본문
KISA IT 보안 가이드라인(2/2) - 근본적인 보안대책
7. 50가지 근본적인 보안대책
7.1 IT 보안에 대한 체계적 접근
1. 모든 프로젝트마다 초기단계부터 IT보안문제를 충분히 고려하여야 한다.
고도의 기능과 편리한 사용, 저렴한 조달 및 운영비용, IT보안 등을 구비한 프로그램들이 다양하게 출시되고 있다. 그렇지만 새로운 소프트웨어를 구입하거나 비즈니스 프로세스를 계획하는 경우와 같이 프로젝트의 시작단계부터 IT보안 문제를 고려하여야 한다 신기술이라고 해서 무차별적으로 도입해서는 안 된다 이를 위하여 특히 IT보안에 대하여 경영진의 철저한 지원이 제공되어야 한다는 것은 필수불가결한 사실이다. 나중에 드러나게 되는 보안상의 문제점으로 인하여 좋지 않은 결과가 발생할 수도 있다. 더구나 기획이나 계획 단계에서의 과실이 었었던 것으로 사고 발생 이후에 드러날 경우 이러한 과실을 바로잡기 위하여 막대한 자금을 투입하거나 정정 자체가 아예 불가능한 경우도 있다, 생활의 편의를 조금이라도 희생하거나 일부 기능을 포기하고 초기단계에서 보안에 조금 더 신경을 쓴다면 보안사고로 인한 막대한 비용의 지출을 예방할 수 있으며, IT보안 제품 구입을 위해 거액을 투자할 필요도 없을 것이다.
2. 가용자원 부족시 대안적 해결책도 고려되어야 한다.
대체로 동일한 목적을 달성하기 위해서는 여러 가지 방법이 존재한다. 막대한 금액이 투자되었지만 일정이 계속 연기되는 프로젝트에 대하여는 시간이나 자금부족, 기본조건(framework condition) 상의 변화로 인하여 "취소" 될지 모른다는 우려가 한층 높다고 할 수 있다. 따라서 목표수준이 좀 더 낮은 대안적인 접근법에 대해서도 처음부터 고려해 보아야 한다. 한 번에 큰 걸음을 내딛기보다는 몇 개의 하위단계로 나누어 보면 수월하게 실행에 옮길 수도 있다. 이것 역시 보안의 한 단면이다.
3. 적절한 보안대책을 정립하기 위해서는 IT보안 목표를 상술해야 한다,
IT보안을 생각할 때 제1단계는 다음에 대한 평가라고 할 수 있다.
- 어떤 기본조건(법규, 계약, 고객의 요구조건, 경쟁사의 상황)이 적용되는가
- lT 및 IT보안은 기업이나 기관에 있어 어떤 역할을 담당하고 있는가?
- 보호하여야 할 귀중한 자산(전문지식, 거래상의 비밀, 신원정보, IT시스템)은 무엇인가? 발생 가능한 피해는 어떤 것인가?
보호 요구조건의 평가(assessment of protection requirements)''는 모든 보안 분석에 있어 언제나 필수 불가결한 부분이다. 이를 통하여 앞서 설정된 보호 목적과 여기에서 파생된 보안 대책들이 특정 상황에 적합하도록 합리적이고 적절하게 확립되는 것이다 시간이 지남에 따라 기본조건이 변화하기 때문에 보호요구조건의 평가가 현재 상황에 적합한지에 대하여 정기적으로 확인할 필요가 있다. 보호 요구조건을 평가하는 동안 기밀성과 무결성, 가용성과 같은 IT보안의 3가지 측면에 중점을 두는 것이 유익하다
4. 보안목표 및 관련 보안조치에 대하여 적정 수준의 통제가 확립되어야 한다
"IT보안은 진행 중인 과정이다." 이 말에는 핵심적인 문제가 축약 돼 있다. 즉 IT보안과 관련된 대부분의 작업은 정기적으로 반복되어야 한다는 것이다. 설정된 보호조치의 시행회수를 1회에 한정할 것인지 정기적으로 반복해야 하는지(안티바이러스 소프트웨어의 정기적인 업데이트 등)를 판단하기 위하여 빠짐없이 검토하여야 한다,
5. 보안 목표 및 보안조치의 우선순위를 명확히 정하는 행동계획을 수립하여야 한다,
조직 내의 IT보안 상태 개선방안에 대해 진지하게 생각해 본 사람이라면 시간 및 자금 사정이 허락하는 것보다 더욱 많은 과제에 직면하게 될 것이다. 따라서 적당한 방식으로 설정한 보안 목표와 보안조치에 대한 우선순위를 확정할 필요가 있다. 이 과정에서는 비용과 효율을 반드시 고려하여야 한다.
6. 특히 부담스러운 보안 요구조건들은 피해야 한다.
가능하다면 보안 목표는 실행 가능성이 높아야 하며 , 비현실적이거나 부담스럽게 생각되지 않을 만한 내용이어야 한다. 또한 당연히 보안 목표와 보안조치 시행에 필요한 기술 및 조직 내의 기반(infrastructure)이 마련되어야 한다 이렇게 하지 않으면 직원들 모두가 보안 관련 정책을 심각하게 받아들이지 않거나 경시할 우려가 있다 의심이 발생하는 요구조건을 무시하고, 요구조건의 준수를 위하여 보다 노력하여야 한다. 또한 정상적인 운영방법, 특히 누구에게나 영향을 미치는 보안대책에 대해서는 관련 사용자들과 사전협의를 거치는 것이 타당할 것이다.
7. 책임을 규정하여야 한다,
설정된 과제의 실행에 대한 책임 소재를 명확하게 규정할 필요가 있다. 또한 정립된 보안정책의 적용대상도 정확하게 지정하여야 한다. 즉, 해당 정책의 대상이 모든 정규직 직원인지, 아니면 특정부서나 직원 전체인지 등이 명확해야 한다는 것이다. IT 보안 관련 책임 있는 직위의 사람은 직무대행을 지정할 필요가 있다. 직무대행 역시 IT보안관련 업무수행에 능력을 갖추고 이를 실행할 만한 직위를 가지고 있어야 한다. 또한 직무대행을 지정함에 있어 IT 보안에 대해 보고를 받은 적이 있는지, 만약의 사태에 대비해 꼭 필요한 패스워드를 안전한 장소에 보관하고 있는지, 필요로 하는 문건이 있는지 등에 대하여 고려하여야 한다.
8.기존 정책 및 책임사항에 대하여 공지하여야 한다.
