[보안을 바라보는 새로운 눈④] 관리적·물리적 보안편 보안사건 주요 원인은 결국 사람 관리 소홀...관리적 보안 중요

[보안뉴스 이규형·최이주] 카드사 정보유출을 비롯해 근래 대다수의 보안사고는 내부 직원 또는 협력사 직원에 의해 발생되고 있다. 지금까지의 정보 및 기술유출사건 통계를 봐도 전현직 직원에 의한 유출이 대부분이다. 




결국 아무리 완벽에 가까운 기술적 조치를 구현했더라도 내부 직원이 다른 마음을 품는다면 보안사건·사고를 100% 막을 수 없다는 것. 어떻게 보면 내부의 적이 가장 무서운 셈이다.

이에 외부침입 가능성에 대한 보안대책 못지않게 내부직원을 대상으로 한 보안강화 노력이 매우 중요하다. 예를 들어 직원이라고 해서 모든 회사공간을 다니도록 하면 안 된다는 것과 직원이 사용하던 컴퓨터, 개인 노트북에 대한 관리감독도 철저히 해야 한다는 얘기다.

특히 기업 핵심기술 유출사건의 경우 가장 높은 비율을 차지하는 전기전자 분야를 비롯해 기계, 정보통신, 생명공학, 화학 분야 등 우리나라에서 핵심경쟁력을 보유하고 있는 다양한 분야에서 기술유출이 발생해 국가경쟁력 저하를 초래하고 있다. 이로 인해 주민등록번호 등의 개인정보뿐만 아니라 핵심기술 보호도 우리나라에 있어 매우 중요한 과제가 되고 있다.

우리나라 핵심기술을 빼내기 위한 중국 등 해외 산업스파이들의 광범위한 활동도 다음 사례에서 능히 짐작할 수 있다. 2012년 7월 10일 발생한 한국정보화진흥원 산업스파이 사건이 바로 그것.

한국정보화진흥원은 중국 국영방송사인 CCTV의 인터뷰 요청을 받고 답변서까지 정리했지만, 사전 질의와 달리 국가핵심기술과 관련해 매우 구체적으로 질문하자 인터뷰를 중단하고 곧바로 국가정보원에 신고했던 것으로 알려졌다. 조사결과 인터뷰를 하러온 중국인들 중 CCTV 방송사 소속은 1명밖에 없었던 것으로 밝혀졌다. 한국정보화진흥원 측의 현명한 대처로 인해 우리나라의 핵심정보가 중국으로 넘어갈 뻔한 상황을 모면했던 것이다.

이러한 개인정보 및 기술 유출 예방을 위한 핵심은 결국 사람 관리, 그 가운데서도  내부자 관리라고 할 수 있다. 이를 위해서는 기술적 보안은 물론 관리적·물리적 보안이 많이 요구된다. 기술유출사건을 경험한 중소기업의 경우 관리적 보안에 소홀한 경우가 대부분이다.    



이러한 관리적·물리적 보안과 관련해 보안커뮤니티 SecurityPlus의 박형근 대표는 “정부, 공공기관의 경우 물리적·관리적 보안수칙에 대해 발표하는 경우가 드물다. 물리적 보안 가이드가 없는 것도 피해 발생에 어느 정도 영향이 있다”며, “이에 물리적 보안 부문도 자세한 가이드를 수립해야 한다”고 설명하면서 기업과 일반인이 지켜야할 관리적·물리적 보안 계명에 대해 소개했다.

[기업에서 지켜야할 관리적·물리적 보안 7계명]
1. 출입 허가된 사람이나 허가 받지 않는 사람의 동선을 고려하여 물리적 보안을 설계하라.
- 지하 주차장으로부터 바로 오피스로 올라갈 수 있는 엘리베이터 구조
- 외부 사용자가 접근 가능한 화장실 위치
- 출입 절차가 고려되지 않은 접견실 위치

2. 보안 요구사항에 따라 출입통제 시스템과 프로세스에 대한 설계를 고려하라. 
- 출입통제 시스템 사용 여부 
- 출입통제 시스템 사용 시, 출입 등록 및 반입/반출 허가 프로세스 고려  
- 반입/반출 허가 품목에 대한 정의 및 탐지 방안  
- 출입통제 시스템과 더불어 보안·경비인 배치 여부

3. 출입통제에 대한 모니터링 및 감사 방안을 강구하라.  
- 회사 내, 데이터센터 내, 서버실 내, 문서고 내 출입통제 시 출입인원에 대한 모니터링 및 감사 방안  
- 출입통제 시스템 로깅, 출입통제 대장(기록문서), CCTV 등등  
- 출입통제 로그와 기록에 대해서는 주기적으로 점검 및 감사하고, 권한 없는 사용자의 출입 여부를 확인한다.

4. 퇴근 시에 시건 장치 및 클린데스크를 철저히 준수한다.
- 업무 편의성으로 문서고 등의 시건장치를 업무시간 대에는 열어 두더라도, 퇴근 이후에는 모든 시건장치는 잠그고 데스크 상의 문서는 방치되지 않도록 철저히 관리한다.

5. 출력물에 대해 입력, 출력, 보관, 복사, 반출 등 프로세스를 고려하여 중요(기밀) 문서에 대한 보호 대책을 강구한다.

6. 분실 및 물리적 보안사고 발생 시 신고할 수 있는 프로세스와 담당자 등을 확실히 한다.

7. 사용자에 대한 보안교육 내에 물리적 보안 부분도 포함한다.

[일반인이 지켜야할 관리적·물리적 보안 5계명]
1. 외부 컴퓨터 기기 방치 시 반드시 Security Cable Lock을 활용한다.
2. 퇴근 시 클린데스크를 준수하고 업무 책상의 시건장치를 모두 잠근다.
3. 보안상 중요 업무를 다룬다면 모니터 보안필름 사용을 고려한다.
4. 중요(기밀) 문서 출력 시 바로 회수하고, 페기 시에는 적법 절차를 따른다.
5. 출입카드나 업무용 디바이스 분실 시, 혹은 보안사고 의심 시 신고절차에 따라 보고한다.

이와 관련 박형근 대표는 “이제 물리적 보안과 기술적 보안 분야가 결합되는 추세라 두 부분의 차이점을 얘기하기 쉽지는 않다. 그래도 분류하자면 출입통제에서부터 시건장치, CCTV 등 디지털 매체에 접근하기 직전까지의 인증과 접근통제를 하는 것이 물리적 보안에서 다루는 주제”이라며, “작게는 문서고 보안부터 건물이나 데이터센터 보안을 다루고, 주로 불법적인 침입이나 악의적인 접근을 탐지하거나 혹은 폭탄과 같은 테러위협에 대응하는 것까지 매우 다양하지만, 실제 사람이나 손에 잡히는 것을 대상으로 한다는 점에서 기술적 보안과는 또 다른 점이라고 할 수 있다”고 밝혔다.  
[이규형(ttuu44@naver.com)·최이주(eju94@naver.com) 객원기자]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>