02 물리적 보안
대다수의 보안사고는 내부 직원 또는 협력사 직원에 의해 발생하는 경우가 많으며, 정보보호의 핵심은 사람관리라는 것을 알 수 있습니다. 이러한 개인 정보 유출의 위험에 대처하기 위한 기업에서 지켜야 할 관리적 물리적 보안 7계명은 다음과 같습니다.
첫째, 출입 허가된 사람이나 허가 받지 않은 사람의 동선을 고려하여 물리적 보안을 설계하라.
둘째, 보안 요구 사항에 따라 출입통제 시스템과 프로세스에 대한 설계를 고려하라.
셋째, 출입통제에 대한 모니터링 및 감사 방안을 강구하라.
넷째, 퇴근 시에 시건 장치 및 클린데스크를 철저히 준수하라.
다섯 번째, 출력물에 대해 입력, 출력, 보관, 복사, 반출 등 프로세스를 고려하여 중요 문서에 대한 보호 대책을 강구하라.
여섯 번째, 분실 및 물리적 보안 사고 발생 시 신고할 수 있는 프로세스와 담당자 등을 확실히 하라.
마지막으로 사용자에 대한 보안 교육 내에 물리적 보안 부분도 포함하라.
물리적 보안의 개념과 구성
1. 물리적 보안
물리적 보안의 개념과 구성먼저 물리적 보안의 정의에 대해 알아보도록 할까요?
물리적 보안이란 직원, 데이터, 시설, 설비, 시스템 등의 조직의 자산에 대한 물리적 보호를 의미합니다. 물리적 보안 관리는 물리적 위협 수단으로부터 보호하기 위한 다양한 수단입니다.
물리적 보안 관리 업무의 주체는 사람이며,
2. 물리적 보안 시스템의 적용 체계 및 주요 장치
물리적 보안 시스템이 사람을 보조하여 보안 관리 업무를 보다 효과적으로 수행할 수있습니다. 일반적으로 우리가 생각하는 경비업무가 물리적 보안의 대표적인 방법입니다.
물리적 보안 관리의 영역으로는 인원 및 차량 출입통제, 물품 반출·입 감시 및 통제, 주요인원, 자산의 보호, 우발상황 및 재난의 예방 및 대응, 도청 방지 및 탐지 등이 해당됩니다.다음은 물리적 보안 시스템에 대해 알아보겠습니다. 물리적 보안 시스템의 주요 장치는 CCTV 시스템, 출입통제 시스템, 침입 경보 시스템이 있습니다.
3. 물리적 보안 관리의 동향
물리적 보안 관리의 동향은 보안 조직의 독립 상향화, 보안업무 참여 의식이 강화되며 적극적인 보안업무 환경이 조성되고 있습니다.사용자에 대한 서비스 개념이 강화되면서 사용자가 불편해하는 보안 기능과 충돌이 발생하기도 합니다.
현재 보안 관리는 대부분 CCTV를 통해 이루어지고 있으며, 지능형 영상인식 기능, 인터넷을 통한 영상 전송이 가능해지면서 언제어디서든 시설에 대한 보안 관리가 가능해지고 있습니다. 출입통제에 가장 많이 사용되고 있는 장비로는 RFID, 스피드 게이트, 금속탐지기 등이 있습니다. RFID를 통한 출입통제는 민간 부분에서 많이 활용되고 있으며, 금속탐지기는 중요한 공공시설에서 사용되고 있습니다.
물리적 보안 크게 외부/외곽에서 시작해 건물 입구, 건물 내부의 단계로 이루어 집니다. 외부/외곽은 과거에서는 영상감시/침입경보를통해 관리 되었지만 현재는 외부를 개방하고 물리적 보안을 위한 장비나 시설을 위장, 은닉하고 있습니다. 건물 입구는 인원 물품에 대한 통제만 이루어지다 현재는 인원, 회사의 사내의 주요 자산의 출입 통제 뿐만 아니라 검색을 통해 숨겨서 반출입하는 자산에 대한 감시도 이루어지고 있습니다. 건물 내부는 크게 일반통제와 구역별 통제 등과 같은 시설에 대한 통제에서 각 시설을 중요도에 따라서 등급화 하고 개개인에 대한 세부적인 통제를 수행하게 되었습니다.이렇게 건물의 외부, 입구, 내부에 대한 구분된 통제가 아닌 원격 감시및통제, 동선관리 단계별 세부통제로 물리적 보호 대상이 되는시설에 대한 종합적 통제가 이루지고 있습니다.
