ISMS-P 결함사례 고찰 #2.4. 물리 보안

2.4.1 보호구역 지정

인증기준: 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다.

 

결함사례#1

내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우가 있다. 이는 서류를 온전히 이해하지 않고 그저 양식을 사용하는 것에서 그치기에 발생하는 경우로 보인다. 정확히 어떤 범위가 포함되어야 하는지 온전히 인지를 하고 직접 서류를 작성해봐야 한다. 그리고 그것을 주기적으로 검토 및 업데이트할 필요가 있다.

 

결함사례#2

내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나, 일부 통제구역에 표시판을 설치하지 않은 경우가 있다. 모든 통제구역에 관한 것은 각 담당자가 주기적으로 살펴서 해당 표시판이 제대로 부착되어 있는지 확인해야 한다. 이것도 분명 하나의 자산이며, 그것에 대한 검토는 필수로 여겨야만 한다.

 

2.4.2 출입통제

인증기준: 보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.

 

결함사례#1

통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하고 있는 경우가 있다. 이는 일종의 권한 해제와 비슷한 내용으로, 변동이 생길 때마다 즉각적인 반영을 하지 않아 발생하는 문제가 된다. 퇴직, 전배 보다도 문제가 되는 것은 아마 육아 휴가와도 같은 장기 휴가일 것이다. 육아 휴가자에게는 권한을 해제하고, 복귀하고 다시 관련 업무를 맡을 시에 권한을 부여해야 하지만 이를 귀찮음을 이유로 방치하는 경우가 있을 것으로 생각된다.

 

결함사례#2

전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나, 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우가 있다. 이것은 정말이지 흔한 일 중 하나다. 예를 들어, 안에 있는 서류를 한 번 전부 검토해야 한다고 하면, 그 수많은 서류를 한꺼번에 들고나오는 것은 불가한 일이다. 보통은 몇 개만 들고나와서 검토하고, 다시 들어가서 놓은 다음 다른 것을 들고 나와서 검토하고의 반복일 것이다. 어차피 계속 왔다갔다 해야 하는데, 잠금장치만 하더라도 계속 해제하는 것도 귀찮은 일이고 하니 보통은 문을 열어놓는 것이다. 그런데 그 장시간 동안 딱 1명만 통제구역을 이용한다는 보장은 당연하게도 없다. 사용자들에게 '편의성'이라는 개념이 생기는 순간, 그것에 대한 욕망은 걷잡을 수 없이 불어난다고 생각한다. '그냥 저번처럼 열어놓자', '뭘 귀찮게 그래, 저번엔 이런 거 안 쓰고 들어갔잖아' 라는 마음이 생겨날 수밖에 없다는 것이다. 귀찮은 것을 너무나 잘 알지만, 그렇기에 더욱 장기간 개방 상태로 유지하는 것은 피해야 하는 일이다.

 

결함사례#3

일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우가 있다. 매번 협력업체 직원이 올 때마다 번거롭게 1명이 달라붙어 이것저것 발급하기가 귀찮으니 그냥 마스터 카드를 만들어 놓는 것이다. 절차는 언제나 귀찮고 번거로운 일이다. 그리고 국내에서 발생한 보안 사고는 대부분 그런 절차나 지침이 귀찮다는 이유로 지키지 않아서 터지곤 했다. 잠금장치에 대한 허술한 관리, 게이트에 대한 허술한 관리 등 편의성을 추구하고자 보안을 경시한 일이 언제나 폭탄으로 터지는 것이다. 회사가 뉴스에 나오고 싶지 않다면, 이에 대한 관리를 철저히 해야 할 것이다.

 

2.4.3 정보시스템 보호

인증기준: 정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.

 

결함사례#1

시스템 배치도가 최신 변경사항을 반영하여 업데이트되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우가 있다. 무엇이건 변경사항이 있을 때마다 이것을 반영해야 하는데 이것을 경시하는 경우가 상당히 많다. 결함사례의 상당수가 그러한 부분에서 비롯된 것이다. 무엇이건 업데이트를 생활화해야 이런 사례를 줄일 수 있을 것이다.

