12. 물리적 보안 운영
1. 물리 보안 솔루션 운영하기
1-1. 물리 보안 요구사항 파악
1) 물리 보안 최근 동향
| 구분 | 주요 내용 |
| 보안 조직의 독립성 강화 | 보안 침해 사고 사례 증가로 보안의 중요성 인식 강화에 따른 조직 규모 확대 및 독립성 부여 |
| 서비스 개념 강화 | 감시 및 통제의 기본 속성으로 인하여 구성원에 대한 거부감, 업무 간 충돌 현상 등 고려하여 서비스 개념을 적용하여 거부감 완화 노력 |
| 지능화/융합화 | 정보 기술 발달로 지능형 영상 감시 확대, 보안 장비 간 IP기반 연계 강화로 융합 보안으로 발전 |
| 감시/통제 세분화 | 등급별, 개인별 통제 수단 발달로 세분화된 감시 및 통제 가능 |
① 3대 보안 영역 중의 하나
물리 보안은 물리적인 공간에 위치하고 있는 보호 대상 자산에 대한 접근, 파괴, 탈취 등 1차적이고 물리적인 수단에 의한 이루어지는 침해로부터의 보호 방법을 제공함으로써 관리적 보안, 기술적 보안 영역과 함께 3대 보안 관리 영역을 구성한다.
② 물리 보안의 주요 업무 범위
인원 및 차량 출입 통제, 물품 반출입 감시 및 통제, 인원 및 자산의 보호, 우발 상황(사고) 및 재난 예방 및 대응, 도・감청 방지 및 탐지 등이 주요 업무 범위이다.
③ 물리 보안의 최근 동향
물리 보안의 최근 동향은 보안 조직의 독립성 강화, 서비스 개념 강화, 정보 기술 발달에 따른 지능화 및 융합화, 감시・통제의 세분화 등으로 구분하여 볼 수 있다.
2) 보호 구역의 설정 요구
| 구분 | 주요 내용 | 비고 |
| 범위 | 출입 통제가 요구되는 회사의 모든 구역 및 시설은 보호 구역으로 지정하고, 보호 구역은 제한 구역과 통제 구역으로 구분 | |
| 제한 구역 | 방문자의 출입 통제가 요구되는 회사의 모든 사무실 등을 제한 구역으로 설정 | |
| 통제 구역 | 제한 구역 중 보호를 위하여 특별한 통제가 요구되는 구역은 통제 구역으로 설절 | 중앙 감시실, 전산실, 전력 감시실, 통신 장비실, 방재 센터 등 |
| 설계 적용 및 검증 | 사업장 및 전산 센터 구축 시 사전에는 보안이 고려되어 구축될 수 있도록 정보 보호 담당 부서의 보안성 검토 수행 |
- 조직의 공식적인 규정 관련 문서에서 보안에 해당하는 문서를 분류하고, 해당 문서의 목차에서 물리적 보안에 대한 항목을 체크하고 나면, 항목의 내용을 중심으로 물리 보안 요구 사항을 파악한다.
(1) 주요 물리적 보안 요구 사항을 파악한다.
자산 보호를 위한 물리적 계층 구분을 고려하여 주요 물리적 보안 요구를 보호 구역의 설정, 출입 통제, 전산 장비의 보호, 전산 센터 보호, 사무실 보안으로 구분하여 파악한다.
① 보호 구역의 설정과 관련된 요구 사항을 파악한다.
보호 구역과 관련된 조직의 물리 보안 요구 사항을 항목별로 확인하여 정리한다.
② 출입 통제와 관련된 요구 사항을 파악한다.
출입 통제와 관련된 조직의 물리 보안 요구 사항을 항목별로 확인하여 정리한다.
③ 전산 장비의 보호 및 기타 관련된 요구 사항을 파악한다.
전산 장비의 보호 및 기타 관련된 조직의 물리 보안 요구 사항을 항목별로 확인하여 정리한다.
(2) 파악된 물리 보안 요구 사항을 검토 및 확정한다.
조직 내 공식적인 보안 규정 관련 문서상에서 파악된 물리 보안 요구 사항을 정리한 내용을 검토하고 확정한다.
① 물리 보안 요구 사항 내역에 대하여 검토를 요청한다.
물리 보안 요구 사항을 정리한 문서를 팀 내 공유하고, 누락 및 보완 여부 등 검토를 요청한다.
② 물리 보안 요구 사항에 대한 검토 회신 내용을 반영한다.
검토 요청에 대한 누락 사항, 보완 필요 사항에 대한 회신 내역을 취합하고 적용 여부를 결정하여 반영한다.
③ 물리 보안 요구 사항을 확정한다.
보완된 물리 보안 요구 사항 목록을 최종 확정하고 팀 내에 공유한다. 필요시 관리자의 승인을 받아 확정할 수 있다.
3) 물리 보안 목표 구성도
- 물리 보안 경계선에 따른 물리 보안 대책
물리 보안 경계선에 따른 물리 보안 대책들은 영상 감시, 침입 경보, 인원・물품 출입 통제, 보호 구역에 대한 등급별・개인별 접근 통제 등이다.