물리적 보안의 방법
1. 물리적 출입통제
물리적 보안의 방법
다음은 물리적 보안의 방법에 대해 알아보겠습니다. 물리적 출입통제 보호구역은 인가된 사람만 출입이 가능하도록 출입통제 장치를 설치하고 운영해야 합니다. 출입통제 장치를 하나씩 살펴보도록 하겠습니다.
가장 기본적인 출입통제 장치로 담장이 있습니다. 담장의 설치를 통해 무심코 경계를 넘어 들오는 것을 방지할 수 있습니다, 하지만 담장 만으로는 의도적인 침입자를 막을 수는 없지만 침입을 지연시킬 수 있습니다. 그리고 군중들의 대규모 진입을 방지할 수 있습니다.
담장의 설치 높이에 따라서 가질 수 있는 장점은 다음과 같습니다. 높이 1미터는 충동적인 침입 저지, 높이 2미터는 높이가 높아 쉽게 넘을 수 없습니다. 높이 2.4미터 이상은 의도적인 침입을 저지합니다.
보호 기둥이란 잔디밭이나 건물 출입구 주변에 설치한 둥근 쇠기둥을 말합니다. 고의적으로나 실수로 자동차를 타고 돌진해올 경우 건물에 손상을 입는 것을 방지합니다.
조명은 담장과 함께 가장 흔하게 사용되는 주변 경계 보호 수단입니다. 외부의 접근을 예방하고 지연시키는 역할을 하며, 직원, 출입구, 주차장과 주요 구역에 대한 안전을 제공합니다. 중요 건물에는 2.4m 높이에 2촉광 이상으로 비추는 것이 좋습니다.
보안 요원은 가장 고전적인 형태의 감시 방법이면서 동시에 최상의 보안 방법입니다. 침입 탐지 시스템을 비롯한 모든 물리적 보안 장치들은 최종적으로 사람의 행동이 필요하기 때문에 보안 요원을 통해 이를 통제할 수 있습니다. 보안 요원을 활용함으로 얻을 수 있는 장점은 융통성 있는 보안 통제입니다. 시스템에서 미처 예상하지 못한 상황에 대한 빠른 대체와 판단이 가능합니다. 반면 인건비, 보안 교육 등을 제공해야 한다는 단점이 있습니다.
보안견은 사람보다 빠른 운동 신경을 가진 개를 이용한 보안입니다. 하지만 동물이기 때문에 훈련 및 교육이 어려우며 자체 판단력이 부족하다는 단점이 있습니다.
다음 물리적 출입통제로 CCTV가 있습니다. CCTV는 감시뿐만 아니라 기록 장치의 기능도 함께 수행할 수 있습니다. CCTV를 운영할 때에는 운영 목적을 잘 파악하여 적절한 형태로 CCTV를 운영해야 하며, 흑백과 컬러 중 용도/비용/효과를 따져서 설치해야 합니다.
소음 탐지기는 소리의 파장을 통해 탐지하는 것입니다.
파장 탐지기는 정해진 구역으로 파장을 송출한 뒤 수신기로 반사되는 파장을 조사하는 것입니다. 극초단파, 초음파, 저주파 등이 있습니다.
근접 탐지 시스템은 전기장을 발생시켜 감시하다가 침입자의 접근에 의해 전기장의 전하량이 변경되면 경보를 울립니다. 파장 탐지기처럼 방이나 일정 구역 전체를 탐지하는 것이 아니라 특정 보호대상(미술품, 금고 등) 주위만을 정확히 탐지하기 위해 사용합니다. 광전/광도 측정 시스템은 광선 즉, 가시광선, 적외선 등을 발사하여 장애물을 만드는 것입니다.
