- 1 -

최종연구보고서 기반보호 연구 01-01

IDC 보안 실태 조사를 통한 직접

시설의 보호 책에 관한 연구A Study on the Protective Measures of Accumulated

Facilities using Research on the IDCs' Security State

수탁기관: 건국 학교

2001. 11

- 2 -

제 출 문

한국정보보호진흥원 원장귀하

본 보고서를 “IDC 보안 실태조사를 통한 집적시설의 보호 책 연구”의 최종연구개발 결과

보고서로 제출합니다.

2001 년 11 월 13 일

수탁 기관 : 건국 학교

수탁 기관장 : 건국 학교 총장 (인)

연구 책임자 : 교수 이창훈(건국 학교 컴퓨터공학과)

참여 연구원 : 곽주현(건국 학교 컴퓨터공학과)

황숙희(건국 학교 컴퓨터공학과)

김현정(건국 학교 컴퓨터공학과)

이효승(건국 학교 컴퓨터공학과)

김도진(건국 학교 컴퓨터공학과)

- 3 -

요 약 문

1. 제목 : IDC 보안 실태조사를 통한 집적시설의 보호 책 연구

2. 연구개발의 목적 및 중요성

네트워크의 고속화와 인터넷의 보편화에 따라 인터넷의 역할은 단순한 정보의 전달로부터

기업의 새로운 영업 시장으로 변화하였고, 이러한 추세에 맞추어 IDC(Internet Data Center)

사업은 기업들의 정보통신 설비의 아웃소싱을 담당하는 새로운 사업으로 성장하게 되었다.

하지만 정보통신 설비의 집적화는 자연재해나 네트워크를 통한 전자적 침해로부터 규모의

피해를 입을 수 있는 위험 요소를 포함하고 있다. 따라서 민간차원이나 정부차원에서 집적

정보통신 설비의 보호를 위한 권고 내지는 규제가 필요하다.

본 연구의 목적은 IDC에 입주하여 인터넷 서비스를 제공하고 있는 개인이나 기업의 정보통

신설비와 데이터를 보호하기 위해, 현재 IDC의 물리적, 기술적 정보보호 실태를 조사하고,

국내 현실에 맞는 IDC의 종합적인 정보보호 책을 제시하는 것에 있다.

3. 연구개발의 내용 및 범위

- 국내 . 외 IDC 정보보호 피해 사례 및 문제점 분석

- 국내 . 외 IDC 물리적 시설 현황

- 국내 IDC 보안서비스 현황

- 국내 . 외 정보보호관련 정책 및 표준 조사

- 국내 . 외 정보보호관련 정책 및 표준 요약 비교

- IDC 정보보호를 위한 책 안 제시

- 4 -

4. 연구결과

1장 서론

2장 피해사례 및 분석

- 국내 . 외 IDC의 물리적, 시스템적 피해사례 조사 및 원인 분석

3장 국내 . 외 IDC 현황

- 국내 IDC 보안 정책 운영 현황

- 국내 . 외 IDC의 물리적 시설 현황 및 시설물 관련 법규

- 국내 IDC 보안서비스 운영 현황

4장 국내 . 외 정보보호 정책

- 국내 정보보호 정책 관련 법규 및 기준

- 국외 정보보호 정책

- 정보보호 정책의 각 항목별 비교 요약

5장 집적정보통신시설의 정보보호 방안

- 4장을 바탕으로 정보보호 책 안 제시

5. 활용에 한 건의

본 보고서에서 제시한 IDCs의 정보보호 책을 활용하여, 국내 실정에 맞는 IDCs의 보안정

책 평가기준을 정립할 수 있고, IDCs 업자는 입주고객의 정보보호를 위한 정보보호 정책을

수립하여 운영할 수 있는 자료로 사용할 수 있다.

6. 기 효과

다음은 본 보고서의 기 효과와 활용 방안이다.

- 국내 IDC의 시설현황을 파악할 수 있는 자료가 된다.

- 민간차원에서의 IDC 보안정책을 확립할 수 있다.

- 국내 집적정보통신시설의 정보보호정책을 수립할 수 있다.

- 5 -

SUMMARY

1. Subject

A Study on the Protective Measures of Accumulated Facilities using Research on the

IDCs' Security State

2. Research's purpose and importance

According to high-speed network and prevalence of internet, the role of internet varies

from traveling of simple information to business market more and more.

