2018.06.01

"명찰 없이 방문객·직원 식별"··· 페이스북의 '물리 보안' 방법

Terena Bell | CSO
사이버 보안을 철저히 하려면 IT 이상이 필요하다. 페이스북의 최고 글로벌 보안 책임자(CGSO) 닉 로브리엔도 이런 생각에 따라 데이터를 보호할 '물리적' 보안 체계를 구축했다. 일반적으로 경비견과 경비원은 사람을 안전하게 보호하는 데 초점을 맞춘다. 그러나 이를 적절하게 통합하면 정보까지 보호하는 역할을 할 수 있다.



페이스북의 글로벌 보안 데이터 센터 팀은 최종 경계 방어선에서 통합적인 방식으로 데이터와 지적 재산을 보호한다. 이 회사의 건물과 시설은 서버와 일반 대중 사이에 물리적 방어 및 보호 계층이 위치하도록 설계됐다. 로브리엔은 “모든 것이 철저한 ‘우선 순위’에 따라 배치된다. 구축 속도를 높이기 위해 건물 내부를 개방된 구조로 만들었다. CEO인 마크, COO인 쉐릴을 포함해 페이스북에는 자신의 사무실을 갖고 있는 사람이 단 한 명도 없다”라고 말했다.

페이스북은 직원에게 신분 증명서(명찰)를 발급하지 않는다. 페이스북 시설을 방문하는 일 2만 명의 방문객과 직원을 구별하는 키 카드가 없다는 의미다. 이에 따른 위험이 존재하는 것이 사실이다. 물리적 공격을 당할 위험은 물론 방문객이 내부에 있는 동안 데이터를 빼내갈 위험도 있다.

이처럼 수 많은 방문객이 출입하는 업무 공간이어서 안전한 보안 환경을 구축할 때 적용하는 일반적인 방식과 달라야 했다. 페이스북은 그 대안을 '협력'과 '기술'에서 찾았다. 페이스북이 구현했다고 믿는 결과물과 영향을 통해 기술적으로 위험을 상쇄시키는 것이다. 이를 통해 사무 공간을 개방적으로 유지하고, 보안으로 관련 문제를 극복해야 한다는 원칙을 지키고 있다.

구체적으로 보면, 개방된 환경 내부의 모든 장소에 ‘보안 공간’이 있다. 로브리엔은 이를 액세스(출입) 통제 지점을 지나 위치한 ‘공동 공간(Shared areas)’이라고 표현했다. 여기에는 당연히 데이터센터도 포함된다. 로브리엔은 “5년 전만 해도 데이터센터가 1개, 데이터센터용 건물이 1개였다. 지금은 데이터센터가 20개에 달한다. 데이터센터 당 건물도 20여개로 늘어났다"라고 말했다.

이들 데이터센터는 사진, 페이스북 라이브 피드, 비디오, 기타 이와 유사한 파일을 호스팅한다. 이 회사는 소매 비즈니스 지원에 아마존 웹 서비스(AWS)를 사용하고 있다. 데이터센터는 내부 서버 팜이다. 로브리엔은 “사용자의 사진과 비디오가 저장된 서버가 몇 마일 길이로 배치되어 있다”라고 말했다.

‘버디’ 시스템과 로비
페이스북은 방문객이 무언가를 훔치는 것을 막기 위해 버디 시스템을 사용한다. 사무실의 직원은 방문객을 볼 경우 계속 주시를 하고 따라다닌다. 동반자 없이 배회하는 방문객을 볼 경우 한 번에 200여 만 개의 대화를 처리할 수 있는 ‘경비(보안)’ 봇이 메시지를 보낸다. 페이스북의 글로벌 보안 서비스 부는 모든 리셉션 데스크에 직원을 배치해 방문객의 방문을 승인한다.

로브리엔에 따르면, 감시 팀은 카메라 등을 통한 신원(ID) 관리 체계로 방문객의 움직임을 계속 추적한다. 카메라 시스템이 상시 제대로 작동할 수 있도록, 글로벌 보안 시스템과 기술 그룹이 시스템 상태를 계속 모니터링하고, 사전에 조처를 한다. 즉 카메라가 정지하기 전에 교체하거나 유지관리를 한다.