적외선 탐지기는 정해진 구역으로 적외선을 송출한 뒤 수신기로 반사되는 적외선을 조사하는 것을 말합니다.
2. 사무실 및 설비 공간 보안
사무실 및 설비 공간 또한 물리적 보호 방안이 필요합니다.데이터센터나 전산실은 조직의 중요한 자료 및 시스템을 보관되는 장소로 조직 내의 가장 핵심적이고 안전한 지역에 위치해야 합니다.시설 공간에 대한 점검 항목은 벽, 방화 등급, 창문, 천장, 바닥, 출입문이 있습니다. 벽은 바닥부터 천장까지 완전히 밀폐해야 합니다.방화 등급은 시스템으로부터 10ft(3m) 이하로 떨어진 벽은 적어도 1/2시간, 시스템으로부터 10ft(3m) 이하로 떨어진 벽은 적어도 1시간, 주요 정보를 보관하는 벽의 경우는 2시간 이상입니다.일반적으로 데이터센터에서는 창문이 허용되지 않습니다. 필요한 경우에만 고정창, 불투명으로 합니다.천장은 벽과 같은 정도의 방화 등급이고, 방수가 되어야 합니다.또한 적절한 하중을 지탱할 수 있어야 합니다.바닥은 벽과 같은 정도의 방화 등급입니다.바닥 표면의 소재는 정전기 방지용을 사용 권장합니다.출입문은 벽과 같은 정도의 방화 등급이며 외부에서 강압적으로 진입을 방지합니다.비상시 용이하게 탈출 가능해야 하며, 자동으로 열리는 기능이 있어야 합니다.
3. 외부 및 환경 위협에 대한 보안
시설 자체에 대한 보안만큼 외부 및 환경 위협에 대한 보안도 중요합니다. 자연재해 및 인재로 인한 피해를 대비할 수 있는 물리적 보안 방법을 수립하고 적용해야 합니다. 외부 및 환경 위협의 종류로는 장애, 재해, 사고가 있습니다.
장애는 외부 및 환경 위협의 종류로 가장 먼저 건물/설비, 시스템, 네트워크 소프트웨어에 생긴 장애인 경우입니다. 전산서비스 중지가 감내할 수 있는 시간을 초과한 경우입니다.
재해는 자연재해와 산업재해가 있으며 자연재해로는 홍수, 태풍, 지진이 있고, 산업재해로는 화재, 폭발, 단수가 있습니다.
사고는 외부 위협에 의한 사고와 해킹, 바이러스 웜, 서비스 거부 공격이 있습니다.
4. 정보처리 시설의 물리적 보안
이번에는 정보처리 시설의 물리적 보안을 위해 고려해야 할 것들이 무엇인지 한번 살펴 볼까요?
우선 시설에 대한 배치를 고려해야 합니다. 정보처리 시설은 비인가된 접근으로부터 보호될 수 있도록 배치해야 합니다.
그리고, 정보처리 시설이 눈에 잘 뛰지 않게 하는 것이 좋으며, 시설 주변에 경고나 주의 메시지를 통해 중요한 시설임을 표시해야 합니다.
또한 정보처리 시스템이 위치한 곳의 설비 지원에 대해서 고려해야 합니다. 전원 장애 및 공조 시설의 장애에 발생한 경우에도 정보처리 시스템이 안전하게 보호될 수 있도록 해야 합니다. 이 외에 케이블 보호 시설은 전원을 공급하는 전력선과 데이터를 전송하는 통신선은 손상이나 도청으로부터 보호합니다. 정보처리시설은 가용성과 무결성을 지속적으로 보장할 수 있도록 유지보수를 합니다. 또한 외부로 반출된 정보시스템 장비는 사용과정에서 발생할 수 있는 위험에 대한 적절한 대책을 수립하고 적용해야 합니다. 저장매체를 가지고
있는 장비의 폐기 및 재사용 시 정보 및 소프트웨어가 안전하게 삭제되었는지 점검하고 데이터는 삭제합니다. 마지막으로 장비 및 저장매체를 반입 및 반출하기 위한 안전한 승인 절차를 마련합니다.
