| 보안 시스템 설계를 위한 핵심성과 지표들 | 2009.01.22 | ||||||||
시스템 제공자에게 정확한 솔루션을 제공할 책임을 부여하는 성과기반 요건 리스트 검토하기 \r\n
오늘날의 위험에 대처하기 \r\n당신의 조직에 적절한 보안 시스템을 개발하기 위해서는 먼저 전략을 세우는 것이 필요하다. 전략을 세우는 데 있어서는 핵심 비즈니스 프로세스를 정의하는 것이 첫 단계이고, 이러한 정의를 통해 보안에 필요한 자원과 시설을 파악할 수 있다. 이 때부터 이러한 자원들에 대한 위협을 고려할 수 있고, 위협의 발생 가능성이 높다고 생각되는 자원에 집중할 수 있게 된다. 비록 위협의 가능성이 적다할지라도 그러한 가능성이 비즈니스에 미치는 중·단기적 영향은 클 수 있다. \r\n전형적인 상거래 비즈니스의 프로세스 \r\n다음의 도표는 회사를 불안정하게 하는데 관련되는 몇 가지 중요 요소들을 보여준다. 인적 자원과 물질적 자원 안에 속하는 건물 또는 시설이 이러한 중요 요소에 포함된다. \r\n핵심 비즈니스 프로세스 \r\n비록 비즈니스마다 핵심 요소들이 다르기는 하지만, 모두 상당한 수의 공통적인 프로세스를 갖고 있다. 이 단계에서 우선과제를 결정하는 것이 중요하다. 일반적으로 다음 사항들이 혼합된 것이 우선적인 경향이 있다. \r\n·고객/시장 접근가능성 \r\n비즈니스 주문을 유지하기 위해서는 타깃 시장과의 연결 통로가 언제나 열려 있어야 한다. 고객은 언제나 짧은 시간 내에 공급자와 접촉할 수 있기를 바란다. 만약 고객의 메시지가 적어진다면 고객들이 우리의 상거래 능력에 대해 염려하기 시작한다는 것을 의미할 수 있다. \r\n·직원 \r\n직원들이 어떻게 회사에 접근하는가? 회사 건물에 출입구가 여러개 있을 경우, 각 출입구가 정확하게 보안 시스템에 의해 지켜질 필요가 있다. 회의를 하거나, 고객을 응대하거나 점심 식사를 할 때와 같이 직원들이 다른 일을 하는 동안 회사에게 개인 소지품을 믿고 맡길 수 있어야 한다. 직원들은 그들이 일하는 장소와 일하는 환경, 같이 일하는 동료들을 믿어야 하고, 회사는 그런 분위기를 만들 필요가 있다. 그리고 이와 함께 중요한 것으로 접근 포인트가 직원의 욕구에 부합해야 한다는 것이다. 예를 들어 휠체어를 타는 직원에게는 휠체어를 타고 통과할 수 있는 보안 시스템이 있어야 한다. 우리의 직원들이 존중되고 보호되며 안전하다고 느끼게 하기 위해서 어떤 조치들이 필요할까? 이러한 조치는 근무환경과 수행하는 일의 유형에 따라 다르다. 예를 들어 축구장에서 근무하는 직원과 물류창고에서 근무하는 직원의 안전 요구사항은 다를 수밖에 없다. \r\n·프로세스, 장비, 플랜트, 기계 \r\n이러한 요인들이 하나뿐이라면, 즉 만약 그러한 물건이 손상되거나 도난당하거나 고장날 때 대용품이 없다면, 이러한 요인이 중요하게 된다. \r\n·회사 소유지 \r\n회사 소유지가 비즈니스를 수행할 수 없을 정도로 손상을 입으면, 분명히 비용 손실이 따르게 된다. 물론 ‘회사 소유지’를 그대로 이용할 수 있고, 다른 장소로 이동할 수 있다 하더라도 그와 관련된 시간과 비용이 막대할 수 있다. \r\n·재고 \r\n회사가 어떠한 종류의 재고를 갖고 있는가? 괜찮은 품질을 가진 전자제품이 저가의 부품보다 타격을 입을 가능성이 더 크다. \r\n·지역 서비스와 기반 시설 \r\n우리는 지역 서비스와 기반 시설 같은 요인들에 대해 별로 제어권을 가지고 있지 못하다. 