통합 경비 시스템 - 정보와 물리적 보안을 목표로

건물의 경비와 네트워크 관리자는 닮은 점이 없다고 생각될지 모르겠지만, 실제로는 상당한 공통점을 지니고 있다. 게다가 두 직업의 경계는 날이 갈수록 점점 희미해지고 있다.건물에 접근을 제어하는 경비원이나 컴퓨터 네트워크의 보안 담당자는 사람이나 정보의 출입을 감시하거나 주변부를 둘러보며 조직의 자산을 보호하고 있다.그러나 지금은 기술의 발달, 보다 어려워지는 보안 컨트롤, 연방 정부에 의한 규제, 예산 문제 등, 지금까지 분리된 상태로 존재했던 2개의 세계가 통합되려는 현상을 보이고 있다. 이런 변화로 인해 과거에 연결되지 않았던 업계들이 연합하고 있다.예를 들어, 오라클은 허니웰 인터내셔널(Honeywell International)과 레넬 시스템즈 인터내셔널(Lenel Systems International)과의 제휴를 통해 양 회사의 물리적 접근 제어 시스템과 오라클의 ID 접근 관리 소프트웨어가 연동을 실시했다. 노벨 또한 허니웰과의 제휴를 조만간 발표할 계획이다.국제 IT 보안 전문가 그룹 인포메이션 시스템즈 시큐리티 애소시에이션(Information Systems Security Association)의 사장인 하워드 슈미트(Howard Schmidt)는 “이전에는 철문과 총을 가진 경비원, 비트체이서와 해커트랙커 의 대립 구도였다.” 라고 말했다.이어서 그는, “ 그러나 기술의 발전이 이러한 일의 방식을 근본적으로 변형시켰다. 지금의 우리는 이전보다 더 효율적으로 통합되어 작업을 수행한다.”고 설명했다.슈미트에 의하면 기술의 통합이란, 감시 카메라의 네트워크 접속이나 건물로의 접근을 제어하는 과정을 네트워크로의 접근을 제어하는 시스템에 통합하는 것도 포함된다. 슈미트는 백악관의 사이버 보안 담당을 맡은 경험이 있으며 MS나 이베이에서도 상급 보안 관리직을 맡은 경험이 있는 보안 컨설턴트다.“감시 카메라, 정보 시스템, 카드 리더기라는 기술들은 이전부터 물리적 영역으로 한정되어 있었다. 모두 접속된 상태로 고정된 아날로그 환경이 지금, IP 기반의 디지털 시스템으로 옮겨가고 있다”고 슈미트는 말했다.IP(인터넷 프로토콜)는 현재의 네트워크상의 컴퓨터를 서로 연결시키는 역할을 한다. 예를 들어, 보안 카드를 사용하여 입구를 들어서는 사람 바로 뒤에 바짝 붙어 침입하려는 사람이 있다면 인간의 눈에는 가려져 볼 수가 없을지 몰라도, 소프트웨어를 통해 감지할 수 있다.또한, 다수의 액세스 시스템이나 암호를 하나의 시스템으로 옮기는 것도 가능하다. 이런 경우, 하나의 보안 카드를 이용하여 건물에 출입하거나 네트워크에 로그온 혹은 캠퍼스의 매점에서 점심을 구입하는 것이 가능하다.보안의 구분을 없앤다.오라클의 보안 및 제품 담당 이사 윈 화이트(Wynn White)는 “이것은 모두 보안 분야를 구분하는 요소를 없애는 움직임이다”고 설명했다. “많은 소프트웨어 애플리케이션은 이미 하나의 암호를 입력해 로그인이 가능하게 되어 있다. 물리적 보안과 논리적 보안을 통합은 기술을 더욱 진보시키는 방법”이라고 화이트는 지적했다.통합이 진행되면 조직은 자신의 보안 상태를 보다 명확하게 파악할 수 잇게 된다고 포레스터 리서치(Forrester Research)의 애널리스트 제프리 터너(Geoffrey Turner)는 말했다. 「유형, 무형의 자산을 한 번에 보호할 수 있다」는 것이 터너의 의견인데 이러한 생각이 나아가서는 직원들의 보안 향상에도 연결된다.이런 시스템의 이점 중 하나로서 모든 자원으로의 접근 권한을 1개의 조각으로 분리할 수 있기 때문에 퇴직한 직원의 메일 주소나 접근권이 남아 있는 사실을 수개월 후 발견하는 것과 같은 일은 없을 것이라고 화이트는 말했다.기술과 철저한 법의 제한을 요구하는 요청들과는 별도로 규제적인 측면에서 통합을 추진하는 움직임들이 보이고 있다. 2004년에 발표된 「HSPD-12(미 정부 기관에 있어 디지털 ID 카드 운용을 정한 대통령령)」에는 연방 기관으로 안전한 유저 증명서를 자동 발행하기 위한 조건이 포함되어 있다. 그 결과로 이 통합의 움직임은 정부의 주도 아래 진행되는 형태가 되었다.하지만 터너는 민간 섹터가 이 분야에서 정부의 뒤를 바짝 쫒고 있다고 전했다.“확실히 이것은 시대의 흐름으로 불가피함이 느껴진다. 다만, 모두 생각하는 것보다 진행이 느릴 것이다”고 터너는 말했다. 덧붙여 그는 “민간 섹터에는 검토를 진행할 여유가 다소 있지만 정부의 움직임을 항상 지켜보고 있지 않으면 안 된다”고 말했다.보안 규율을 통합하는데 앞으로 2년이란 시간이 중요하다고 터너는 분석한다. 