물리 보안 :: 물리보안 기능 & 위험 관리

🌼 물리보안의의 목적과 조치

물리보안을 정보보호의 한 요소로 보고 있는 시각이 우세한데, 정보보호는 자산을 '정보'로 파악하고 있습니다. 자산보호는 기본적으로 보안의 목적이라고 하는데, 대상으로 유형과 무형을 모두 포함합니다. 물리보안을 다시 정의 내려보자면, 자산을 보호하기 위하여 설계된 사람을 보호하고 자산의 손실, 허가되지 않은 접근을 방지하기 위해 설계된 물리적 수단, 조치라 할 수 있습니다. 또한 적을 차단하고 공격을 탐지하고, 지연시키고, 적의 접근을 거절하는 4D의 능력이 필요합니다. 

 

효과적인 물리적 보안 전략은 다음 네 가지 기능이 조율된 방식으로 사용되어야 합니다. 모두를 사용할 필요는 없지만 하나 이상은 포함해야 합니다.

 

⭐️ 접근 통제 : 영역, 시설, 시스템 또는 기타 자산에 대한 접근을 제한하거나 관리하는데 사용하는 기술과 관련되어 있습니다. 쉽게 말하자면 들어와서는 안되는 사람이 들어오지 못하게 하는 것입니다. 최근에는 드론으로 인하여 지상 뿐만 아니라 하늘에서 들어오는 것을 통제하는 것도 중요성이 증대되고 있습니다.

⭐️ 지역, 상황, 사건에 대한 관찰 : 침입자도 위협이지만 자연재해같은 것도 모두 위협입니다. 이런 것들을 잘 탐지하고, 잘 식별하고, 특성화하고 대응을 공식화하고 조사를 잘 지원하기 위해서는 관찰이 필요합니다.

⭐️ 사건 감지 : 관찰 기능과 긴밀하게 협력하여 적시에 적절한 방법으로 통보를 제공합니다. 사건을 억제하려는 노력과도 관련이 있습니다.

⭐️ 사건 대응 : 즉각적인 행동을 필요로 하지 않는 환경과 이벤트를 포함합니다.

 

물리적 조치는 구조적, 전자적, 인적 요소로 이루어져 있습니다. 물리보안 시스템은 설계하는 사람과 보안 전문가는 확인된 위험을 처리하기 위한 프로젝트를 계획할 때 앞서 언급한 세 가지 요소를 고려해야 합니다. 또 조화된 방식으로 함께 작동하도록 해야 합니다.

 

구조적 요소는 다음과 같이 나뉠 수 있습니다.

⭐️ 장벽: 구조적인 형태를 가지고 있지만 다른 형식일 수도 있다. 인간 장벽(인적)과 같은 것들은 인적 요소로 분류하는 경우가 더 많습니다.

⭐️ 펜스 : 담장을 만드는 것. 체인 링크를 많이 사용하지 않지만 미국에서는 많이 사용합니다. 이것말고 해당 장소의 목적에 잘 맞는 것들을 이용할 수 있습니다.

 

체인 링크, 출처 : https://kr.pixtastock.com/illustration/48134105

 

⭐️ 볼라드(Bollards) : 차량 진입을 막기 위해서 세우는 것으로 고정형과 능동형으로 나눌 수 있습니다.

⭐️ 지형 : 장소 한 쪽 면이 경사로 구성된 것. 인공적으로도 지형을 만들 수 있습니다.

⭐️ 자물쇠 : 잠금 시스템은 적용되는 대상 뿐만 아니라 보안 목적에 적합해야 합니다. 예를 들어 도어락은 경첩 부분이 가장 취약성이 높습니다. 문틀에 대한 추가적 보강 공사를 하지 않는다면 취약한 시스템입니다. 그러므로 전체적으로 취약성을 보완하는 작업이 필요합니다.

⭐️ 디자인, 건축, 공학 : 필요 최소한으로 개방하는 것으로, 문이 적으면 보안성이 높아집니다. 하지만 그만큼 편리성이 감소하기 때문에 적절한 수를 유지하는 것이 필요합니다.

⭐️ CPTED(Crime Prevention Through Environmental Design) : 다른 보안 수단을 보조해줄 수 있습니다. 더 비싼 물리 보안 수단을 보조해주는 방식으로도 사용될 수 있습니다.

⭐️ 조경 : 보행자 안내를 확인합니다. 공공장소에는 언제나 들어올 수 있지만 활동에 제약을 거는 방식으로 사용됩니다.

⭐️ 조명 : 억제와 탐지에 대한 효과 뿐만 아니라 대응할 수 있는 측면에서 매우 중요합니다.

