물리적 보안은 기업보안의 화룡점정(畵龍點睛)

몸짱의 중요 요소중 하나가 바로 균형 잡힌 몸이다. 상체만 발달하고 하체가 부실하면 진정한 몸짱이라 할 수 없다. 기업보안에서도 균형과 조화가 중요하다. 기업보안은 최근 IT와 물리적 보안 양쪽의 균형 잡힌 보안을 강조하는 융합보안으로 귀결되고 있다. 아무리 철저한 IT보안으로 무장해도 물리적 보안이 균형을 이루지 못하면 허점이 생길 수밖에 없다. 물리적 보안을 위한 전략, 어떻게 짜야 할까.

물리적 보안은 몸을 지탱해주는 든든한 하체와 같다. 각종 위협과 취약성에 대해 기업의 자원과 중요한 정보를 물리적으로 보호할 수 있는 대응 방안으로 기업의 자산 중 지적 자산과 같은 무형 자산을 제외한 모든 하드웨어 자산, 즉 인원, 시설, 생산품, 현금, 각종 문서, 기계 설비 등을 그 보호의 대상으로 한다. 이러한 기업의 물리적 보안 대상들이 피해나 손실을 입게 됐을 경우, 1차적인 보안 대상인 인원, 물자 등의 직접적인 손실은 물론이고 2차적으로 인원, 물자, 서류 등이 가지고 있던 잠재적 가치까지 동시에 소실되는 결과가 되며 물품 등이 제때 공급하지 못해 발생할 수 있는 피해 보상청구 등의 3차 피해까지 이어질 수 있다.

이성규 씨티은행 CSIS팀 부장은 “물리적 보안활동은 모든 보안활동의 기초가 되고 근본이 되는 것으로 가장 오랜 역사를 가지고 있다”며 “물리적 보안이 체계가 탄탄하게 구축되지 못한 기업의 2, 3차적인 보안활동은 사상누각 되기 쉽다”고 지적했다.

물리적 보안 활동이 잘 이뤄지기 위해선 우선 보안업무를 제대로 이해하고 수행할 수 있는 전문요원을 선발하는 일이 선행돼야 한다. IT나 재무업무를 위해서 그 분야 전문가들이 필요한 것과 같이 보안업무도 지식과 경험을 갖춘 사람이 필요하다. 아무리 보안 첨단장비를 설치한다고 해도 그것은 보안을 수행해 나가는데 있어 최소의 역할만을 담당할 뿐이다. 첨단장비가 있으니까 인원은 소수의 관리 인력만 있어도 된다는 생각은 보안업무를 제대로 이해하지 못한 경우다.

Ⅰ. 시스템 구축시 전략적 접근 필요

한번 설치하면 사무실을 옮기거나 대대적으로 개조하기 전까지 변경하기 어렵고 비교적 오랜 동안 사용하면서 크고 작은 고장에 대처해야 하는 것이 물리적 출입통제시스템인 것이다. 예를 들어 대형빌딩이 신축된다면 빌딩 부지 선정 시부터 보안팀은 주변의 위험 요소를 제거할 수 있도록 보안적인 측면을 검토하고 사무실 공간배치에도 대피통로 규모와 숫자 등 보안요소를 반영해야 한다.

이정호 한국IBM 보안실 실장은 “국내 물리적 보안설비 구축 사례를 보면 물리적 출입통제시스템은 건축시에 건설사에 의해, 또는 SI 구축 프로젝트에 끼워서 보안설비업체의 제안에 따라 구축되는 경우가 많다”며 “최근에 건축분야에서 CPTED(환경설계를 통한 범죄예방) 개념이 활발히 논의되는 것은 고무적인 일”이라고 말했다.

또한 빌딩의 보안요원 배치 운영, CCTV 시설, 출입통제설비(Access Control System), 무인감시시설(Alarm Monitoring system) 등의 설계는 물론이고 외부 경계시설 구축까지 등 모든 보안요소들이 고려돼야 한다. 즉, 건물 설계시부터 보안팀이 관여하는 것이 중요하다.

이정호 실장은 “규모와 수준에 맞춰 보안 전문가가 반드시 참여해야 한다”며 “비용 효율적이면서도 꼭 필요한 시스템을 도입하기 위해서는 전략적 접근이 필요한데, 전체 사업장에 일관된 보안정책을 반영하면서 현업부서(실사용자)의 업무흐름, 업무편리성을 최대한 고려하면서도 뒤쳐지지 않는 기술을 적용할 수 있어야 한다”고 설명했다.

Ⅱ. 구축보다 더 중요한 것은 ‘운영’

최근 건축이 완공된 대형빌딩을 가보면 최첨단의 보안시설들이 많이 설치돼 있는 것을 볼 수 있다. 그러나 일년 후에 다시 방문해 보면 방문객과 내부직원들의 불편을 덜어 주기 위해 첨단 장비들을 편리성 위주로 변경해 운영하고 경비원들도 고객 편의 위주로 근무하고 있음을 발견할 수 있다.

