보안 대책을 크게 3가지로 구분 하자면 기술적, 관리적, 물리적으로 나눌 수 있다.
한국의 ISMS도 그렇고 여러 국제 인증 기준들 또한 이 3가지로 구분하여 보안성을 검토한다.
기술적 보호대책은 접근통제, 암호화, 백업시스템 등이 포함된다.
관리적 보호대책은 보안계획, 결재·승인 절차, 관리대장 작성, 절차적 보안 등이 있다.
물리적 보호대책은 재해대비·대책, 출입통제 등이 해당된다.
이를 2가지로 줄인다면 기술적, 관리적 대책이 될 것이다. 물리적인 보호대책은 대부분 관리적인 관점에서 이루어지기 때문이다. 정보통신망법에서 구체적인 정보보호 대책을 다룬 고시 또한 "개인정보의 기술적, 관리적 보호조치 기준"이다. ISMS와 같은 큰 규모의 인증이 아니라 소규모의 점검에선 기술적, 관리적 대책으로 구분하여 다루기도 한다. 물론 기술적, 관리적 보호대책에서도 물리적인 보호대책을 다루는데 그게 관리적 보호대책에 하위 요소로 포함이 되어 있는 것이다.
물리적 보호대책이라고 하면 대표적인 것이 재해대비·대책과 출입통제가 있다. 재해에 대한 대비나 대책은 보호 대상이 되는 자산을 지진이나 화재, 수해 등에 대비하여 튼튼한 장소에 보관 하는 것도 포함이 되지만 좀 더 접근하기 용이한 관점에서 보자면 그런 자연재해가 일어났을 때 어떻게 복구하느냐에 대한 대책이다. 튼튼한 장소를 마련하는데는 한계가 있으므로 주로 절차적인 과정과 훈련등을 주 내용으로 하고 있다.
그리고 출입통제 또한 CCTV나 시건장치 등을 이야기 하는 것이나 좀 더 세부적으로 보자면 IC카드나 지문인식 등의 기술적 대책으로 구현되고, 출입대장 작성, 출입과정에 대한 절차 마련 등의 관리적인 대책으로 구현된다.
이렇게 보호대책을 구분 하는 것은 체크리스트 작성이나 점검 대상을 구체화 하는데 도움이 된다. 단순히 머리 속에 떠오르는 해킹 방지 대책만을 나열한다면 자칫 기술적인 보호대책에 치중될 수 있으나, 그런 기술적인 해결책의 한계점은 관리적/물리적 보호대책으로 보완될 수 있기 때문이다.
'IT 이론 > 정보보호' 카테고리의 다른 글
트래픽 분석 (0) | 2018.03.18 |
---|---|
정보보호에서의 위협(Threat)과 위험(Risk) (1) | 2018.03.13 |
보안 CIA Triad (CIA 삼각형) (0) | 2018.03.12 |
[정보보안기사] 각종 취약점, 공격 및 대응방안 (3) | 2018.03.03 |
방화벽의 동작 구분과 여러가지 구성 방법 (0) | 2018.02.24 |
댓글