IT쪽으로 무게추가 빠르게 기울고 있는 건 불가항력적인 흐름

미래의 보안 인재상은 양 분야를 모두 꿰뚫고 있는 사람

[보안뉴스] 리서치 업체인 ESG(Enterprise Strategy Group)가 조사한 바에 의하면 영상 감시 부서들 중 91%가 IT 부서와 밀접하게 운영되고 있다고 한다. 2011년의 52%에 비해 엄청나게 높은 수치다. 게다가 IT 부서장들이 영상 감시 장비 구매에 최종 결정권을 가진 경우가 47%에 달하는 것으로 나타나기까지 했다.

물론 아날로그 CCTV에서 IP 영상으로 옮겨간다는 산업 내의 큰 흐름이 낯선 건 아니다. 다만 그 정도와 속도가 상상 이상이어서 이번 조사 결과가 놀라운 것이다. 물리 보안 업계에서 영상 감시 업무는 말 그대로 물리적으로 보안 업무를 맡은 팀이나 사람이 담당하는 것이 얼마 전까지만 해도 관례였다. 아파트 경비실을 생각해보라. 엘리베이터나 복도에 설치된 CCTV를 감시하는 건 현장으로 뛰어갈 수 있는 경비아저씨들의 몫 아니던가.

하지만 CCTV가 점점 IP 기술로 대체됨에 따라 물리 보안 업계의 지표면 자체가 흔들거리고 있다. 그리고 그 중심에는 IT가 자리하고 있다. 처음엔 카메라들의 네트워크를 봐주는 일만 했는데 슬슬 물리적인 부분에까지 슬쩍 발을 올려놓은 것이다. 이는 업무 특성상 누구도 막을 수 없는 현상이었다. 그래서 지금 IT 부서에서 사업과 직원, 재산을 전부 보호하고 있다고 해도 과언이 아니게 된 것이다. 그러므로 이제 보안을 맡은 사람이라면 디지털 세계와 물리 세계를 모두 이해해야만 업무 수행이 가능하다.

흐려진 경계

IP 기반의 영상 감시 장비가 회사 내로 도입된다는 건 IT 부서에게 있어 이 새 장비들이 기존 네트워크에서 어떤 식으로 영향을 미칠지 파악해야 한다는 의미이고, 저장 공간에 대한 고민과 영상의 질에 대한 고민도 같이 떠안아야 한다는 뜻이다. 게다가 요즘 장비에는 원격 조정이나 정보 분석 기능 등 부가 기능도 수두룩하다. 그러니 공부할 게 쌓여간다.

물리 보안 업무를 맡았던 사람들 또한 이해해야 할 것이 있는데 바로 뜻하지 않게 보안을 떠안게 된 IT 부서가 자신들처럼 오로지 보안에만 전력투구할 수 없는 상황이라는 것이다. IT 부서는 회사 내 마케팅, 판매, 인사, 재정에도 모두 관여하고 있기 때문이다. 그래서 보안만 담당했던 사람들이 보기에 IT 부서는 보안에 신경을 전혀 쓰지 않고 있는 것처럼 비칠 수도 있다.

그렇게 일이 많은데 왜 보안 업무까지 IT 부서에 맡겨야 하는가? 공격의 방법이 갈수록 다양해지고 있고, 이는 IT 분야에서 훨씬 활발하게 이루어지고 있기 때문이다. 해커들만을 말하는 게 아니다. 산업 스파이, 내부의 적(의도적이든 아니든) 등 위협이 될 수 있는 변수와 경로는 이미 도처에 깔려있다.

그렇기 때문에 끊임없이 점검하고 살피는, 업무의 지속성이 중요해진다. 회사를 쉴 새 없이 지켜보는 눈의 역할을 하면서 동시에 사건이 터졌을 때 수사에 협조하는 역할까지 IT부서에서 주도적으로 맡을 수밖에 없다. 결국 경계가 흐려지기 때문에 협업이 더 중요해지고 있는 실정이다.

IT, 지원이냐 주도냐

이미 현실 속에서 IT는 물리 보안을 지원할 뿐 아니라 굉장히 영향력 있는 보안 요소가 되어 있다. 업무 환경이 IT 위주로 바뀌어감에 따라 나타나는 자연스러운 현상이다. IT 부서가 크고 세분화 되어 있는 곳에서는 이미 보안 업무도 세분화시켜서 담당하고 있는 게 일반적이다. 예를 들어 저장 공간을 담당하는 사람은 카메라로 찍은 영상 자료의 저장과 유지를 책임지는 식이다. 그런데 저장 공간 담당자가 이런 업무를 수행하려면 카메라의 영상 자료가 어떤 식으로 저장되고 어떤 포맷으로 유지가 되어야 좋은지 등 카메라 자체의 기술에도 어느 정도 지식이 닿아 있어야 한다.

또한 그런 식으로 카메라를 운영하는 데에 IT 부서가 관여하기 시작하다보면 어떤 카메라 장비를 구매해야 할지까지 결정하는 권한도 가져오는 경우가 생긴다. 이는 보안 부서에서 가져가야 할 재정에도 영향력을 발휘하게 된다는 의미가 된다. 그런데 이 ‘재정권’이 어느 부서, 어느 회사에서나 굉장히 민감한 문제이며 소위 말하는 ‘파워 게임’의 핵심이 될 때가 있다. 여기서 충돌이 발생하기도 하는데, 이 문제를 잘 해결하는 건 IT 부서나 보안 부서뿐만 아니라 회사 차원에서 조정이 필요할 수도 있다.

중요한 건 아무리 정보 보안 분야가 중요하다고 해도 IT 부서가 모든 권한을 쥐고 흔들 수 없다는 것이다. 영상 감시를 비롯한 물리 보안 분야에는 물리 보안 분야만의 전문성이 꼭 필요하기 때문이다. CCTV가 아무리 IP 테크놀로지로 대체된다고 해도 IT 담당자가 수갑과 권총을 차고 나가서 카메라에 잡힌 범인을 잡아들일 수는 없는 일이다. 또한 비상사태를 위한 행동 대처 요령을 수립하고 그에 따른 보호 장비나 안전장치를 배치하는 것 또한 IT 부서의 역할은 아니다. 적어도 아직은 말이다.

시간이 지나면서 보안 전체에 대한 IT 부서의 영향력은 더 커질 것이다. 그럼에도 물리 보안의 영역이 완전히 사라지는 일 또한 없을 것이다. 즉 영향력은 영향력일뿐 그것이 곧바로 주도권으로 연결되지는 않을 것이며, 그래야 맞다. 주도권 싸움이 아니라 ‘시너지 만들기’의 영역으로 바라봐야 한다. 물리 보안 분야가 IT를 장착하는 것이지, IT가 물리 보안요원들을 전부 실직자로 만드는 그림이 나오는 일은 일어나지 않을 거라는 말이다.

IT 환경이 발전하면서 물리 보안의 풍속도도 빠르게 변하고 있다. 그 속도가 적응력 혹은 수용력보다 훨씬 빠르기 때문에 회사 차원에서의 조치와 각 담당자들의 대비가 필요하다. IT 담당자들은 물리 보안의 전문지식을, 물리 보안 담당자들은 보안에 사용되는 IT 신기술들을 공부해 나가야 하며, 두 영역이 교집합을 이루는 부분에서 회사가 적절한 중재를 해주어야 한다. “시대가 너무 빨리 변한다”는 핑계는 아무도 기다려주지 않는다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>