물리적 보안 통제 사항 가이드
1. 물리적 보안 대책
물리적 보안 통제사항 가이드
이번에는 물리적 보안 대책에는 어떤 것들이 있는지 살펴보도록 하겠습니다. 첫 번째로 물리적 보안 구역에 대한 내용입니다. 특별한 보호가 필요한 시설이나 장비를 권한이 없는 자가 물리적으로 접근 및 각종 물리적, 환경적 재난으로 보호하기 위해서는 보안구역을 정의하고 이에 따른 대책의 수립과 이행이 필요합니다. 물리적 보호 구역이 필요한 보안 등급에 따라 정의되고, 각각에 대한 보안조치와 절치가 수립되어 있는지 점검해야 합니다. 또한 각 보호구역 내의 중요한 장비, 문서, 매체를 반출입하기 위한 적절한 절차가 있는지, 일반인의 출입 경로가 보안지역을 지나가지 않도록 배치되어 있는지 살펴보아야 합니다.
물리적 접근통제는 보호구역을 출입하는 자를 감시, 통제하고 권한이 없는 자의 출입을 방지하기 위해 수립되어야 하는 보안절차입니다. 물리적 통제가 부족하거나 보안 환경의 변화에 대한 대응이 부족한 경우 관련 자산이 위협에 노출 될 수 있습니다.
물리적 접근 통제에 대한 자체 점검을 하기 위해서는 각 보호 구역에 대한 정책에서 명시된 대로 물리적 접근 통제가 수행되고 있는지, 각 보호 구역에 대한 접근 통제 수행 내역을 주기적으로 검토하고 있는지 확인해야 합니다.
2. 데이터센터 보안
데이터센터 보안은 위치 및 구조 조건에 대한 보호가 선행되어야 합니다. 데이터센터는 물리적, 환경적 위협이 적은 곳에 위치하고
구조적 안전성을 확보해야 합니다. 구조적 안전성이란 지진, 폭발, 테러 등이 발생하거나 외부의 화재가 전파되지 않도록 데이터센터의 안전성을 확보하는 것입니다. 위치 및 구조적 조건에 대한 자체 점검을 하기 위해서는 데이터센터는 화재나 화학적 재해발생 및 침수 등과 같은 위험에 높은 곳을 피하여 위치하고 있는지, 외부인이 쉽게 접근하지 못하도록 데이터센터임을 알리는 표지판 등을 표시하고
외부의 격리가 되어 있는지 확인해야 합니다. 또한 데이터센터는 구조의 안전성을 확보하고 있는지, 데이터센터가 충분한 안전성을 확보하지 못하는 경우 대책이 고려되고 있는지 확인해야 합니다.
내부 설비에 대한 보안으로는 화재, 수재 등 각종 재해에 대비한 시설을 충분히 설치하고 비상연락장치 및 비상구, 물리적 접근통제 및 시건 장치를 설치하는 것입니다. 내부 설비에 대한 자체 점검을 하기 위해서는 보안 정책이나 설계서가 환경 재해에 대비한 설비를 정의하고 설치하였는지, 화재, 수재, 전력이상,단전 및 누수를 감지하고 경보, 진압하는 장치가 설치, 관리되고 있는지 확인해야 합니다. 또한 화재 등의 재해 시 대피로 등 안전한 대피 시설이 마련되어 있는지 확인해야 합니다.
3. 장비 보호
장비 보호 중 주요 시스템 보호는 주요 시스템에 대한 별도의 출입통제를 실시하거나 이중의 보안 장치를 설치하고, 시스템 관리자는 주요 시스템 접근에 대한 보안 대책을 수립하는 것입니다. 주요 시스템에 대한 자체 점검을 하기 위해서는 별도의 보호가 필요한 주요 시스템이 식별되어 있는지, 주요 시스템에 대한 별도의 출입통제를 실시하거나 이중의 보호 장치를 설치하고 있는지 확인해야
합니다. 또한 주요 시스템에 대한 보안대책이 수립되어져 있고 이행되고 있는지 확인해야 합니다.
