물리적 취약점 진단을 위한 현장실사를 진행하며 느낀점

이번 컨설팅에서 참 다양하고, 그래서 좋은 경험을 하고 있다. 그런데 그중에서도 물리적 취약점 점검을 위한 현장실사를 하는 것은 참 내게 많은 경험치를 안기는 느낌이다. 사실 나는 내가 다니는 회사의 전산실 등 통제구역을 구경한 적도 없다. 그저 전문서비스 기업 심사를 대비해 취약점 분석실만 몇 번 들락날락거렸을 뿐이다. 그런데 여기에 들어와서는 각종 다단계 보호구역을 입성하는 호사를 누리고 있다.

 

우선, 이곳은 기관이 2개로 나눠져 있다. A가 대부분의 시스템의 물리적 보안을 담당하고, B가 소수를 담당하고 있다. 그리고 정말 이곳의 현장실사만으로도 참 인상 깊었다. 감시통제, 접근통제, 환경통제, 전력보호 부분에서 '이렇게만 하면 물리적 보안과 관련하여 문제가 발생할 가능성은 줄어들겠다' 싶은 생각이 들었을 정도다. 시설 및 설비도 탄탄했고, 운영도 잘 되는 것으로 보였다. 물론 대형사고가 발생한 지 그렇게 오래 지난 곳은 아니라 더욱 그럴 수도 있겠다 싶다.

 

아무튼, 전선이 벽을 올라가는 부분은 아예 출입통제를 걸고, 출입증도 상주 직원과 용역 직원의 것이 시각적으로 구분되며, 비상조명이나 UPS 같은 장비도 훌륭하게 운영되고 있었다. 그런데 여기서 재밌는 것은, 기관 2개가 전부 똑같은 수준으로 훌륭하지는 않았다는 점이다. 앞서 훌륭하다고 말한 것은 메인이라고 할 수 있는 A이며, B는 그에 비해 상대적으로 부족했다.

 

결국은 같은 기관이고, 물리적으로 건물만 떨어져 있을 뿐인데 왜 이런 차이가 발생했을까? 돈도, 장비도 동일한 수준으로 들어갔을 텐데 말이다. 실제로 B에서 부족한 것은 설비의 문제가 아닌 행정적인 문제였다. 그리고 행정적 문제라는 것은 결국 담당자 및 관리자의 관심과 직결되는 것이라 생각한다. 관심의 부족이 같은 기관임에도 차이를 만든 것이다.

 

그런데 나는 머지않아 B도 사실은 훌륭한 수준이었다는 사실을 깨닫게 됐다. 설비를 갖춘다는 것만으로 이미 어려운 장애물은 넘은 것이기 때문이다.

 

내가 들어와 있는 기관의 몇몇 시스템에서는 물리적 보안을 업체와의 계약을 통해 위탁하고 있다. 아직 두 곳만 방문하기는 했으나, 공통적으로 느껴지는 게 하나가 있었다. 중소기업 중에서는 대기업(LG, KT, 네이버 등)만 믿고 보안을 지나치게 방만하게 대하는 곳이 많겠다는 점이다. 어차피 서버는 대기업에서 보관 및 운영하고 있고, 거기서 어련히 잘할 테니 우리는 딱히 신경 쓰지 않아도 된다는 건데, 두 번다 들으면서도 어처구니가 없었다. 업무가 분담이 되어있는데 보안은 분담이 안 되어있다는 말이 가당키나 하냐는 것이다.

 

물론, 이해가 가지 않는 것은 아니다. 보안은 결국 돈이다. 그리고 대기업, 대기업을 넘어 사회에서도 보안은 굳이 과투자할 필요가 없는 것처럼 여겨지는 마당이다. 그러니 여러 중소기업 입장에서는 더욱 그럴 수 있겠다 싶다. 보안에 너무 돈을 쓰면 회사의 매출에 문제가 생기는 것이다.

