Home > 전체기사
[CBK특집] 정보보안의 ABC, CBK를 이해하자-⑤물리적 보안
  |  입력 : 2010-02-02 09:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

물리적 보안의 핵심 과제와 난제는 무엇인가?

<게재순서>

①CBK의 개요

②Domain 1  Information Security and Management(정보보안과 위험관리)

③Domain 2  Access Control (접근통제)

④Domain 3  Cryptography (암호학)

⑤Domain 4  Physical (Environmental) Security(물리적(환경적) 보안)

⑥Domain 5  Security Architecture and Design(보안 아키텍처와 설계)

⑦Domain 6  Business Continuity and Disaster Recovery Planning(기업연속 및 재난복구계획)

⑧Domain 7  Telecommunications and Network Security(통신 및 네트워크 보안)

⑨Domain 8  Application Security(응용프로그램 보안)

⑩Domain 9  Operations Security(운영보안)

⑪Domain 10  Legal, Regulations, Compliance and Investigations(법, 규정, 준수 및 조사)


머리말

요즘도 매달 15일이면 민방위 훈련을 한다. 아직은 종전이 아닌 휴전의 상태이기에 민방위 훈련을 하는 것이다. 대한민국의 모든 국민이 예외 없이 실시하는 민방위훈련의 의미는 무엇일까? 바로 내재화이다. 내재화란 개인의 경우, 돌발상황에 대한 대응상황을 몸에 배어 있게 하는 것이고, 회사나 국가의 경우는, 돌발상황에 대한 대응절차를 조직적으로 대처하기 위함이다. 평상시의 이러한 지속적 연습들이 내재화 된다면 실제 상황에서 그대로 진행하기만 하면 된다.


정보보안을 위한 여러 가지 도메인(주제)들이 있다. 정보보안의 기본이라 할 수 있는 암호학을 위한 수학적 알고리즘도 있고, 작금의 인터넷환경에서 필요한 네트워크의 안전한 통신도 있다. 네트워크라는 특성, 즉 전 세계 어디에서나 연결되어 있음으로 인한 악성코드의 배포와 해킹공격들도 있으며, 법과 규제 안에서의 정보보안 준거사항들, 법의학과 전자 매체에 적용되는 포렌식 조사 기법 또한 주제이다.


정보보안에 대한 정책과 절차 등의 정보보안 관리체계와 보안의 기술적인 아키텍처도 정보보안의 주제이다. 이러한 것들을 한꺼번에 만나볼 수 있는 곳은 어디인가? 바로 독자들이 근무하는 기업체이며 공공기관일 것이다. 실제로 독자들이 정보보안의 업무를 하고 있다면 정보보안의 모든 주제들이 독자들이 일하고 있는 현장에 녹아 있다고 보면 된다.


다만 아는 만큼, 관심 있는 만큼 보이기에 못 느끼는 것이다.


CBK(Common Body of Knowledge: (정보보안)지식체계)를 이해하는 시간, 그 네 번째 주제(도메인이라고 표현해도 될 것 같다)를 살펴보자. 물리적(환경적) 보안은 정보보안에 대한 프로세스, 절차, 정보자산의 보호를 위한 시설 및 환경, 그리고 정보보안의 가장 강한 고리이면서도 약한 고리인 사람(인적자원)에 대한 주제 영역이다.


CISSP (Certified Information System Security Professional: 국제공인 정보시스템 보안 전문가) 자격증을 소지하고 정보보안 분야에서 활발히 활동을 하는 독자나 혹은 CISSP를 지금 도전하는 있는 독자, 또한 CISSP를 처음 들어보는 독자이건 간에 물리적 보안은 독자들의 현실세계에서 바로 작용되는 것이므로 정보보안의 목적달성에 대한 실패와 성공을 좌우하는 분야이다. 이론이 아무리 정립이 잘 되어 있다 한들 내재화된 보안의 실천이 더욱더 중요한 것이다. 


물리적(환경적) 보안 (Physical (Environmental) Security)

물리적 보안에 대해 던져지는 질문과 난제들, 해결해야 할 쟁점들을 알아보자. 이러한 것을 알아보기 위해선 물리적 보안의 요소에 대한 약점에 해당하는 취약점을 식별하고 그 취약점을 공격해오는 위협들도 같이 분석해봐야 한다. 아래의 내용들이 취약점과 위협을 포함한 물리적 보안의 질문과 난제들의 예이다.

