[테크칼럼] 출입통제 시스템 관점에서 살펴보는 물리보안제품의 정보보안

물리보안과 정보보안, 가깝고도 먼 관계

[보안뉴스= 최성빈 슈프리마 전무] 흔히 보안시장을 설명할 때 물리보안시장과 정보보안시장을 구분해서 설명한다. 물리보안시장은 출입통제와 영상감시 시장으로 대표되고, 정보보호시장은 외부로부터의 침입을 방지하는 방화벽(firewall)과 침입방지시스템(IPS : Intrusion Prevention System) 등을 비롯해 암호화를 지원하는 개인정보보호 솔루션에 이르는 다양한 제품들로 구성된다.

▲물리보안과 정보보안은 가깝고도 먼 관계다[사진=슈프리마]

한 기업이 정보보호체계를 설계함에 있어서 물리보안은 필수적인 요소다. 아무리 좋은 암호화 시스템과 방화벽을 설치했다고 해도, 물리적으로 해당 장비에 접근할 수 있다면 그 노력은 무의미해지기 때문이다. ISO27001이나 ISMS 등 정보보안체계 인증에 있어서 중요 장비에 대한 물리적인 접근제어를 중요한 요소로 다루는 것도 이러한 이유에서다.

그렇다면 물리보안제품에 입장에서 정보보안은 어떨까? 특히, 물리보안제품 중에도 출입통제 시스템 관점에서 문제를 풀어가 보고자 한다.

필자의 경험으로 볼 때, 출입통제제품들은 정보보안에 대해서 많이 신경쓰지 못한 것이 사실이다. 물론 출입통제제품에 들어있는 정보는 단지 카드 아이디인데 이 정보가 지킬 만한 것인지에 대해서 의문을 품는 사람도 있을 것이다. 하지만 물리보안제품에 대한 해킹으로 누군가가 부정한 방법으로 출입해 회사나 개인의 중요자산에 접근할 수 있다면 얘기가 달라진다. 그리고 개인정보라는 측면에서 볼 때, 정보보호의 중요성은 더 높아진다. 출입통제에서 사용되는 크리덴셜(Credential)은 개인을 특정하고 판별하기 위한 정보, 즉 개인정보이다. 이에 지문, 얼굴 등을 중요한 크리덴셜로 취급하는 현재의 출입통제 시스템에서 개인정보 보호의 문제는 그 중요성이 점차 높아지고 있다.

출입통제제품들이 정보보안에 소홀했던 이유
지난 수십 년 동안 출입통제제품이 정보보안에 소홀했던 이유는 무엇일까? 출입통제 시스템을 둘러싼 두 가지 환경에서 그 이유를 찾을 수 있다.

우선, 대부분의 출입통제제품이 동작하는 환경은 외부와의 통신이 단절된 폐쇄망이었다. 외부에서의 접근은 원천적으로 막혀 있고 중요정보를 저장하고 있는 ACU와 서버는 내부에 안전한 곳에 위치하고 있기 때문에 사실상 정보보안을 위한 특별한 노력이 필요 없었던 것도 사실이다.

다른 하나는 ACU(Access Control Unit)의 성능이다. 최근 들어, 주요 제조사들의 ACU HW 사양이 향상됐지만, 지난 수십 년 동안 ACU는 Micom과 같은 성능이 낮은 CPU 기반으로 개발됐고, 이러한 ACU는 암호화 등 정보보안 기능을 충족하기는 성능면에서 많은 어려움이 있었다.

환경의 변화에 따라 제품도 변화를 요구한다
하지만, IT 환경의 변화는 출입통제제품의 변화를 요구하고 있다. 세상은 보다 편리하고 효율적인 방향으로 변해가고 있고 IT 기술은 그 첨병 역할을 하고 있다. 과거 회사 사무실에서만 가능하던 업무들이 이동 중에 모바일을 통해서, 그리고 재택에서 개인 PC를 통해서도 가능한 시대로 변해가고 있다. 또 지난해부터 시작된 코로나19가 만들어낸 언택트(Untact), 재택근무 등은 이러한 변화의 흐름을 가속화하고 있다. 사실상 폐쇄망을 고집하는 기업은 살아남기 어려운 세상이 되어가고 있다. 출입통제 시스템을 비롯한 물리보안제품들은 더 이상 폐쇄망이라는 안전한 환경에 의지할 수 없는 상황이 되었다.

