보안평가 및 보안운영 기본
물리적 보안 및 개인의 안전 — 출입통제부터 사회공학까지
물리·사이버·사람을 하나의 운영 체계로 묶어 설명드립니다.
물리 보안은 ‘사이버 보안의 전제 조건’입니다
아무리 네트워크/암호화가 좋아도, 장비에 물리적으로 접근하면(도난/임의 부팅/케이블 탈착) 방어가 어려워집니다.
그래서 물리 보안은 출입통제·감시·환경(화재/침수)까지 포함해 운영합니다.
물리·사이버·사람을 함께 보아야 보안 운영이 안정적입니다.
운영자가 바로 적용할 수 있는 물리 통제 항목
- 출입: 통제구역(서버룸) 2중 인증(카드+생체/OTP 등), 방문자 동행
- 감시: CCTV/출입 로그의 보존·조회 권한 분리
- 환경: UPS, 온습도/화재/침수 센서, 장비 랙 잠금
- 자산: 노트북/매체(USB, 외장SSD) 반출입 관리
개인 안전(사람)까지 포함해야 하는 이유
최근 가이드는 사이버와 물리 보안을 분리하지 않고, 서로 연결된 위협(도싱, 스토킹, 내부자)을 함께 보라고 권고합니다. 특히 중요 인프라/대외 노출이 있는 조직은 개인 안전 조치가 보안 운영의 일부가 됩니다.
개인 안전 최소 체크
- 업무용 계정과 개인 계정의 2FA, 비밀번호 재사용 금지
- 직원/임원 대상으로 피싱·사회공학 대응 교육 정기적으로 실시
- 내부자 위협(권한 남용/정보 유출) 탐지·신고·대응 절차
예시: 출입 로그/영상의 권한 분리(감사 가능하게)
# access_policy.md (개념 예시)
- 출입 권한: 최소 권한(업무 필요자만), 기간 만료 자동화
- 출입 로그: 보안팀/감사팀 열람 가능(운영자는 원칙적으로 제한)
- CCTV 영상: 열람 사유/승인 기록 의무화
- 방문자: 신분 확인 + 출입증 + 동행 + 반출입 확인
참고 레퍼런스
'Tech Note > 보안-보안평가 및 보안운영 기본' 카테고리의 다른 글
| 4. 사고 대응 및 재해 복구 (0) | 2026.01.17 |
|---|---|
| 3. 보안 운영 및 형상/구성 관리 (0) | 2026.01.17 |
| 2. 보안 프로세스 데이터 수집 (0) | 2026.01.17 |
| 1. 보안 평가 및 테스트 전략 (0) | 2026.01.17 |