따라서 만약 사고가 발생할 경우 사업이 입을 수 있는 심각한 혼란을 방지하기 위해 우리 스스로 이에 대한 대비책을 가지고 있는 것이 최선이다. \r\n·교통, 통신, 수도, 전기, 가스 \r\n교통, 통신, 수도, 전기, 가스 같은 서비스들이 두절될 경우 그 결과는 실로 엄청나다. 그러므로 비즈니스 전략을 세울 때 이러한 두절과 예비 전력의 두절을 방지하기 위한 보호 대책을 세우는 것이 필수적이다. \r\n민감성과 단일성 \r\n민감성과 단일성을 결정하는 데 단순한 차트가 도움이 될 수 있다. 일단 민감성과 단일성이 파악되면, 이러한 요인들을 보호하고 위험을 제거하는 데 도움이 될 절차가 실행될 수 있다. 또한, 잠재적 위험의 우선순위를 정하기 위해 이러한 민감성과 단일성 항목들의 순위를 정하는 것도 가능하다. \r\n·위험 평가하기 \r\nI-AM 상사라는 허구적 회사를 가정해 위험을 평가하는 법을 배워보도록 하자. \r\n- I-AM 상사는 연간 매출이 1백만 파운드(약 20억 원)가 되는 회사이다. \r\n- 충성스러운 고객과 만족을 느끼는 고객의 수는 300명이다. \r\n- I-AM 상사에는 성실한 직원들이 있다. \r\n- I-AM 상사는 약 50개의 공급업체로부터 물품을 구매한다. \r\n- I-AM 상사는 동업종에서 선도적인 기업이다. \r\n- 원재료의 비용은 다양하지만 일부의 비용은 상당히 높다. \r\n- I-AM 상사는 전문가 핵심 팀을 두고 있다. \r\n알려진 연간 비용인 60만 파운드(약 12억 원)에서 우리는 이러한 비용의 사용처를 제한할 필요가 있다. 이제부터 여러분은 운영비가 잠재적 위험에의 노출과 어떻게 등가가 되는 지 정의할 수 있다. \r\n\r\n
\r\n
- 제공된 시설, 프로세스, 또는 사람의 손실이 전체 사업을 멈추게 할 수 있다. \r\n- 청구서 금액의 차감 지불과 감소가 비즈니스 연속성 손실을 평가하는 실질적 방법이다. \r\n- 그러므로 각 위험 포인트에 대해 복구비용과 손실시간이 결정되어야 한다. \r\n- 복구비용과 손실된 청구서 비용을 합해 손해를 본 금액을 파악할 수 있다. \r\n- 돌아오는 소득(Output) 손실의 주요 영향은 만약 여러분이 고객 저변에 공급을 할 수 없다면 고객들이 대체 공급자인 여러분의 경쟁자들을 찾게 될 것이라는 것이다. \r\n그러므로 사고가 발생하는 경우 복구비용과 잃어버린 일 수, 시장 점유율로 인해, I-AM 상사 같은 연매출액 1백만 파운드(약 20억 원)의 회사가 손해를 입게 되는 것이 당연하다. \r\n총 위험 가치 638,000 파운드(약 12억7천6백만 원) \r\n위험에 대해 보험에 가입할 수 있는가? \r\n그렇다. 여러분은 보험에 가입해 위험비용을 상쇄할 수 있다. 그렇지만 위험을 감소시키기 위해 여러분이 하고 있는 조치들에 대한 보험회사의 질문에 대답할 준비가 되어 있어야 한다. 그런 질문에 대답하기 위해서 여러분은 문제를 어떻게 다루어야 하고, 어디서 여러분의 사업에 위협이 발생할 수 있는지 충분히 이해해야만 한다. \r\n예를 들면 : \r\n- 비즈니스 외 \r\n- 비즈니스 내 \r\n- 자연재해 \r\n- 테러와 행동주의자 집단 \r\n- 근접 사업 \r\n- 화재 \r\n- 대중 \r\n- 공익설비 장애 \r\n- 기반시설 장애 \r\n- 기회주의자 \r\n- 경쟁자, 방문자 또는 고객 \r\n등의 요소가 있을 수 있다. 일단 이 모든 요인들을 고려하고 나서, 비즈니스 위험 목록에 대한 잠재적 위협을 비교 검토하여 확률을 분석할 수 있다. 