Aberdeen 그룹에 의해 발간된 최근 벤치마크 보고서에서 그룹의 부사장이며, 연구이사인 Derek E. Brink는 기업 전체의 보안 위험을 감소시키기 위한 방안으로 논리적 보안 시스템과 물리적 보안 시스템의 효과적인 통합전략을 제시하고 있다. 전 세계 140개 이상의 다양한 업체들이 이 연구에 일정한 기여를 했다. 이 연구에 의하면 최고의 실적을 나타내는 회사들은 보다 양질의 보안, 지속적인 유연성(컴플라이언스), 신속한 대응시간, 낮은 총 비용, 그리고 논리적 보안 팀과 물리적 보안 팀 간의 협력 개선 등을 통해 유무형의 이득을 얻고 있다.

비즈니스 환경

시장을 이끄는 몇 가지 동인들은 통합의 중요한 사례들을 입증하기 위해 결합되고 있다(혹은 논리적 보안 시스템과 물리적 보안 시스템 간의 ‘융합’). 

• 미국에서는 국가보안 대통령령-12(영어 약자로 HSPD -12)를 통해 미국 연방기관들로 하여금 모든 직원과 계약자들에게 2008년 10월 27일까지 표준을 준수하는 개인 식별 확인카드(VIP)를 발급할 것을 주문하고 있다. 이 카드는 대규모 기관과 시설들에 추가 확대될 것으로 보인다(예를 들면, 교통 부문에서 일하는 직원들과 응급 구조대원들).
• 국가보안 대통령령-12에 의해 직접 영향을 받은 것은 아니지만 다수의 비즈니스 업체들이 전 세계적으로 표준, 카드 중심의 신분확인 시스템을 이용하여 온라인 인증 관리와 물리적 출입 관리를 통합하는 솔루션을 설치하고 있다.
• 후위 처리 시스템에서 나타나는 융합의 예들은 논리적 및 물리적 보안 정보 및 사건의 집중 수집, 표준화, 상호작용을 통한 위험관리와 가시성의 개선으로 더욱 추진력을 얻고 있다. 보안정보 및 사건관리(SIEM) 솔루션과 기업 통합 사용자 인증(E-SSO) 솔루션은 논리적/물리적 보안 융합에서 새로운 사례로 적용되고 있다.
• 융합의 예들은 또한 빌딩 출입, 빌딩 자동화, 비디오 감시, 비디오 분석, 그리고 감시 컨트롤 및 데이터 취득 시스템과 같은 분야에서 네트워크가 가능한 물리적 보안 솔루션의 새로운 분야로 주목을 받고 있다.

정책, 기획, 프로세스 등의 모든 것이 위의 예처럼 논리적 보안과 물리적 보안의 성공적인 통합에 일정한 역할을 담당한다. 보안 관리와 위험 관리에 관한 최근의 Aberdeen 연구에 따르면 위험관리에 대한 넓은 시야를 확보하고 있는 회사들은 보안을 향상시키고 유연성(컴플라이언스)을 지속시키며 기존의 IT 자원들과의 연계성을 높인다. 또한, 보다 신속한 결정을 내리며, 비즈니스 과정을 최적화하고 회사 내의 시스템과 지역 내의 시스템을 통해서 가시성을 개선하는 능력을 갖추고 있다. 이와 유사하게 이번 연구에 의하면 최고의 실적을 가진 회사들이 보통의 회사들보다 물리적 보안과 논리적 보안의 융합을 전체 보안관리와 위기관리 전략의 핵심부분으로 간주하는 경향이 거의 2배 이상 높은 것으로 나타났다. 업계 평균으로 볼때 특정한 필요성이 존재하는 부분에서 논리적 보안관리와 물리적 보안관리의 전략적인 통합이 가장 일반적인 접근법이다(그림 1 참조). 연구결과에 따르면 논리적 보안과 물리적 보안의 성공적인 통합은 몇 개의 핵심적 부문에서 탁월한 업무 실적을 달성하며, 이미 ‘최고 수준’의 회사에 큰 도움이 되고 있다(이번 연구의 모든 응답자 중에서 최고 20%가 선택한 업무 기준에 입각해 운영된다). 

