.gif)
물리보안 실패사례로 본 교훈... 기업보안협의회 제48차 정기세미나에서 논의
[보안뉴스 김성미] “물리보안이란 단순히 시스템 설치가 아닌 자산에 대해 가해지는 위협을 보안 통제수단으로 지키는 것.”
LG서브원 FM사업부 이상희 차장은 “보안통제는 무엇을 무엇으로부터 지키는 것인가에서 출발하며, 모든 물리보안은 취약점 스터디가 선행돼야 한다”며 이같이 정의했다.
▲한국기업보안협의회 제47차 정기세미나 모습
한국기업보안협의회(KCMC, 회장 안병구)는 지난 14일 서울 역삼동 강남파이낸스센터에서 제47차 정기세미나를 열고, 회원간 유대 강화와 함께 기업보안에 대한 최신 정보를 공유했다. 이날 이상희 차장은 세미나 강연자로 나서 ‘최근 물리보안 실패사례와 대응방안-기업 물리보안 컨설팅 사례를 중심으로’를 주제로 발표를 진행했다.
이날 이 차장은 최근 벌어진 정부서울청사 공시생 침입 사건이나 인천국제공항 밀입국 사건도 많은 시스템 투자가 됐음에도 물리보안 통제에서 오퍼레이션이나 아키텍쳐 상의 문제가 제대로 대응되지 않아 발생한 사건이라는 것이라고 꼬집었다.
이 차장은 “보안통제는 지키려는 자산은 무엇인지, 또 자산에 가해질 수 있는 위협은 무엇인지를 매칭해 실제 취약점을 도출해내야만 가능하다”고 설명했다. 계획 단계에서 모든 위협 요소를 다 열어놓고 보안 취약점을 물리적·논리적 수단으로 나눠 보안통제에 들어가야 한다는 것이다.
그는 “건물에 대한 보안은 건축설계 단계부터 검토되는 것이 가장 이상적”이라면서 “일단 건물이 지어지고 난 뒤에 이뤄지는 보안투자는 효과가 낮으며, 해소할 수 없는 문제가 여전히 남는다”고 말했다. 이 때문에 영국 등 선진국은 빌딩 건축 단계부터 건물의 보안성을 검토하고 있다고 덧붙였다.
이어 그는 “최적의 물리보안은 각 구역을 보안등급별로 나눠 필요한 보안통제 장치를 목록화한 다음 각 장비의 기능과 설치 높이를 고려해 실제 활용이 가능하도록 적용하는 것”이라고 말했다.
▲강연을 하고 있는 LG서브원 FM사업부 이상희 차장
이 차장에 따르면, 물리보안은 ‘아키텍쳐(Architecture)-시스템(System)-오퍼레이션(Operation)’의 3 겹(Layer)으로 이뤄지며, 3가지 요소를 모두 고려해야 한다. 첫 번째 레이어는 조명·조경·창문·펜스·출입문·외벽 등을 건축 구조상의 통제를 꼽을 수 있고, 두 번째는 출입통제·영상감시·침입경보 등 시스템상의 통제수단, 세 번째는 보안 관리자와 현장 보안요원 등을 포함하는 오퍼레이션상의 통제를 가리킨다.
이 차장은 “빌딩의 물리보안 기준은 3가지 요소를 고려해 제시해야 한다”면서, “아무리 높은 수준의 보안 시스템이 설치된다 하더라도 취약점을 충분히 고려하지 못했다면 허점은 여전히 남게 된다”고 말했다.
감시기를 설치했어도 위치가 너무 높아 감시 효과가 떨어진다거나, 출입문에 ID 카드 리더기나 지문인식기를 설치했다 해도 바로 옆에 창문이 열린 채 방치되고 있다면 외부인의 침입을 막지 못하는 상황이 종종 벌어진다는 것이다.
이 때문에 높은 수준의 보안장비가 언제나 정답은 아니며, 모든 위협에 대비하기 위한 취약점 스터디가 필요하다는 게 그의 설명이다.
한편, 한국기업보안협의회는 지난 2005년 11월 9일 창립된 산업보안 분야 전문가 집단이다. 회원으로는 국내 대기업과 중소기업 보안책임자 및 담당자, 외국계 글로벌 기업 CSO, 보안관련 학과 교수, 관련 협회 담당자 등 60여명이 참여하고 있다.
