\r\n\r\n\r\n |
\r\n
흔히 보안영역의 유형은 물리보안, 정보보안, 관리·인적보안으로 구분하고 있다. 우선 물리보안이란 물리적 보안(Physical Security)을 줄여서 쓰는 용어로 물리적 방법이나 수단을 활용한 보안형태를 말하며, 물리적 보안 영역은 자원이나 정보를 물리적으로 대응할 수 있는 기술적·환경적 통제의 범위다. 그리고 물리적 보안 위협이란 지진·화산·태풍·홍수·폭설 등과 같은 자연재해와 외부로부터 물리적 보안영역 안으로 침입하거나, 내부에서 물리적 보안영역 밖으로 자원과 정보의 유출이라고 할 수 있다. 그런 점에서 물리보안은 물리적 보안영역 안에서 물리적 보안위협으로부터 정보·인명·시설을 보안하는 것을 의미하며 융합보안에서의 물리보안은 경비업법상 시설경비와 기계경비 등이 포함된다.
\r\n
둘째, 정보보안이란 모든 정보자원(데이터를 처리하여 가공한 결과)에 대하여 허가되지 않은 접근으로 위조, 변조, 유출, 훼손 등과 같은 정보보안 사고로부터 정보의 무결성, 기밀성, 가용성을 제공하는 것으로, 가용성(Availability)은 내부의 정보자원(파일, 데이터베이스 등)에 대해 허가된 사용자에게만 사용하도록 허가 하고 그 이외 불법적인 접근을 불허하는 것이다. 그리고 기밀성(Confidentiality)은 내부의 정보처리 과정을 외부에서 보거나 확인할 수 없도록 하는 것으로 내부 자료나 전송자료에 대해 인가된 사용자 이외에는 내용을 확인할 수 없도록 하는 것을 말한다. 또, 무결성(Integrity)은 내부 정보가 인가된 사용자 이외에는 내용의 변경이 불가능하게 한 것이다. 즉, 불법적으로 정보가 위조되거나 원래 정보가 변조됨이 없이 완전하게 유지되는 것이다.
\r\n
마지막으로 관리·인적보안이란 보안에 있어 시설, 전산, 문서 등 어느 것 하나 중요하지 않은 것이 없지만, 이러한 모든 것의 관리·운영 주체는 사람이고 보안을 위한 가장 중요한 관리 요소인 인력에 대한 관리이다. 예를 들면, 직원의 채용·재직·퇴직에 따른 인적보안 체계를 수립하여야 하고, 외부인원의 출입에 대한 보안체계도 수립되어야 한다.
\r\n
\r\n
복합적 보안위협의 경로
\r\n
보안위협은 물리적, 정보적, 인적·관리적으로 안전을 유지하고 있는 상태에 대하여 강제적으로 불안전한 상태로 만들려는 공격행위를 말한다. 이러한 보안위협의 경로는 두 가지 유형이 있다. 우선 하나는 내부에서 외부로의 보안위협이다. 내부에서 외부로의 정보유출 경로는 직접유출과 사내·공공망 유출 등으로 직접유출은 내부 임·직원이 중요한 자료를 노트북, HDD, USB 등의 저장장치와 프린터 등을 이용하여 복사한 후 물리적 보안검색을 피하여 외부로 정보를 유출하는 것이다. 그리고 사내·공공망 유출은 사내 인트라넷이나 인터넷을 이용하여 e-Mail 등을 통해 전송한 다음 외부에서 이를 다운받는 형식의 정보유출이다.
\r\n
또한, 외부 침입으로 인한 정보유출은 간접유출과 사내·공공망유출이 있다. 간접 유출은 외부인은 내부 임·직원과 공조하여 이들로 하여금 중요 정보를 직접 유출하는 형식의 정보 유출을 말한다. 사내·공공망 유출은 외부인이 해킹을 통해 기업의 서버에 접근, 정보를 유출시키는 방법이다. 내부의 임·직원이 동조하여 ID·패스워드 정보를 제공하는 방식과 악성코드를 이용하여 접근하는 방식 등이 있다.
\r\n
\r\n
보안위협의 증가와 대응방안
\r\n
보안위협이 갈수록 증가하고 복합적으로 발전하고 있다. 특히 보안위협이 증가한 이유 중의 하나는 IT기술의 발전으로 시공간의 벽이 허물어지고, 목적이 뚜렷한 타깃(Target)형의 테러수준으로 발전했기 때문이다. 공격 형태 또한, APT(Advanced Persistent Threat)와 같이 다양한 IT 기술과 방식들을 이용해 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 조직적이고 지속적으로 특정 대상에게 가하는 일련의 행위로서 복합화 된 악성공격 형태로 변화하였다. 이러한 보안위협에 앞서 보안에 대한 인식의 부족과 사전적 보안조치보다 사후적 대응을 중시하던 기존의 보안 패러다임의 한계가 보안위협을 증가시킨 것으로 보안위협에 대응방안으로는 관리적 측면, IT 측면, 제도적 측면에서 살펴볼 수 있다.