기업체의 직원을 대상으로 한 조사에 의하면 대부분의 직원이 IT보안 관련 정책에 대하여 전혀 인식하지 못하거나 부분적으로만 알고 있는 것으로 나타났다. 때로는 IT 보안 정책이 있다는 사실조차 모르는 경우도 있었다. 따라서 회사 또는 기관의 직원들이 최신 IT보안 정책에 대하여 숙지할 수 있도록 필요한 조치를 취하여야 한다. 전 직원들이 회사/기관의 내/외부의 연락체계(points of contact)와 자신의 역량을 파악할 수 있도록 하여야 한다. 이를 통하여 문제 발생에 대응하는 과정에서 보다 신속하게 필요한 지원을 받을 수 있을 것이다. 뿐만 아니라 직원들이 회유나 협박으로 인하여 회사의 기밀정보(패스워드 등)를 외부인에게 유출시키는 것을 방지하는 역할도 할 것이다. 또한 여기에는 법률적인 측면도 고려되었다. 즉, 보안침해로 인하여 범죄가 발생 한 경우 혐의자가 자신의 무지를 주장함으로써 처벌을 회피할 수 있는 가능성을 차단할 수 있기 때문이다. 필요한 경우 전 직원을 대상으로 주요 IT 정책에 대하여 인지하고 있다는 사실을 서면으로 인정하도록 하는 방법도 바람직하다고 할 수 있다.
9. 정기적으로 보안을 점검하여야 한다.
IT보안 수준을 정기적으로 관제(momtor)하고 평가하여야 한다 충분한 예산이 확보되었다면 최소한 일년에 한 번은 외부전문가에게 주요 IT부문에 대한 점검을 실시하는 것도 신중하게 고려하여야 한다. 다음과 같은 문제들을 미리 고려하는 것도 중요하다. 새로운 보안 표준 또는 중요한 신기술이 등장하였는가? 고객과 협력사의 기대 가치에 변동이 있는가?
10. 적합성 및 효율성 확인을 위해 기존의 업무과정 및 보안정책을 정기적으로 점검하여야 한다.
IT보안 담당자를 포함하여 대부분의 사람들이 기존의 프로세스나 정책에 대하여 낙관적인 시각을 유지하는 경향이 있다. 그러나 보안정책은 시대에 뒤떨어지거나, 불완전하거나 실용성 없는 등의 세 가지 위험요인을 가지고 있다. 보안 목표가 직원들 사이에서 호응을 얻기 위해서는 보안 목표가 부담스럽다거나 비합리적이라는 인상을 주어서는 안 된다 이러한 관점에서 IT보안 문제와 관련된 일상 업무 전체에 대한 신중한 검토 작업이 요구된다. 일상 업무를 수행하는 개인들이 스스로 자신의 일상 업무를 평가하도록 하는 것은 IT 보안에 대하여 공헌할 수 있다. 또한 조사를 실시하여 개별 대책들의 유용성이 감소되었다고 평가되면 개선 사유 및 가능성을 연구하여야 한다.
11. 장기적 관점에서 전면적인 보안관리를 확립하라.
조직의 규모가 거대할 경우 단계별로 총체적인 IT보안 관리를 확립해 나간다면 고도의 IT보안 수준을 달성할 수 있다. 총체적인 IT 보안 관리는 본 가이드라인에 제시하고 있는 여러 가지 측면을 포함하고 있지만 그 영역을 넘어서고 있다. 조사 결과에 의하면 IT보안 관리를 전면적으로 실행하고 있는 기업의 경우 보안사고 발생비율이 현저하게 감소된 것으로 나타났다.
12, 보안정책은 보안개념상 적절히 문서화하여야 한다.
조직이나 기관의 보안정책을 서면으로 기록하여 보관할 것을 권장한다. 조직과 기관외 특정 요구조건에 적합하도록 변경할 수 있는 실례들을 인터넷과 기술서적을 통하여 용이하게 습득할 수 있다. 그러나 제3자가 작성한 보안 정책 관련 문서를 채택하고 조직에 맞게 수정하여 적용하면 보안 정책의 구조가 빈약하게 되고 모순된 규정들도 포함하게 될 위험이 있다. 경험적으로볼 때 보안 정책에 대한 용이한 수정과 보완은은 적어도 3개 이상의 단계로 신중하게 분류하여 보완하고 업데이트하는 것이다. 이러한 단계 중 최고수준은 일반적인 보안 목표에 주안점을 두는 한편 근본적으로 조직의 IT보안의 철학의 특성을 축약하고 제시하는 기능을 한다. 이것은 매우작은 분량에 불과하지만 "관리에 적합"할 뿐만 아니라 경영진의 승인을 필요로 한다. 최고수준 아래의 단계는 보안 목표와 기술요건, 관련 보호,조치에 대한 세부사항을 내용으로 한다. 그러나 아주 상세하게 제품의 특징 이나 단면까지 파고 들어갈 필요는 없다. 이는 사용제품이나 IT솔루션에 변화가 일어날 경우 보안 목표를 영구적으로 변경할 필요가 없도록 하기 위해서다. 마지막 수준은 두 번째 수준에서 규정한 요구조건들을 향후 사용할 특정제품의 세팅 및 메커니즘에 알맞게 변경하는 작업들을 다루어야 한다. 사용제품에 변화가 발생하면 이를 즉시 변경할 수 있어야 하는데 예전에 마련된 요구조건은 제품기능이나 실용성이 떨어져 시행할 수 없는 경우가 많다. 이런 경우 요구조건을 재구성하거나 다른 해결책을 선택하여야 한다. 그러나 중요한 점은 실행과 관련된 단점들이 모두 명확하게 기록된다는 사실이다 그 결과IT보안 담당자들이 이에 대한충분한 정보를 가지게 되어 향후의 위험에 대하여 평가할 수 있게 된다.
7.2 lT시스템의 보안
13.기존 보호 메커니즘(protection mechanism)을 활용하라.
오늘날 사무 통신(office communication)을 위한 일반적인 클라이언트/서버 기반 네트워크에 사용되는 대다수 프로그램은 우수한 보호 메커니즘을 다양하게 구비하고 있다. 그러나 구성상의 과실(configuration mistakes)이나 보호설비에 대한 무지로 인해 취약점이 발생하는 경우가 대부분이다, 따라서 기존 보안요구 조건들을 실행하기 전에 제조사가 구축한 보안기능과 메커니증을 반드시 분석하고 이해하여 이를 구현할 수 있어야 한다. 이와 같은 방법으로 보안 요구조건들을 기술적으로 강제할 수 있다. 그렇지 않다면 사용자 측의 적극적인 협조 의사를 필요로 할 것이다
14. 조직의 전 부문에서 안티바이러스 소프트웨어를 사용해야 한다.
