Home > Security
과도기에 선 물리 보안, 지금은 중간다리 역할을 할 때
  |  입력 : 2020-11-20 15:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
물리 보안, 아직까지는 사건이 일어났을 때 대응하는 것으로 충분했지만
얼마 전 주지사 납치 사건을 사전에 무마시킨 것이 마일스톤...선제적 대응력 중요해


[보안뉴스 문가용 기자] 인생의 대부분을 민간 부문과 공공 기관들에서 보안 담당자로 보낸 필자이지만, 여러 지방 곳곳에 수많은 사무소와 시설들을 보유하고 있으면서도 물리 보안 전문가가 오래된 물리 보안 장치를 사용하도록 하는 조직들을 볼 때마다 깜짝 깜짝 놀란다. 그러면서도 기업이 안전하기를 바란다니, 도대체 무슨 말을 하는 건지 알 수가 없다.

[이미지 = utoimage]


80년대와 90년대, 필자는 대테러 조직의 특수 요원으로 활동하고 있었다. 미 국무부 외교 보안 서비스 부서 소속이었다. 당시 나와 같은 요원들은 수천 장의 문서와 파일, 수많은 통신 케이브를 수동으로 분석하며 첩보들을 찾아내려고 대부분의 시간을 보냈다. 첩보들 중 대다수는 분초를 다투는 것들도 있으며, 제 시간에 행동을 이끌어 내면 생명을 구하기도 했다.

그러고서 수십 년이 지났다. 첩보 담당자들은 여전히 생명을 살릴만한 위대하고 긴박한 첩보를 찾아내기에 모든 시간을 쏟고 있다. 그런데 여전히 종이로 된 서류를 손으로 하나하나 넘겨보는 방식을 고수하고 있다. 이런 상황에서 긴박한 대응의 능력은 순전히 운에 맡길 수밖에 없다. 더 효율적으로 첩보 수집과 분석을 할 수 있는데도 말이다.

이해가 아주 어려운 건 아니다. 신기술을 도입한다는 게 말처럼 간단한 일은 아니기 때문이다. 특히 큰 사고 없이 기업이 버텨왔다면 보안처럼 눈에 확 띄는 변화를 주기 힘든 분야에 돈을 쓰려는 경영자들은 거의 없다. 과거나 지금이나, 보안은 사용자들에게 있어 현상유지에 초점이 맞춰져 있는 분야이기 때문이다. 지금도 충분히 괜찮은데 물리 보안에 회사 예산을 투자한다? 사치라고 여겨지는 게 보통이다.

그런 투자 문화에서도 볼 수 있듯, 기업의 물리 보안이란 긴 기간 동안 ‘대응’ 위주로 운영되어 왔다. 즉 사고가 발생해야 겨우 변화를 생각해 볼까 말까 하다는 것이다. 사고가 없으면 보안은 간과된다. 그런 문화에서는 새 물리 보안 도구가 도입되기 힘들다. 실제 안전을 위해서도 그렇고, 미래를 생각해서도 그렇고, 기업 전체의 향방과 맞물리는 거시적 계획 아래서 보안은 기획되어야 마땅하다.

물리적 자산을 안전하게 지킨다는 건 역사적으로 날카롭고 빠른 눈, 귀, 관찰력, 감각 등을 요구하는 일이었다. 그 옛날 우리는 공격자들의 심리와 방식을 이해하기 위해 모든 능력과 운을 총동원해 몇 십 시간을 첩보의 바다 속에서 허우적거렸다. 첩보를 수집한다는 건 매우 은밀한 일이라, 우리는 호텔 방처럼 보이는 평범한 장소에 사령부를 차려놓고 데이터를 저장하곤 했다. 로그는 전부 수기로 기록됐다.

실제 사건이 터질 때면 우리는 세부 사항들을 최대한 많이 적어놓곤 했는데, 이 기록들은 훗날 비슷한 다른 사건들을 해결할 때 유용하게 사용되곤 했다. 거리에서 혹은 현장에서 직접 위협 요소를 탐지하고 검사한다는 건 대단히 복잡하고 어려운 일이었고 효율적이지도 않았다. 기록 장치라고는 인간의 기억력이 전부였기 때문이다.