\r\n
첫째, 관리적 측면에서 내부위협 요소와 외부위협 요소에 대한 대응이 필요하다. 내부 보안은 기업의 중요한 정보가 기업 내에서 이루어지므로 내부자의 부정한 행위 등에 대한 문제점이 있다. 이를 개선하기 위해서는 중요한 정보를 쉽게 변경하거나, 외부로 유출할 수 있는 대상인 내부자에 대한 대비책을 준비하여야 하며 위협요인을 파악해야 한다. 또, 기업은 모든 잠재 위협을 목록으로 정리하여 그 위협에 대한 시뮬레이션을 실시하여 현실화 될지를 분석하고, 현실화된 위험의 피해정도를 계량화하여 기술적 조치를 취해야 한다.
\r\n
그리고 직원 신상파악이 중요하다. 보안부서 등 비밀 업무를 취급하는 부서에 근무하게 될 사람은 채용 전에 신원 배경을 확인하여야 한다. 또, 보안교육이 실시되어야 한다. 회사의 보안규정 숙지와 보안에 대한 자신의 역할과 비밀 자료를 보호할 책임이 있다는 점을 이해시키고 보안에 대한 인식을 전환하는 노력이 필요하다. 아울러 등급별 자료 분류가 필요하다. 중요 정보 자료에 대한 비밀분류 시스템을 갖춰 각 단계마다 허용되는 접근 통제 등급과 통제수준을 설정해야 한다.
\r\n
\r\n
CPTED를 활용한 외부 보안 관리
\r\n
이와 함께 외부 보안위협으로부터 보호를 하기 위한 방법의 하나로 환경설계를 통한 범죄예방인 CPTED(Crime Prevention Through Environmental Design)를 활용한 외부 보안 관리를 들 수 있다. 이것은 업무 영역성(Territoriality)의 강화, 접근통제(Access Control), 자연적인 감시(Natural Surveillance) 등의 기본원리를 가지고 있으며, 주거공간을 중심으로 정의되고 적용된 것을 기업의 보안에 CPTED의 기본원리가 응용될 수 있다고 본다.
\r\n
기본원리를 살펴보면 먼저 업무 영역성의 강화이다. 관리하고 있고 소유하고 있는 영역에 대하여 내·외부인이 쉽게 접근하지 못하게 하여 정보유출을 예방하는 원리이다. 그 다음은 접근 통제다. 정보보호를 위하여 물리적 보안에 있어서 가장 선행되어야 할 것은 보호대상의 우선순위를 정하는 것이다. 우선순위를 결정하고 출입카드나 바이오인식 장치를 이용한 접근통제를 통해 정보 유출을 예방하는 원리다. 마지막으로 자연적 감시를 들 수 있다. 공간에 대해 시야확보를 통한 범죄예방의 원리로 예를 들어 1층 전체 출입구를 유리로 만들어 오고 가는 사람, 오랫동안 서성이는 사람들의 확인과 엘리베이터 공간도 외부에서 볼 수 있도록 투명한 재질로 하여 정보 유출을 시도하는 사람의 불안한 심리상태를 유도하여 정보유출을 예방하는 원리다. 또한, 사각지대 없이 조명을 설치하고 밝기를 조절하여 출입자를 확실하게 확인할 수 있는 설계와 기계적 감시인 CCTV를 활용하여 고립지역을 개선해야 한다.
\r\n
둘째, IT 측면에서는 정보 통신망 접근통제다. 정보처리 시스템에 대한 접속 권한을 IP 주소 등으로 제한해 인가받지 않은 사용자의 접근을 제한해야 한다. 또한, 정보처리 시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하고, 전보 또는 퇴직 등 인사이동이 발생해 개인정보취급자가 변경되었을 경우 지체 없이 정보처리 시스템의 접근권한을 변경 또는 말소해야 한다.
\r\n
또, 외부 접속 시 가상사설망 보호대책이 필요하다. 가상 사설망(VPN, Virtual Private Network) 서비스의 이용으로 인터넷 공공망의 불안전한 요소를 완벽한 보안 환경으로 구축할 수 있다. VPN의 보안은 ‘터널링(Tunneling) 기술’과 ‘암호화 기술’이 합해진 서비스로서 터널링은 시작점에서 목표지점까지 터널을 형성하여 외부의 영향을 받지 않는 가상적인 터널을 형성해 정보를 주고받게 되므로 다른 사용자로부터 보호를 받는 구성으로 되어있다. 그리고 기업 및 기관은 정보의 암호화 관리를 위해 먼저 관리하고 있는 정보를 식별 가능성, 노출 민감도 등에 따라 분류한 후, 중요도가 높은 정보를 선별적으로 암호화하여 관리해야 한다.
\r\n
셋째, 제도적 측면에서 관리기능의 일원화가 필요하다. 국가정보원, 행정안전부 등 정보보호를 담당하고 있는 기관이 사실상 분리되어 운영되고 있다. 사전적 예방측면의 정책과 사후 대응측면의 관리부처를 일원화하여 정책 간의 연결성과 일관성 있는 대응체계가 이뤄져야 한다.