• 물리적 보안의 개선 : 1년 전에 비해 최고 수준의 회사들(업무 실적에 기초하여 상위 20%) 중 83%에서 실제로 물리적 보안사고가 감소했다. 40%는 이러한 사고들을 처리하는 평균시간이 감소했고 27%는 이러한 사고들에 대한 전체 비용감소 효과를 얻었다. 이와는 대조적으로 업계 평균(중간 50%)은 1년 전에 비해 더 많은 사고를 경험했고, 이 사고들을 처리하는 시간도 약간 덜 소요되었을 뿐이다. 그리고 이러한 사고 관련 총 비용은 약간 증가했다. 하위 업체의 실적(하위 30%)은 3개의 모든 기준에 대해 1년 전에 비해 악화되었다.
• 논리적 보안 개선 : 1년 전에 비해 최상위 업체의 48%는 실제로 논리적 보안사고의 감소가 발생했다. 31%는 이러한 사고들을 처리하는 평균시간이 감소했고 22%는 이러한 사고들에 대한 전체 비용 감소 효과를 얻었다. 이와는 대조적으로 업계 평균은 1년 전에 비해 더 많은 사고를 경험했고, 이 사고들을 처리하는 시간은 동일하게 걸렸으며, 이러한 사고 관련 총 비용은 약간 증가했다. 하위 업체의 실적은 3개의 모든 기준에 대해 1년 전에 비해 악화되었다.
• 지속적인 기준 준수 : 1년 전에 비해 상위 업체 중 55%는 실제적인 비위사건의 수가 감소했다(예를 들면 감사 실패). 59%는 이러한 사고들을 처리하는 평균시간이 감소했다. 그리고 35%는 이러한 사고들에 대한 전체 비용 감소 효과를 얻었다. 이와는 대조적으로 업계 평균은 1년 전에 비해 동일한 사고 수를 경험했고, 이러한 사고들을 처리하는 평균시간은 거의 동일했다. 그리고 9%는 이러한 사고관련 총 비용이 증가했다. 하위 업체의 실적은 3개의 모든 기준에 대해 1년 전에 비해 악화되었다.
• 협력 개선 : 1년 전에 비해 상위 업체 중 57%는 논리적 보안팀과 물리적 보안팀 간의 소통(커뮤니케이션)이 호전되었다. 36%는 보안위반사례에 대한 논리적 보안팀과 물리적 보안팀 간의 협력적 대응이 증가했다. 이는 모든 응답자들에 대한 결과인 45%와 28%와 비교된다. 보다 놀라운 사실은 상위 업체들은 논리적 보안과 물리적 보안 관련한 직원의 실수 감소율에서 다른 모든 응답 업체들에 비해 16배 감소율을 보였다.

논리적/물리적 보안 통합에 대한 투자를 이끄는 주된 동인들은 무엇일까? 다른 IT 이슈에 대한 이전의 Aberdeen 연구와 마찬가지로, 모든 차원에서의 기준 준수 즉, 정부 규정의 기준 준수, 업계 표준의 준수, 관례 기준의 준수, 업계 규정 준수, 그리고 내부 정책기준의 준수는 최우선적인 과제이다. 이번 연구의 모든 응답 업체들에게 있어서 ‘회사와 회사의 브랜드 보호’는 보안융합을 이끄는 주요한 동인으로 나타나고 있다. 최상위 업체들은 또한 보안 컨트롤의 설치와 관리 비용 감소를 논리적/물리적 보안 융합을 위한 투자 동인으로 간주하고 있었다. 

동전의 양면처럼 업체들이 논리적/물리적 보안 융합에 투자하지 않는 가장 일반적인 이유들은 다음과 같다. 업체들 중 49%는 다른 사업들을 더 우선순위에 두어야 한다고 생각하기 때문이다. 그리고 업체들 중 37%는 논리적/물리적 보안의 융합 비용이 너무 고가인 것으로 답했다. 그러나 전술한 비즈니스 상의 이득의 관점에서 보면 업체들은 논리적/물리적 보안 융합의 가능성을 보다 긍정적으로 검토하는 것이 좋을 것이다.

실행 기술

논리적 보안 시스템과 물리적 보안 시스템의 통합과 관련하여 이번 연구는 다른 응답 업체들과 최상위 실적의 업체들을 구분하는 3가지 실례들을 제시한다(그림 2 참조).

