[보안맨] 국내 소규모 IT 기업에서의 출입 통제 방안 마련 사례 공유

안녕하세요,

정보보호 관리체계 인증 (이하 ‘ISMS’) 취득을 위해, ‘출입 통제’ 인증 기준을 이해하고 부족한 부분을 조치한 업무에 대해 공유드리고자 본 글을 작성하게 되었습니다.

보안 업무 특성 상 자세한 내용을 담을 수 없는 점 양해 부탁 드리겠습니다.

일정 규모 이상의 기업이라면, 출입통제시스템을 도입 합니다. 관리적, 보안적으로 여러 이점이 있기 때문이라고 생각합니다. 만일, 출입통제시스템이 존재하지 않는 회사가 ISMS 인증 취득을 목표로 한다면, 단기간에 할 수 있는 업무, 중/장기적으로 출입통제 인증기준을 충족할 수 있는 방안을 마련할 것 입니다.

ISMS 내 출입통제 인증 기준은 아래와 같습니다.

“보호 구역은 인가된 사람만이 출입하도록 통제하고 책임 추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토해야 한다.”

필자가 국내 소규모 IT 기업에서 ‘출입 통제' ISMS 인증 기준을 위해 진행한 업무에 대해 크게 아래와 같이 세 단계로 구분해 설명 드리겠습니다.

• ●현황 파악

• ●물리 보안 지침 전면 개정

• ●개선 계획 수립/적용

• ○출입관리대장 양식 생성/운영

• ○잔재 위험 보고 (to. CISO)

• 1.현황 파악

사전에 ISMS 인증기준 출입통제 중요 확인사항, 관련 법령 (e.g. 개인정보보호법, 기술적/관리적 보호조치 기준 및 관련 가이드), 사내 지침을 숙독했습니다.

이후, 팀 내 담당자와 몇 차례 미팅을 통해 다음과 같은 이슈를 확인할 수 있었습니다.

• ●전산실을 출입보안 영역으로 미 지정

• ●출입 내역(관련 이력)에 대한 주기적 검토 미 수행

• ●전산실 출입 통제를 위한 출입관리시스템 부재

• ●물리 보안 지침 (출입통제 관련 내용 포함) 현행화 미흡

Figure 1. 현황 파악용 담당자 인터뷰 질문지 (예시)

• 2.물리 보안 지침 전면 개정

현황 파악을 통해, 사내 게시판 내 게시 및 임직원에게 공표된 물리 보안 지침이 현행화가 전혀 안되어 있음을 확인 했습니다. 심사원들이 ISMS 결함 보고서를 작성할 때, 사내 지침도 근거 목록으로 사용하는데, 여러 정책/지침들이 현행화가 안되어 있을 경우, ‘1.1.5 정책 수립’ 결함이 나올 수 도 있는 상황이었습니다.

물리 보안 지침 개정을 위해 다음과 같은 action plans을 수립했습니다.

• ●각 지침에서 명시되어 있는 통제 항목이 실제 업무 환경 내 구현되어 있는지 체크

(아래 예시)

• ○전산센터 운영 여부

• ○보호 구역 지정 여부

• ○보호 구역 내 전산기기 반출/반입 통제 여부

• ○전산실 내 작업 시 통제 여부

• ○전산실 내 출입관리 통제 여부 등 다수

• ●지침 내 ISMS 주요 기준 및 관련 법규 누락여부 확인

• ●단 기간 내 (ISMS 심사 전) 조치 가능한 계획 수립 및 조치

• ●물리 보안 지침 내용 현행화 후, 관련 담당 부서/담당자 미팅 (회의록 작성 포함)

• ●지침 현행화 관련 CISO 보고

• ●임직원 공표 및 그룹웨어 게시

• 3.개선 계획 수립/적용

위 물리 보안 지침 전면 개정에 따른 단기 개선 과제를 도출하고, 중/장기적으로 추진해야 하는 과제에 대해서는 별도 정리해서 CISO (정보보호 최고 책임자)께 보고 드렸습니다.

단기적으로, 출입관리대장 양식을 고안해 전산실에 비치한 사례를 말씀 드리고 싶습니다. 회사 빌딩 관리 구조 상, 전산실이 회사 공간 외부에 있었고, 출입관리시스템을 통해 통제되지 않는 상황이었습니다. 최소한의 방책으로 출입관리대장 양식을 고안했습니다. 양식은 주로 인터넷, ISMS 인증 실무 가이드(책)을 참고 했습니다.