ISMS 인증 컨설팅을 진행하면서 해당 기업의 정보보호 수준분석(현황분석 또는 GAP분석)을 할 때, 담당자에게 질문하면서 여전히 헷갈리는 부분이 물리적 보안의 출입통제에 관한 통제항목입니다. 흔히 기업의 물리 보안은 총무팀이 담당하게 되는데, 방문자의 출입 현황을 제대로 관리하고 있는지나 회사의 기밀 정보가 포함된 문서를 보관하는 문서고의 출입 통제 등이 제대로 수행되는지 확인하는데요. 물론 대부분 기업에서는 제대로 관리가 되고 있지만, 몇몇 기업에서는 전산실이나 문서고 등을 통제구역으로 지정해야함에도 불구하고, 통제구역 안내판을 붙이지 않거나 출입통제 장치가 설치되어 있지 않아 지적하는 경우도 적진 않죠.
사실 일반인이 보기에는 보호구역이나 제한구역, 통제구역이 다 똑같아 보일 수 있습니다. 저도 얼마 전까지는 이 셋의 차이가 무엇인지 정확하게 몰랐는데 물리 보안 실사를 진행하면서 조금이나마 알게 되었는데요. 일단 보호구역은 외부인의 출입을 제한하는 구역을 의미하면서 제한구역과 통제구역을 포함합니다. 즉, ISMS에서는 보호구역 안에서 제한구역과 통제구역을 구분하는데, 제한구역은 내부 직원의 출입은 허용되지만 외부인의 출입이 통제된 보호구역을 의미하죠. 통제구역은 외부인뿐만 아니라 내부 직원의 경우에도 통제 받는 보호구역입니다.
다시 정리하자면, 보호구역 안에서 통제 수준으로 볼 때 제한구역보다 통제구역이 조금 더 엄격하다고 볼 수 있는데요. 쉬운 예를 들자면, 보통 건물에 여러 회사가 존재하고 각 층에 회사 사무실을 들어가기 위해서는 출입 통제 시스템에 출입증을 태깅해야 들어갈 수 있다는 것은 다들 아실겁니다. 일단 사무실은 내부 직원만 출입이 가능한 제한구역이 되고요. 사무실 안에는 재무팀이나 인사팀과 같이 각 팀만 확인할 수 있는 문서고가 있는데, 문서고에는 기밀 정보가 담긴 문서를 보관되기 때문에 해당 구역이 통제구역이 됩니다. 이 통제구역은 출입증에 별도의 권한이 있는 사람만 들어갈 수 있거나, 도어락 같은 출입통제 장치가 있기에 내부 직원 중에도 특정 직원만 출입이 허용되겠죠.
이렇게 제한구역과 통제구역은 엄밀히 구분되어야 하고, 실제 ISMS 심사에도 출입통제를 실사할 때는 통제구역을 위주로 확인하게 됩니다. 물론 여러 회사들을 보면 예외적인 상황이나 예산 문제로 인해 통제구역인데 출입통제 시스템이 없는 경우가 많은데요. 하지만 단순 ISMS 인증이 아닌 ISMS-P 인증의 경우는 통제구역에 CCTV가 제대로 설치되어 있는지도 확인하는 엄격한 기준을 적용하기 때문에, 추후 정보보호관리체계 인증을 받아야 할 기업의 보안 담당자라면 필수적으로 알아두는 것이 도움이 될 것으로 생각됩니다.
'Security Essay' 카테고리의 다른 글
페이코 간편결제 앱 서명키 유출 사례 (0) | 2022.12.07 |
---|---|
안전조치 의무사항 위반 개인정보 유출 사례 (0) | 2022.12.05 |
SSH 로그인 무작위 대입 공격 사례 (0) | 2022.11.25 |
신당역 사건으로 본 공공기관 개인정보관리 미흡 사례 (0) | 2022.11.20 |
게시판 파일 업로드 악성 문서 차단 솔루션 구축 사례 (0) | 2022.11.18 |
댓글