최신 버전의 안티바이러스(anti-virus software)를 사용하여야 한다. 바이러스는 데이터 자료나 네트워크(인터넷, 인트라넷)를 통해 확산될 수 있다 바이러스는 또한 인터넷에 연결되지 않은 컴퓨터까지 감염시킬 수 있다. 인터넷을 통하여 주고받는 e메일과 모든 통신매체에 대하여 중앙 통제식 바이러스 검사를 실시하도록 권장한다. 나아가 모든 컴퓨터 에 영구적으로 작동하는 바이러스 스캐너를 설치하여야 한다. 일반적으로는 실행 가능한 파일이나, 스크립트, 매크로 파일 등만을 검사하여도 충분할 것이다 그러나 정기적으로 모든 파일에 대한 바이러스 경사를 실시하도록 권장하는 바이다. 이는 바이러스에 감염된 이후에는 필수불가결한 작업이다. BSI 웹사이트에 "컴퓨터 바이러스"라는 제목으로 최신 권고사항 및 상세한 배경 정보가 게재되고 있다.
15, 데이터 접근가능성을 최소수준으로 제한하여야한다
IT보안의 황금률 중 하나인 "필요성의 원칙"은 사용자(및 관리자)로 하여금 일상 업무에 반드시 필요한 데이터와 프로그램에 대해서만 접근하고 운영하도록 제한하여야 한다는 내용을 담고 있다. 여기에는 한 부서(영업부, 개발부, 인적 자원부, 관리부 등)의 정보에 대하여 업무에 반드시 필요치 않은 경우에는 타 부서 직원들의 접근을 방지하고자 하는 목적도 포함된다. 애플리케이션 프로그램, 특히 시스템 관리 프로그램 역시 꼭 필요로 하는 사람만이 사용할 수 있도록 제한하여야 한다. 이러한 원칙은 용이하게 실행할 수 있다. 즉 필요한 허가(permission)를 권한 부여 프로파일에 결합시키기만 하면 되는 것이다, 이를 바탕으로 적합한 사용자 그룹과 역할이 설정된다. 시스템사용자에 대한 개별적인 허가는 소속이나 사용자에게 지정된 역할에 의해 결정될 수 있다 또한 개인에게 허가된 접근권한이 그의 활동 프로파일과 부합하는지, 접근 제한이 유효 적절하게 행사되는지 등에 대하여 정기적으로 점검하여야 한다. 접근 권한 부여를 명확하게 이해하기 위해서는 적합한 툴(tool)을 사용하여 네트워크를 정기적으로 점검하는 방법을 선택할 수도 있다 이렇게 함으로써 제3자에게 접근이 금지된 자원을 식별할 수 있다 이와 관련하여 다양하고 적합한 툴들을 무료로 이용할 수 있다.신입 직원과 사직한 직원 등을 위한 허가 또는 취소에 대한 적적한 프로세스가 확립되어야 한다.
16. 시스템 사용자 모두에게 역할 및 프로파일을 지정하여야 한다.
접근권한을 부여할 때 개인이나 집단을 대상으로 여러 가지 사용 허가를 한번에 지정하면 안 된다. 이러한 접근방법은 관리대상 인원이 많을 경우 지나치게 복잡할 뿐만 아니라 과실을 자초하기 쉽고 관리에 많은 노력이 요구되기 때문이다. 표준 애플리케이션들은 적합한 인증 프로파일을 정의하는 동시에 적당한 역할의 창설을 제공한다 모든 사용자(및 관리자)에게 업무시간 동안 1개 이상의 역할이 지정된다. 결국 개인이 현재 수행하고 있는 특정 업무나 활동에 따라 각기 다른 역할을 지정받을 수 있기 때문에, 단순하고 안전한 인증관리를 할 수 있게 되고 유연성도 향상된다.
17. 관리자의 권한을 일정 수준으로 제한하여야 한다.
시스템 관리자의 대부분이 사실상 아무런 제약도 없이 시스템에 대한 무제한의 권한을 가지고 업무를 수행하고 있다. 관리자 자신이 이러한 권한을 남용할 수있으며, 권한이 없는 제3자가 관리자 역할을 수행하는 것처럼 위장할 수 있는 위험성도 가지고 있다. 따라서 가능하다면 관리 기능에 따라 관리자의 역할을 세분화하여야 한다. 즉, 프린터 관리, 신규 사용자 관리, 백업 작업 등으로 관리자의 역할을 분류하고 해당 역할에 대한 책임을 부담하도록 하는 것이다 나아가 저장된 데이터 분석과 관리자의 업무를 감독하는 관리자 한 명을 더 둔다면 이상적이라고 할 수 있다.
18. 프로그램 권한을 제한하여야 한다,
사용자와 마찬가지로 실행 가능한 프로그램 역시 일정한 접근 권한과 시스템권한(system privilege)을 보유한다 대부분의 경우 프로그램은 사용자의 접근 허가(permission)를 그대로 전수받게 된다. 그러나 이러한 인증(authorization)만으로는 불충분한 경우도 있다. 즉, 광범위한 권한으로 구성된 서버 프로세스의 경우 위와 같은 인증만으로 불충분할 수 있다. 이런 경우 프로그램은 "모든 권한을가진" 시스템 관리자처럼 "루트(root)" 허가를 보유하면서 모든 시스템 자원을 사용할 수 있다. 침입자에 의하여 이와 같은 프로그램들이 본래 의도와는 다르게 이용된다면 해당 프로그램이 가지고 있는 접근허가와 관련된 모든 것이 고스란히 침입자의 수중에 들어가게 된다. 프로그램을 올바르게 작동하기 위해서는 업무 수행에 필요한 인증으로만 구성되도록 하여야 한다.
19.제조회사에 의한 표준세팅을 적절하게 변경해야 한다.
