[CBK특집] 정보보안의 ABC, CBK를 이해하자-⑤물리적 보안

물리적 보안의 핵심 과제와 난제는 무엇인가?

<게재순서>

①CBK의 개요

②Domain 1 Information Security and Management(정보보안과 위험관리)

③Domain 2 Access Control (접근통제)

④Domain 3 Cryptography (암호학)

⑤Domain 4 Physical (Environmental) Security(물리적(환경적) 보안)

⑥Domain 5 Security Architecture and Design(보안 아키텍처와 설계)

⑦Domain 6 Business Continuity and Disaster Recovery Planning(기업연속 및 재난복구계획)

⑧Domain 7 Telecommunications and Network Security(통신 및 네트워크 보안)

⑨Domain 8 Application Security(응용프로그램 보안)

⑩Domain 9 Operations Security(운영보안)

⑪Domain 10 Legal, Regulations, Compliance and Investigations(법, 규정, 준수 및 조사)

머리말

요즘도 매달 15일이면 민방위 훈련을 한다. 아직은 종전이 아닌 휴전의 상태이기에 민방위 훈련을 하는 것이다. 대한민국의 모든 국민이 예외 없이 실시하는 민방위훈련의 의미는 무엇일까? 바로 내재화이다. 내재화란 개인의 경우, 돌발상황에 대한 대응상황을 몸에 배어 있게 하는 것이고, 회사나 국가의 경우는, 돌발상황에 대한 대응절차를 조직적으로 대처하기 위함이다. 평상시의 이러한 지속적 연습들이 내재화 된다면 실제 상황에서 그대로 진행하기만 하면 된다.

정보보안을 위한 여러 가지 도메인(주제)들이 있다. 정보보안의 기본이라 할 수 있는 암호학을 위한 수학적 알고리즘도 있고, 작금의 인터넷환경에서 필요한 네트워크의 안전한 통신도 있다. 네트워크라는 특성, 즉 전 세계 어디에서나 연결되어 있음으로 인한 악성코드의 배포와 해킹공격들도 있으며, 법과 규제 안에서의 정보보안 준거사항들, 법의학과 전자 매체에 적용되는 포렌식 조사 기법 또한 주제이다.

정보보안에 대한 정책과 절차 등의 정보보안 관리체계와 보안의 기술적인 아키텍처도 정보보안의 주제이다. 이러한 것들을 한꺼번에 만나볼 수 있는 곳은 어디인가? 바로 독자들이 근무하는 기업체이며 공공기관일 것이다. 실제로 독자들이 정보보안의 업무를 하고 있다면 정보보안의 모든 주제들이 독자들이 일하고 있는 현장에 녹아 있다고 보면 된다.

다만 아는 만큼, 관심 있는 만큼 보이기에 못 느끼는 것이다.

CBK(Common Body of Knowledge: (정보보안)지식체계)를 이해하는 시간, 그 네 번째 주제(도메인이라고 표현해도 될 것 같다)를 살펴보자. 물리적(환경적) 보안은 정보보안에 대한 프로세스, 절차, 정보자산의 보호를 위한 시설 및 환경, 그리고 정보보안의 가장 강한 고리이면서도 약한 고리인 사람(인적자원)에 대한 주제 영역이다.

CISSP (Certified Information System Security Professional: 국제공인 정보시스템 보안 전문가) 자격증을 소지하고 정보보안 분야에서 활발히 활동을 하는 독자나 혹은 CISSP를 지금 도전하는 있는 독자, 또한 CISSP를 처음 들어보는 독자이건 간에 물리적 보안은 독자들의 현실세계에서 바로 작용되는 것이므로 정보보안의 목적달성에 대한 실패와 성공을 좌우하는 분야이다. 이론이 아무리 정립이 잘 되어 있다 한들 내재화된 보안의 실천이 더욱더 중요한 것이다.

물리적(환경적) 보안 (Physical (Environmental) Security)

물리적 보안에 대해 던져지는 질문과 난제들, 해결해야 할 쟁점들을 알아보자. 이러한 것을 알아보기 위해선 물리적 보안의 요소에 대한 약점에 해당하는 취약점을 식별하고 그 취약점을 공격해오는 위협들도 같이 분석해봐야 한다. 아래의 내용들이 취약점과 위협을 포함한 물리적 보안의 질문과 난제들의 예이다.

