출처 : 시큐리티 월드 2013.04 호
출처 : 전자신문
1. 보안영역의 유형
1) 물리보안
- 물리적 방법이나 수단을 활용한 보안형태
- 물리적 보안 영역 : 자원이나 정보를 물리적으로 대응할 수 있는 기술적, 환경적 통제의 범위
- 물리적 보안 위협 : 지진, 화산, 태풍, 홍수, 폭설 등과 같은 자연재해와 외부로부터 물리적 보안영역
안을 침입하거나, 내부에서 물리적 보안영역 밖으로 자원과 정보의 유출
2) 정보보안
- 모든 정보자산(데이터를 처리하여 가공한 결과)에 대하여 허가되지 않은 접근으로 위조, 변조, 유출,
훼손 등과 같은 정보보안 사고로부터 정보의 무결성, 기밀성, 가용성을 제공하는 것
3) 관리, 인적보안
- 관리, 운영 주체는 사람이고 보안을 위한 가장 중요한 관리 요소인 인력에 대한 관리
2. 보안위협
1) 내부 -> 외부
가. 직접유출
- 내부 임직원이 중요한 자료를 노트북, HDD, USB 등의 저장장치와 프린터 등을 이용하여
복사한 후 물리적 보안검색을 피하여 외부로 정보를 유출
나. 사내, 공공망 유출
- 사내 인트라넷이나 인터넷을 이용하여 e-mail 등을 통해 전송하 다음 이를 다운받는 형태
2) 외부 침입
가. 간접유출
- 외부인은 내부 임직원과 공조하여 이들로 하여금 중요 정보를 직접 유출
나. 사내, 공공망 유출
- 외부인이 해킹을 통해 기업의 서버에 접근, 정보를 유츌시키는 방법
- 내부의 임직워이 동조하여 ID, 패스워드 정보를 제공하는 방식
- 악성코드를 이용하여 접근하는 방식
3. 보안위협 대응방안
1) 관리적 측면
가. 내부자의 부정한 행위에 대한 대응
- 중요한 정보를 쉽게 변경하거나, 외부로 유출할 수 있는 대상인 내부자에 대한 대비책 준비와
위협요인을 파악해야 함
- 기업은 모든 잠재 위협을 목록으로 정리하여 그 위협에 대한 시뮬레이션을 실시하여 현실화
될지를 분석
- 현실화된 위험의 피해정도를 계량화하여 기술적 조치를 취해야 함
나. 직원 신상파악
- 보안부서 등 비밀 업무를 취급하는 부서에 근무하게 될 사람은 채용 전에 신원 배경을 확인
다. 보안교육 실시
- 회사의 보안규정 숙지
- 보안에 대한 자신의 역할
- 비밀 자료를 보호할 책임이 있다는 점을 이해
- 보안에 대한 인식을 전환하는 노력 필요
라. 등급별 자료 분류 필요
- 중요 정보 자료에 대한 비밀 분류 시스템 갖춰야 함
- 각 단계마다 허용되는 접근 통제 등급과 통제수준 설정
마. CPTED(Crime Prevention Through Environment Design)를 활용한 외부 보안 관리
- 관리하고 있고 소유하고 있는 영역에 대하여 내, 외부인이 쉽게 접근하지 못하게 하여 정보유출
예방
- 보호대상의 우선순위를 결정하고 출입카드나 바이오인식 장치를 이용한 접근통제를 통해 정보
유출 예방
- 공간에 대한 시야확보를 통한 범죄예방
- 1층 전체 출입구를 유리로 만들어 오고 가는 사람, 오랫동안 서서이는 사람들의 확인
- 엘리베이터 공간도 외부에서 볼 수 있도록 투명한 재질로 하여 정보 유출을 시도하는 사람들
의 불안한 심리상태 유도
- CCTV 를 활용하여 고립지역 개선
2) IT측면
가. 정보 통신망 접근통제
- 정보처리 시스템에 대한 접근 권한을 IP 주소 등으로 제한
- 정보처리 시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
- 전보 또는 퇴직 등 인사이동이 발생해 개인정보취급자가 변경되었을 경우 자체없이 정보처리
시스템의 접근권한 변경 또는 말소
나. 가설사설망 보호대책
- 가상 사설망(VPN) 서비스의 이용으로 인터넷 공공망의 불안전한 요소를 완벽한 보안환경으로
구축
다. 암호화
- 관리하고 있는 정보를 식별 가능성, 노출 민감도 등에 따라 분류
- 중요도가 높은 정보를 선별적으로 암호화하여 관리
3) 제도적 측면
가. 관리기능의 일원화
- 국가정보원, 행정안전부 등 정보보호를 담당하고 있는 기관이 사실상 분리되어 운영
- 사전적 예방측면의 정책과 사후 대응측면의 관리부처 일원화
- 정책 간의 연결성과 일관성 있는 대응체계 이뤄야 함
나. 제도적, 정책적인 지원
- 기업이 정보보호 관련 자격증 소지자 및 전문 학위 소지자에 대해서 채용 시 인센티브 부여
- 업무의 지속성과 연속성을 위해 정규직 정보보호 인력 확보가 필요
4. 융합보안의 대두
- 위의 보안위협에 대응하기 위해 융합보안이 대두된 것
- 융합보안은 물리보안과 정보보안이 합친 개념
- 융합보안은 정보보안 또는 물리보안이 비 IT기술 또는, 다른 산업과 융합, 창출되는 것
5. 융합보안의 발전방향
1) 물리보안업계와 정보보안업계의 적절한 대응이 필요
- 물리보안 업계는 기존의 보안영역만을 고수할 것이 아니라 IT기술을 접목한 기기 및 제품을 개발하고
정보보안 영역으로의 개방이 필요
- 정보보안 업계는 기초적 보안영역인 물리적 보안영역과 정보보안 영역간의 수평적 관계가 이루어
지도록 노력
2) 법 및 제도적 대응 필요
- 물리보안과 관련하여 경비업법을 중심으로 보안활동이 이루어짐
- 정보보안과 관련하여 개인정보보호법과 부정경쟁방지 및 영업비밀보호에 관하 법률, 산업기밀
유출방지 및 보호에 관한 법률 등으로 보안활동이 이루어짐
- 다원적 법 체제에 대한 기본법을 제정하여 효과적인 보안활동이 이루어져야 할 것임
2013 소프트웨어 보안약점 진단가이드-제2장 1~2절.pdf
20130827 행정기관 및 공공기관 정보시스템 구축ㆍ운영 지침 개정(전문)(2013.8.27).hwp