▲출입통제 제품 역시 제품 설계와 개발에 있어서 정보보안을 중요하게 고려해야 한다[사진=슈프리마]

또한, ACU의 사양 및 성능에 대한 요구 사항도 빠르게 변하고 있다. 과거 카드ID 정보만을 저장하고 이를 매칭하는 정도의 사양으로만 ACU HW가 설계됐기 때문에 ACU가 요구하는 CPU 사양은 높지 않았다. 그리고 이렇게 설계된 ACU에 암호화 기능을 탑재하기에는 무리가 있었다. 하지만 최근 들어 고성능의 CPU를 탑재해 카드뿐만 아니라 지문, 얼굴 매칭이 가능한 ACU가 출시되고 있다. 시장의 요구에 따라서 ACU도 진화하고 있다. 그리고 이러한 변화는 ACU에서도 이제 암호화 등의 정보보안 기능들을 제한없이 구현할 수 있다는 의미이기도 하다.

정보보안 갖춘 출입통제 제품, 어렵지만 필요한 것
세상의 변화 속에서 출입통제 제품 역시 정보보안을 제품 설계와 개발에 있어서 중요하게 고려해야 하고 또 할 수 있는 상황에 있다. 하지만 출입통제 전체 시스템에 정보보안을 적용한다는 것이 그렇게 쉬운 일만은 아니다.

Reader Device, ACU Device, 출입통제 SW, Reader – ACU 통신구간, ACU – SW 통신구간 등 출입통제 시스템 전체적으로 정보를 암호화하고 또 암호화에 사용된 키를 안전하게 관리하는 것은 만만치 않으며 그 만큼의 시간과 노력을 필요로 한다. 특히, Reader, ACU와 같은 Device 제품들은 키를 안전하게 저장하기 위한 보안 요소(Secure Element) 등이 하드웨어적으로 준비돼야 하기 때문에 HW 설계 시부터 정보보안을 고려해야만 한다.

지난 수십 년간 별 문제 없이 사업을 영위해온 출입통제 업체들의 입장에서 보면, 정보보안을 위해서 들여야 하는 시간과 노력의 규모는 어쩌면 받아들이기 힘들 수도 있다. 하지만 필자와 같이 출입통제제품을 만들고 공급하는 사람들이 가져야 하는 인식은 정보보안이 없이는 물리보안도 없다는 사실이다. 세상은 그렇게 변화해 가고 있다.

▲최성빈 슈프리마 전무[사진=보안뉴스]

슈프리마 역시 전체 제품군에 암호화를 도입하고, 통신구간마다 암호화 통신을 적용했으며, 모든 Device에 Secure Element를 적용했다. 또 이러한 노력이 일회적으로 끝나는 것이 아니라 이후 제품 개발 프로세스에 반영돼 지속적으로 모든 제품에 정보보안이 달성될 수 있도록 정보보안 준수 개발체계를 만드는 것이 결코 쉽지 않았다.

하지만 한 회사에서 제품개발을 책임지고 있는 필자가 생각한 것은 출입통제제품에 있어서 정보보안이란 어떠한 비용이 들더라도 달성해야 하는 피해갈 수 없는 숙명이라는 것이었다. 이것은 물리보안업계, 특히 출입통제제품을 만들고 공급하는 업계의 동료 기업인들과 개발자들에게 말해주고 싶고, 당부하고 싶은 이야기이기도 하다.

슈프리마는 지속적인 노력을 통해 지난 3년간 각 개발 과정에서 정보보안요소들이 반영된 개발프로세스를 확립했고 지난해에는 ISO27001 인증을 획득했다.
[글_최성빈 슈프리마 전무. 기술연구소 소장]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)