대부분의 운영 시스템과 소프트웨어 애플리케이션은 설치 후 제품이 최대한 원활하고 편리하게 작동될 수 있도록 제조회사가 사전에 구성한 상태로 시판된다,(완벽한 IT시스템 및 사설교환기의 경우도 마찬가지다.) 그러나 제조회사가 표준 세팅을 선정할 때 IT보안 측면을 고려하지 않은 경우가 많다. 관련 시스템에 대한 지식이 없거나 불충분한 사용자에게도 상당한 편의를 제공할 수 있기 때문이다. 즉, 기존 제품들은 기본 구성에 있어 가능한 한 제한을 완화하여, 제품이 사용되는 환경에서 제한 없이 통신이 가능하도록 하고 있다 표준 패스워드와 표준사용자 계정이 구성되는 경우도 빈번하다 제조회사의 표준 세팅으로 인한 침해나 남용을 방지하기 위하여 이를 사용하지 못하도록 하여야 한다. 따라서 새로 설치한 이후 실제 보안요구조건에 적합하도록 변경되지 않은 시스템이 사용되지않도록 하여야 한다.외부에 노출되어 있는 주요 서버 및 운영체제를 더욱 "강화(hardened)"하고 "엄격하게" 관리하여야 한다. IT보안에 있어서의 강화함(hardening)은 소프트웨어 및 기능의 구성요소들 가운데 프로그램을 사용해 수행하려는 작업에 필요하지 않은 부분을 제거하는 것을 의미한다. 침입자가 문제의 서버에 설치되지 않아도 되는 프로그램을 통하여 서버 침투에 성공하는 경우가 종종 있기 때문이다.뿐만 아니라 컴퓨터에 설치된 프로그램이 많을 경우 정기적으로 유지 및 업데이트 하는 업무가 증가하기 때문이다. 불필요한 애플리케이션의 제거는 개별 도구나 드라이버, 하위구성요소(sub-components) 등에 있어서도 마찬가지다. 또한 불필요한 개별적 "명령(command)"을 제거하는 것도 가능하다
20. 매뉴얼 및 제품기록을 즉시 읽으라.
노련한 관리자들은 매뉴얼을 읽지 않고 곧장 시스템을 부팅하기도 한다. 이 경우 많은 위험이 있다 즉, 제조사의 경고문을 무시함으로써 호환 장애나 시스템중단, 취약성 출현과 같은 예기치 못한 문제에 직면할 수 있는 것이다, 따라서 제조사가 제공하는 도움말이나 정보를 무시함으로써 불필요한 위험을 자초할 수 있으므로 매뉴얼 및 제품기록을 즉시 읽어야 한다.
21. 설치 및 시스템에 관한 상세한 기록을 작성하고 정기적으로 업데이트 하라.
시스템의 설치와 설치 전후에 보안 운영자의 행동을 빠짐없이 서면으로 기록하는 것은 중요하다. 이것으로 복원기간을 단축시길 수 있을 뿐 아니라 문제 발생시 원인을 규명할 수도 있다. 또한 시스템에 대한 기록은 제3자도(관리대행자 또는 관리자의 휴가 시) 쉽게 이해할 수 있도록 작성되어야한다 이 경우 전담관리자가 갑작스럽게 업무를 중단하는 경우에도 사고발생 위험을 감소시킬 수 있다.특히 해커의 공격을 당할 경우 권한 없이 발생하는 시스템 상의 변화를 보다 신속하게 감지해낼 수 있다.
7.3 네트워킹 및 인터넷연결
대부분의 인터넷 사용자에게 e메일과 웹브라우저는 가장 중요한 인터넷 애플리케이션이다 그러나 여기에는 당연히 많은 위험이 도사리고 있다. 파일을 다운로드 할 때 바이러스스캐너의 감시망을 피한 유해한 파일이 섞여 들어올 수도 있다. 또한 인터넷 서핑이나 위험한 액티브 콘텐트(active content)를 실행할 경우 원하지 않는 결과가 발생할 수 있다. BSI의 웹사이트는 "인터넷 보안" 이라는 제목으로 최신정보와 각종 주제에 대한연구자료, 세부사례를 상시 제공하고 있다.
22. 방화벽으로 네트워크를 보호하라.
적절한 방화벽의 보호가 없이 사업 목적의 컴퓨터를 인터넷에 연결하여서는 절대 안 된다. 상대적으로 규모가 커다란 내부 네트워크에도 각기 다른 사용자 집단과 보호요건을 갖춘 여러 개의 하위 네트워크가 있다. 따라서 내부 네트워크에서 인터넷으로부터 받는 위협과 유사한 위협 요인을 받지 않기 위해서는 각 하위네트워크를 인접 네트워크로부터 보호하여야 한다 (예를 들어 인사부를 타 부서의 네트워크와 격리하는 방식 등이 있다.) 따라서 네트워크 연결에 있어 보호 메커니즘을 설치하여야 한다,
23. 안전한 방화벽은 최소한 일정요천을 충족하여야 한다.
인접 네트워크로부터 내부 네트워크를 보호하기 위해서는 적합한 유형의 방화벽을 선정해야 한다. 방화벽 아키텍처의 디자인과 방화벽 설치는 전문가에게 맡겨야 한다 일반적으로 다중레벨 방화벽 개념을 권장되는데 이 시스템 하에서는 라우터(router)와 같은 별도의 필터장치가 아래위로 배치된다 컴퓨터가 한 대 밖에 없거나 다른 이유로 복잡한 방화벽 시스템을 사용할 수 없다면 보호 대상인 컴퓨터에 개인 방화벽을 설치함으로써 기본적인 보호 체계가 구축되도록 하여야 한다.방화벽의 필터 규정은 시간이 경과함에 따라 적합하지 않게 될 수도 있다. 더구나 방화벽 관리자가 사용자들의 요청에 부합하다 보면 규칙을 약화시키는 결과를 초래하게 된다 따라서 기존의 필터 규칙에 대한 일관성, 적합성, 제한성 여부등에 대하여 정기적으로 점검하여야 한다, 뿐만 아니라 이미 도입되었거나 사용예정인 통신 프로토콥을 구비한 IT보안의 관점에서 기존 방화벽의 유효성을 점검할 필요가 있다. 신기술은 기존 방화벽 개념에 새로운 부담을 제공할 것이다. "BSI IT 보호 기본 메뉴얼"와 BSI의 웹사이트를 통하여 방화벽에 관한 상세한 기술정보를 얻을 수 있다.