⭐️ 유리 처리(Glazing) : 우리나라에서는 테러같은 경우에는 잘 일어나지 않기 때문에 크게 고민하고 있지 않습니다. 반면 유럽이나 미국은 폭탄 테러가 자주 일어나서 대응방법을 건축의 기본 요소에 포함시키고 있습니다. blast curtains 는 폭탄이 터졌을 때 유리를 잡아줘서 큰 피해를 방지할 수 있게 해줍니다.

 

전자적 요소 는 다음과 같습니다.

⭐️ 감시 : 자연적 감시는 사람이 하는 것입니다. 그 중에서도 원래 감시 의무를 부여받지 않은 사람들이 하는 것입니다. 전자 감시는 보통 영상 감시라고도 합니다. 요즘은 카메라 말고도 다른 요소도 많이 고려해야 합니다. 전문과의 직관적인 판단에 따라서 하기도 했지만 최근에는 소프트웨어에 의존해서 하는 추세입니다.

 ⭐️ 접근 통제 : 담장을 세운다든지, 바리게이트를 세운다든지. 접근 통제를 전자 장비를 이용하여 할 수도 있습니다. 예를 들어서 지하철을 탈 때 스피드 게이트나 생체 인식 시스템 같은 것들이 있습니다.

⭐️ IDS(Intrusion Detection System, 침입 탐지 시스템) : 최초로 사용된 분야는 물리적 보안쪽이지만, 우리나라에서는 정보보호에 중점을 두는 경향이 큽니다. 침입 경보 시스템이라고도 불리는데 같은 의미입니다. 주변 환경과 일치시키는 것이 중요하며, 잘못된 설치로 인해서 시스템이 비효율적일 수도 있기 때문에 처음부터 제대로 된 장비를 설치하는 것이 중요합니다.

 ⭐️ 통신 : 일상족, 긴급 상황에서 직원이나 기타 시설 거주자와 소통하는 것입니다. 다양한 전자 보안 시스템이 서로 정보를 교환할 수 있도록 하는 프로토콜도 포함합니다. 통신 레이아웃은 정상적인 작동 요구사항을 충족시킬 뿐만 아니라 정전시에도 사용할 수 있도록 해야합니다. 통신 기능에 부정적인 영향을 끼칠 수 있는 수단까지도 고려해야 합니ㄷ.

 

인적 요소는 다음과 같습니다.

⭐️ 보안 인력: 가장 효율적이지만 가장 비싼 것. 효율성을 보장하기 위해서 계획을 잘 할 필요가 있습니다. 인력배치를 어느정도 수준에서 할 것인가, 와 같은 것들도 따져 볼 필요가 있습니다.

⭐️ 이외의 인간 지원 기능 : 어느 정도 사람을 뽑아야 할 것인가. 보안과 직접적 관련이 없더라도 보안과 관련된 역할을 할 수 있는 고려해야 합니다.

⭐️ 방문자 기록 : 서면 기록으로 하는 방법도 있고, 자동화 시스템을 포함할 수도 있습니다. 또한 보안 담당자가 할 수도 있고 리셉션 근무자가 할 수도 있습니다. 최근에는 자동화 시스템이 훨씬 효과적이며 다른 시스템과 큰 비용없이 통합할 수 있습니다.

⭐️ 출입증 : 간단한 사진 id부터 시작하지만 대부분은 스마트 카드를 활용하고 있습니다. 보안 담당자는 효율적인 출입 전략을 개발해야 하며 기타 시설 사용자나 방문자에 대한 별도의 조항을 수립할 필요가 있습니다. 이 분야에 대해서는 IT 담당자와 물리접근 담당자의 긴밀한 협조가 필요합니다.

⭐️ 관제 센터 : 컨트롤 센터, 퓨전 센터라고도 합니다. 센터 위치 디자인과 직원을 어떻게 배치해야 하는가를 효율적으로 고려하여 배치해야 합니다. 

⭐️ 무기 : 총기류를 어떤 상황에서 사용해야할지에 대해서 다뤄야 합니다.

⭐️ 사건 관리 시스템 : 물리적 보안과 관계가 없는 것으로 생각될 수도 있지만 전사적 리스트 관리의 토대가 됩니다.

    💡 사건에 대한 실시간 대응 안내

    💡 사건을 분석하고 재발의 가능성을 낮추는 것

    💡 어떠한 관리 절차를 업데이트 해야하는가

    💡 사건 예방 대응에 대한 배치 평가

    💡 기타 유사 시설과 비교

 

다음은 물리 보안 수단들이 효율적으로 운영될 수 있도록 도와주는 시스템과 인터페이스입니다. 최신 시설에는 보안 시설 요소와 주변 구성 요소간의 인터페이스 관계를 해결하는 것이 중요합니다. 이러한 주변 장치에는 소방 시스템, 빌딩 제어 시스템, IT 인프라, 아웃 소싱 서비스, 정책 및 절차가 포함됩니다. 가장 중요한 것은 생명안전 시스템입니다. 가장 우선시되는 일이기도 합니다. 빌딩 제어 장치는 자동 엘리베이터 제어, 동작 감지, 환경 모니터링(온도, 습도 등) 기능을 포함합니다. 보안 관리 시스템과 상호 운영하는 경우가 많습니다. 아웃소싱 서비스는 보안에 큰 영향을 끼칩니다. 특히 청소하시는 분들은 새벽에 어느 방이든지 들어갈 수 있는 경우가 많기 때문에 정책 절차를 잘 관리하는 것이 중요합니다. 

