국내 기업들 대부분은 IT보안과 Physical(물리적)보안팀이 구분돼 있다. IT보안은 IT부서 혹은 정보보호 부서에서 담당하고 있고 물리적 보안은 안전부서 혹은 비상계획팀 등에서 담당하고 있다. 또 두 부서가 적극적으로 협력하기 보다는 서로 인적으로나 네트워크적으로 연결되는 부분이 거의 없는 상황이다.
(사진출처. www.flickr.com / by Muffet)
 
또 지식경제부가 말하는 융합보안과 보안업체가 말하는 융합보안에는 출발점부터 괴리가 존재하고 있다. 보안업체에서 말하는 융합(Convergence)보안이란 무엇일까?
 
이용균 이글루시큐리티 융합보안연구소장은 “융합보안에 대한 정의가 조직마다 혹은 개인마다 다르다. 지식경제부에서 말하는 융합보안은 산업과 산업간 합쳐지는 모습을 말한다. 즉 IT보안와 조선, IT보안과 에너지, IT보안과 자동차 등이 결합해서 해당 산업이 더욱 안정적이고 발전할 수 있는 형태를 말하고 있다”며 “이렇게되면 보안이 키워드가 될 수 없다. 거대 산업에 녹아드는 형식이 돼 버린다. 또 이런 경우 주목받는 분야는 암호와 인증분야 정도일 것”이라고 말했다.
 
즉 지식경제부에서 말하는 형태의 융합보안은 보안업체에게는 크게 매력적이지 못하다. 보안시장 파이를 키우기 위한 융합은 아니라는 것이다. 큰 산업에 종속되는 보안이 되기 때문에 선뜻 이러한 정의를 받아들이기는 어려운 상황이다.
 
보안업체에서 정의하는 융합보안은 무엇일까. 이용균 소장은 “보안업체 입장에서 융합보안은 사이버 보안과 물리적 보안을 합친 형태로 정의하고 있다. 특히 이글루시큐리티는 2년 전부터 이러한 정의 아래 IT보안과 물리적 보안의 융합에 미래가 있다는 것을 확신하고 장기적 플랜을 가지고 융합보안 장비와 서비스들을 추진해 오고 있다”고 밝혔다.
 
이글루시큐리티가 주목한 융합보안 시장 타깃은 바로 내부정보유출 시장이다. 제품을 가지고 나가는 것보다 제품의 핵심기술 정보나 설계도를 가지고 나가는 것이 기업으로서는 엄청난 리스크이기 때문이다. 특히 국내 대 기업들은 내부자정보유출 방지에 엄청난 신경을 쓰고 있으며 실제 피해사례도 많다.
 
S사와 같은 경우, 블랙리스트는 외부에서 들어오는 시스템 침입자들이 아니라 바로 내부 특정 직원들이다. 해킹을 통해 정보가 빠져나가는 것보다 내부에서 유출되는 정보들이 많기 때문이다. 그래서 진급에 불만을 품은 직원들, 퇴직을 앞둔 직원 등이 블랙리스트에 오른다.
 
그래서 이 기업은 보안팀이 IT팀에 부속된 것이 아니라 인사팀에 속해 있다. 인사리스크가 해킹에 의한 리스크보다 크다고 보고 있기 때문에 힘있는 인사팀 내부에 보안팀을 두고 외부로부터의 공격에 대응도 하지만 내부자 보안관리에 더욱 치중하고 있는 상황이다.
 
바로 이런 점 때문에 융합보안에서 내부정보유출이 주목을 받고 있는 이유다. IT보안과 물리적 보안이 따로 노는 상황에서 내부정보유출을 효과적으로 차단하기란 지극히 어렵기 때문이다.
 
이 소장은 “해외 글로벌 기업들은 이제 융합보안이 미래 보안의 종결자라고 생각하고 있다. 그들의 정보자산이 곧 기업의 생명이라는 것을 인식하고 있기 때문에 이를 지키기 위한 노력으로 IT보안과 물리적 보안을 통합해 조직을 운영하고 있다”며 “실제로 그 효과도 분리했을 때보다 크다”고 말했다.
 
예를 들어 이소장은 “IT보안 데이터와 출입관리 정보, CCTV 정보 등 IT보안 정보와 물리적 보안 정보를 통합해서 관리하다 보면 특이사항을 종합적으로 판단할 수 있게 되고 이를 통해 내부자에 의한 정보유출 시도를 사전에 차단할 수 있을 것”이라며 “현재 이러한 형태의 보안니즈가 시장에서 계속 형성되고 있고 실제로 매출도 발생하고 있다”고 설명했다.
 