24. 외부인 제공할 데이터를 최소 수준으로 한정하라,
상당히 많은 주요 정보가 오픈 네트워크를 통해 접근 권한이 없는 사용자에게 넘어간다 즉, 외부에서 기밀 데이터에 접근할 수 있다는 것이다. 이와 같이 데이터 보호는 신뢰할 수 있는 인증 및 허가 메커니즘에 달려 있다고 할 수 있다. 따라서 인증 및 허가 메커니즘이 부정확하게 구성되어 있거나 취약점을 가지고 있는 경우 보호를 필요로 하는 정보가 다른 사람의 손에 쉽게 넘어가고 말 것이다. 따라서 해당 조직의 밖에서 보호가 필요한 데이터에 접근하거나 데이터 처리가 가능한 지를 항상 점검하여야 한다
25. 외부인에게 제공되는 서비스 및 프로그램 기능을 최소수준으로 한정하라
외부에 제공되는 기능, 서버 서비스, 공개 통신 포트는 모두 보안상 허점을 증가시킬 우려가 있다. 따라서 "문제를 발생시킬지 모르는" 것들을 외부에 제공하고 사용하게 할 필요가 있는지 등을 신중하게 검토하여야 한다. 보안상 관련 위험은 기술 및 구현방식에 따라 상당히 달라질 수 있다. 즉, 기존설치환경 하에서 전혀 필요하지 않은 서비스나 기능들이 과실 또는 편의에 따라 사용되고 있는지에 대하서도 정기적으로 점검하여야 한다. 이러한 제약 수단들을 통하여 관리업무를 감소시킴으로써 획득하게 된 시간적 여유를 다른 보안 관리에 투자하도록 하여야 한다.
26. 웹브라우저를 다를 경우 특별한 주의가 요구되며 위험한 행동을 금지하라.
필수불가결한 액티브 콘텐트, 스크립트 언어 및 멀티미디어 플러그인만을 웹브라우저 상에서 사용하여야 한다. 특히 위험한스크립팅 언어의 경우는 예외 없이 사용되지 못하도록 하여야 한다.
27, e-mail 첨부파일에 대하여 특별한 주의가 요구된다.
수신되는 e-mail 첨부파일을 부주의하게 실행할 경우 피해를 초래할 수도 있다 사용자는 우선 첨부파일을 점검한 다음 내용을 열어보아야 한다. 또한 바이러스 스캐너를 필수적으로 사용하여 한다. 또한 의심나는 첨부파일을 열기 전에 발신자에게 확인하는 절차를 거쳐야 한다. 일부 e메일 프로그램은 사용자의 확인을 거치지도 않고 곧바로 첨부파일을 열어 실행시키도록 하는 문제점이 있다 첨부파일이 자동으로 열리는 것을 기술적으로 방지하기 위해서는 이러한 기능이 없는 e-mail 프로그램을 선택하여 적절한 구현환경을 설정한 다음 추가 기능 프로그램을 설치하면 된다.
28. 인터넷 사용과 관련된 대부분의 보안문제를 저렴한 비용으로 해결하는 방법 중의 하나가 서핌용의 독립형 인터넷 pc를 사용하는 것이다,
인터넷 서핑과 관련된 위험을 저렴하고 용이하게 감소시키는 방법은 내부 네트워크에 연결하지 않은 독립형 pc를 설치하는 것이다. 이렇게 함으로써 기능 및 사용상의 편의를 희생하지 않고도 인터넷 검색을 할 수 있다 독립형 Pc에 다운 로드된 파일은 바이러스 검사를 마친 후 데이터 매체나 e메일을 통하여 내부 네트워크로 전송할 수 있다.
7.4 인적 요소 보안요건의 지식과 이에 대한주의
29. 보안정책 및 요건을 이행하라,
보안정책은 충분한 주의를 기울일 때만 효과를 거둘 수 있다. 또한 보안기능이나 프로그램이 아무리 우수해도 사용하지 않으면 아무 소용이 없다 필요한 보안요건 모두를 일관성 있게 이행하려면 각 개인들 모두가 학습 프로세스를 거쳐야하며, 보안정책이 일상적인 습관으로 자리 잡고 난 후에야 비로소 제 기능을 발휘하게 된다. 직원 모두가 IT보안에 대한 기본지식을 구비하고 있어야 하며 위험을 인식하고 있어야 한다. 보안정책이 아무리 치밀하더라도 일상 업무의 보안 측면 전부를 속속들이 감당할 수 없기 때문이다,
30. 직장에서 정리정돈 및 질서와 식의 기틀을 잡아야 하며 주요 정보에 대한용이한 접근을 막도록 하여야 한다.
"집이 단정해야 마음가짐도 단정해진다." 많은 사람들이 이와 같은 격언에 공감할 것이다. IT보안 관점에서 볼 때 질서정연함을 유지하는 것은 추가적인 위험을 피할 수 있는 지름길이다. 퇴근 시 기밀 파일은 캐비닛이나 금고에 보관하고 반드시 잠가놓아야 한다. 기밀자료가 저장된 테이프나 디스켓, CD-ROM과 같은 데이터 매체를 절대 아무 곳에나 방치하여서는 안 된다 접근 권한이 없는 사람이 자료내용을 재구성하는 사태가 발생하지 않도록 적절한 보관 조치를 취해야 한다. 회사 기밀을 담은 프린트물은 문서 세단기로 세절하여야 한다. 하드디스크나 CD-ROM과 같은 데이터 매체는 안전하게 삭제하거나 제거하여야 한다. 이와 같은 보안 조치는 대상 데이터나 파일이 중요하다고 분류되었고 전 직원이 보안조치를 숙지하고 있다는 전제 하에서만 쉽게 이행될 것이다연. 유지 및 보수작업에 특별한 사전 주의가 요구된다.컴퓨터나 하드디스크를 수리하거나 폐기할 때 접근 권한이 없는 사람이 기밀데이터를 열람하거나 재구성할 가능성이 있다.(데이터매체가 손상된 경우에도 해당한다 ) 그러므로 IT시스템이나 사설 교환기를 다루는 서비스 기술자들이 감시자가 없는 상황에서 단독으로 작업하도록 방치해서는 안 된다. 데이터 매체를 외부로 옮길 경우에는 주요 데이터를 우선적으로 삭제하여야 한다.
32. 직원들에게 정기적인 교육을 실시하여야 한다.
발생 가능한 문제에 대한 의식결여로 인하여 과실이 발생한다. 따라서 관련 직원이 보안의식을 제고할 있는 정기적인 교육이 필요가 있다 이러한 교육에는 내부 강연이나 교육과정, 회람, 포스터, 보안사고의 공개 등과 같은 방법들이 있다. 더구나 관리자 및 IT보안 담당자에 대한 정기적인 교육은 반드시 필요하다. IT 보안 관련 예산이 부족하다 하더라도 IT 보안 교육은 필요하다.
33, 정직한 자체 평가만이 도움을 줄 수 있다;때로는 조언을 구하기 위해전문가를 초빙할 필요도 있다.