그는 “로비를 일종의 경계선이다. 두 지점에서 방문객을 인증한다. 안티-테일게이팅과 액티브 컨트롤이다. 모든 사무실에 일관되게 적용한다”라고 말했다. 테일게이팅이란 직원이 의도하지 않게 방문객을 통과시키는 것이다. 선의로 자신의 뒤에 따라오는 사람을 위해 문을 열어주는 경우 등을 예로 들 수 있다.

대감시 담당자는 눈에 띄지 않는 평범한 복장으로 건물과 시설을 돌아다닌다. 방문객이 자신을 감시하는 경비원을 불쾌하게 인식하지 않도록 하기 위해서다. 캘리포니아 멘로 파크(Menlo Park)에 소재한 페이스북 본사는 자전거 경비 팀, 모바일 팀, 경비견 등이 주변을 감시 및 경계한다.


물리적 보안이 훨씬 더 어려운 대도시
뉴욕과 싱가포르, 기타 세일즈 및 마케팅 팀이 업무를 보고 있는 대도시와 비교하면 멘로 파크 경비 및 보호는 훨씬 수월하다. 로브리엔에 따르면, 주변에 다른 건물을 감안하면 멘로 파크 본사는 엠파이어 스테이트 빌딩과 같은 크기다. 페이스북이 본사 주변의 건물과 부지를 소유하고 있다. 일부는 향후 시설 확장에 사용할 예정이다. 이런 여분의 부지는 경비 팀이 본사 주변의 의심스러운 상황을 감시하는 데 도움을 준다.

그러나 대도시의 경우 페이스북 건물 주변에 다른 회사의 건물이나 시설이 위치해 있다. 로브리엔은 “페이스북은 보통 중심부에 위치한다”라고 말했다. 즉 건물 주변에 다른 건물과 사람들이 많다는 의미이다. 뉴욕 사무실도 그랜드 센트럴에서 한 블록 거리가 되지 않는 매디슨 애비뉴와 이스트 43가가 만나는 지점에 있다. 싱가포르 사무실은 그 앞이 길이다. 통제가 불가능하다. 또 항상 경찰이 치안 활동을 펼치고 있다.

이것은 보안 측면에서 도전과제다. 그러나 덕분에 틀에 박힌 생각을 벗어날 수 있었기도 했다. 로브리엔에 따르면, 런던의 경우 계단을 사용할 수 있도록 건물을 설계했다. 일부 천장을 뜯어내고 계단을 사무실에 연결해 개방된 분위기를 만들었다. 이런 구조는 침입자의 침입을 늦추는 물리적 장애물 역할도 한다.

방문객 추적과 건축 설계는 분명히 사이버 보안의 영역이 아니다. 글로벌 보안 팀이 물리적 경비에 초점을 맞추고 있다. 그러나 이들이 정보 보안을 아예 신경쓰지 않는 것은 아니다. 물리적 보안의 ‘존재 이유’는 자산을 보호하는 것이다. 로브리엔은 “페이스북의 물리적 자산과 전자 자산을 보호하는 데 목적이 있다. 건물부터 서버, 프로토타입, 아이디어까지 모든 것을 안전하게 만드는 것이 우리의 일이다. 위협이 발생했을 때 IT문제인지 시설 보안과 관련된 문제인지 따지지 않는다. 그냥 우리가 맡아 빈틈없는 서비스를 제공해 해결한다”라고 말했다.

이어 “우리 조직은 정보에 뿌리를 둔 조직이라고 항상 강조한다. 그리고 물리적 보안과 사이버보안을 통합하면 우리의 프로그램이 단순한 ‘비용 중심’이 아닌 비즈니스에 가치를 창출하는 프로그램이 될 수 있다고 설명한다. 우리는 위협을 파악하며, 이 위협이 구체화하기 전에 그 위협을 줄인다"라고 말했다.

