제 제 10 10 장 장 물리적 물리적 환경적 환경적 정보보호 정보보호
물리적 환경적 정보보호 개요
▣
과거 문서로 정보를 관리하던 시대나 컴퓨터가 stand-alone 방식으로 사용되었던 시기에는 문서나 컴퓨터가 있는 건물이나 사무실에 대하 여 사람이 신체적으로 접근하는 것을 통제하는 물리적 보안통제
(physical security control)를 통하여 정보보호
◈ 아직도 물리적 보안 통제는 시스템 보호에서 중요한 부분을 차지
▣
다양한 자연재해로부터 정보나 시스템의 파손을 막기 위해서는 정보
시스템이 속해 있는 건물이나 사무실이 자연재해로부터 정보를 보호
할 수 있도록 적절한 환경적 보안 통제(environmental security control)
가 이루어져야 함
시설 보안
▣
정보시스템에 대한 적절한 물리적 환경적 정보보호를 이루기 위해서 는 먼저 정보시스템이 설치된 건물이나 시설에 대한 보안이 이루어져 야 함
▣
시설의 입지 선정
◈ 시설 보안을 적절히 이루기 위해서는 건물이나 시설의 입지부터 정보보 호의 관점에서 선정되어야 하며 다음의 사항들을 고려해야 함
– 시설의 위치에 따른 범죄 통계를 조사함으로써 범죄, 폭동, 테러에 대한 취약 한 장소를 피해야 함
– 인접 건물의 입주자와 사업의 종류를 파악하고 시설의 위치를 선정해야 함 – 자연재해에 따른 취약성을 고려하여 시설의 위치를 선정하고, 이에 따른 통제
수단을 설정해야 함
시설 보안
▣
시설 출입 통제
◈ 출입을 엄밀히 통제하기 위해서는 사람의 출입을 감시할 수 있는 경비실 을 만들고 CCTV (Closed Circuit TV)나 배지 감지 장치를 설치
◈ 정보처리시설의 출입에 대한 통제는 다양한 방법으로 이루어짐
– 스마트 카드
개인정보와 인증코드가 들어 있으며, 비밀번호와 병행하여 사용하기도 함
모든 출입자에 대한 기록을 가질 수 있음
– 생체인식
지문, 홍채, 손금과 같은 생체의 특징을 이용하거나 서명, 음성과 같은 사람의 행동 양식을 이용해서 봉인임을 인증
◈ 민감한 정보나 정보처리시설에 대한 접근은 출입필요(need-to-enter)의 원 칙에 따라 인가된 사람들에게만 한정되어야 하고 적절한 인증절차가 이 루어지고 관련 기록을 남겨야 함
◈ 보안 지역에 대한 외부인의 방문은 구체적인 방문 목적으로 인가를 얻은 후에 이루어져야 하며 신원확인과 적절한 감독 하에 방문이 이루어지고 방문일시에 대한 기록을 남겨야 함
◈ 보안 지역에서 일하는 직원들은 ‘알 필요의 기준’에 따라서만 보안지역 의 위치와 그 안에서의 활동 내역에 대해 알도록 하여야 함
설비 보안
▣
정보처리설비의 파손이나 분실은 조직의 본연의 업무가 중단되는 상 황을 초래할 수 있음
◈ 정보처리설비는 보안 위협과 자연적 재해로부터 물리적으로 보호되어야 함
◈ 정보처리설비의 위치는 보안 위협에 대비하기 위해서 설비에 대한 불법 적인 접근이 어려운 곳에 위치해야 함
▣
정보처리설비는 각종 자연적 재해로부터 보호받을 수 있는 곳에 위치 해야 함
◈ 전산실에는 일반 전력 공급 장치와 독립적으로 재난 상황에도 전력공급 이 될 수 있는 장치를 보유해야 함
◈ 적절한 공기공조 시설이 있어야 함
▣
정보처리설비는 고장에 대비하여 지속적으로 정비되어야 하며, 가용 성 및 무결성을 유지해야 함
◈ 이를 위해 공급자가 제안한 서비스 주기 및 사양에 따른 장비관리 및 기 록의 유지가 이루어져야 하며 인가된 유지보수 요원만을 접근 허용
사무실 보안
▣
정보의 불법 유출을 막기 위해서는 직원들의 사무실 내에서의 보안 사항들이 준수되어야 함
◈ 조직은 직원들이 사무실에 종이 문서나 자기 매체를 책상 위에 방치하는 것과 단말기 화면에 나타난 정보를 방치하는 것을 적절히 통제하는 정책 을 가져야 함
▣
서류와 컴퓨터 미디어는 적당한 잠금 장치가 있는 캐비닛에 보관되어 야 하며 PC나 프린터는 방치하면 안되고, 잠금 장치로 보호되어야 함.
또한 우편물이나 팩스 장비, 복사기도 보호되어야 함
▣
정보가 들어 있는 저장 매체에 대한 부주의한 폐기 혹은 재사용되는 장비를 통하여 정보가 유출될 수 있음
◈ 일반적인 삭제 명령은 내용을 그대로 둔 채 논리적인 삭제만을 수행하기 때문에 중요한 정보가 기록된 저장 장치는 물리적으로 폐기되거나 완전 한 덧씌우기로 내용을 삭제해야 함
◈ 물리적으로 문서, 디스켓, 리본, 테이프 등과 같이 민감한 내용이 들어 있 는 미디어들을 폐기하는 방법으로는 분쇄기(shredder), 분해기