 계획에 따르면 DoS 공격 탐지 시스템 26대(은행과 금결원에 각각 24대, 2대 설치)와 DoS 공격 차단 시스템 2대(금결원에 설치)가 도입된다. 그러나 도입물량은 이것으로 끝나지 않는다. 추후 은행들이 개별적으로 DoS 공격 차단 시스템을 구입해 연동해야 하는데, 이번에 금결원이 어떤 장비를 선정하느냐가 은행들의 기종선정에 결정적인 영향을 미칠 것이라는 분석이다.
한편 이 사업은 실효성 문제로 금융권에서도 논란이 되고 있다. 금융사의 한 관계자는 "DoS 공격 공동대응시스템은 중앙에서 관제하고 자동으로 차단하는게 아니라 탐지 후 해당 은행 담당자에게 승인을 받아야만 차단하는 프로세스라, 무차별적인 DDoS 공격을 즉각 방어하는데 한계가 있을 것으로 판단돼 이 사업에 참여 의사를 밝히지 않은 상태"라며 "비용상 어려움으로 금결원에 전적으로 의지하는 일부 은행들을 제외한 다수 금융사들은 자체 DDoS장비를 도입할 가능성이 높다"고 말했다.
또한 "DDoS 공격은 합법적인 공격(트래픽)을 세밀히 분석해 차단해야 하는데 어려움이 있어 오랫동안 해결 못한 보안문제였다"며 "정확히 공격을 차단한다는 것을 보장 못하고 인터넷뱅킹 서비스가 끊기면 안 되기 때문에, 단순히 공격을 탐지만 하고 실제 공격으로 인한 문제 및 책임은 회피하려는 금결원의 회원사들을 대상으로 한 새로운 서비스 수익모델로 밖에 볼 수 없다"는 지적이다.
관련기사
김정은 기자
jekim@itdaily.kr