-기업이나 공공기관의 건물이나 시설은 외부의 침입이나 공격에 얼마나 잘 대응하기 위해 설계되어 있으며 방어적인 시설물을 가지고 있는가?

-기업 내부의 화재나 홍수에 대한 탐지할동, 예방활동은 자주 점검되며, 실제 화재 시에 안전한가? 또한 화재나 홍수에 대한 법적 요구사항은 충족되었는가?

-사고로 인한 피해, 전력과 먼지 등에 의한 환경적 손실에 대해 인식하고 잇는가?

-테러나 범죄에 대한 위협에 얼마만큼 안전한가?

-경비원들의 물리적 보안은 얼마나 효율적으로 진행되고 잇는가?

-시설관리를 수행하는 직원에 대한 보안인식과 훈련의 효과성은 어떠한가?

-물리적 장벽인 신원확인, 침입탐지 등의 제어장치는 있는가?

-공모에 대한 사기와 부정에 대한 보안 감사는 어떻게 진행되어야 하는가?

제시한 예들이 정보보안이 넘어야 하고 해결해야 할 질문과 난제들이며 CBK의 물리적 보안의 범위이며 내용들이다.

물리적 보안의 취약점과 위협 그리고 그에 대한 대응책의 관계를 표현하면 아래와 같다.

(그림) 물리적 보안의 취약점, 위협, 대응책의 관계

CBK 제 4 도메인의 주제들

물리적(환경적) 보안의 주제들을 보도록 하자.

맺음말

정보(시스템)보안의 ABC, CBK를 이해하는 5번째 시간이면서 CBK의 주제로는 4번째 주제인 물리적 보안에 대해서 알아 보았다. 요즈음 화두로 대두되는 데이터센터의 얘기가 가장 잘 적용되는 도메인이기도 하다. 그린 IT와 더불어 데이터센터는 당분간은 IT업계에서는 회자될 것이라 예상한다. 서버와 장비들을 줄이고 공통 사용할 수 있는 시설과 건물에 대한 설계와 운영, 그리고 환경친화적인 물리적 보안의 디자인과 사용되는 물적 자원들은 정보보안과 더불어 그린 IT의 좋은 실천 방안이라 할 수 있다.

물리적 보안은 정보보안뿐만 아니라 기업보안이나 산업보안으로도 확대 될 수 있는 분야이다. 정보자산의 보호라는 주제를 포함하여 기업이나 조직의 보안적 측면에서, 산업적인 보안측면에서 다루어 질 수 있는 주제를 많이 가지고 있다.

CISSP으로서 혹은 정보보호 전문가로서의 길은 정보(시스템)보안만으로 승부를 내야 한다는 한 가지 측면보다는 확장하면 연계분야가 무한하다는 것을 생각하는 계기가 되었으면 한다. 오늘날은 융합과 조화의 시대라고들 한다. 확장과 연계, 융합과 조화를 되새기고 실천한다면 여러 분야에서 활동하는 CISSP을 만나는 날도 멀지 않으리라 기대해 본다.

보다 자세한 내용은 www.isc2.org 혹은 www.cisspkorea.or.kr에서 찾아볼 수 있다.

[참고자료 및 출처]

www.isc2.org

www.cisspkorea.or.kr

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

Information Security Governance, ITGI, 2008

InfoSecurity Professional Magazine, ISC2, 2008~2009

[필자(조희준) 약력]

-IT컨설팅 및 IT감리법인 수석컨설턴트

-(사)한국정보시스템 감사통제협회 ISACA Korea 임원

-한국 CISSP 협회 (ISC)2 Korea 임원

-한국 포렌식조사 전문가 협회 임원

-한국 정보기술 프로젝트관리 자격검정원 운영위원

-감사행정학과 석사과정

-(ISC)2 CISSP 국제공인 강사

-라이지움, 한국생산성 본부 강사

-주 관심사: IT 감사와 정보보호를 확장하여 비즈니스에 연계하는 분야와 IT 거버넌스와 정보보안거버넌스

[글·조희준(josephc@chol.com) CISSP, CCFP, CSSLP, ISO 27001(P.A), CISM, CGEIT, CISA, COBIT, ITIL, CIA, IT-PMP, PMP, ISO 20000(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원]

[정리 / 길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)