[김성미 기자(sw@infothe.com)]
[보안뉴스 김성미] “물리보안이란 단순히 시스템 설치가 아닌 자산에 대해 가해지는 위협을 보안 통제수단으로 지키는 것.”
LG서브원 FM사업부 이상희 차장은 “보안통제는 무엇을 무엇으로부터 지키는 것인가에서 출발하며, 모든 물리보안은 취약점 스터디가 선행돼야 한다”며 이같이 정의했다.
▲한국기업보안협의회 제47차 정기세미나 모습
한국기업보안협의회(KCMC, 회장 안병구)는 지난 14일 서울 역삼동 강남파이낸스센터에서 제47차 정기세미나를 열고, 회원간 유대 강화와 함께 기업보안에 대한 최신 정보를 공유했다. 이날 이상희 차장은 세미나 강연자로 나서 ‘최근 물리보안 실패사례와 대응방안-기업 물리보안 컨설팅 사례를 중심으로’를 주제로 발표를 진행했다.
이날 이 차장은 최근 벌어진 정부서울청사 공시생 침입 사건이나 인천국제공항 밀입국 사건도 많은 시스템 투자가 됐음에도 물리보안 통제에서 오퍼레이션이나 아키텍쳐 상의 문제가 제대로 대응되지 않아 발생한 사건이라는 것이라고 꼬집었다.
이 차장은 “보안통제는 지키려는 자산은 무엇인지, 또 자산에 가해질 수 있는 위협은 무엇인지를 매칭해 실제 취약점을 도출해내야만 가능하다”고 설명했다. 계획 단계에서 모든 위협 요소를 다 열어놓고 보안 취약점을 물리적·논리적 수단으로 나눠 보안통제에 들어가야 한다는 것이다.
그는 “건물에 대한 보안은 건축설계 단계부터 검토되는 것이 가장 이상적”이라면서 “일단 건물이 지어지고 난 뒤에 이뤄지는 보안투자는 효과가 낮으며, 해소할 수 없는 문제가 여전히 남는다”고 말했다. 이 때문에 영국 등 선진국은 빌딩 건축 단계부터 건물의 보안성을 검토하고 있다고 덧붙였다.
이어 그는 “최적의 물리보안은 각 구역을 보안등급별로 나눠 필요한 보안통제 장치를 목록화한 다음 각 장비의 기능과 설치 높이를 고려해 실제 활용이 가능하도록 적용하는 것”이라고 말했다.
▲강연을 하고 있는 LG서브원 FM사업부 이상희 차장
이 차장에 따르면, 물리보안은 ‘아키텍쳐(Architecture)-시스템(System)-오퍼레이션(Operation)’의 3 겹(Layer)으로 이뤄지며, 3가지 요소를 모두 고려해야 한다. 첫 번째 레이어는 조명·조경·창문·펜스·출입문·외벽 등을 건축 구조상의 통제를 꼽을 수 있고, 두 번째는 출입통제·영상감시·침입경보 등 시스템상의 통제수단, 세 번째는 보안 관리자와 현장 보안요원 등을 포함하는 오퍼레이션상의 통제를 가리킨다.
이 차장은 “빌딩의 물리보안 기준은 3가지 요소를 고려해 제시해야 한다”면서, “아무리 높은 수준의 보안 시스템이 설치된다 하더라도 취약점을 충분히 고려하지 못했다면 허점은 여전히 남게 된다”고 말했다.
감시기를 설치했어도 위치가 너무 높아 감시 효과가 떨어진다거나, 출입문에 ID 카드 리더기나 지문인식기를 설치했다 해도 바로 옆에 창문이 열린 채 방치되고 있다면 외부인의 침입을 막지 못하는 상황이 종종 벌어진다는 것이다.
이 때문에 높은 수준의 보안장비가 언제나 정답은 아니며, 모든 위협에 대비하기 위한 취약점 스터디가 필요하다는 게 그의 설명이다.
한편, 한국기업보안협의회는 지난 2005년 11월 9일 창립된 산업보안 분야 전문가 집단이다. 회원으로는 국내 대기업과 중소기업 보안책임자 및 담당자, 외국계 글로벌 기업 CSO, 보안관련 학과 교수, 관련 협회 담당자 등 60여명이 참여하고 있다.
[김성미 기자(sw@infothe.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
