산업보안 및 개인정보 보호를 위한 대책은 크게 관리적 보안대책, 물리적 보안대책, 기술적 보안대책으로 구분된다. 관리적 보안대책이 우리가 알고 있는 보안정책이나 자산관리 등의 정책적인 부분이고, 기술적 보안대책이 시스템보안, S/W보안, 네트워크 보안의 기술적인 부분이라면 물리적 보안대책은 가장 기본적이면서도 놓치기 쉬운 부분이다.
그 이유는 물리적 보안대책은 너무나 일상적이어서 다른 보안대책과 달리 복잡하지 않지만 그것을 지키는 것은 개인으로 어렵기 때문이다.
예를 들어 관리적 보안대책을 통해 정책을 세우고 그 정책에 맞춰서 시스템을 운영해나가는 것은 각 개인이 자연적으로 따라오게 만들 수 있는 부분이다. 그러나 물리적 보안대책은 정해진 관리적 보안대책 기준에 맞춰서 각 개인 스스로가 지켜나가야 하는 부분이라는 것이다.
예를 든다면 사물함 등의 시건 장치, 출입문의 출입통제 절차 등이 이에 해당한다. 물리적 보안 대책을 세웠지만 대책들이 행동으로 이행되지 않으면서 발생한 사고의 대표적인 형태가 아래의 정부청사에 대한 수험생의 침입사고이다. 기본적인 출입통제 대한 수행이 이뤄지지 않아 발생한 사고이다.
과연 그렇다면 물리적 보안대책에는 어떠한 것이 있고, 어떻게 대책을 준비하고, 관리해나가면 되는 것일까
첫째, 출입통제에 대한 부분이다. 회사 내 주요 사무실, 연구소, 중요 설비 등 보관하는 장송에 대해서 공용구역, 일반구역, 제한구역, 통제구역 등으로 구분을 하는 것이다. 공용 구역은 말 그대로 모든 인력에게 공개된 구간으로 로비나 대기실을 말한다.
일반구역은 내부인에게 출입이 허가된 구역을, 제한 구역(전기실, 기계실 등)과 통제구역(전산실, 연구소 등)은 각각 중요 설비가 있는 장소나 기술이나 영업상 기밀 등 기업의 운명에 치명적인 영향을 줄 수 있는 장소를 선정하는 것이다.
둘째, 장소의 선정이 이뤄졌다면 다음으로는 출입통제 장비의 구비 및 출입통제 장비를 통한 개별적인 통제 관리가 이뤄져야 한다. 개별적인 통제 관리를 위한 방법에는 어떠한 것이 있을 까 대부분의 회사들이 쉽게 이용하는 방법으로 번호키와 카드키를 이용한 출입통제 방식 있다.
먼저 소규모의 업체들이 많이 이용하고 있는 방법인 번호 키의 경우 주기적인 변경이 이뤄진다면 보안적으로 미흡하지만 약간의 안전성을 갖췄다고 할 수 있으나 금번 정부청사 사건처럼 대부분의 번호 키를 이용하는 업체의 경우 최초 설정된 비밀번호에서 변경을 하지 않거나 문 옆에 적어둔다. 또한 누가 출입을 했고 나가는 지에 대해서 알지 못해, 내부 기밀문서의 유출 등의 사고에 대한 대응을 할 수 없다.
그 다음으로 선택을 하는 방법이 현재 국내 대부분의 많은 회사들이 이용하고 있는 출입증 활용한 출입통제 시스템이다. 출입 및 통제에 대한 기록을 통해 출입통제가 관리되고, 내부 자료 유출 시에 대해서도 어느 정도 통제가 가능한 부분이 있지만 출입증 자체에 어느 회사 어느 부서 누구에 대한 기록이 선명이 적혀있어 분실 사고 발생시나 카드 복제를 통한 외부자의 접근이 쉬워질 수 있다는 부분에서 안전성이 높다 할 수는 없다.
다음은 최근 많은 업체들이 도입하고 있는 지문 인식이다. 지문인식의 경우도 지문을 복사해서 댈 경우 출입이 가능하다는 부분이 발생하나, 중소기업이나 소상공인들이 대체할 수 있는 가장 현실적인 대안이 될 것이다.
정맥인증, 홍체 인증 등 좀 더 안전한 생체인증의 방법이 있지만 대기업에서조차 금액적으로 부담이 되어 도입을 미루는 상황에서 중소기업을 비롯한 대부분의 기업에게 비싼 개발비용이라는 걸림돌은 매우 크다. 대신 지문인식을 도입하면서 출입자에 대한 감시를 할 수 있는 CCTV 장비 등의 도입은 고려할 만한 가치가 있다.
셋째, 중요 시스템 및 장비 등에 대해 화재, 절도 등의 물리적 위험으로부터 보호하기 위한 대책 및 보안대책의 마련이다. 먼저 화재, 태풍 등의 다양한 위험으로부터의 위험관리 방안 마련, 중요 설비 등의 시설을 지키기 위한 소화설비 마련, 중요 시설의 도난 사고 등을 예방하기 위한 출입자 관리, 정전 발생 시 전력의 안정적 공급을 위한 전원설비 점검이 이행되어야 하는 내용이다.
마지막으로 물리적 보안대책의 핵심은 만드는 것이 아닌 지켜지는 것이다. 현실에 맞지 않는 물리적 보안대책은 불편함을 만들어내고, 결국 버려지게 된다.
그리고 불편함이 만들어낸 공간에 보안의 구멍이 만들어지는 것이다. 정부종합청사가 사고 이후 대처 방법으로 선택한 출입 통제 방법으로 인해 나타난 늘어선 출근길 행렬의 모습처럼 지금 만들어지는 대책이 자신의 회사에 맞지 않는 방법은 아닌지
아니면 현실에 급급해 선택한 잘못된 선택은 아니었는지 한번 돌이켜 보면 서 물리적 보안대책을 수립하기를 바란다.