일반적으로 위협당 300,000 : 1의 비율을 사용하는 것이 현실적이다. 확률을 결합시키는 것이 모든 요소들에 대해 가능성을 100 : 1 또는 500 : 1 가까이로 감소시킬 수 있을 것이다. \r\n예산 책정하기 \r\n우리는 이미 연매출이 1백만 파운드인 I-AM 상사가 638,000 파운드의 위험을 갖는다고 결정했다. 가장 명백한 가능성을 제거하는 것이 회사에 이득이 되는 셈이다. \r\n만약 우리가 아주 조심스러운 200 : 1의 가능성을 생각한다면, 우리의 비즈니스 연속성과 보안에 드는 예산을 연간 3,190 파운드(638,000 파운드의 200분의 1)에서 결정할 수 있다. \r\n보안 개선에 따른 다른 장점 \r\n보안 시스템이 면밀하다면 보험에 들 필요가 없다. 면밀한 보안 시스템은 또한 사업과 고객 및 직원관리에도 도움을 줄 것이다. 예를 들어, 소매점에서 CCTV를 오직 절도 감시에만 사용할 필요는 없다. 고객들이 매장을 사용하는 방법과 가장 바쁜 시간대, 고객들의 동선, 고객들이 물건을 찾고자 돌아다니는 시간 등을 알기 위해서도 CCTV가 사용될 수 있다. \r\nCCTV로 인해 신변 안전도 증가되기 때문에 직원들도 보안 개선으로 인해 도움을 얻는다. 은행에서 접근제어 같은 실질적·전자적 보안을 현명하게 사용할 때, 은행이 일반인들로 인해 입을 수 있는 위험이 급격히 감소되게 된다. \r\n물론 CCTV로 녹화된 테이프는 발생할 수 있는 사건을 기록하여 경찰이 물건을 회수하고, 범법자를 형사 조치하는 데 도움을 주도록 경찰에 인계될 수 있다. \r\n연간 3,190 파운드(약 638만원)의 예산 \r\n그러므로 일단 I-AM 상사가 연간 3,190 파운드(약 638만원)의 예산을 따로 남겨두면, 손실 감소 같은 다른 이슈를 고려하기 전에 접근제어와 CCTV 시스템을 설치할 수 있는 임대 계약을 체결할 수 있다. \r\n접근제어에 대한 KPI 정하기 \r\n그 장소에의 접근을 필요로 하는 모든 집단을 결정하고, 각 집단의 이슈를 결정하는 일이 첫 번째 단계이다. \r\n·접근에 대한 유효시간대 \r\n각 사업마다 영업시간이 다르기 때문에 영업시간을 고려해야 할 필요가 있다. 유지관리 또는 IT 사무실에의 접근은 때로 일주일에 7일, 하루 24시간 가능하다. 그러나 도시 기반 사업에서 종종 사람들과 술을 마시는 사교적인 직원들은 만약 늦은 시간에 사무실에 갈 수 있다면 그렇게 하고자 할 수 있고, 이것이 회사에 불필요한 위험을 초래할 수 있다. 분명한 것은 모든 직원들이 동일한 근무 시간 내 접근할 필요는 없다는 것이다. \r\n·근무 장소와 접근 경로 \r\n여기서는 물질적인 위치와 각 위치의 관련 위험을 조사한다. 각 구역은 관련 사용자 유형을 고려해 접근 경로가 모여 있도록 형성되어야 한다. \r\n·주요 위치(CL) 또는 접근 포인트 \r\n주요 위치(CL)나 접근 포인트는 중요한 가치를 갖는 영역 또는 위험한 것으로 간주될 수 있는 영역을 말한다. IT실, 현금 취급실, 연구실 또는 생물재해 연구실, 위험물질 저장소 등이 주요 위치 또는 접근 포인트의 예가 된다. \r\n·월별 카드 발행 \r\n건물의 여러 구역에 접근하기 위해서는 직원, 계약자, 방문자들 모두 카드나 토큰을 발급받거나 등록해야 한다. 