IT보안과 관련하여 필요한 기술지식 가운데는 조직 내부에서 얻을 수 없는 것도 있다. 내부 IT보안 담당자 등에게 일정한 자격조건을 갖추도록 요구하는 것은 관련 기술요건에 할애할 시간적 여유가 없는 경우가 많기 때문에 IT보안관련 기술지식 습득에 충분하지 못하다. 따라서 IT 보안에 대한 책임사항에 대하여 재정립할 필요가 있다. 대부분의 경우 외부 기관의 지원을 받거나, IT 보안 관련 서비스 제공 업체에 기술업무를 외주하는 편이 나을 수도 있다.
34. 기존 보안목표에 대한 감사체제를 구축하라.
필요한 모든 보안대책에 대하여 직원들의 이해와 수용, 능동적인 태도를 최우선적 목표로 싶어야 한다. 그러나 여러 사유로 인하여 이 요건이 무시될 수도 있다. 의도적으로 이를 무시하는 것은 일반적인 현상이라기보다 예외적인 상황이다 오히려 부주의에 의하여 이러한 요건이 무시되는 것이 가장 일반적이다. 적합한 보호조치를 통하여 위험을 회피하는 것은 모든 사람의 관심사다. 따라서각 보안목표에 대한 이행 상황을 감독하는 방법을 모색할 필요가 있다 이러한감독 작업에는 기술적 틀이 사용될 수도 있다. 또 감사관(auditor)의 주관 하에 저장된 데이터를 분석하거나 경영진으로 하여금 불시에 이를 점검하도록 할 수도 있다. 아울러 IT 보안 목표를 이행 중인 직원들에게 적절한 점검목록을 배포하여야 한다.
35. 보안 침해사고로 인한 결과를 상술하고 공개하라,
관계자 모두가 (의도적이든 아니든 간에) 보안요건을 무시할 경우 징계조치가 취해질 수 있다는 사실을 인식할 수 있도록 하여야 한다. 이를 강조하기 위하여보인 침해사고가 발생한 경우 어떤 결과가 예상되는지를 (보안정책 등에) 분명히 명시하여야 한다
36, 보안침해 행위에 대한 실질적인 처벌이 가능하도록 하여야 한다.
보안침해 사실이 발견될 경우 관리자가 범인을 어떻게 처리할지에 대한 궁금증이 일어날 수 있다. 침해행위가 경미한 경우, 특히 처음 발생한 사건인 경우에는 엄중한 제재 조치를 가하는 것이 부담스러운 일이다. 그러나 침해 정도가 심각하거나 침해자의 태도가 요지부동일 때 아무런 조치도 취하지 않는 것 역시 잘못된것이다. 침해자는 물론 IT 보안 침해 사실을 알고 있는 모든 사람들에게 침해가 발생하여도 처벌이 없다는 잘못된 의미로 받아들여질 수 있기 때문이다. 그러므로 필요할 경우 적절한 대응이 반드시 필요하다. IT보안 침해행위가 제재 대상이 된다는 사실을 모든 사람들에게 전달하여야 한다.
7.5 lT시스템의 유지: 보안과 관련된 업데이트
37. 보안 업데이트를 정기적으로 설치하라.
신종 바이러스가 가공할 만한 속도로 확산되고 있는 현실을 감안한다면 안티바이러스 소프트웨어의 보안 업데이트를 설치하는 것이야말로 가장 중요한 IT보안 요소라고 할 수 있다. 웹브라우저나 e메일, 운영 시스템에 대해서도 정기적으로 업데이트해야 한다 또한 애플리케이션 소프트웨어와 특정 하드웨어 구성요소도 정기적으로 유지 관리하여야 한다.
38. 사용 중인 소프트웨어의 보안 특성에 대하여 정기적인 세부조사를 실시하라.
IT시스템을 보호하기 위해서는 새로 발견된 취약점과 틀을 항상 파악하고 있어야 한다 인터넷과 기술관련 기사에 게재되는 최신 권고내용도 큰 도움이 될 수있다, (CERT에 관한 내용 가운데 "추가 정보" 항목을 참조하라.) 프로그램 제조업체들이 "최신" 프로그램 버전(브라우저 버전 등)에서 보안 관련 취약점을 많이 시정하고 있지만 이에 만족할 수 없다. 왜냐하면 보통 최신 버전은 또 다른 위험요인이 될 수 있는 새로운 기능과 버그를 포함하기 있으며, IT보안문제에 대해사용자 개개인의 주의가 요구된다는 사실 자체를 피할 수 없기 때문이다 시스템 관리자라면 적절한 인터넷 검색과 동료 전문가와의 정보 교환을 위하여 정기적으로 시간을 할애하여야 한다. 유료서비스에 비해 질적으로 우수한 무료정보서비스도 다양하게 제공되고 있으므로 시스템 관리자 등은 이를 참고하여야할 것이다. 더욱이 업데이트가 끊임없이 공개되고 보안 패치가 다양해지면서 선택 프로세스가 필요하게 되었다. 왜냐하면 이들 프로그램 전부를 설치할 수는 없기 때문이다 특히 즉각적인 대책이 필요한 경우에는 선택 프로세스가 더욱 필요하다. 그러므로 어떤 업데이트를어느 정도의 시간이 지체한 뒤에 설치할 것인지 등을 결정하려면 적용하여야 할 선정 기준에 대하여 사전 합의가 있어야 한다.
39. 필요한 보안 업데이트의 설치를 위한 행동계획을 수립하여야 한다.
시스템 관리자가 중요한 보안 업데이트를 설치하지 않는다고 하더라도 시스템이 자동으로 멈춘다거나 악의적인 해커로부터 즉시 공격을 받는 것은 아니다 업데이트의 설치는 엄격함을 많이 요구하는 작업이며 일종의 프로세스로 사전에 정의되어야 한다. 바이러스 스캐너는 가능한 한 신속하게 업데이트를 설치하는 작업이 습관화되어야 한다.
40. 소프트웨어의 변경사항을 반드시 테스트하라,
소프트웨어를 생산적인 시스템(productive system)으로 변환하는 경우에는 시험 환경 하에서 반드시 사전에 철저하게 확인하여야 한다, 또한 변환 후에도 시스템 전체가 원활하게 작동하는지를 확인하여야 한다, 왜냐하면 업데이트된 바이러스 스캐너가 자체 개발된 소프트웨어를 신종 바이러스로 잘못 인식하여 사용할 수 없게 하여 기업 네트워크가 마비된 사례도 종종 있었기 때문이다.일반적으로 중요한 보안 업데이트에 대한 테스트는 일정한 시간적인 압박 속에서 진행된다. 가능한 한 빨리 설치하여야 하기 때문이다. 따라서 관리자는 IT보안 요건과 사용 가능한 자원을 신중하게 검토한 뒤 합리적인 선에서 이를 절충하여야 할 것이다.