보안 팀의 이러한 노력은 경영진이 이를 수용하고 후원함으로써 더 공고해진다. 로브리엔은 “마크 저커버그 CEO는 글로벌 보안 프로그램의 가치를 이해하고 인정한다. 그는 우리가 페이스북 보호에 도입해 적용하고 있는 전체적인 방식을 이해하고 있다. 이것이 도움이 되고 있다. 마크 저커버그가 물리적 보안과 사이버보안 사이의 연결고리를 볼 수 있다면, 우리 또한 이를 볼 수 있다"라고 말했다. ciokr@idg.co.kr 

2018.06.01

"명찰 없이 방문객·직원 식별"··· 페이스북의 '물리 보안' 방법

Terena Bell | CSO
사이버 보안을 철저히 하려면 IT 이상이 필요하다. 페이스북의 최고 글로벌 보안 책임자(CGSO) 닉 로브리엔도 이런 생각에 따라 데이터를 보호할 '물리적' 보안 체계를 구축했다. 일반적으로 경비견과 경비원은 사람을 안전하게 보호하는 데 초점을 맞춘다. 그러나 이를 적절하게 통합하면 정보까지 보호하는 역할을 할 수 있다.



페이스북의 글로벌 보안 데이터 센터 팀은 최종 경계 방어선에서 통합적인 방식으로 데이터와 지적 재산을 보호한다. 이 회사의 건물과 시설은 서버와 일반 대중 사이에 물리적 방어 및 보호 계층이 위치하도록 설계됐다. 로브리엔은 “모든 것이 철저한 ‘우선 순위’에 따라 배치된다. 구축 속도를 높이기 위해 건물 내부를 개방된 구조로 만들었다. CEO인 마크, COO인 쉐릴을 포함해 페이스북에는 자신의 사무실을 갖고 있는 사람이 단 한 명도 없다”라고 말했다.

페이스북은 직원에게 신분 증명서(명찰)를 발급하지 않는다. 페이스북 시설을 방문하는 일 2만 명의 방문객과 직원을 구별하는 키 카드가 없다는 의미다. 이에 따른 위험이 존재하는 것이 사실이다. 물리적 공격을 당할 위험은 물론 방문객이 내부에 있는 동안 데이터를 빼내갈 위험도 있다.

이처럼 수 많은 방문객이 출입하는 업무 공간이어서 안전한 보안 환경을 구축할 때 적용하는 일반적인 방식과 달라야 했다. 페이스북은 그 대안을 '협력'과 '기술'에서 찾았다. 페이스북이 구현했다고 믿는 결과물과 영향을 통해 기술적으로 위험을 상쇄시키는 것이다. 이를 통해 사무 공간을 개방적으로 유지하고, 보안으로 관련 문제를 극복해야 한다는 원칙을 지키고 있다.

구체적으로 보면, 개방된 환경 내부의 모든 장소에 ‘보안 공간’이 있다. 로브리엔은 이를 액세스(출입) 통제 지점을 지나 위치한 ‘공동 공간(Shared areas)’이라고 표현했다. 여기에는 당연히 데이터센터도 포함된다. 로브리엔은 “5년 전만 해도 데이터센터가 1개, 데이터센터용 건물이 1개였다. 지금은 데이터센터가 20개에 달한다. 데이터센터 당 건물도 20여개로 늘어났다"라고 말했다.

이들 데이터센터는 사진, 페이스북 라이브 피드, 비디오, 기타 이와 유사한 파일을 호스팅한다. 이 회사는 소매 비즈니스 지원에 아마존 웹 서비스(AWS)를 사용하고 있다. 데이터센터는 내부 서버 팜이다. 로브리엔은 “사용자의 사진과 비디오가 저장된 서버가 몇 마일 길이로 배치되어 있다”라고 말했다.

‘버디’ 시스템과 로비
페이스북은 방문객이 무언가를 훔치는 것을 막기 위해 버디 시스템을 사용한다. 사무실의 직원은 방문객을 볼 경우 계속 주시를 하고 따라다닌다. 동반자 없이 배회하는 방문객을 볼 경우 한 번에 200여 만 개의 대화를 처리할 수 있는 ‘경비(보안)’ 봇이 메시지를 보낸다. 페이스북의 글로벌 보안 서비스 부는 모든 리셉션 데스크에 직원을 배치해 방문객의 방문을 승인한다.

로브리엔에 따르면, 감시 팀은 카메라 등을 통한 신원(ID) 관리 체계로 방문객의 움직임을 계속 추적한다. 카메라 시스템이 상시 제대로 작동할 수 있도록, 글로벌 보안 시스템과 기술 그룹이 시스템 상태를 계속 모니터링하고, 사전에 조처를 한다. 즉 카메라가 정지하기 전에 교체하거나 유지관리를 한다.