여러분은 매일 이러한 카드 발행과 등록 일을 할 때 드는 비용과 노력 뿐 아니라 그러한 시스템을 설치하고 관리하는데 드는 기술적인 요구사항을 고려해야 한다. \r\n일단 이 시스템이 결정이 되면, 시스템 관리자와 중앙 시스템 사용 여부 또는 관리 시스템 사용시점을 고려해야 한다. \r\n좀 더 깊이 파고들면, 고려해야 할 무수한 요소가 있다. \r\n- 일일 통행 인원에 대한 사용 용이성 \r\n- 장애인 또는 짐을 들고 있는 직원에 대한 사용 용이성 \r\n- 지정통로출입방식(anti-passback) 및 외부인에게 누구인지 묻기 \r\n- 출입구가 예상 통행 인원을 수용할 수 있어야 하고, 사용을 함에 있어 견실해야 한다. \r\n- 변화 관리·변화 관리의 용이성과 변화관리 책임자 \r\n- 열쇠, 사슬 또는 토큰의 유형과 가격 \r\n- 소방 안전 합격 \r\n출입통제와 CCTV 시스템을 결합하는 능력은 많은 경우 제어를 더 확실하게 하고, 회사 장소 주변의 사람들을 추적하는 강력한 옵션이다. \r\nCCTV에 대한 KPI 정하기 \r\n접근제어와 같이, 파악되어야 할 많은 핵심 성과 지표가 있다. \r\n·관찰의 목적 \r\n개입 : 경찰의 반응을 일으키기 위해 무엇을 사용할 것인가? CCTV는 일반적으로 경보를 유발하거나 직원이나 보안 직원을 실시간으로 감시하는 경향이 있다. 사건 탐지와 기소를 위해 사건을 보관하는 것으로써, CCTV 시스템은 직원이나 경찰이 실마리를 알 수 있도록 단순히 사건을 관찰한다. \r\n·사건 통지를 위해 시간 틀 정의하기 \r\n시간 틀 정의는 시간 또는 일에 관련된 것으로, DVR의 녹화 용량과 직접적으로 관련된다. 특히, 빠른 대응이 필요할 경우는 이벤트 발생과 함께 경보가 울리도록 설정될 필요가 있다. \r\n·주요 위치 정하기 \r\n주요 위치 정하기는 내·외부 위치 모두와 관련된다. 일단 주요 위치가 정해지면, 그러한 위치로의 접근을 제어하고 감시할 필요가 있다. \r\n·통행 상태와 주기 파악하기 \r\n가장 통행이 빈번한 경로를 대상으로 해 정체현상이 일어나는 통로와 지름길을 모두 파악하도록 한다. \r\n·책임 할당 명백하게 하기 \r\n전체 시스템의 관리에 대해 책임이 분명하게 할당되도록 하는 것이 필수적이다. 책임이 분명하게 할당되어 있을 때 중요 정보가 간과될 수 있는 혼란을 예방할 수 있다. 시스템을 ‘보호하는’ 단 하나의 접촉점을 두는 것이 가장 효과적인 제어법이다. \r\n·증거를 확보하는 방법과 위치 정하기 \r\n이 부분에서 다루는 세 가지 주요 옵션이 있다. \r\n1. 캡처 포인트 - 실시간으로 전송하기에는 이미지 사이즈가 너무 클 때 \r\n2. 로컬 하드디스크 리코더에서 저장되어 네트워크 전송될 때 \r\n3. 보안 사무실에서 증거 확보 - 모든 정보가 실시간으로 해당 지점에 도착될 필요가 있다. \r\n조금 더 파고 들어가면 실제 CCTV 시스템에 대한 핵심 성과 지표(KPI)를 조사할 수 있다. \r\n- 이미지가 선명하고, 목적을 충족하기에 적절해야 하는 것이 중요하다. \r\n- 모든 와이드 뷰에는 관련 클로즈업 뷰가 있어야 한다. \r\n- 직원 관리를 위해 누가 언제 무엇을 하고 있었는지 아는 것이 중요하다. \r\n- 법적, 형법적 또는 보건과 안전의 목적 상, 식별 뷰는 주요 표적이 서 있을 곳에서 측정된 수직 가장자리를 따라 1.3m 이하가 되어야 한다. \r\n- 이미지를 내보낼 때, 다음 요소들이 중요하다. \r\n# 분리형 매체인 CD, DVD, 스마트미디어 \r\n# 인쇄 가능 스틸 샷 - 주체의 접근 권리를 충족시키는 것 (정보보호법의 중요 부분) \r\n카메라를 설치하는 위치의 중요성 \r\n \r\n 카메라의 좋은 포지션을 보여주는 예(출처 : Norbain) \r\n