7.6 보안 메커니즘의 사용: 패스워드 및 암호화
41. 보안 메커니즘은 신중하게 선택해야 한다.
대부분의 제조사는 이미 패스워드 보호나 암호화 같은 선택적 보안 메커니증을 자사 제품에 통합시키고 있다. 안전한 암호화 메커니즘을 설계하는 것은 몹시 까다로운 작업이다. 이 분야에 수년씩 투자를 아끼지 않은 제품 개발자가 아니고서는 안전한 메커니즘을 개발할 수 없는 것이다. 하지만 상당수 업체들이 대체로 안정성이 부족한 자체 개발 암호화 메커니증을 수반하는 제품을 출시하고 있다.안전한 제품을 사용하고자 한다면 업체 측에서 어떤 절차를 채택하고 있는지 신중하게 알아봐야 한다. 가능하다면 널리 인정되는 표준 알고리즘을 사용하는 제품을 사용하는 것이 바람직하다 특정 보안기능의 품질에 대해 의구심이 생길지라도 더 효과적인 다른 대안이 없는 경우에는 그냥 사용하는 편이 낫다. 보호기능이 형편없더라도 아예 없는 것보다는 낫다. 그러나 기존의 보호 메커니즘은 최대 보호 수준에서 운영돼야 한다, 사실 sis 암호화를 사용하는 온라인 서비스 공급업체 대부분은 구형 웹브라우저와의 호환성을 유지하기 위해 아직도 40 비트의 키 길이(key length)를 갖는 암호화 알고리즘을 사용하고 있다.
42.패스워드는 신중하게(안전하게)선택해야 한다.
어설픈 패스워드야말로 IT보안 사고를 유발하는 주원인이다. 특히 해커는 어설프게 선택된 패스워드를 악용할 수 있다. 해커의 툴에서 자신을 보호하기 위해서는 일정한 질적 요건을 충족시킬 수 있는 패스워드를 만들어야 한다. 해커 툴은흔히 사용되는 단어와 숫자의 조합을 포함, 상상할 수 있는 모든 문자 조합이나 온갖 종류의 사전까지 통틀어 자동으로 동원해 패스워드를 만들어 낼 수 있다. 패스워드는 7개 이상의 문자로 만들되 사전에 실리는 단어를 사용해선 안 된다, 또 인명(특히 소설이나 영화에 등장하는 주인공의 이름)을 사용해서는 안 되며 특수 문자나 숫자를 포함해야 한다. 후자의 경우 패스워드의 끝에 숫자 1개를 덧붙이거나 단순한 패스워드에 $, !, ?, #과 같은 주요 특수문자를 첨가하는 식의 흔한 유형은 피해야 한다. 모든 패스워드를 정기적으로 변경해야 하는 것이 안전한 일이긴 하지만 또 다른 문제점을 유발하기도 한다. 수많은 패스워드를 일일이 기억하기 힘들기 때문이다. 따라서 보안수준이 높은 영역에서의 몇 가지 예외적인 경우를 제외하고는 패스워드를 전부 기록해 안전한 장소(그렇다고 해서 모니터나 해상 맨 위 서랍은 안 된다)에 보관하는 편이 낫다고 할 수 있다. 여러 가지 목적이나 계정에 똑같은 패스워드만 사용하는 습관 역시 문제가 있다 하나의 애플리케이션에 사용하는 패스워드가 잘못된 사람의 손에 넘어갈 경우 영리한 침입자라면 패스워드 소지자가 사용하는 다른 애플리케이션 역시 동일한 패스워드를 사용하지는 않는지 시험해 볼 것이다. 그러므로 이와 같은 “구제책"의 장단점에 대해 상황 별로 검토할 필요가 있다.
43. 사전 정의됐거나 공백상태인 패스워드는 반드시 변경해야 한다.
대부분의 소프트웨어 제품은 아예 패스워드가 정해지지 않은 상태로, 혹은 항상 똑같아서 널리 알려져 있는 패스워드를 사용하는 계정의 상태로 출시된다 대다수 해커가 이 같은 사실을 잘 알고 있으며 그들은 공격할 때 이러한 계정의 패스워드가 변경됐는지의 여부에 대해 확인한다, 따라서 제품을 새로 설치할 때는 언제나 매뉴얼에서 이와 같은 계정이 존재하는지 알아봐야 한다, 외부 관리 액세스용 패스워드가 고정돼 있거나 항상 동일한 유지서비스 업체는 보안상의 또 다른 문젯거리라고 할 수 있다. 가령 제조사들은 고객들을 지원할 때 관리자 액세스를 쉽게 획득할 수 있도록 자사 프로그램에 기록도 되지 않은 "백도어(backdoor)"를 설치하는 것으로 알려지고 있다. 그러므로 제조사나 서비스 업체는 이 같은 방법을 사용하지 않았다는 확실한 증거를 제시할 수 있어야 한다.이는 IT시스템뿐만 아니라 최신 사설 교환기에도 적용된다.
44. 사용자가 자리를 비울 레에는 패스워드를 사용하는 스크린세이버로 컴퓨터를 보호해야 한다.
일반적인 운영시스템은 일정 휴지기 뒤에 키보드와 스크린을 잠글 수 있는 기능을 제공한다. 잠금 장치를 해제하기 위해서는 정확한 패스워드를 입력해야 한다. 접근 권한이 없는 제3자가 소유권자가 일시적으로 자리에 없는 사이 pc에 액세스할 가능성이 있다면 스크린세이버를 사용해야 한다. 잠금장치를 너무 빨리 활성화해서는 안 된다. 그러면 사용자 입력을 할 경우 잠시동안 중단 현상이 나타나 사용자를 귀찮게 할 수 있기 때문이다. 자주 사용되는 시간간격(interval)은사용자의 최종 입력 후부터 5분이다. 또한 필요하다면 즉시 잠금 장치를 활성화할 수도 있어야 한다. 윈도우체제 하에서는 <Ctrl+Ale+Del> 키를 누름으로써 이 기능을 사용할 수 있다.
45. 중요 데이터 및 시스템은 반드시 보호해야 한다.