장비의 배치에 대해서는 장비가 환경적 위협과 위험, 불법 접근에 대한 위험을 감소시키기 위해 적절한 위치에 배치하고 이를 보호해는 것입니다. 장비의 배치가 계획적으로 이루어지지 않아 허가되지 않은 자의 접근하여 실수나 의도적인 고장, 허가되지 않은 사용, 도난이 발생할 수 있고, 환기 문제, 소규모 화재나 누수로 인해 장비의 보안이 취약해 질 수 있습니다.장비의 배치에 대한 자체 점검을 하기 위해서는 장비들은 적절한 곳에 배치되어 보호되고 있는지, 장비가 화재, 온도, 습도, 환기 등과 같은 환경적 위협과 위험으로부터 보호되고 있는지 확인해야 합니다. 또한 실제와 동일한 물리적인 배치도가 있는지 확인해야 합니다.
전원 공급에 대한 보안은 전원공급 이상이나 기타 전기관련 사고 발생시 전원을 지속적으로 공급하기 위하여 장비 제조업체의 사양에 따라 적절히 관리해야 합니다. 번개, 전력 중단 등에 의해 전원이 불안정해 질 경우 장비 및 시설의 고장, 중단이 발생할 수 있습니다.
전원 공급에 대한 자체 점검을 위해서는 전원공급 이상이나 기타 전기관련 사고로부터 장비가 보호되고 있는지 확인해야 합니다.
케이블 보호는 데이터를 송수신하거나 정보서비스를 지원하는 전력 및 통신 케이블이 외부에 의해 방해 받거나 손상을 입지 않도록 보호하는 것입니다. 케이블이 보호되지 않아 혼선, 간섭, 파손, 누수, 도청 등에 의해 케이블의 파손 또는 데이터 오류 및 노출이 발생할 수 있습니다. 케이블 보호에 대한 자체 점검을 하기 위해서는 전력 및 통신 회선이 도청이나 손상으로 보호되고 있는지 확인해야 합니다.
장비의 보수는 장비의 지속적인 가용성과 무결성을 위하여 장비 제공자가 지시한 명세에 따라 유지 보수를 하여야 하고 유지 보수에
대한 기록을 남겨야 합니다. 장기적인 유지 보수의 미비로 인해 장비의 고장이 발생 할 수 있습니다.
장비의 보수에 대한 자체 점검을 하기 위해서는 장비가 제조업체의 가이드 및 절차서에 따라 유지 보수가 되고 있는지, 장비의 유지
보수 기록이 존재하는지 확인해야 합니다.
마지막으로 장비의 안전한 폐기 및 재사용에 대한 사항을 알아보겠습니다. 중요한 정보를 담고 있는 저장 매체의 폐기 시에는 이를 물리적으로 파기하여야 하며 일반 데이터나 정품 소프트웨어는 폐기하기 전에 매체에 기록된 내용이 완전히 삭제되어 복구가 불가능한지 점검해야 합니다. 이러한 점검이 부족한 경우 자산의 폐기 시 허가되지 않은 데이터의 노출이 발생할 수 있습니다. 장비의 안전한 폐기 및 재사용에 대한 자체 점검을 하기 위해서는 장비 파기 시 일반 정보를 담고 있는 매체를 식별하여 이를 물리적으로파기하도록 하는 폐기 정책 및 절차가 있는지 확인해야 합니다. 또한 중요한 정보를 담고 있는 장비의 재사용 시에는 저장 매체의 기록된 내용을 완전히 삭제하여 복구가 불가능한지 확인하고 사용하는지, 일반 데이터나 정품 소프트웨어는 장비 내의 매체가 폐기되기 전에 저장된 정보가 완전히 삭제되고, 이에 대한 확인 및 점검이 수행되고 있는지 확인해야 합니다.
'정보 보호' 카테고리의 다른 글
| 06 윈도우 보안 (0) | 2016.01.26 |
|---|---|
| 05 로그와 취약점 관리 (0) | 2016.01.26 |
| 04 접근 제어와 권한 관리 (1) | 2016.01.26 |
| 03 계정과 패스워드, 세션 관리 (0) | 2016.01.26 |
| 01 정보보호의 개요 (8) | 2016.01.26 |
