주요정보통신기반시설 물리적 취약점 점검을 진행하며

현재 진행하는 과업 중 하나는 수십 개의 시스템 대상으로  물리적 취약점을 점검하는 영역이다.

사실 굉장히 간단하게 생각했다. 물리적 취약점 점검은 이번이 처음이지만, 당장 이전에 투입되었던 사업이 주요정보통신기반시설 취약점 진단이었기에 물리적 취약점에 대한 보고서를 접할 수 있었다. 그리고 당시에는 해당 점검이 굉장히 수월하게 진행됐고, 보고서도 워낙 간략했기에 어렵지 않게 보았던 것이다. 항목 수도 18개로 적고 말이다.

그러나 이번 점검을 수행하며 느낀 애로사항이 있다.

1. 물리적 취약점 점검에서만 쓰이는 암묵적인 룰과 문맥이 있다.
물리적 취약점 점검은 언제나 점수가 높은 것을 볼 수 있다. 그렇기에 담당자 입장에서는 100점이 아니면 이상한 것처럼 여겨지는 것일까. 판단에 취약을 주는 경우는 거의 없다는 것을 알게 됐다. ISMS-P의 간략한 경험 및 꾸준한 관심으로 나는 '부분 만족'의 개념에 대해 정립했다고 생각했는데, 물리적 취약점에서는 그것이 아닌 것이다. 사실상 취약으로 주어야 할 것을 부분 만족으로 주고, 부분 만족으로 주어야 할 것을 만족으로 주는 그런 느낌을 받았다. 더군다나 그러다 보니 평가 내용에서도 이 영역에서만의 언어가 있음을 배웠다. 이른바 선 당근 후 채찍 기법인데, 이마저도 채찍이라고 하기도 민망하다. 아쉬운 점을 짧게 쓰는 정도랄까. 물론 ISMS-P에서도 암묵적인 합의가 있다고는 하지만, 물리적 취약점 점검은 또 다른 영역이구나 싶다. 그리고 그런 룰을 지켜야 한다면 이것 역시 많은 의미를 부여하기는 어렵겠구나 싶은 생각이 든다.

2. 타업체에서 물리적 보안을 전적으로 담당하는 경우 협조가 어렵다.
모든 것에는 계약이 중요한 법이다. 그리고 업체에게 물리적 보안을 위임한 시스템의 경우, 계약에서 이런 취약점 점검에 대한 적극적 협조에 대해 삽입하지 않은 사례가 있었다. 그러다 보니 업체 A는 아무것도 협조하기 꺼리는 것이다. 계약 내용에도 명시되지 않았는데 회사의 CCTV 설치, 출입통제, 전력 보호 등에 대해 선뜻 알려줄 필요는 없기 때문이다. 물론 이는 추후부터는 계약을 맺으면 될 일이다. 다만 지금의 내가 처한 상황이 문제인 것이다. 현장실사가 불가하다면 서류 중심의 판단을 할 수밖에 없는데, 그마저도 안되는 상황이니 말이다.

그리고 내가 마주한 이런 현실은 내게 또 과제를 안긴다. 내가 보안담당자가 된다면 물리적 보안을 어떻게 판단할지 말이다. 이에 대해서는 조금 더 고민이 필요할 것이다.