지금까지 독립적으로 수행되어온 물리적 보안과 기술적 보안이 융합(Convergence)되어 상호유기적으로 정보공유와 더불어 협력체계를 구축해야 할 필요가 있다. 이에 본고는 국내에서 혼용되고 있는 융합보안 개념을 통합보안과 복합보안 측면에서 재정립하고 융합보안이 초기 단계임을 고려하여 향후 융합보안 구현을 위한 접근 방법을 제시한다.

지식정보화 사회가 고도화, 복잡화됨에 따라 기업의 유겧デ活?자산을 지키기 위해서는 과거의 단편적인 보안 접근방법으로서는 한계를 보이고 있다. 기업에서 정보가 차지하는 비중이 커지고 있으며 또한 물리적인 제품 즉, 유형자산 역시 정보에 의존하는 경향이 커지고 있으므로 무형자산 및 유형자산을 보호하기 위해서는 물리적 보안과 기술적 보안 노력이 동시에 고려되어야 한다. 또한 스마트카드 등의 사용으로 사용자의 신원을 확인하는 동시에 위치까지 파악할 수 있는 네트워크 접근 기술로 인해 물리적 보안 영역과 기술적 보안영역의 경계가 불분명해지고 있으며 통합적인 관리가 필요하다. 즉 지금까지 독립적으로 수행되어온 물리적 보안과 기술적 보안이 융합(Convergence)되어 상호유기적으로 정보공유와 더불어 협력체계를 구축해야 할 필요가 있다.

융합보안의 필요성과 개념 정립

대부분의 선진국에서는 2000년대 초반부터 보안 영역내에서의 물리적 보안과 기술적 보안의 통합 차원에서 연구 및 시스템 개발이 활발하게 진행되고 있다. Gartner의 조사에 의하면 약 50% 정도가 물리적 보안과 기술적 보안이 이미 통합되어 있다고 응답하였고 35%는 통합을 고려하지 않고 있으며 20%는 통합되어있지 않지만 계획중이라고 응답하였다. 물리적 보안과 기술적 보안의 시장규모는 2008년 현재 약 4조 3,000억원으로 지속적으로 증가하는 추세이며 융합보안의 시장규모는 약 1조 8,000억원의 시장규모를 형성하고 있다.

현재 물리적 보안과 기술적 보안의 시장규모가 융합보안의 시장규모보다 크지만 증가 추세나 변화하는 보안 요구사항 등을 고려해보면 향후에는 융합보안이 물리적 보안과 기술적 보안의 기능을 대체하여 보안 시장을 주도할 것으로 예상하고 있다.

반면 국내에서는 2008년부터 지식경제부 주도로 ‘지식정보보안산업’ 발전전략 수립을 추진 중이며 여기에서 지식정보보안이란, 암호, 인증, 인식, 감시 등의 보안기술이 적용된 제품을 생산하거나 관련 보안기술을 활용하여 재난·재해·범죄 등에 관한 서비스를 제공하는 것으로 기술의 적용 영역, 제품의 특성 등에 따라 정보보안, 물리보안, 융합보안으로 세분화하고 있다. 여기에서 융합보안은 정보보안 또는 물리보안이 비IT기술 또는 다른 산업과 융합되어 창출되는 새로운 제품 및 부가서비스를 의미한다. 대표적으로는 차량블랙박스, 의료영상보안제품, 금융 OTP, 홈네트워크 보안 등 운송, 로봇, 금융, 의료, 건설, 국방 등 다양한 산업과 보안산업간의 융합을 의미하고 있다.

융합보안의 개념이 해외에서는 보안영역내에서의 융합을 의미하며 조직 내에서 이미 운영 중인 물리적, 기술적 보안을 어떻게 통합하고 누구에 의해 관리되며 어떻게 사용할 것인가에 초점을 두고 있다. 반면 국내에서는 보안산업과 기타 산업간의 융합에 초점을 맞추어 특정 산업의 부가 서비스를 위해 어떠한 보안기술이 적용되는지에 초점을 두고 있다.

그럼 정확한 의미의 융합보안은 어떠한 것일까? 융합의 의미는 ‘상이한 두 개체가 유기결합을 통해 서로 구별이 없게 새로운 개체를 만들어 내는 현상’을 의미한다면 앞에서 언급한 두 가지 차원에서의 융합보안 역시 틀린 말은 아니다. 단지 다른 융합현상을 같은 이름으로 언급하는 것이 혼동을 주고 있기 때문에 이에 대한 구별이 필요할 뿐이다.

지식경제부에서 제시하는 융합보안의 의미는 보안이 비IT기술 또는 다른 산업에 적용되어 새로운 보안 서비스 및 제품을 창출하는 것으로 산업에서 생산되는 제품 및 서비스에 보안 기능이 탑재되어 제품 및 서비스의 신뢰성과 안전성을 향상 시킬 뿐, 이러한 제품 및 서비스 본연의 기능이 변하거나 생산 프로세스나 조직 구성이 변하는 것은 아니다.

따라서 산업 제품 및 서비스에 보안 기능이 탑재되어 서로 개별적인 기능을 수행하므로 이를 ‘복합보안’이라고 명명하는 것이 적절하다고 판단된다. 또한 국외에서 사용되고 있는 융합보안은 물리적, 기술적, 관리적 보안 기능 및 프로세스를 통합하여 동일한 영역에서 관리하는 개념으로 ‘통합보안’이라고 명명하는 것이 바람직할 것이다. 다시 말해 통합보안과 복합보안은 모두 융합보안에 해당되며 결국 지식정보보안이란 통합보안과 복합보안을 모두 포함하는 포괄적인 개념이라고 할 수 있다. 그림 1은 지식정보보안의 구성요소인 통합보안과 복합보안의 개념을 도식화한 것이다.

