물리 보안 :: 정의, 위험관리(ASD)

🌼 물리보안의 정의

물리보안은 정의하기 어렵습니다. 모든 물리적 공간에서 일어나는 보안이라는 뜻이 있지만 개념이 너무 넓어집니다. 좁은 의미로는 시설에 무단으로 침입하는 것을 막는 것(접근 통제)라는 뜻이 있습니다. 핵심적인 요소이긴 하지만 모두 포괄하진 못합니다. 

 

다시 위험의 정의로 돌아가보자면 위험과 자산, 위협, 취약성 사이에는 다음과 같은 공식이 성립됩니다.

여기서 위험은 잠재적 손실과 자산에 대한 손실을 의미합니다. 

 

자산의 범위는 다음과 같이 나눌 수 있습니다.

💡 눈에 보이는 것 : 시설, 기구, 원자재, 제품

💡 무형자산: 평판, 신뢰, 이미지

💡 혼합 : 산업 기술, 지적 재산권 

 

혼합의 경우에는 손에 잡을 순 없지만 책, 컴퓨터를 통해 저장할 수 있습니다. 

 

위협의 범위는 다음과 같이 분류할 수 있습니다.

💡 의도적 : 범죄, 테러리즘, 경쟁

💡 비의도적 : 사고, 과실, 누락

💡 자연적 : 태풍, 지진

 

여기서 비의도적 위협과 자연적 위협은 안전의 개념과 많이 닮아있습니다.

 

취약성의 범위는 다음과 같습니다.

💡 구조적 취약성 : 펜스, 장벽, 지형, 환경, 잠금장치, 건축, 조명, 창문

💡 전자적 취약성 : 영상감지 시스템 (IP 카메라, CCTV 등), 침입탐지시스템, 커뮤니케이션 시스템

💡 인적 취약성

 

다시 한 번 물리 보안 대해서 정의를 내려보자면, '물리보안은 범죄 등 고의적 위협으로부터 인명, 정보, 시설 등 자산을 보호하기 위해 물리적 취약성을 통제하는 활동이다. 그 통제수단은 건축물이나 보안 관련 설비 등의 구조적 요소, 보안시스템 등의 전자적 요소와 보안 요원 등의 인적 요소로 구성된다.'

더 쉽게 설명하자면 물리적 보안은 물리적 보안 취약성을 개선하기 위해 보안 통제 수단을 적용하는 것 입니다.

 

 

🌼 위험 관리

위험 관리는 보안 관리와 자산보호에 많이 적용되고 있습니다. 앞에서 보았던 공식을 다시 한 번 살펴봅시다.

 

자산 에 대한 정책은 일반적으로 선호되는 방법이 아닙니다. 만약에 귀금속 방에 대한 자산에 대한 위험관리를 적용한다고 합시다. 그렇다면 귀금속 파는 곳에서 귀금속(자산)을 없애버려야 하는데 이는 매우 비효율적인 방식입니다.

위협 에 대한 위험관리 또한 선호되지 않습니다. 절도범을 없애는 것은 국가의 영역이지, 보안의 영역이 아니기 때문입니다.

가장 선호되는 방법은 취약성 에 대한 위험관리입니다. 우리집의 열려있는 창문으로 도둑이 침입하여 귀중품을 훔쳐갈 위험을 막고자 합니다. 대부분의 사람들은 '창문을 잘 잠구자', '유리를 강화시키자' 등 취약성에 집중합니다.

 

보안 관리의 기본 원칙은 다섯가지입니다. 다섯가지 중 하나씩만 사용될 수도 있고 몇 가지를 조합해서 사용할 수도 있습니다. 

 

첫째, 위험회피 입니다. 손실 이벤트 자체를 없애버리는 것입니다. 회사의 목표까지 무효화시킬 수 있기때문에 실용적이지 못합니다.

둘째, 위험 분산 입니다. 자산을 나누어 놓는 것입니다. 조직 자산의 전부 또는 대부분을 단일 위치에 두는 것을 방지합니다.

셋째, 위험 전가 입니다. 일어날 수 있는 사고에 대해서 미리 투자를 하는 것 입니다. 또는 덜 매력적인 타겟으로 만드는 것입니다. 가짜 CCTV만 달아도 범죄율이 줄어드는 현상이 대표적입니다.

넷째, 위험 감소 입니다. 가장 많이 사용하는 방법입니다. 자산 위협을 줄이는 보안조치 또는 다른 조치입니다. 

다섯째, 위험 수용 입니다. 100% 위협을 줄이는 것은 불가능합니다. 가능하더라도 비용이 엄청 듭니다. 나머지 잔여 위협들은 보안관리자가 받아들여야 하는 부분입니다. 

 

위험 경감을 하는 주요 원칙은 조직, 시설, 임무, 자산에 대해 식별되고 우선순위가 지정된 위험을 해결하기 위한 보험 및 기타 조직의 선택과 실행을 포함합니다. 

4D 는 범죄 예방 측면에서 옛날부터 쓰였던 고정적 원칙입니다. 4가지 기준 중 하나의 이상을 지켜야 합니다. 

첫째, Deter 은 범죄를 저지를 마음이 들지 않게 하는 것입니다. 예를 들어서 CCTV를 설치하는 것입니다.

둘째, Detect 는 공격을 탐지하는 것입니다. 앞에서 언급한 CCTV는 여기에도 해당합니다.

셋째, Delay 는 침입에 대한 시간을 지연시키는 방법입니다. 지연 시간이 길수록 좋습니다.

넷째, Deny 는 타겟의 접근을 막는 것입니다.

4D를 실사례에 적용해봅시다. 담장은 Delay와 Deny가 해당합니다. 회사 경비원은 네 가지 모두 해당합니다.

3D는 Detect, Delay, Defend(Respond), 5D는 Deter, Detect, Delay, Deny, Destory 입니다.

 

심층 보안(Layered security)는 여러 겹으로 보안을 구성하는 것입니다. 우리나라는 보통 세 겹으로 진행하고 있습니다. 

 

Adversary Sequence Diagram(ASD)에 대해 알아봅시다. 보안전문가는 물리보안시스템의 효율을 최대로 유지하기 위해 각각의 경로가 제공하는 감지 및 지원의 균형을 검토하고 불균형 요소를 최소화합니다. ASD를 통해서 특정 위협에 취약한 길을 알 수 있습니다.

 

특정 장소에 ASD를 설치하는 세 가지 방법은 첫째, 근접한 물리적 영역으로 시설을 구분하고 둘째, 인접 영역간의 보호 계층 및 경로 요소를 정리합니다. 마지막으로 각 경로요소에 대한 탐지 및 지연값을 기록합니다.