As this tendency, the IDCs' business grows into the new one that is charge of

outsourcing of company's information communication facilities. But, the accumulation of

information communication facilities includes a number of dangerous factor that is

possible to be damaged by disaster or intrusion through the network. Therefore, there is

need for the recommendation or restriction to protect an accumulated information

communication facilities.

The purpose of this report is to research the IDCs' information security state and to

propose the synthetic information security countermeasure belong with domestic reality

to protect company's information communication facilities and data in IDCs.

3. Research's contents and extent

- Damage cases of Domestic IDCs and the analysis of the point at issue.

- 6 -

- The IDCs' physical facilities and their present condition of the domestic and foreign

country.

- The present condition of domestic IDC's secure service.

- Surveying the information security policy and the standard of domestic and foreign

country.

- Proposing the Protective Measures of Accumulated Facilities.

4. Result

chapter 1. Introduction

chapter 2. A damage case and Analysis

-Surveying the domestic and foreign IDCs' physical damage and analysis of the cause

of the damage

chapter 3. the IDCs' present condition of the domestic and foreign country

chapter 4. Secure protection a plan of accumulation information communication. facility

chapter 5. Information protection measure presentation based on chapter 4.

5. Proposal for application

We can establish the estimative criterion with domestic reality for the IDCs' security

policy using proposed IDCs' information security countermeasure. Also, manager of IDCs

can use this report in establishing information security policy for a resident customer's

information security of IDCs.

- 7 -

6. Expectation effect

- We can understand the state of domestic IDS's facility.

- We can establish the information security policy

- We can establish the IDC's protective measures of the Domestic IDCs' facilities.

- 8 -

목 차

제 1 장 서론

제 2 장 피해사례 및 분석

제 1 절 국내 피해사례 조사

1. 물리적 피해사례

2. 시스템적 피해사례

3. 피해 유형 분류

4. 피해 원인 분석

제 2 절 국외 피해사례 조사

1. 물리적 피해 사례

2. 시스템적 피해 사례

3. 피해원인 분석

제 3 장 국내 . 외 IDC 현황

제 1 절 국내 IDC 업체별 보안정책

1. A사

2. B사

3. C사

제 2 절 국내 . 외 IDC의 물리적 시설 현황

1. 국내 현황

2. 국외 현황

3. 시설물 관련 국내 법령 및 국외 기준

- 9 -

제 3 절 국내 IDC 보안 서비스 운영 현황

1. 보안 서비스

2. 백업 서비스

3. IDC의 약관

제 4 장 국내 . 외 정보보호 정책

제 1 절 국내 정보보호정책

1. 집적정보통신시설 정보보호 지침

2. 정보통신망 안전 .

신뢰성에 관한 기준

3. 인터넷사이트안전마크(i-Safe) 제도

4. 공공정보시스템 보안을 위한 위험분석 표준

제 2 절 국외 정보보호 정책

1. 미국

2. 일본

3. 호주

4. 영국

제 3 절 정보보호정책 항목 비교

1. 비교 상 및 비교 항목

2. 항목별 비교

제 5 장 IDC 정보보호 방안

제 1 절 물리적 보호

1. 건물

2. 주요시설

- 10 -

3. 전력시설 및 정전방지시설

4. 방재 및 방호시설

5. 출입 통제 및 감시장치

제 2 절 시스템 보안

1. 정보보호시스템

2. 백업시스템

3. 바이러스

제 3 절 관리적 보안

1. 정보보호정책

[참고 문헌]

[부록1]

[부록2]