 

그런데 그렇다고 한들, 문제를 인식하고 있는 것과 인식하지 못하는 것은 분명 다를 것이다. 실제 현장 실사 도중 DR과 관련한 질문에서도 담당자는 굉장히 자신 있는 모습을 보였다. 회사 C의 경우 창립이 20년이 넘었는데 DR 훈련은 한 번도 실시한 적이 없다고 한다. 훈련을 해보지도 않았는데 DR이 제대로 될 거라는 자신감은 어디에서 비롯된 것일까? 완벽한 지침? 대기업에 대한 큰 의존?

 

사실 나도 DR에 참여한 경험은 없다. 하지만 KISA 정보보호 담당자 교육에 참여했을 때 운 좋게도 각종 회사의 보안담당자 분들을 만날 수 있었고, 그분들이 실시한 DR 경험을 들을 수 있었다. 그리고 그때 내가 느낀 것은 결국 무엇이든 해봐야 안다는 것이다. 해보지 않고는 무엇도 자신할 수 없고, 어떠한 예기치 못한 문제가 발생할지 알 수가 없다.

 

당장 몇 년 전에 KT 회선에 문제가 생긴 적이 있었다. 내가 단기 아르바이트를 했던 모 공단에서도 2시간 가량 업무가 마비되었고, 이는 전국적인 사태였다. KT를 쓰는 곳은 전부 문제가 발생했던 것이다. 그런데 미리 DR 훈련을 진행하며 여러 시나리오를 도입해 봤다면, 그래서 KT 회선이 죽는 것을 대비한 조직이 있었다면 그곳은 재빨리 DR을 이뤄냈을 것이다. 결국 모든 것은 실제로 여러 시나리오를 도입하며 경험을 해야만 하는 것이다.

 

업체 C는 여태까지 보안 점검을 위해 사무실을 방문한 것은 우리가 처음이라고 했다. 그러니 물리적 보안을 전혀 신경 쓰지 않았던 것이다. 사실, 물리적 보안만 신경쓰지 않았던 것은 아니다. 방화벽도 없었다. 아무튼, 그간 누구도 해당 업체와 계약하며 이 업체가 계약의 핵심이 되는 업무수행 능력만을 따졌지, 보안을 따지지는 않았던 것으로 보인다.

 

한편 업체 D의 경우, 서류를 제출할 때는 항온항습기가 있다고 해서 내가 참 의아했는데, 아니나 다를까, 사무실에 갔더니 항온항습기가 아니라 에어컨이 있었다. 그마저도 거기에는 A4 용지로 '가장 마지막에 퇴근하는 사람은 반드시 OFF 할 것'이라고 쓰여있었다. 에어컨이, 그것도 업무 시간에만 가동하는 것이 무슨 항온항습기란 말인가 싶다. 또한 CCTV가 설치되어 있다고 분명히 기재했으나, 빌딩 자체적인 CCTV 외에 사무실 내에는 CCTV가 없었다.

 

DR에서도 그랬지만, 모든 점검은 결국 실제로 확인해야 한다는 것을 이번 경험을 통해 많이 느낀다. 서류상으로만 되어있는 것은 말 그대로 서류만 준비된 것일 뿐, 그것이 실제 상황에서도 온전한 영향을 끼치는지 알 수가 없다. 그리고 사업을 진행 중인 이 기관의 보안담당자 분도 업체의 보안 실태에 충격을 받으셨는지, 앞으로 보안 실태 점검표 작성된 사항에서는 반드시 증적자료를 받아야 할 것 같다, 계약을 맺을 때는 물리적 보안을 확인할 수 있는 사항을 삽입해야겠다는 등 앞으로의 방안에 대해 생각하셨다.

 

내가 나중에 보안담당자로 가게 된다면 그런 고민을 하게 되지 않을까 싶다. 이미 계약이 된 업체들을 대상으로 보안 점검을 '실제로' 실시하며, 조직 내의 지침 및 컴플라이언스가 실제로 구현 및 반영이 되는지 확인하는 것이다.

 

한편, 다음 주에는 이름만 들으면 알만한 대기업의 IDC를 방문하게 되는데, 과연 A 기관의 물리적 보안에 비하면 어떤 차이가 있을지 기대가 된다. 큰 기업에서는 어떻게 관리하고 있는지 배울 수 있는 기회가 될 것 같아 그날이 기다려진다.