또한 감시카메라 등이 고장나 있어도 수리하지 않고 사무실 문은 출입통제 장치가 있어도 활짝 개방해 모든 내외부 출입자의 출입을 허용하고 있다. 더욱이 CCTV 영상이나 출입기록들은 일정기간 그 기록을 유지하고 있어야 하나 그렇지 못한 경우가 대부분이다. 이는 국내 보안 개념에 대한 부족, 새로운 위협/위험(Risk, Crisis)에 대한 대응의 취약성, ‘소잃고 외양간 고치는 보안’의 반복, 아웃소싱에 지나친 의존 등의 문제로 기인되는 것이다.

이성규 부장은 “최초에 보안 시스템을 구축할 때 설정했던 보안수준에 맞춰 구축된 보안시스템들이 편리성을 추구하여 변경하지 않도록 하고 고장 없이 잘 유지될 수 있도록 관리하는 것이 매우 중요하다”고 말했다.

위험은 끊임없이 변한다. 항상 동일한 수준의 보안을 유지하고 있었을 때 예전에는 안전했던 것이 지금은 더이상 안전하지 않을 수 있다. 따라서 보안도 이에 따라 변해야 하며 보안에 들이는 비용과 노력이 계속 달라질 수 있음에 대해 이해하고 계획할 수 있어야 한다.

이정호 실장은 “직원이나 공급사의 계약직원이 퇴사하는 경우에 즉시 논리적 접근과 함께 물리적 접근도 차단되는가, 개별 제한 구역의 출입 승인권자가 정기적으로 액세스 리스트를 재확인하는가, 시스템의 이상징후나 사고가 있을 때 현장 또는 중앙감시센터 보안근무자가 어떻게 대처하는지에 대한 절차가 있고 주기적으로 교육되는가 등의 운영관리를 통해 물리적 보안의 적정수준을 유지해야 한다”며 “또한 적정수준에 대한 판단은 보안사고 이력관리 등을 통한 위험수준 분석에 따라 평가돼야 한다”고 설명했다.

Ⅲ. 물리적 보안과 IT보안의 ‘통합’

물리적 보안과 IT보안의 통합이 점차 가속화될 전망이다. 유비쿼터스 사회에서는 자동차겚뭐?의료겙퓬퀋물류곀琉?등 다양한 산업분야에서 안전과 신뢰성을 담보하기 위한 보안기능이 탑재되면서 미래 블루오션으로 부상할 것으로 전망하고 있다. 물리적 보안과 IT 보안을 통합하는 회사차원의 전략은 보안위험을 최소화하는데 매우 중요한 요소다. 일류 기업들은 IT 보안과 물리적 보안에 대한 통합된 시각과 함께 우수한 보안감시능력과 위험관리 노하우를 결합함으로써 남다른 이익을 내며 세계 경제에서 두각을 나타내고 있다. 최적화된 IT 인프라뿐만 아니라 디지털 자산, 물리적 자산 및 인적 자산에 대한 보다 양질의 보호를 통해 두드러진 성과를 내고 있는 것이다.

이용균 이글루시큐리티 연구소장은 “국내 시장은 현재 CCTV, 출입통제 시스템 등 물리적 보안 산업이 전체의 69%를 점유하고 있으며 CCTV와 DVR의 경우 해외에서도 높은 경쟁력과 시장점유율을 가지고 있으나 단순 영상기술만으로 한계에 이를 것으로 판단된다”며 “부가가치를 높이고 한 단계 더 발전하기 위해서는 물리적 보안 영역에 IT 보안이라는 또 다른 영역이 융합된 융합보안 모델을 선점하는 것이 필요하다”고 밝혔다. 그는 또 “향후 연평균 성장률이 51%에 달하는 융합보안 산업 분야가 보안 산업의 새로운 성장엔진이 될 것으로 기대한다”고 덧붙였다.

Ⅳ. 보안의식 향상이 선행돼야

그러나 대다수의 기업들이 많은 비용과 자원을 보안 시스템이나 기술 등에 투자해 놓고도 기업 구성원들에 대한 보안관리가 제대로 되지 않아 보안상 위험에 처해지거나 보안 사고를 경험하는 경우가 흔히 있다.

김광철 SK텔레콤 경영지원팀 매니저는 “보안에서 가장 중요한 요소는 사람이기 때문에 구성원의 보안 마인드가 곧 보안 문제의 90%를 해결하는 것이라고 생각하고 전체 구성원과 함께 보안을 실천해 나가야 한다”고 강조했다.

특히 보안사고 또는 보안상 가장 큰 위험은 다름 아닌 기업 구성원의 보안의식 결여로부터 비롯되는 경우가 많다. 그러므로 기업에서 무엇보다도 관심을 갖고 지속적으로 노력해야 하는 보안 프로그램은 다름 아닌 기업 경영진을 비롯한 구성원 모두의 ‘보안의식 향상’이라고 할 수 있다. 따라서 기업 구성원들의 ‘보안의식 향상’은 가장 효과적이고도 주요한 보안 강화의 수단이자 모든 보안 프로그램의 기본인 것이다.

보안은 기업의 신뢰도와 경쟁력과도 밀접한 관계가 있으므로 지금이라도 물리적 보안에 대한 중요성을 인지하고 보안체계를 구축해 나간다면 성공적이고 안전한 비즈니스를 이어나갈 수 있을 것이다. 지금도 늦지 않았다.

<글 : 김태형 기자| 호애진 기자>

[월간 정보보호21c 통권 제114호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>