• 카드 : 카드 사용(논리적 접근 관리와 물리적 접근 관리에 공통적으로 사용되는 수단)은 논리적/물리적 보안 통합의 유명한 예이다. 국가 보안 대통령령-12(HSPD-12)에 의해 미연방 정부 내에서는 카드 중심의 통합이 다수의 대기업들에서도 뿌리를 내리기 시작했다. 이번 연구에 따르면 최상위 업체들은 하위 업체들에 비해 일반적인 출입카드 중심의 논리적 및 물리적 보안 통합 시스템에 투자하는 비율이 2배나 더 높은 것으로 조사되었다.

단일 장치(스마트카드나 다른 토큰)를 사용하는 것은 탁월한 선택이고, IT 접근, 빌딩 출입관리, 사진 ID, 그리고 심지어 단일 통합 시스템 내에서 작동하는 회사 내 인증 시스템을 향한 진전이 될 수 있다. 그러나 장치 발급은 빙산의 일각일 뿐이다. 논리적 인증과 물리적 인증이 동일한 물리적 장치에 연결된다고 해도 논리적 인증과 물리적 인증은 관리 차원에서 상호 연계되어야 하는 것이다. 대부분의 업체들에서 카드 관리 과정과 물리적인 출입통제 관리 과정은 개별적으로 작동한다. 기술적인 면에서뿐만 아니라 회사 차원에서도 비즈니스 과정의 중복과 전체 비용 증가가 발생한다. 물리적인 출입통제 시스템이 장기간의 대체 사이클을 갖고 있기 때문에(응답 업체들이 지적한 바와 같이 ‘이러한 시스템에는 기존 장치의 완전 분리나 전면적 대체가 없다’) 카드관리 시스템과 식별 및 출입관리 시스템 그리고 출입통제 시스템 간의 통합과 협력이 추구되는 방향으로 흐르고 있다. 이러한 기술 분야들 간의 차이를 가장 효과적으로 메울 수 있는 솔루션 제공업체들은 새로운 논리적/물리적 통합 기회를 선도하는 방향으로 나아갈 것이다. 또 하나의 선결과제는 카드나 다른 토큰의 발급을 초월한 장기적인 안목으로 이러한 기준들을 어떻게 다양하게 사용할 것인지에 대해 고민하는 것이다. 국가기관의 한 관리자가 지적한 바와 같이 ‘배지를 보관함에 그대로 넣고 있는 것보다는’ 그것을 사용할 때인 것이다. 이렇듯 논리적/물리적 보안 시스템 간의 통합은 활용범위를 넓힐 수 있는 요인이 되고 있으며, 장기적인 안목에서 필수적인 디지털 인증 시스템을 이끌고 있다.

• 보안 정보 및 사건 : 논리적 보안 인프라와 물리적 보안 인프라로부터 정보와 사건을 수집하고 상호 연계시킴으로써 업체들은 관리상의 효율성을 개선하고, 회사 차원에서 단일체계의 위험관리 시스템을 구축할 수 있다. 이러한 기술은 이제 막 등장하고 있는 단계이지만 이번 연구에서 최상위 업체들은 현재 이러한 접근법에 투자하는 비율이 하위 업체들에 비해 1.5배 이상인 것으로 나타난다. 논리적 보안과 물리적 보안에서 취득한 정보와 사건들을 일반적인 감사 및 보고와 상호 연계시키는 것은 이번 연구에서 확인된 논리적/물리적 보안의 통합을 통한 가시적인 효과이다.
• IP에 기반한 물리적 보안 : IP 기반의 새로운 물리적 보안 솔루션이 빌딩 출입, 빌딩 자동화, 비디오 감시 및 비디오 분석기, 감시 컨트롤, 그리고 데이터 취득 시스템과 같은 분야에 등장했다. 이를 통해 추가적인 논리적/물리적 보안 통합 기회가 나타나고 있다. 이번 연구에서 최상위 업체들은 현재 표준형 IP 중심의 네트워크에 기반한 물리적 보안을 업그레이드 함으로써 이에 대한 투자를 하위 업체들에 비해 약 2.5배 더 늘리는 것으로 조사됐다. 지적한 바와 같이 최상위 업체들은 전체 회사를 위한 단일 위험관리 시스템을 개발하고 일관성 있는 보안정책들을 수립하는 전략을 사용하고 있다. 이는 현재 진행 중인 기술의 진화와 표준의 발전으로 가능하게 되었지만 논리적/물리적 보안 통합 사업을 제1의 과제로 만드는 가장 실질적인 자극제는 이번 연구에서 확인된 비즈니스 상의 엄청난 이득이다. 즉, 디지털 자산의 보호, 물리적 자산의 보호, 지속 가능한 컴플라이언스, 신속한 대응시간, 저 비용, 그리고 팀 간의 협력 강화가 비즈니스 상에 얻어지는 큰 이득인 것이다.