4) 물리 보안 솔루션 문제점 개선방안
(1) 물리 보안 솔루션의 문제점을 수집한다.
물리 보안 솔루션의 문제점을 취합하고, 유형을 분류한다.
① 물리 보안 솔루션의 문제점을 취합한다.
② 문제점을 유형별로 분류한다.
취합된 문제점 목록을 바탕으로 유사한 문제들을 그룹화하여 분류한다.
(2) 물리 보안 솔루션의 문제점을 분석한다.
취합된 문제점과 유형 분류 자료를 바탕으로 상세 현황 분석, 영향도를 평가한다.
1-2. 물리 보안 신규 위협 대응하기
1) 물리 보안 위협 차단
(1) 위험 관리 요소의 한 부분
위험은 자산이 가진 특정한 성질이 위협과 결합하여 일으키는 손실의 규모라고 할 수 있다.
즉 위험(R) =자산(A) ✕취약성(V) ✕위협(T)로 표현할 수 있다.
(2) 위험과의 상호 관계
위협은 가치 저하를 초래할 수 있는 외부 요인으로서 인식이 필요한 대상이며 취약성은 자산에 내재된 성질이다.
2) 위협 대응 절차
| 대응 방안 | 상세 대응 방안 | 비고 |
| 위협 분석 | 도둑, 반달리즘, 테러 단체, 경쟁사, 내부의 적, 묻지 마 등 | |
| 위협 탐지 | 센서 감지, 경보 신호 발생, 경보 보고, 경보 위험 평가 등 | |
| 위협 차단 | 침입 및 위협 요소를 경비 인력에 통보, 경비 인력 및 장비 출동, 침입 및 위협 요소 제거, 체포, 타격, 포위, 추격, 도망, 의지 상실, 차단, 원천 불가능하게 |
3) 물리 보안 위협 목록
| 구분 | 주요 내용 | 비고 |
| 자폭 테러 | - 몸에 폭팔물을 부착하고 건물 내에 진입 | IS 테러 모방 범죄 |
| 차량 테러 | - 차량에 폭팔물을 싣고 건물 충격 또는 주차장에서 폭파 | IS 테러 모방 범죄 |
| 천재지변 | - 지구 온난화에 따른 기상 이변으로 예측하지 못한 폭우로 인하여 침수 | |
| 드론 | - 드론을 이용하여 비인가된 지역 상공에서 불법 모니터링 및 불법 촬영 | 무인 비행기 |
| 출입 카드 | - 임직원이 아닌 자의 출입 - 신분증을 패용하지 않은 임직원의 출입 - 신분증을 패용하였으나 비인가된 임직원의 출입 |
퇴직자가 미반납한 출입카드 이용 |
| 스피드 게이트 | - 스핃드 게이트를 우회하는 행위 (넘어가거나 기어서 통과) - 피기 백(앞사람 뒤에 붙어 통과) |
테일 게이팅 (꼬리물기) |
| 물품 검색대 | - 소지품을 검색대에 통과 시키지 않을 떄 - 가방 속 비인가 물품 소지(총기, 도검류) |
|
| 금속 탐지 문 | - 비인가 물품 휴대하고 통과(USB, 카메라, 도청기 등) |
(1) 물리 보안 위협 목록을 파악한다.
조직 내의 신규 보안 위협 결과 분석에 따른 위협 목록과 보안 운영 지침에 따른 물리 보안 위험 목록을 파악한다.
① 신규 보안 위협 분석 결과에 따른 위협 목록을 파악한다.
신규 보안 위협 분석 결과에 따라서 물리 보안과 관련된 위협 목록을 파악한다.
② 보안 운영 지침에 따라 물리 보안 위협 목록을 파악한다.
조직 내의 보안 운영 지침에 따라 물리 보안 위협 목록을 파악한다.
(2) 물리 보안 위협을 실제로 탐지한다.
파악된 물리 보안 위협 목록을 바탕으로 신규 보안 위협 분석 결과에 따른 물리 보안 위협과 보안 운영 지침에 따른 물리 보안 위협을 탐지한다.
① 신규 보안 위협 분석 결과에 따른 물리 보안 위협을 탐지한다.
신규 보안 위협 분석 결과에 따른 물리 보안 위협 목록을 바탕으로 건물 외각 경비담당자, 방재실, 상황실 등의 감시 담당자는 물리 보안 위협을 탐지한다.
② 보안 운영 지침에 따라 물리 보안 위협을 탐지한다.
4) 물리 보안 위협 차단 대응 전략
(1) 물리 보안 위협에 대한 대응 전략을 선택한다.
물리 보안 위협에 대하여 보호 대상 자산의 보호 수준과 보호 및 탐지 수단을 교차적으로 조합하여 차단을 위한 대응 전략을 선택한다.
(2) 선택한 차단 대응 전략으로 물리 보안 위협을 차단한다.