물론 융합보안으로 가기 위해 극복해야 할 부분이 존재한다. 이 소장은 “융합보안에 대한 고객니즈는 크지만 막상 현장에 나가보면 기업내 조직이 큰 걸림돌로 작용한다”며 “아직 정보보호 부서와 물리적 보안 부서간 협업이 잘 이루어지지 않아 어느 선까지 자신들이 담당해야 하고 어디서부터 타 부서에서 담당해야 하는지 애매한 부분이 존재한다. 하지만 이러한 문제도 향후 조직의 통합이 이루어진다면 큰 걱정거리는 아니다”라고 말했다.
 
IT보안과 물리적 보안을 융합하는 기술은 가능하지만 아직까지 이를 활용할 수 있는 조직 융합이 이루어지지 않아 어려울 때도 있지만, 이 소장은 “결국 기업들은 제대로 보안을 해야 하기 때문에 융합보안으로 갈 것이고 조직도 그렇게 통합운영방식으로 변화해 나갈 것”이라고 확신했다.
 
또 이글루시큐리티는 IT보안과 물리적 보안을 통합하는 융합보안시장에 미래를 보고 있는 가운데 또 다른 시장을 발견했다. 바로 뿔뿔이 흩어져 있는 물리적 보안 장비들을 통합해서 관리할 수 있는 장비가 필요하다는 것을 발견했다.
 
이 소장은 “해외 물리적 보안 전시회에 참가해 보면 다양한 물리적 장비들이 존재한다. CCTV와 DVR, 바이오인식 출입관리기기, 출입문 게이트웨이, 외각 경비 센서, 화재경보 센서 등등 IT보안 보다 더 다양한 장비들이 즐비하다”며 “기업에 가보면 이러한 장비들 관리를 또 각각하고 있다. 이들을 묶어서 하나의 통합된 장비를 개발하는 것도 하나의 새로운 시장으로 보고 이 부분에 대한 기술연구도 한창”이라고 덧붙였다.
 
결국에는 많은 기업들이 융합보안으로 갈 것이고 그에 맞는 통합조직을 운영할 것으로 전망된다.하지만 융합보안업체 입장에서는 걱정거리도 있다. “IT보안업체 들이 대부분 작은 기업들이기 때문에 에스원이나 ADT캡스와 같은 대기업들이 융합보안 시장에 현재 큰 관심을 가지고 있고 본격적인 준비를 하고 있다”며 “융합보안 시장에 주도권이 대기업에 넘어가면 작은 보안기업들은 잠식될 수밖에 없기 때문에 걱정스러운 부분도 있다. 하지만 지속적인 차별화 전략으로 고객 니즈에 발빠르게 대응한다면 승산이 있을 것”이라고 말했다.
 
또 IT보안과 물리적 보안 산업간 이질적 괴리감이 존재한다. 이 부분은 어떻게 해소해야 할까. 이 소장은 “현재 IT보안 기업이 물리적 보안과 융합을 시도하는 기업도 있고 물리적 보안기업에서 필요성을 느껴 IT보안과 융합을 시도하고 있기도 하다”며 “최근 양 진영간 적극적인 기술적 논의들이 이루어지고 있는 상황”이라며 “이 부분은 걱정하지 않아도 시장논리에 의해 해결 될 것”이라고 밝혔다.
 
특히 지식정보보안산업협회가 IT보안기업 중심으로 구성됐다가 최근들어 물리적 보안 기업들도 참여하고 있기 때문에 다소간 물과 기름과 같은 면도 있었지만 서로의 필요성을 느낀다면 향후에는 더욱 긴밀한 협업들이 이루어지고 업체간 기술교류와 비즈니스적 관계들이 끈끈하게 형성될 것으로 보인다.
 
정보보안 시장이 작다고 투정만 부릴 때가 아니다. 살아남을 수 있는 길은 두 가지뿐이다. 하나는 새로운 시장을 만들어내는 것이다. 또 하나는 해외로 나가는 것이다. 이글루시큐리티는 그런 점에서 융합보안이라는 새로운 시장을 열어 저치고 있으며 이를 통해 해외시장의 문도 두드리고 있으니 일석이조라 할 수 있겠다. 이 소장은 향후 이글루시큐리티의 매출 대부분이 바로 융합보안 분야에서 발생할 것이라고 자신하고 있다. [데일리시큐=길민권 기자]