기술 이상의 것이 필요하다!

이번 연구 결과 최고의 실적을 보이고 있는 업체들은 다음의 몇 가지 공통된 특징들을 공유하는 것으로 드러났다. 그 특징들은 다음과 같다.

• 업체들 중 73%는 공식적인 위험 산정을 실시했다.
• 81%는 위험 기능, 감사, 준수 요건들과 같은 논리적 보안관리 목표를 최우선시했다.
• 65%는 위험 기능, 감사, 준수 요건들과 같은 물리적 보안관리 목표를 최우선시했다.
• 45%는 논리적 보안과 물리적 보안 부문에서 동시에 일관된 보안 및 규정 준수 정책을 시행했다. 
• 55%는 다양한 규정, 표준, 정책과 관련된 위험 및 보안관리에 대한 명확한 설계도를 작성했다.
• 64%는 회사내부 정책 요건들과 외부 규정들이 충족되었음을 확인하고 감시하는 관리 시스템을 시행했다.

성공적인 논리적/물리적 보안 통합 시행에 있어 경험이 풍부한 업체들은 회사가 할 수 있는 가장 중요하고 유일한 것은 강력한 내부 관리자를 지정하는 것이라고 말한다. 논리적/물리적 보안 통합에 있어 확실한 집행자(관리자)를 가지고 있다고 가정하면 이러한 리더의 직위에서 가장 중요한 특징들은 다음과 같다.

• 경험자 : 프로젝트 관리 규율을 이미 알고 있어야 한다.
• 회사 직원이어야 한다(컨설턴트나 업체 지정 프로젝트 관리자는 안 된다).
• 회사 조직 내에서 신임이 있고 존경 받는 자여야 한다. 
• 강력한 소통(커뮤니케이션) 능력 : 논리적 보안팀과 물리적 보안팀 간의 문제를 적절히 조절할 수 있는 인물이어야 한다.
• 공정하고 편향되지 않은 성격 : 프로젝트 팀에 부여되는 모든 기능들이 동일한 데이터 경로와 권위를 가지고 있음을 보장할 수 있는 인물이어야 한다.

Aberdeen 연구에 따르면 최상위 업체들은 사건이 발생하기 전에 미리 예방조치를 취하여 보안과 컴플라이언스에 대한 자신들의 투자가 사업 목표를 직접적으로 지원하고 있음을 확인하고 있다. 여기에는 회사 전체 차원의 일관된 보안위험 관리전략(물리적 보안과 IT 보안의 통합)이 매우 중요하다. 탁월한 보안감시 및 위험관리 능력과 논리적/물리적 보안에 대한 통합 노하우를 보유한 최상위 업체들은 최적화된 IT 인프라뿐 아니라 디지털 자산, 물리적 자산 및 인적 자산에 대한 보호를 통해 세계시장에서 우월한 위치에서 경쟁하고 있다. 논리적/물리적 보안 통합은 핵심적인 실행 기술(예를 들면 공통의 출입 카드, 보안정보와 사건의 관리 시스템, 기업의 단일관리 시스템, IP 기반의 물리적 보안 시스템)에 의해 가능하다. 그러나 정책, 기획, 처리과정 및 기업 내 정책 또한 성공적인 실행에 있어 매우 중요한 역할을 담당한다. Aberdeen 연구에 의하면 기술적인 문제보다는 부주의와 타성이 향후 논리적/물리적 보안 통합의 가속화를 저해하는 가장 큰 장애물이 될 것이라 경고하고 있다.

카드에서 논리적/물리적 보안 통합이 존재하는가? 대답은 Yes이다. 그러나 보다 중요한 것은 보안위험에 대한 전략적이고 거시적인 차원의 대응이다. 통합 작업은 보안 개선, 지속가능한 컴플라이언스, 신속한 대응시간, 저 비용, 협력 개선이라는 실질적인 사업상의 이득으로 인해 더욱 가속화될 것이다. 

<글 : By Derek E. Brink Vice President, Aberdeen Group (http://www.abedeen.com/)>

[월간 시큐리티월드 통권 제148호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>