물리 보안 위협에 대한 차단 대응 전략을 선택한 결과를 수행한다. 원천 봉쇄 및 자연적 통제의 경우 시설 설계 및 구축으로 이미 반영된 경우에 해당하므로 주로 부분적 통제 수단을 통하여 또는 방해, 출동, 무력화를 통하여 물리 보안 위협을 차단한다.
5) 물리 보안 요건 관련 국내법, 제도
| 구분 | 내용 | 비고 |
| 정보 통신 일반 | - 집적 정보 통신 시설 보호 지침 - 정보 보호 관리 체계 인증 기준 - 공인 전자 문서 센터 시설 및 장비 등에 관한 규정 - 데이터 센터 구축 및 운영 활성화를 위한 민간 데이터 센터 필수 시설 및 규모 고시 - 본인 확인 기관 지정 등에 관한 기준 - 건축물 테러 예방 설계 가이드라인 |
과학 기술 정보 통신부 방송 통신 위원회 국토 교통부 |
| 공공 기관 | - 국가 보안 시설 및 보호 장비 관리 지침 | 국가 정보원 |
| 금융 기관 | - 전자 금융 감독 규정 - 금융 회사 정보 기술(IT) 부문 보호 업무 이행 지침 - 금융 전산 보안 강화 종합 대책 - 2014년 금융 IT 감독 방향 |
금융위원회 |
6) 침해사고 대응 절차
| 구분 | 내용 |
| 사고 전 준비 과정 | 사고사 발생하기 전 침해 사고 대응 팀과 조직적인 대응을 준비 |
| 사고 탐지 | 이상 징후 탐지, 관리자에 의한 침해 사고의 식별 |
| 초기 대응 | 초기 조사 수행, 사고 정황에 대한 기본 사항, 세부 사항 기록, 사고 대응팀 신고 및 소집, 침해 사고 관련 부서에 통지 |
| 대응 전략 세계화 | 최적의 전략을 결정하고, 관리자 승인을 획득 초기 조사 결과를 참고하여 소송 필요 여부를 결정, 사고 조사위한 수사 기관 공조 여부를 판단 |
| 사고 조사 | 데이터 수집, 분석을 통하여 언제, 누가, 어떻게 사고가 발생하였는지, 피해 확산 및 재발 방지 대책 수립 |
| 보고서 작성 | 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 보고서 작성 |
| 해결 | 차기 유사 공격 식별, 예방 위한 보안 정책 수립, 절차 변경, 사건의 기록, 기술 수정 계획 등을 결 |
1-3. 침해사고 대응
1) 침해사고 대응 조직
| 구분 | 내용 |
| 정보보호위원회 | IT 센터의 장, 고문, 각 팀장, 운영 파트장, 기업 정보 보호 전담 조직의 장으로 구성되며 정보 보호 관련 최고 의사 결정 기구 역할 |
| 정보 보호 전담 조직 | 정보 보호 전담 조직은 CIO(Chief Information Officer) 또는 CSO(Chief Security Officer) 직속 기구이며, 회사 전체 내 정보 보호 활동 및 보안 취약성 점검 기능을 수행 |
| 정보 보호 실무 협의체 | 기업의 각 부서 혹은 팀 내 정보 보호 담당자로 구성되며, 정보 보호 활동에 있어서 정보 보호 전담 조직과의 대응 창구로서 각 부서 및 팀 내 정보 보호 활동을 주 |
(1) 침해 사고 개념
조직의 업무에 영향을 미치는 승인되지 않은 정보 자산에 대한 접근, 변경, 유출 등의 사건을 뜻한다. 물리적인 보안 침해 사고는 외곽 경계 구역, 건물 외부, 건물 입구, 보호 구역에 대한 비인가된 접근 시도, 파괴, 훼손 등의 시도 또는 이로 인한 피해 상황 발생 등을 뜻하며 통제 불가한 천재지변, 자연재해 등으로 인한 경우를 포함한다.
(2) 침해 사고의 유형
일반 보안 사고와 중대 보안 사고로 구분할 수 있다. 조직이나 업무 등에 파급 효과가 상대적으로 약한 악성 소프트웨어 감염, 네트워크 및 시스템에 대한 비인가된 침해 및 시도 등은 일반 보안사고 범주로 보고, 정보 시스템 중요도 1등급(최상위 등급)인 정보 자산 또는 비밀문서가 외부로 유출되거나 정보 시스템이 비인가 접근에 의하여 변조・파괴되어 정상적인 서비스를 제공하지 못하는 경우, 관련 법규 및 규정 위반에 해당하여 사회적 물의를 일으키는 경우 등을 중대 보안 사고의 범주로 볼 수 있다.
물리적 보안 침해 사고 유형은 담장 등 건물 외부를 무단으로 넘어오는 행위, 비정상적으로 출입 통제 절차를 회피하는 행위, 건물 내 폭발물 등을 반입하는 행위 등으로 중대 보안 사고에 해당하는 경우가 많다.
침해 사고 대응 조직(CERT: Computer Emergency Response Team)은 정보보호위원회, 정보 보호 전담 조직, 정보 보호 실무 협의체로 구성되며, 각 조직에 따라 팀 구성을 한다.