이렇게 고생을 해서 알아낸 첩보는 필요한 자들에게 전달되어야 가치를 발하는데, 우리 때는 유선 전화나 메모지, 가끔 외교 채널이 활용됐다. 대단히 느리고 버거운 과정이었다. 80년대 폴라로이드 카메라가 발명되었을 때 처음으로 디지털 방식을 도입하고자 하는 움직임이 일어났다. 그러면서 소니의 VHS 비디오 테이프가 나왔고, 모토롤라도 라디오와 페이저를 세상에 내놓았다. 그러면서 점점 많은 장비와 솔루션들이 시장에 쏟아져 나오기 시작했다. 새로운 기술이 나올 때마다 그 전 기술들은 무대 뒤로 사라졌다. 물리 보안 세계에서도 마찬가지였다.

가트너에 의하면 82%의 CEO들이 디지털 변혁을 곧 진행하거나 이미 진행하고 있다고 한다. 하지만 물리 보안이라고 하면 아직도 총, 경비, 보안 게이트만을 떠올린다. 옛스런 도구들이고 디지털 변혁에 포함되지 않는다고 생각한다. 그러나 물리 보안은 게이트로 범인을 거르고 총으로 제압하는 것보다 훨씬 더 많은 일을 담당한다. 오히려 첩보를 통해 물리적인 공격을 미리 막는 것이 요즘의 물리 보안이 맡은 역할이다. 미시건 주지사 납치 계획을 미리 간파해 범인들을 무력화시킨 최근의 사건이 좋은 사례다. 버지니아 주지사 역시 납치 대상 후보자였다고 한다. 이를 미리 알아낸 FBI는 소셜 네트워크에서 첩보를 찾아냈다고 한다.

기업들 역시 이런 ‘능동적’ 혹은 ‘선제적’ 물리 보안에 더 신경을 써야 할 때다. 특히 요즘처럼 직원들이 코로나로 인해 재택 근무 등 분산 배치 되어있을 때 물리적 위협은 더 커지기 마련이다. 도소매 매장에서의 물리 보안 강화의 필요성도 더 높아졌다. 매장 안에서 발생하는 안전 사고에 대해 기업이 법적으로 책임져야 하는 부분이 점점 늘어나고 있기 때문이다. 이런 식으로는 ‘능동적 대처가 없었다’는 것이 과실로 해석될 수도 있다.

지금 물리 보안은 전통적 의미의 물리적 안전을 책임지는 분야와, 순수 사이버 분야의 보안 분야의 중간 어디 즈음에 있다. 첩보력과 물리력 모두를 행사할 수 있어야 한다는 것이다. 그 말은 곧 우리가 싫든 좋든 중간다리 역할을 맡아야 한다는 뜻도 된다. 먼저는 조직이 디지털 변혁을 진행하고 있을 때 물리 보안 전문가 스스로가 이를(디지털 신기술을) 받아들여야 한다. 그러면서 여러 안전 사고를 미리 예측해 움직이는 업무 방식에 익숙해질 필요가 있다. 그것이 기업의 고객 보호 책임을 최소화 하는 것과 관련이 있다는 것을 이해하고 또 전파해야 한다.

많은 기업들이 물리 보안에 대해 ‘지금 상태로도 만족한다’는 생각을 가지고 있다. 선사건 후대응 방식의 보안에서라면 틀리지 않다. 하지만 시대는 점점 선조사 선해결을 요구하는 방식으로 변하고 있다. 위협들이 그런 식으로 변하고 있기 때문이다. 물리적 위협으로 발전될 수 있는 수많은 첩보들을 온/오프라인에서 찾아내 미리 방비하는 것, 그런 방어력을 대다수의 사람이 기대하고 있을 때 변하기 시작하면 늦을 것이다.

글 : 프레드 버튼(Fred Burton), Center for Protective Intelligence
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)