\r\n
또, 정보보호를 위한 우수인력을 양성하기 위해서는 제도적·정책적인 지원을 통하여 사회적인 분위기를 조성할 필요가 있다. 기업이 정보보호 관련 자격증 소지자 및 전문 학위 소지자에 대해서 채용 시 인센티브를 부여하는 등의 정책적 지원을 적극적으로 해야 한다. 무엇보다 끊임없이 급변하는 정보통신 시스템 및 정보보호 기술전반에 대한 지식이 필요한 업무의 지속성과 연속성을 위해 정규직 정보보호 인력 확보가 필요하다.
\r\n
\r\n
융합보안의 대두와 융합보안의 전망
\r\n
이러한 보안위협에 대응하기 위해 융합보안이 대두된 것이다. 우리나라에서 융합보안이라는 용어는 지식정보보안 산업의 세분화 분류과정에서 처음으로 사용된 용어로서 물리보안과 정보보안을 합친 개념이다. 즉, 정보보안 또는 물리보안이 非 IT기술 또는, 다른 산업과 융합, 창출되는 것이다.
\r\n
2008년 IDC에 의하면 세계 지식정보보안 산업의 시장 규모는 2007년 기준, 1,800억 달러로 연평균 약 12.7%대의 높은 성장률을 기록했고, 2013년경 지식정보보안 산업의 시장은 3,680억 달러(약 460조원) 규모로 증가할 것으로 전망했다. 국내 지식정보보안 산업 시장의 경우도 2007년 약 3조 1천억 원으로 세계시장 대비 1.7% 수준에서 2013년에는 18조 4천억 원의 규모로 증가할 것으로 전망했다. 융합보안의 성장률이 세계시장에서는 13.23%, 국내시장에서 51.40%로 성장 가능성이 매우 높은 분야임에 틀림이 없고 그에 따라 고부가 가치의 산업으로 발전할 수 있을 것이다.
\r\n
\r\n
융합보안의 발전방향
\r\n
융합보안의 발전방향을 업계의 대응과 법·제도적 대응으로 나누어 살펴보면 다음과 같다.
\r\n
첫째, 물리보안업계와 정보보안업계의 적절한 대응이 필요하다. 하나는 물리보안 업계의 대응이다. 지식정보사회에 들어오면서 정보의 가치가 높아짐에 따라 보안의 개념이 정보보안영역으로 바뀌고 있고 상대적으로 물리보안의 영역이 정보보안의 영역에 흡수화 또는 잠식화 되는 양상을 점차 보이고 있다.
\r\n
따라서 융합보안의 시대를 맞이하여 물리보안 업계도 기존의 보안영역만을 고수할 것이 아니라 보안환경변화에 맞추어 새로운 비즈니스 기회를 만들기 위해 IT 기술을 접목한 기기 및 제품을 개발하고 정보보안 영역으로의 개방이 필요한 시점이다.
\r\n
또 하나는 정보보안 업계의 대응이다. 발전하는 보안위협으로부터 정보를 보호하기 위한 정보보안 산업이 급속하게 발전하고 있다. 하지만 보안위협의 복합·대형화 되면서 보안영역 중 어느 한 영역만으로는 보안위협에 대처할 수 없게 되었다. 따라서 기초적 보안영역인 물리적 보안영역과 정보보안 영역간의 수평적 관계가 이루어져야만 급속히 발전하는 보안위협으로부터 정보를 보호할 수 있을 것이다.
\r\n
둘째, 법 및 제도적 대응이 필요하다. 시대의 흐름에 따라 보안 영역의 확보가 다양화되고 있는 보안위협으로부터 정보 및 자산을 지키는 것이 중요하다. 따라서 다변화된 보안 위협에 노출되어 있는 정보화 사회에서 전문적 보안기능을 담당할 수 있는 영역의 구축과 더불어 제도적 장치가 마련되어야 한다.
\r\n
보안위협으로부터 보안활동에 근간이 되는 요소 중 법 체제를 살펴보면 물리보안과 관련하여 경비업법을 중심으로 보안활동이 이루어지고 있고, 정보보안과 관련하여 개인정보보호법과 부정경쟁방지 및 영업비밀보호에 관한 법률, 산업기술 유출방지 및 보호에 관한 법률 등으로 보안활동이 이루어지고 있다. 하지만 영역에 대한 경계가 애매모호하고 담당하는 부처가 각기 다르기 때문에 복합적 보안위협으로부터 보안활동을 하는데 있어 다원적 법체제로인한 에너지 소모가 있을 수 있다. 따라서 다원적 법 체제에 대한 기본법을 제정하여 효과적인 보안활동이 이루어져야 할 것이다.
\r\n
\r\n
<글 : 시큐리티월드 편집부>
\r\n
\r\n
[월간 시큐리티월드 통권 제195호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>