 

🌼 위험 관리

위험 관리는 조직이 잠재 위험과 손실을 식별하고 감축, 통제하는 체계적이고 분석적인 과정입니다. 위험 관리는 보안 대상이 무엇인지 적절하게 파악하는 것에서부터 시작됩니다. 종종 다른 회사가 특정 보안 시스템을 채택하기 때문에 사용하기도 하는데 이러한 경우는 지양해야 합니다. 귀중한 자산을 보호하기 위해 비용 효과적인 대응을 선택해야 합니다. 이를 위해서 어느 정도 수준까지 취약성을 제거할 것인지 합리적인 판단이 필요합니다. 위험 관리는 모든 보안 관련 결정시 기본 고려 사항이 되어야 합니다.

 

첫 번째 단계는 자산의 식별과 평가 입니다. 유형, 무형 등 모든 자산을 고려해야 합니다. 

 

두 번째 단계는 위험 식별 및 평가 입니다. 조직에 대한 위협 수준을 정확하게 평가하는 것은 보안 계획의 성공에 필수적입니다. 의도적 위협, 비의도적 위협, 자연적 위협으로 위협을 분류할 수 있습니다. 

 

세 번째 단계는 취약성 식별 및 평가 입니다. 일부 취약성은 일에 있어서 반드시 필요하기 때문에 제거될 수 없습니다. 예를 들어서 귀금속을 판매하는 곳에서 금반지를 보여주는 것은 취약성에 노출되긴 하지만 일을 하기 위해서는 이러한 과정을 생략하는 것일 불가능합니다. 취약성은 조직에서 통제할 수 있지만 위협은 통제 범위 밖에 있다고 보는 경우가 많습니다.

 

네 번째 단계는 위험 분석 입니다. 손실 사건의 영향 또는 충격을 파악해야 합니다. 이는 자산과 관련있습니다. 손실 사건의 발생 가능성을 파악하는 것은 위협과 취약성을 파악해야 합니다. risk matrix에 따르면 도둑이 한 명인 것보다 두 명인 것이 위험 상승 가능성이 높습니다. 가장 먼저 대응할 자원을 선택하거나 가장 효율적으로 자원을 할당하는 것에 큰 도움이 됩니다. 

 

다섯 번째 단계는 보호 조치입니다. 사용 가능한 자원과 기업의 운영에 대한 악영향을 고려하며 관련 위협을 효과적으로 해결할 수 있는 보호조치를 제안해야 합니다. 보호조치는 4단계를 거치는데, 바로 Select -> Test -> Implement -> Train의 4단계입니다.

먼저 Select는 위험을 해결할 수 있는 방안을 제안하고 지원합니다. 보안 전문가라면 확인된 위험을 해결할 수 있는 여러가지 대안을 제공해야 합니다. 가능한 합리적인 수준에서 많은 옵션을 제공하면 좋습니다. 이 때 기준으로 사용되는 것들은 비용, 긴급성, 편의성, 미학성 등이 있습니다. 다양한 옵션을 제공하는 경우에도 보안 전문가는 고객의 요구에 대하여 전문적인 지식을 바탕으로 권장 요건을 제시하여야 합니다. 

다음으로 Test는 직접 실행을 해봄으로써 제대로 작동이 되는지 확인해 보는 과정입니다. 특정 방법을 구축하는데 어느 정도 비용이 들고 단기적, 장기적으로는 어떠한지 비교해보아야 합니다. 테스트를 했는데 좋지 않다면 적용하면 안됩니다. 제한된 영역에서 먼저 테스트를 해보는 것이 좋습니다. 이외에도 핵심적으로 문제가 예상되는 일부분에만 적용하는 방법도 있습니다.

Implementation은 실행하는 과정으로 솔루션의 설치 비용, 시설에 대한 접근 방해 가능성, 가동 중지 시간, 부분 시설 폐쇄 등 여러가지 요소를 고려한 후 실행합니다. 부족한 점이 있다면 바로 업그레이드 해주어야 합니다.

마지막으로 Training은 훈련으로, 보안 직원, 유지 보수를 포함합니다. 직원에게는 하드웨어, 절차에 대한 교육이 필요합니다.  시간과 비용도 미리 예측하고 제시되어야 합니다.