융합보안 발전방향

우선 통합보안 측면에서 보면 통합보안 구현을 위한 접근방법은 크게 두 가지로 나눌 수 있다. 첫번째 방법은  ‘Converged CSO’를 통한 방법이다. 기존의 물리보안과 기술보안이 각각 다른 부서(총무부서, IT 부서 등)에서 수행되고 있기 때문에 두 부서를 조직 차원에서 통합하기 보다는 CSO가 두 부서와의 보고 및 명령체계를 수립하여 CSO가 두 보안기능 통합에 주도적 역할을 수행하는 것이다.

이 방법은 외국에서도 실제적으로 많이 사용하는 방법으로 비교적 구현하기 용이한 장점이 있긴 하나 CSO의 역량이 매우 중요하다고 할 수 있다. CSO는 물리적겚茱珦?보안 조직 및 프로세스, 통제 활동에 대한 충분한 지식을 소유한 통합보안의 책임자로, 최고 경영층으로 구성된 위원회에 참여하여 보안과 조직의 목표를 연계시키기 위한 중요한 역할을 수행한다.

두번째 물리보안과 기술보안을 조직적으로 통합하여 하나의 보안부서에서 두 보안 기능을 통합적으로 관리하는 것이다. 즉 보안 전담 부서는 조직의 물리적겚茱珦?위험을 통합적인 시각으로 식별하고 평가하며 위험을 허용수준 이내에서 관리할 수 있도록 한다.

뿐만 아니라 통합보안 적용시 조직의 비즈니스 프로세스를 고려하는 것 또한 중요하다고 할 수 있다. 통합보안을 단순히 물리적 보안과 기술적 보안을 통합하는 개념으로 인식하는 것에는 한계점이 존재한다. 기존의 물리적·기술적 보안을 통합하여 관리하는 것도 중요하지만 이것을 비즈니스 프로세스와 연계시켜 보안을 일상적인 업무수행의 일환으로 인식하고 수행하는 것이 중요하다고 할 수 있다.

그리고 복합보안 측면에서 보안기능과 특정 산업간의 복합보안은 산업 제품 및 서비스의 안전성과 신뢰성 향상을 위해 보안이 특정 산업에 융합되어 산업의 부가가치를 높이는 것이라고 할 수 있다. 복합보안을 구현하기 위한 접근방법은 산업 내 존재하는 가치사슬을 고려하여 보안 요구사항을 파악하고 보안기능을 융합시킴으로써 부가가치를 창출하는 부분을 식별하고 이를 우선 순위에 따라 보안성이 제고된 제품 및 서비스를 제공하는 것이다. 산업의 본원적인 활동을 생산, 운송, 마케팅, 판매, 물류, 서비스 등과 같은 현장업무과 구매, 기술개발, 인사, 재무, 기획 등의 제반 지원 업무로 구분할 수 있을 때 각 활동이 진행됨에 따라 가치가 증가하게 된다. 이러한 현장업무와 제반 지원업무를 가치사슬(value chain) 활동이라 하였을 때 원재료, 부품, 서비스 등을 제공하는 공급자의 가치사슬과 최종 산출물인 제품 및 서비스를 구매하는 구매자의 가치사슬에는 보안기능이 추가됨으로써 부가가치가 창출될 수 있다는 점이다. 또한 가치사슬내의 보안취약점을 식별하여 적절한 보안통제를 구현하고 운영한다면 신뢰성 및 안전성은 물론 시장수요 증진을 통해 산업의 부가가치를 향상시킬 수도 있을 것으로 예상된다.

복합보안 구현상의 문제는 ‘누가 이러한 융합기능을 주도할 것이냐’이다. 복합보안을 하기 위해서는 무엇보다도 특정 산업의 가치사슬을 이해하고 있는 산업 전문가가 주도적 역할을 수행하되 보안전문가의 도움을 받는 방식이 적절할 것으로 사료된다. 다시 말해 보안전문가가 복합보안을 주도하기는 어렵다는 말이다. 가장 이상적인 것은 협의체를 구성하여 해당 분야 전문가들이 모여 부가가치를 창출할 수 있는 요소들을 식별하고 이를 구현할 수 있는 아이디어 및 실행체계를 모색하는 것이다.

올바른 이해와 적용 필요

현재 대부분의 조직에서는 물리적, 기술적 보안이 서로 다른 부서에서 수행되고 있다. 상호 연계되어야 할 필요가 있는 두 기능이 정보공유 및 시스템적인 통합이 이루어지지 않고 있기 때문에 보안효과성이 저하되고 있는 결과를 초래하고 있다. 본고에서는 현재 국내에서 혼용되고 있는 융합보안 개념을 통합보안과 복합보안 측면에서 재정립하였고 융합보안이 초기 단계임을 고려하여 향후 융합보안 구현을 위한 접근 방법을 제시하였다. 융합보안의 개념을 올바르게 이해하고 적용하였을 때 비로소 비용-효과적인 기업보안 활동을 기대할 수 있을 것으로 판단된다.

<글 : 김정덕 중앙대학교 산업과학대학 학장/정보시스템학과 교수(jdkimsac@cau.ac.kr)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>