그는 “로비를 일종의 경계선이다. 두 지점에서 방문객을 인증한다. 안티-테일게이팅과 액티브 컨트롤이다. 모든 사무실에 일관되게 적용한다”라고 말했다. 테일게이팅이란 직원이 의도하지 않게 방문객을 통과시키는 것이다. 선의로 자신의 뒤에 따라오는 사람을 위해 문을 열어주는 경우 등을 예로 들 수 있다.

대감시 담당자는 눈에 띄지 않는 평범한 복장으로 건물과 시설을 돌아다닌다. 방문객이 자신을 감시하는 경비원을 불쾌하게 인식하지 않도록 하기 위해서다. 캘리포니아 멘로 파크(Menlo Park)에 소재한 페이스북 본사는 자전거 경비 팀, 모바일 팀, 경비견 등이 주변을 감시 및 경계한다.


물리적 보안이 훨씬 더 어려운 대도시
뉴욕과 싱가포르, 기타 세일즈 및 마케팅 팀이 업무를 보고 있는 대도시와 비교하면 멘로 파크 경비 및 보호는 훨씬 수월하다. 로브리엔에 따르면, 주변에 다른 건물을 감안하면 멘로 파크 본사는 엠파이어 스테이트 빌딩과 같은 크기다. 페이스북이 본사 주변의 건물과 부지를 소유하고 있다. 일부는 향후 시설 확장에 사용할 예정이다. 이런 여분의 부지는 경비 팀이 본사 주변의 의심스러운 상황을 감시하는 데 도움을 준다.

그러나 대도시의 경우 페이스북 건물 주변에 다른 회사의 건물이나 시설이 위치해 있다. 로브리엔은 “페이스북은 보통 중심부에 위치한다”라고 말했다. 즉 건물 주변에 다른 건물과 사람들이 많다는 의미이다. 뉴욕 사무실도 그랜드 센트럴에서 한 블록 거리가 되지 않는 매디슨 애비뉴와 이스트 43가가 만나는 지점에 있다. 싱가포르 사무실은 그 앞이 길이다. 통제가 불가능하다. 또 항상 경찰이 치안 활동을 펼치고 있다.

이것은 보안 측면에서 도전과제다. 그러나 덕분에 틀에 박힌 생각을 벗어날 수 있었기도 했다. 로브리엔에 따르면, 런던의 경우 계단을 사용할 수 있도록 건물을 설계했다. 일부 천장을 뜯어내고 계단을 사무실에 연결해 개방된 분위기를 만들었다. 이런 구조는 침입자의 침입을 늦추는 물리적 장애물 역할도 한다.

방문객 추적과 건축 설계는 분명히 사이버 보안의 영역이 아니다. 글로벌 보안 팀이 물리적 경비에 초점을 맞추고 있다. 그러나 이들이 정보 보안을 아예 신경쓰지 않는 것은 아니다. 물리적 보안의 ‘존재 이유’는 자산을 보호하는 것이다. 로브리엔은 “페이스북의 물리적 자산과 전자 자산을 보호하는 데 목적이 있다. 건물부터 서버, 프로토타입, 아이디어까지 모든 것을 안전하게 만드는 것이 우리의 일이다. 위협이 발생했을 때 IT문제인지 시설 보안과 관련된 문제인지 따지지 않는다. 그냥 우리가 맡아 빈틈없는 서비스를 제공해 해결한다”라고 말했다.

이어 “우리 조직은 정보에 뿌리를 둔 조직이라고 항상 강조한다. 그리고 물리적 보안과 사이버보안을 통합하면 우리의 프로그램이 단순한 ‘비용 중심’이 아닌 비즈니스에 가치를 창출하는 프로그램이 될 수 있다고 설명한다. 우리는 위협을 파악하며, 이 위협이 구체화하기 전에 그 위협을 줄인다"라고 말했다.

보안 팀의 이러한 노력은 경영진이 이를 수용하고 후원함으로써 더 공고해진다. 로브리엔은 “마크 저커버그 CEO는 글로벌 보안 프로그램의 가치를 이해하고 인정한다. 그는 우리가 페이스북 보호에 도입해 적용하고 있는 전체적인 방식을 이해하고 있다. 이것이 도움이 되고 있다. 마크 저커버그가 물리적 보안과 사이버보안 사이의 연결고리를 볼 수 있다면, 우리 또한 이를 볼 수 있다"라고 말했다. ciokr@idg.co.kr 

X