누군가가 중요 정보를 담고 있는 하드디스크에 직접 액세스할 수 있는 권한을 획득할 때쯤이면 암호화되지 않은 데이터 정도는 대체로 자유롭게 읽을 수 있다, 운영시스템이나 관련 애플리케이션에 포함된 보호 메커니즘은 전문가의 액세스에 대비, 불충분한 수준의 보호만 제공하고 있다. 그러므로 기밀 파일의 경우 암호화 소프트웨어의 사용을 고려해봐야 한다. 노트북은 쉽게 도난당할 우려가 있으므로 가능하면 전체를 암호화할 필요가 있다. 우수한 제품을 저렴하게 또는 무료로 사용할 수 있다 제품을 고를 때는 사용된 보호 메커니즘의 안전성을 확인할 수 있도록 신중을 기해야 한다. 제조사가 자체 개발한 알고리즘은 안전성이떨어진다. 안전한 알고리즘과 키 길이(key length)에 관한 정보는 기술서적이나 BSI, 인터넷상의 전문가 보안 사이트를 통해 얻을 수 있다.
7.7 자연재해로부터의 보호
46. 비상용 점검목록을 작성해야 하며 이를 전 직원에게 숙지시켜야 한다.
모든 직원은 컴퓨터가 이상을 일으킬 때, 프린터의 출력기능이 정지됐을 때, 전력 공급이 끊길 때, 네트워크가 바이러스에 감염됐을 때, 우연히 데이터가 삭제됐을 때의 대처방안에 대해 알아야 한다. 담당자는 예상 가능한 시나리오를 실행에 옮기는 한편 책임자의 성명과 전화번호를 기록해두어야 한다. 전형적인 시나리오에 대한 간략한 설명 또한 도움이 된다. 가령 백업은 어떻게 복원할까? 프린터서버를 재가동시키려면 어떻게 해야 할까?
47. 중요 데이터는 모두 정기적으로 백업해야 한다.
현재 다양한 소프트웨어 및 하드웨어 데이터 백업 해결책이 출시된 상태다. 백업 작업을 지정해 관련 데이터 모두를 실제로 기록하는 작업은 상당히 중요하다. 이 작업은 여기저기 분포돼 있는 이질적인 환경 하에서는 큰 부담으로 작용할 수있다. 노트북, 네트워크에 연결되지 않은 독립형 컴퓨터 및 PDA와 같은 모바일기기는 반드시 포함시켜야 한다. 백업 절차가 실제로 작동하며 데이터를 성공적으로 저장할 수 있다는 사실을 정기적으로 입증할 필요가 있다 백업 매체는 가능하면 회사나 사무실 건물 밖에 위치한 안전한 장소에 보관해야 한다 저장 장소 또한 화재나 홍수 같은 자연재해로부터 충분히 보호되도록 해야 한다.모든 사용자는 어떤 데이터를 언제 백업하는지, 보관 기간은 얼마인지에 대해말고 있어야한다 일반적으로 특정 디렉터리나 파일만 백업이 되며 완벽한 백업은 거의 찾아볼 수 없다.
48. 화재, 폭염, 단수 및 단전사태 시 IT시스템을 적절히 보호해야 한다.
IT자산의 손상 원인이 사용자의 실수나 악의적인 공격에만 국한되는 것은 아니다 화재나 홍수, 단전과 같은 물리적 요인으로 인해 심각한 피해가 발생하는 경우도 적지 않다. 대부분의 장비는 일정 기후 조건 하에서만 작동된다 따라서 특히 중요한 IT 구성요소(서버, 백업 매체, 라우터 등)는 충분히 보호받고 있는 공간에 저장해야 한다. 뿐만 아니라 이러한 구성요소는 과전압(overvoltage) 보호 기능이 있는 끊기지 않는 전력 공급 시스템에 항상 연결되어 안정적으로 전력을 공급받을 수 있어야 한다. 관련 정보는 소방서 및 BSI에서 얻을 수 있다.("BSI IT 보호 기본 메뉴얼"의 본문 가운데 이 주제에 관한 정보도 참조하라.)
49. 액세스 보호 세이프가드 및 침입사고 대비용 세이프가드를 구현해야 한다.
소규모 기업과 기관도 침입자나 기타 불청객으로부터 자신을 보호할 방법을 강구해야 한다. 몇 가지 간단한 대책만으로도 보안 상태를 현저하게 향상시킬 수있다. 방문객과 외부인이 보통 어디로 가는지, 거기에서 액세스할 수 있는 IT시스템은 어떤 것인지 생각해야 한다 특히 중요한 데이터에 접근하기 위해 사용되는 서버나 컴퓨터는 외부인이 남 모르게 손대지 못하도록 구성해야 한다. 방문객을주의 깊게 대하는 이유는 예절 때문만은 아니다. 직원이 없을 때는 일부 사무실을 폐쇄하거나 (예를 들어 점심시간에) 창문을 열어둔 채 방치하지 않도록 신경쓰는 편이 바람직하다. 배달원이나 서비스 기술자, 청소부의 행동에 대해서도 신중하게 신경을 기울여야 하며 전 직원에게 이를 통지해야 한다. 노트북을 차에 남겨두고 내려서는 안 되며, 여건이 허락할 경우 밤새 또는 이보다 긴 부재기간 동안에는 사무실 안에 보관하고 문을 잠가야 한다. 여기서 제시하는 지침 안은 결코 완벽할 수 없다. 그러므로 상황 별로 검토하고 보완해야 한다.
50, 모든 하드웨어와 소프트웨어를 자산목록에 기록해야 한다.
자산 목록은 정기적으로 업데이트해야 한다. 대부분의 경우 이러한 정보는 회계 데이터에서 얻을 수 있다. 그러나 이때조차도 마지막 보관 위치가 불분명한 경우가 많다. 또 어느 시점에 물품을 분실했는지 알 수 없는 경우가 허다하며, 최근에 분실했는지 여부조차 불확실한 경우도 많다, 보험회사 역시 보험 청구를 시간 순서에 따라 처리할 수 있도록 평가서와 자산목록을 요구한다, 자산목록은 적절한 보험금이 청구되고 있는지를 검증하기 위해서도 사용된다.
===============
31번이 빠져 있는데 이미 이전에 책자를 버렸기 때문에 알 수가 없다. 아무튼 여기 나와 있는 50가지만 지켜도 정말로 보안이 강화될것으로 생각되는데, 문제는 일반 사용자가 이러한 사항에 대해 모르거나 무시를 하는 경향이 아직도 강하다는 것이다. 보안 시스템이 설치되어 있는 지금 일터의 상황을 보더라도, 지켜지지 않는 사항이 적어도 10개 이상 되는것 같은데, 개개인이 이에 대해 인지하지 못하기 때문에 보안 시스템이 제 기능을 못하고 있다. 그렇다고 강요하자면 어느정도의 반발이 있을거라는것은 자명한 사실이다.
댓글