복합적 보안위협에 따른 융합보안 발전방향

출처 : 시큐리티 월드 2013.04 호

출처 : 전자신문

1. 보안영역의 유형

1) 물리보안

- 물리적 방법이나 수단을 활용한 보안형태

- 물리적 보안 영역 : 자원이나 정보를 물리적으로 대응할 수 있는 기술적, 환경적 통제의 범위

- 물리적 보안 위협 : 지진, 화산, 태풍, 홍수, 폭설 등과 같은 자연재해와 외부로부터 물리적 보안영역

   안을 침입하거나, 내부에서 물리적 보안영역 밖으로 자원과 정보의 유출

2) 정보보안

- 모든 정보자산(데이터를 처리하여 가공한 결과)에 대하여 허가되지 않은 접근으로 위조, 변조, 유출,

   훼손 등과 같은 정보보안 사고로부터 정보의 무결성, 기밀성, 가용성을 제공하는 것

3) 관리, 인적보안

- 관리, 운영 주체는 사람이고 보안을 위한 가장 중요한 관리 요소인 인력에 대한 관리

2. 보안위협

1) 내부 -> 외부

가. 직접유출

- 내부 임직원이 중요한 자료를 노트북, HDD, USB 등의 저장장치와 프린터 등을 이용하여

   복사한 후 물리적 보안검색을 피하여 외부로 정보를 유출

나. 사내, 공공망 유출

- 사내 인트라넷이나 인터넷을 이용하여 e-mail 등을 통해 전송하 다음 이를 다운받는 형태

2) 외부 침입

가. 간접유출

- 외부인은 내부 임직원과 공조하여 이들로 하여금 중요 정보를 직접 유출

나. 사내, 공공망 유출

- 외부인이 해킹을 통해 기업의 서버에 접근, 정보를 유츌시키는 방법

- 내부의 임직워이 동조하여 ID, 패스워드 정보를 제공하는 방식

- 악성코드를 이용하여 접근하는 방식

3. 보안위협 대응방안

1) 관리적 측면

가. 내부자의 부정한 행위에 대한 대응

- 중요한 정보를 쉽게 변경하거나, 외부로 유출할 수 있는 대상인 내부자에 대한 대비책 준비와

   위협요인을 파악해야 함

- 기업은 모든 잠재 위협을 목록으로 정리하여 그 위협에 대한 시뮬레이션을 실시하여 현실화

   될지를 분석

- 현실화된 위험의 피해정도를 계량화하여 기술적 조치를 취해야 함

나. 직원 신상파악

- 보안부서 등 비밀 업무를 취급하는 부서에 근무하게 될 사람은 채용 전에 신원 배경을 확인

다. 보안교육 실시

- 회사의 보안규정 숙지

- 보안에 대한 자신의 역할

- 비밀 자료를 보호할 책임이 있다는 점을 이해

- 보안에 대한 인식을 전환하는 노력 필요

라. 등급별 자료 분류 필요

- 중요 정보 자료에 대한 비밀 분류 시스템 갖춰야 함

- 각 단계마다 허용되는 접근 통제 등급과 통제수준 설정

마. CPTED(Crime Prevention Through Environment Design)를 활용한 외부 보안 관리

- 관리하고 있고 소유하고 있는 영역에 대하여 내, 외부인이 쉽게 접근하지 못하게 하여 정보유출 

   예방

- 보호대상의 우선순위를 결정하고 출입카드나 바이오인식 장치를 이용한 접근통제를 통해 정보

   유출 예방

- 공간에 대한 시야확보를 통한 범죄예방

- 1층 전체 출입구를 유리로 만들어 오고 가는 사람, 오랫동안 서서이는 사람들의 확인

- 엘리베이터 공간도 외부에서 볼 수 있도록 투명한 재질로 하여 정보 유출을 시도하는 사람들

   의 불안한 심리상태 유도

- CCTV 를 활용하여 고립지역 개선

2) IT측면

가. 정보 통신망 접근통제

- 정보처리 시스템에 대한 접근 권한을 IP 주소 등으로 제한

- 정보처리 시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

- 전보 또는 퇴직 등 인사이동이 발생해 개인정보취급자가 변경되었을 경우 자체없이 정보처리 

   시스템의 접근권한 변경 또는 말소

나. 가설사설망 보호대책

- 가상 사설망(VPN) 서비스의 이용으로 인터넷 공공망의 불안전한 요소를 완벽한 보안환경으로 

   구축

다. 암호화

- 관리하고 있는 정보를 식별 가능성, 노출 민감도 등에 따라 분류

- 중요도가 높은 정보를 선별적으로 암호화하여 관리

3) 제도적 측면

가. 관리기능의 일원화

- 국가정보원, 행정안전부 등 정보보호를 담당하고 있는 기관이 사실상 분리되어 운영

- 사전적 예방측면의 정책과 사후 대응측면의 관리부처 일원화

- 정책 간의 연결성과 일관성 있는 대응체계 이뤄야 함

나. 제도적, 정책적인 지원

- 기업이 정보보호 관련 자격증 소지자 및 전문 학위 소지자에 대해서 채용 시 인센티브 부여

- 업무의 지속성과 연속성을 위해 정규직 정보보호 인력 확보가 필요

4. 융합보안의 대두

- 위의 보안위협에 대응하기 위해 융합보안이 대두된 것

- 융합보안은 물리보안과 정보보안이 합친 개념

- 융합보안은 정보보안 또는 물리보안이 비 IT기술 또는, 다른 산업과 융합, 창출되는 것

5. 융합보안의 발전방향

1) 물리보안업계와 정보보안업계의 적절한 대응이 필요

- 물리보안 업계는 기존의 보안영역만을 고수할 것이 아니라 IT기술을 접목한 기기 및 제품을 개발하고

   정보보안 영역으로의 개방이 필요

- 정보보안 업계는 기초적 보안영역인 물리적 보안영역과 정보보안 영역간의 수평적 관계가 이루어

   지도록 노력

2) 법 및 제도적 대응 필요

- 물리보안과 관련하여 경비업법을 중심으로 보안활동이 이루어짐

- 정보보안과 관련하여 개인정보보호법과 부정경쟁방지 및 영업비밀보호에 관하 법률, 산업기밀

   유출방지 및 보호에 관한 법률 등으로 보안활동이 이루어짐

- 다원적 법 체제에 대한 기본법을 제정하여 효과적인 보안활동이 이루어져야 할 것임