물리적 취약점 분석·평가 가이드라인을 개선할 수 있을까

오늘 가산에 위치한 모 기업의 IDC 방문을 끝으로 물리적 취약점 평가를 위한 현장 실사 여정을 마쳤다. 컨설팅 사업도 점점 종료보고가 보이기 시작하고, 산출물도 대부분 모양새를 갖춘 상황이다. 

 

이번 사업을 진행하며 참 운이 좋게도 여러 곳의 시설을 경험할 수 있었는데, 오늘까지 경험을 하며 들었던 소감은, 역시나 국내에서 시행하는 각종 물리적 취약점 평가 가이드라인이 너무 빈약하다는 점이다. 이해가 가지 않는 것은 아니다. 정말 현대를 제대로 반영하는 물리적 보안을 달성하기 위해서는 큰 금액이 요구되기 때문이다. 사실 물리적 취약점은 '당연히 100점을 맞아야 한다'는 것만 없어도 개정하기 수월하겠으나, 저런 개념 자체가 이미 깊숙하게 자리잡고 있기 때문에 개정이 어려운 것으로 보인다. 이는 주정통이건, ISMS건 마찬가지다.

 

그런데 꼭 돈이 들어가는 것만 있는 것은 아니다. 그렇기에 수 백, 수 천 만원의 금액이 들어가는 게 아니라면, 해당 부분을 현대의 보안 생태계에 맞게 개정할 수 있지 않을까?

 

그렇다면 돈이 그렇게 많이 들어가지 않으면서 물리적 보안 레벨을 높일 수 있는 것으로는 무엇이 있을까? 내가 오늘 생각해 본 것을 정리하고자 한다.

 

1. 밖에서 창문 등을 통해 건물 안을 볼 수 없도록 조치를 취하고 있는가

특히 요새는 겨울이라 해가 떠 있는 시간이 짧아서 5시만 되어도 어둑해진다. 그러면 내가 작업하는 사무실에서 맞은 편에 있는 건물 내부가 훤히 보인다. 그 건물과 내가 있는 건물의 거리는 20m가 되지 않는다. 그래서 내가 정말 악의적인 마음을 품고 갤럭시 울트라 줌을 당긴다면, 나는 그곳의 비밀을 얻을 수 있을지도 모른다. 카메라 기능의 발달, 드론의 등장으로 인해 우리는 창문을 통한 물리적 보안도 고려해야만 할 것이ㄷ.

 

창문을 굳이 다 바꿀 필요까지는 없다. 그저 안에서 밖은 보이지만, 밖에서는 안을 볼 수 없는 특수 시트지를 창문에 붙이기만 하면 된다. 그러면 그다지 크지 않은 금액으로 물리적 보안 수준을 크게 높일 수 있을 것이다.

 

2. 통제구역에서도 특히나 중요 장비에 대해서는 이중보안의 조치를 취하고 있는가

과거에는 서버실에서 특히나 중요한 데이터가 있는 장비에 대해서는 철창을 둘러놨다고 들었다. 그리고 오늘 방문한 곳은 서버실 안에 특히나 중요한 서버가 있는 곳은 아예 따로 룸을 만들어 이중보안을 실시하고 있었다. 서버는 보통 항온, 항습 등의 장비가 필요하고, 그러다 보니 한 구역에 몰아서 보관할 수 밖에 없는데, 서버 중에서도 중요도는 분명 존재하기 마련이다. 예를 들어, 어느 IDC 안에 경찰청의 데이터와 관련된 서버가 있다면, 그 서버는 특히나 보안을 철저히 해야 할 것이다. 즉, 각종 구역에 대해서만 물리적 중요도에 따른 분류를 할 게 아니라, 시설 및 장비에 대해서도 다단계 보호대책을 실시해야 한다는 것이다. 이것도 추가적인 시건 장치를 추가하면 될 뿐이니, 그다지 큰 금전적 부담은 없을 것이다.

 

3. 주요 시설이 있는 출입구에 오토 트래킹 CCTV를 설치 및 운영하고 있는가

현재의 주정통 가이드라인에서도 CCTV에 대한 항목이 2개 존재한다. CCTV를 설치 및 운영하고 있는지, CCTV 운용 시 보호대책이 있는지를 따지는 것이다. 그리고 나는 이제는 단순 고정적인 CCTV로는 안 된다고 생각한다. 건물 전체에 오토 트래킹 CCTV를 설치할 필요는 없다. 주요 시설이 있는 구역 쪽에만 설치를 하면 될 것이다. 그러면 경제적 부담이 크게 다가오지 않을 것이다.

 

이런 금액이 그다지 부담스럽지 않은 것에 대해서 현대적인 수준에 맞게 물리적 취약점 분석·평가 가이드라인을 개선한다면 더이상 올드하다는 오명은 벗을 수 있지 않을까 생각한다.