\r\n \r\n \r\n\r\n\r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n 일단 여러분의 CCTV 시스템에 해당하는 모든 기준을 준수했다면, 선명하고 사용 가능한 이미지를 얻을 수 있도록 CCTV를 제대로 설치하는 것이 중요하다. 이 목적을 위해 Rotakinⓒ이 사용될 수 있다. \r\nRotakinⓒ은 높이 160cm, 폭 40cm인 표준 시험 표적이다. CCTV의 성능이 Rotakinⓒ이 표적 위치에 놓이거나 성능 한도라 생각되는 극한 위치에 놓일 때 카메라가 포착한 수직 시계의 비율로 측정될 수 있다. \r\n4가지 주요 성과 수준은 다음과 같다. \r\n1. 식별 - 낯선 사람을 식별할 수 있을 정도로 촬영 영상이 커야 한다. \r\n2. 인식 - 우리가 표적을 이미 알고 있을 수 있으므로 식별보다 덜 중요하다. \r\n3. 탐지 - 외부인의 존재를 경계하게 된 관찰자가 최소한의 검색으로 화면 내에서 표적을 찾아낼 수 있어야 한다. \r\n4. 감시와 통제 - 이러한 유형의 영상은 축구장에서 축구 경기가 열릴 때처럼 군중들 내에서 이례적인 행동을 찾는 이벤트 관리에 적합하다. \r\n기회를 감소시키지 말라 \r\n가능한 한 표적에 가깝게 이미지를 잘라내는 것이 중요하다. 화면이 넓어지면 표적이 작아지므로 식별이 더 나빠지게 된다. \r\n또 다른 고려점은 이미지를 포착하는 시점이다. 이미지는 종종 건물에 들어갈 때, 예를 들어 프런트로 갈 때 포착된다. 그러나 이 때 고려해야 할 두 가지 중요한 요점이 있다. 첫째, 문을 통해 들어오는 빛 때문에 종종 실제로 각 사람의 상세한 모습을 보기가 어렵다라는 것과 둘째, 단순히 그 건물에 들어왔다고 해서 그 사람이 범죄를 저지른 것은 아니라는 것이다. 카메라를 설치할 수 있는 더 적절한 위치는 사람들이 건물에서 나가는 모습을 녹화할 수 있는 곳이다. 이런 식으로 사람들이 물건을 들고 나가는지 알 수 있고, 이 때는 조명이 좀 더 균형적이기 때문에 세부적으로 선명하게 찍히게 된다. 식별 가능성을 더 높이기 위해서는 화면이 촬영되고 있는 동안 초당 적어도 세 컷이 찍히도록 할 필요가 있다. \r\n이미지 표준 \r\nCCTV 시스템의 이미지의 질을 알기 위해서는 공급자나 제조자에게 상세한 샘플 이미지를 요청할 필요가 있다. 샘플 이미지는 녹화된 이미지의 최소 품질 수준의 표본이 되어야 한다. 그러고 나서 최종 녹화된 이미지를 샘플과 비교할 수 있다. 이때 녹화 이미지와 샘플의 품질이 동일해야 한다. \r\n대상 콘텐츠 \r\n이미지를 통해 카메라가 어떤 위치에 설치되었는지 알 수 있다. 여기서 우리는 다음과 같은 부분을 파악할 수 있다. \r\n- 하나의 인식 샷 > 50%R \r\n- 하나의 식별 샷 > 120%R \r\n이러한 샷들은 > 20%R의 관찰 또는 Context View에 가치를 추가한다. 사업을 일반적 비즈니스 위험으로부터 보호하고자 하면, 시스템이 비즈니스 작동 방식에 적합한 보안을 제공하게 하여 가장 경제적인 가치를 얻고자 할 필요가 있다. 이런 식으로 사고가 영업시간 중에 발생했는지, 야간에 비즈니스가 방치되었는지 확인할 수 있다. 더 나아가 ‘사고를 낸 자’를 찾아낼 수도 있을 것이다. \r\n\r\n 글_ Lan Fowler, Technical Training Manager of Norbain(http://www.norbain.co.uk/) |
|||||||||
 |
