[CISA 이론 정리 - 5장] 09 환경 및 물리적 통제 (2/2)

2. 물리적 접근 통제

(1) 물리적 접근 노출

① 외부인은 물론 내부인도 승인 받지 않은 물리적 접근의 주체일 수 있다.

② 승인 받은 접근 주체라 하더라도 접근 승인을 얻은 후에 권한 밖의 행위를 할 수 있다.

③ 컨설턴트, 퇴사한 직원, 경쟁업체의 산업 스파이, 우연히 접근 권한을 얻게 된 사람 등 다양한 주체가 물리적 접근을 할 수 있다.

④ 이들은 정보/문서/매체/장비/집기/현금을 열람/공개/취득/오용/파괴/변경할 수 있다.

⑤ 부당하게 획득한 자산은 협박하거나 부당 이득을 얻기 위한 수단으로 사용될 수 있다.

(2) 물리적 접근 통제

① 담장, 잠금 장치, 조명, 경비원, 경비견, 침입 경보 시스템, CCTV 등이 포함된다.

② 방문자는 신분 확인과 검증(identification & authentication)을 하고 방문 일시와 목적을 기록하며 민감한 지역의 경우 직원이 동행(escort)해야 한다.

③ 컨설턴트, 건물의 유지보수 직원 등은 신원 보증을 받아야 하고 출입증을 지참해야 한다.

④ 피기백킹에 대한 통제로서 교육, 데드맨 도어(deadman door, trap door라고도 함), 턴스틸(turn stile), 인증 장치가 있는 회전문 등이 널리 사용된다.

⑤ 민감한 시설의 위치는 공개하지 않아야 하며 출입구의 위치도 잘 보이지 않는 것이 좋다.

⑥ 출입구는 평소 하나만 사용하며 창문 통해 컴퓨터 모니터가 보여서는 안 된다.

⑦ 보고서/문서를 운반할 때는 덮개가 있는 수레를 사용한다.

(3) 모바일 컴퓨팅 보안

① 모바일 컴퓨팅 기기에 대한 보안 정책을 수립, 배포, 교육한다.

② 장비와 자원에 식별표를 부착하고 가능하다면 잠금 장치를 설치한다.

③ 중요한 파일에 패스워드를 부여하여 아무나 접근하는 것을 방지한다.

④ 공개된 암호화 알고리즘을 사용하여 중요한 데이터를 암호화한다.

⑤ 중요한 데이터 파일은 주기적으로 또는 동기적으로 백업한다.

⑥ 도난 대응팀을 구성하여 도난 당한 기기를 식별하고 신속하게 신고하며 피해를 억제해야 한다.

(4) 인적 접근 통제

① 물리적 접근 통제의 경우 접근 주체의 식별과 인증이 동시에 일어난다.

② 다시 말해 다양한 인증 기법이 식별에도 적용된다.

③ 이질적인 인증 요소(요인 1: 지식, 요인 2: 소유물, 요인 3: 생체 인식)를 결합하여 사용하면 인증의 강도가 증가한다.

④ 전자적 접근 통제(EAC: Electronic Access Control) 장치를 사용하면 접근 시각과 장소 및 접근 주체에 대한 기록이 남기 때문에 책임 추적성(accountability)이 증가한다.

⑤ 출입문의 접근 로그를 적절한 기간 동안 보존하고 주기적으로 검토한다.

⑥ 접근 통제 대책에 대해서는 주기적인 침투 테스트를 수행한다.

(5) 경계 보안

① 건물 주변에 적절한 높이의 담장을 만들면 외부인이 실수로 접근하는 일을 줄일 수 있다.

② 적절한 위치와 높이에 감시 카메라를 설치하고 경비원이 주기적으로 순찰한다.

③ 녹화된 CCTV 기록은 주기적으로 검토하되 동작 감지기를 함께 설치하여 움직임이 있을 때만 녹화하게 하면 검토해야 할 CCTV의 기록을 줄일 수 있다.

④ 평소에 사용하지 않는 출입문이나 접근 경로는 철저히 잠가 두고 침입자가 발생하면 감지하여 경보를 울리는 침입 경보 시스템(intrusion detection system)을 설치한다.

⑤ 적절한 위치와 높이에 조명을 설치하여 범죄 및 외부인의 침입을 억제한다.