 

결함사례#2

서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우가 있다. 내가 군대의 통신대에 있으면서 가장 뿌듯했던 일 중 하나가 바로 선 정리를 제대로 했던 것이다. 한 번 날잡고 전산병들과 함께 UTP선을 제대로 예쁘게 연결하고, 케이블타이도 하나하나 간격에 맞춰 정리했던 기억이 지금도 뿌듯하다. 당시 그 선들도 최초 설치 상태에서 우리가 처음으로 뒤엎은 것이었다고 하니, 지금도 여전하지 않을까 싶다. 뭐 장애 우려 때문이라도 선 정리는 필수겠다만, 그냥 선 정리는 예뻐서라도 하고 싶지 않나 싶다. 애사심이 가득해야 그럴 마음도 들겠지만 말이다.

 

2.4.4 보호설비 운영

인증기준: 보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온·습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립· 운영하여야 한다.

 

결함사례#1

본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우가 있다. 물리적 보호설비는 생각보다 굉장히 다양하다. 위의 인증기준에서 언급된 내용을 제외하고도 전압유지기, 접지시설, 침입 경보기, CCTV, 출입통제시스템, 비상등, 비상로 안내표지 등으로 다양하다. 이런 것들이 수립 및 운영이 되고 있지 않다는 것은 예산의 문제에서 발생한 것일 수도 있다. 굳이 보호설비에 큰 돈을 투자하지 않겠다는 것이다. 심지어 이런 경우에는 유지비가 계속 나가는 경우니 말이다. 그런데 보호구역으로 지정할 정도면 인증기준에 따라 운영하는 것이 장기적으로는 좋은 투자가 될 것이다.

 

결함사례#2

전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나, 관련 설비에 대한 운영 및 점검 기준을 수립하고 있지 않은 경우가 있다. 이는 지침에 따라 구비는 해두었으나, 이에 대한 이해가 부족한 실정이 있을 것으로 보인다. 전산을 다루는 것과 UPS, 소화설비 등을 다루는 것은 다른 영역이니 말이다. 그러나 전산실에 대한 책임지 있는 자라면 이에 대해 이해를 하고 조작 및 운영과 점검을 할 줄 알아야 할 것이다. 그저 이름만 올려놓았다가 낭패를 보기 싫다면 말이다.

 

결함사례#3

운영지침에 따라 전산실 내에 온·습도 조절기를 설치하였으나, 용량 부족으로 인하여 표준 온·습도를 유지하지 못하여 장애발생 가능성이 높은 경우가 있다. 이것은 보통은 에어컨을 말하는 것일 텐데, 기존에 일을 하면서 다양한 조직을 경험하며 다양한 보안실을 들어간 적이 있다. 그리고 보통은 에어컨을 정말 약하게 가동하는 수준이었다. 여름에만 가동을 하는 곳도 많았고 말이다. 용량 부족이라는 것은 결국 예산의 한계를 말하기도 할 것이다. 온도, 습도를 유지한다는 것은 장기적으로 시간이 지났을 때 문제가 없는 수준을 말한다. 그런 측면에서 전산실 안의 자산이 그대로 유지가 되는지에 대한 평가가 필요하다.

 

2.4.5 보호구역 내 작업

인증기준: 보호구역 내에서의 비인가행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립· 이행하고, 작업 기록을 주기적으로 검토하여야 한다.

 

결함사례#1

전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역이 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우)가 있다. 이것도 그냥 귀찮으니까 안 한 것이다. 그리고 경험상, 정말 알량한 경험이긴 하다만, 외부 유지보수 업체 직원 쪽에서 불편함을 토로하면 내부 직원 입장에서는 쩔쩔매게 된다. 그래서 처음부터 이에 대해 확실하게 밀고 나갈 필요가 있다. 단 한 번이라도 편의성을 봐주면 안 된다. 모든 것은 원칙에 따라 해야 하고, 그래야 서로가 불편해지지 않을 것이다.