터너는 이 움직임에서 소프트웨어 제조사인 MS, 노벨, 썬 마이크로시스템즈, 오라클과 함께 네트워크 대기업 시스코 시스템즈가 중요한 역할을 이룰 것이라고 전망했다.이런 기업들은 HID 글로벌(HID Global)이나 허니웰과 같은 물리적 접근 시스템의 제조사와 협업해 나갈 예정이다.터너는 “대기업의 움직임이 갑자기 분주해진 것을 느낄 수 있다. 많은 논의가 진행되고 있는 것도 알고 있다. 2007년의 제 1/4분기에 거 많은 기업 간의 제휴 발표가 있을 것이라고 예상했지만 생각보다 적었다”고 말했다.시만텍(Symantec)에 고용된 해커 케이티 무소리스(Katie moussouris)는 기업의 보안을 시험하는 일이 자주 있지만 단지 IT 보안만을 시험하는 것은 아니라고 말했다. “고객들이 가끔 물리적인 침입을 원하는 경우가 있다. 건물에 들어가 경비원을 따돌리고 빠져나오는 것을 시험해 보는 것이다. 하지만 이러한 요구는 경비 보안 부서에서 오는 것이 아니라 IT 보안 부문에서 요구한다”고 무소리스는 말했다.현재, IT 부서에 일하는 직원들이 물리적 보안도 담당하고 있다. 이로 인해 무소리스는 자신의 일이 한층 더 힘들어질 것이라고 예측하고 있다. “IT 부문의 직원이 물리적 보안을 담당하는 직원보다 보안이 약한 곳을 더 많이 발견해낼 것이다.”라고 무소리스는 말했다. 이러한 보안 시험 방식은 예를 들어, 전화 교환실을 개조한 네트워크 허브가 공격을 받으면 보안이 약한 장소로 분류되어 향후에 경비를 강화시키는 방식이라고 전해진다. 현재는 경비원이라 불리는 사람들은 설비 담당 부서에 소속되어 IT 부문과는 다른 간부의 지휘를 받는 것이 흔한 상황이지만 머지않아 정보 보안을 담당하는 간부가 경비 체제에 대해서도 책임을 질 가능성이 있다.터너는 IT 부문 및 최고 보안 책임자는 프로젝트의 관리에 익숙해져있는 것을 이유로 들었다.“IT 보안은 벌써 굳게 닫힌 벽에 둘러싸여 있는 이전의 데이터 센터로부터 데스크톱이나 모바일 컴퓨팅 환경으로 옮겨가고 있다. 이러한 환경에서는 유비쿼터스 지리적 환경에서 사물을 관리해야 한다. 터너는 “IT 부문에 종사하고 있는 사람이라면 책임 범위가 넓어지더라도 이것에 잘 적응 하고 적절히 대응할 수 있다”고 말했다.기술은 통합을 가능하게 하는 수단이지만 한편으로는 통합의 장애로 작용한다. 자물쇠와 같은 감시 카메라라는 보안 도구는 최근에 디지털 방식으로 교체되기 시작했다.“물리적인 접근을 통제하는 제품이 모두 디지털화되어 통합이나 네트워크를 통한 관리가 가능한 형태로 되어 있는 것은 아니다. 아날로그 기반의 기술로부터 디지털 기반의 기술로 변해야 한다”고 터너는 말했다. 보안 사슬에 있어 약한 연결고리가 되지 않게 안전한 시스템을 구축하는 것도 필수 조건 중 하나라고 터너는 말했다.비록 물리적인 보안 시스템이 디지털 영역으로 옮겨가더라도 오라클이 판매하는 네트워크상의 유저를 관리하는 툴과의 호환성을 지니지 않는 경우도 많다.“상호 운용성이 열쇠다.”라고 화이트는 말했다. 오라클은 자사의 ID 및 접근 관리 제품이 일부의 물리적 보안 시스템과 연동되도록 하는 연결 기술을 개발했다.하지만 오라클은 그 연결기기를 수주 생산으로 제작하지 않으면 안 됐다. 그 이유는 「표준이 확립되어 있지 않았다」는 것이라고 화이트는 설명했다. 아직도 업계에서는 아무도 표준의 확립을 향한 움직임을 보이고 있지 않다. 또한, 보안의 모든 면을 단일 시스템으로 제어할 경우, 특정 부분의 문제가 시스템 전체의 문제가 된 다는 위험이 따른다. 보안을 제어하는 유일한 시스템이 기능하지 않을 경우, 중대한 위험이 닥치는 상황을 예상할 수 있다.버튼 그룹(Burton Group)의 애널리스트 에릭 마이왈드(Eric Maiwald)는 그러한 염려를 잠재우기 위한 간단한 대답은 건고한 보안과 좋은 성능의 보안을 채용하는 것이라고 말했다.“이런 염려는 진정한 문제를 직시하게 어렵게 만들 뿐이다. 아무도 쉽게 침입할 수 있는 장소에 시스템을 방치하지 않을 것이다.”라고 마이왈드는 말했다. 이어서 그는 사람에게 접근 권한이나 허가서를 발행할 수 있는 입장을 지정하는 것 역시 어려운 일이라며 “외부적인 요인만 생각해서는 안 된다. 내부적인 요인도 고려해야 한다.” 라고 지적했다. 통합의 움직임은 동시다발적으로 진행되고 있다. 이것은 전문가들의 일치된 견해다. 하지만 이러한 절차가 진행되고 있는 가운데, 정부 기관을 중심으로 델라웨어 주립 대학과 같은 일부 조직들은 벌써 단일 시스템으로 옮겨가는 작업을 실행 중이다. 터너는 지금의 현상을 “러닝슈즈를 디자인 하는 동시에 그것을 신고 달리는 것과 같다고 표현했다. @