 

-기업이나 공공기관의 건물이나 시설은 외부의 침입이나 공격에 얼마나 잘 대응하기 위해 설계되어 있으며 방어적인 시설물을 가지고 있는가?

-기업 내부의 화재나 홍수에 대한 탐지할동, 예방활동은 자주 점검되며, 실제 화재 시에 안전한가? 또한 화재나 홍수에 대한 법적 요구사항은 충족되었는가?

-사고로 인한 피해, 전력과 먼지 등에 의한 환경적 손실에 대해 인식하고 잇는가?

-테러나 범죄에 대한 위협에 얼마만큼 안전한가?

-경비원들의 물리적 보안은 얼마나 효율적으로 진행되고 잇는가?

-시설관리를 수행하는 직원에 대한 보안인식과 훈련의 효과성은 어떠한가?

-물리적 장벽인 신원확인, 침입탐지 등의 제어장치는 있는가?

-공모에 대한 사기와 부정에 대한 보안 감사는 어떻게 진행되어야 하는가?


제시한 예들이 정보보안이 넘어야 하고 해결해야 할 질문과 난제들이며 CBK의 물리적 보안의 범위이며 내용들이다.

물리적 보안의 취약점과 위협 그리고 그에 대한 대응책의 관계를 표현하면 아래와 같다.


                               (그림) 물리적 보안의 취약점, 위협, 대응책의 관계


CBK 제 4 도메인의 주제들

물리적(환경적) 보안의 주제들을 보도록 하자.



맺음말

정보(시스템)보안의 ABC, CBK를 이해하는 5번째 시간이면서 CBK의 주제로는 4번째 주제인 물리적 보안에 대해서 알아 보았다. 요즈음 화두로 대두되는 데이터센터의 얘기가 가장 잘 적용되는 도메인이기도 하다. 그린 IT와 더불어 데이터센터는 당분간은 IT업계에서는 회자될 것이라 예상한다. 서버와 장비들을 줄이고 공통 사용할 수 있는 시설과 건물에 대한 설계와 운영, 그리고 환경친화적인 물리적 보안의 디자인과 사용되는 물적 자원들은 정보보안과 더불어 그린 IT의 좋은 실천 방안이라 할 수 있다.


물리적 보안은 정보보안뿐만 아니라 기업보안이나 산업보안으로도 확대 될 수 있는 분야이다. 정보자산의 보호라는 주제를 포함하여 기업이나 조직의 보안적 측면에서, 산업적인 보안측면에서 다루어 질 수 있는 주제를 많이 가지고 있다.


CISSP으로서 혹은 정보보호 전문가로서의 길은 정보(시스템)보안만으로 승부를 내야 한다는 한 가지 측면보다는 확장하면 연계분야가 무한하다는 것을 생각하는 계기가 되었으면 한다. 오늘날은 융합과 조화의 시대라고들 한다. 확장과 연계, 융합과 조화를 되새기고 실천한다면 여러 분야에서 활동하는 CISSP을 만나는 날도 멀지 않으리라 기대해 본다.


보다 자세한 내용은 www.isc2.org 혹은 www.cisspkorea.or.kr에서 찾아볼 수 있다.

 

[참고자료 및 출처]

www.isc2.org

www.cisspkorea.or.kr

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

Information Security Governance, ITGI, 2008

InfoSecurity Professional Magazine, ISC2, 2008~2009


[필자(조희준) 약력]

-IT컨설팅 및 IT감리법인 수석컨설턴트

-(사)한국정보시스템 감사통제협회 ISACA Korea 임원

-한국 CISSP 협회 (ISC)2 Korea 임원

-한국 포렌식조사 전문가 협회 임원

-한국 정보기술 프로젝트관리 자격검정원 운영위원

-감사행정학과 석사과정

-(ISC)2 CISSP 국제공인 강사

-라이지움, 한국생산성 본부 강사

-주 관심사: IT 감사와 정보보호를 확장하여 비즈니스에 연계하는 분야와 IT 거버넌스와 정보보안거버넌스


[글·조희준(josephc@chol.com) CISSP, CCFP, CSSLP, ISO 27001(P.A), CISM, CGEIT, CISA, COBIT, ITIL, CIA, IT-PMP, PMP, ISO 20000(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원]

[정리 / 길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향