 

결함사례#2

내부 규정에는 보호구역 내 작업 기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 작업 기록에 대한 점검이 이루어지고 있지 않은 경우가 있다. 연 1회도 아니고, 분기별 1회는 분명 번거로운 일이기는 하다. 그러나 이것이 대대적인 업무도 아니고, 분기별 1회는 분명 수행할 수 있는 업무라 사료된다. 이에 대한 지침을 인지하고 업무를 진행해야 할 것이다.

 

2.4.6 반출입 기기 통제

인증기준: 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립· 이행하고 주기적으로 검토하여야 한다.

 

결함사례#1

이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우가 있다. 이런 경우는 정말이지 잦다. 보통 누가 출입하는지에 대한 것은 적더라도, 반입에 대한 통제를 하는 경우는 정말 드물기 때문이다. 문득 예전에 대사관 셔틀 아르바이트를 했을 때가 생각난다. 몇몇 대사관은 단순히 영사관에 들어가는 것임에도 불구하고 입구에서 공항에서 볼법한 수색 게이트를 통과해야 했다. 그런데 정말 수색 다운 수색을 하는 곳은 쿠웨이트 대사관이 유일했고, 나머지는 형식적인 것에 그쳤을 뿐이었다. 그런데 난 단 한번도, 그 쿠웨이트 대사관에 대해서 조금의 불평도 가져본 적이 없다. '쿠웨이트 대사관은 제대로 보안을 지키는 구나.'라는 생각을 했을 뿐이었다. 이것이 중요하다. 처음부터 꾸준히 철저한 행동을 한다면, 그것을 디폴트 값으로 생각하게 되어 불평을 가질 공간이 줄어들게 된다.

 

결함사례#2

내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우가 있다. 이것도 그때 그때 바로 하지 않고, 몰아서 하려고 하다 보면 문제가 발생하게 된다. 관리책임자는 일을 미루지 말고 매번 서명을 해야 할 것이다. 귀찮더라도 그게 업무 내용인데 말이다.

 

2.4.7 업무환경 보안

인증기준: 공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경 (업무용 PC, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다.

 

결함사례#1

개인정보 내부 관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나, 이를 이행하지 않은 경우가 있다. 이것은 보안부서에서 강제로 결과서를 제출하게 하는 방법이 있다. 전에 아르바이트를 하면서도 이것을 강제로 달마다 제출하게 하는 곳이 있었는데, 1~2분이면 끝나는 작업이었기에 전혀 번거롭지 않았다. 아무리 번거로운 것이더라도, 보안부서는 그 번거로움을 업무의 내용으로 이해시킬 필요가 있다.

 

결함사례#2

멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우가 있다. 이것도 생각보다 잦은 경우인데, 굳이 이것이 아니더라도 내 경우에는 이력서 따위를 굉장히 사무실에서 쉽게 접한 경험이 있다. 공용 프린터에 출력을 걸고 바로 찾아가지 않아서 생긴 경우도 있는 등 경우는 다양했다. 내 개인정보가 아니라 타인의 개인정보에 대해서는 굉장히 가볍게 여기는 사례가 많은데, 정말 안타까운 영역이다. 본인의 이름, 전화번호, 주소, 가족관계, 사회 경험, 각종 자격 및 성적, 학력 등이 모두가 있는 곳에 떠돈다고 생각하면 그렇게 못 할 텐데 말이다.

 

결함사례#3

직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고, 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우가 있다. 퇴근을 할 때도 개인이 업무를 담당하고 있는 중요 서류는 서랍에 넣고 잠금을 해야 하는데, 하물며 휴가일 경우에는 더욱 그럴 것이다. 보안부서는 이것을 발견할 시 경고 조치를 해야 한다고 생각한다.

 

결함사례#4

회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나, 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우가 있다. 보통 개인 PC에 대한 보호대책은 각 사용자가 하도록 강제하는 조직 내 지침이 있는데, 그럴 경우에 공용 PC가 누락되는 경우가 종종 있다. 각 PC 자산에 대한 현황 리스트를 늘 갱신하며, 그것에 대해 보호대책이 전부 수립 및 운영되고 있는지에 대한 확인이 필요하다.