- 11 -

그림 목차

(그림3-1) A사의 보안사고 처리 절차

(그림5-1) 정보보호조직 구성도

- 12 -

표 목차

[표2-1] 6개월간의 IDC 침입탐지 통계

[표2-2] 7,8,9월간의 침입탐지 세부 통계

[표2-3] 피해유형분류

[표3-1] 물리적 시설등급 기준

[표3-2] 국내 IDC 항목별 물리적 시설의 비교

[표3-3] 국외 IDC 물리적 시설

[표3-4] 국내 IDC의 보안 서비스 현황

[표3-5] 보안서비스 비용 및 내용

[표3-6] 백업서비스 비용 및 내용

[표4-1] 집적정보통신시설의 정보보호관련 비교 항목

- 13 -

CONTENTS

Chap. 1. Introduction

Chap. 2. Damage Case and Analysis

Para. 1. Domestic Damage Case

1. Physical Damage Case and Analysis

2. System Damage Case and Analysis

3. Damage Category

4. Damage Cause Analysis

Para. 2. Foreign Damage Case

1. Physical Damage Case and Analysis

2. System Damage Case and Analysis

3. Damage Cause Analysis

Chap. 3. The Real State of IDC

Para. 1. Security Policy of domestic IDC

1. A Company

2. B Company

3. C Company

Para. 2. The State of IDCs' Physical Facility

1. Domestic IDC

2. Foreign IDC

3. Domestic Law in relation of Facility and Foreign Standard

- 14 -

Para. 3. The State of domestic IDC Security Service Operation

1. Security Service

2. Back Up Service

3. IDCs' Clause

Chap. 4. Domestic and Foreign Security Protection Policy

Para. 1. Domestic Security Protection Policy

1. The Guide of Accumulated Information Communication Facility Information

Protection

2. The Standard in Relation of the Safe and Reliability of the Information

Communication Network

3. Internet site Safe Mark

4. Risk Analysis and Management Standards for Public Information System

Security

Para. 2. Foreign Security Protection Policy

1. U.S.A

2. Japan

3. Australia

4. Britain

Para 3. The Comparison of Information Protection Policy Item

1. Comparison Subject and Comparison Item

2. Comparison by Items

- 15 -

Chap. 5. IDC Information Protection measures

Para. 1. Physical Protection

1. Building

2. Main Facility

3. Electronic Power Facility and Power Failure Protection

4. Protection against Disasters

5. Entrance Control and Guard Device

Para. 2. System Security

1. Information Protection System

2. Back up System

3. Virus

Para. 3. Management Security

1. Information Protection Policy

- 16 -

제 1 장 서 론

많은 기업이 인터넷을 경제활력소로 인식하고 있으며 경제 활동의 새로운 장으로 인터넷이

이용되고 있다. 기업들은 인터넷을 통하여 상거래, 광고, 회원 모집, 고객 서비스 등을 실

시하면서 경제적 이익을 추구하고 있다. 이러한 인터넷 환경은 기업이 경제활동을 용이하게

할 수 있도록 훌륭한 수단을 제공하지만 이에 못지않은 비용을 발생시킨다. 보다 나은 서비

스를 제공하기 위한 초고속 백본망과의 연결 및 유지, 성능이 좋은 서버의 도입 및 관리, 사

이트 개발 및 유지 보수, 전산 전문가의 고용 등에서 많은 비용이 발생하기 때문에, 인터넷

환경을 사용하는 것은 모두 비용과 직결된다고 보아도 무관할 것이다. 이것은 경제 기반이

약한 기업에게는 치명적인 발전 저해 요소이다.

IDC는 이러한 인터넷 경제활동에 필수적인 초고속 백본망을 제공할 뿐만 아니라 시스템 관

리 업무를 행하여, 각 업체들이 안고 있는 비용, 관리, 기술적 측면에서 많은 부담을 덜어

주고 있다. 이러한 장점 덕에 많은 기업들이 IDC에 전산자원을 아웃소싱하고 있다. 그러나

IDC에는 많은 고객의 서버들이 밀집되어 있어 만일 제 로 된 정보보호 시설이 갖춰지지

않는다면 입주고객 서버의 안정적 운영에 심각한 위협을 초래하게 되고, 입주 고객은 상당

한 경제적 손실을 당할 수도 있게 된다. 만일 손상당한 입주 서버가 국가 경제나 안보에 관

련한 사이트라면 이것은 국가적인 문제로도 발전할 수도 있는 것이다.

우리나라 정부는 보호받지 못하는 인터넷 환경이 가져올 수 있는 심각성을 인식하고 90년

중반부터 정보통신망 사용에 관한 법률과 기준을 제정하고 기업들이 이를 따르도록 지시하

고 있다. 특히 2001년부터 실시하게 되는 정보통신망이용촉진 및 정보보호 등에 관한 법률

을 제정하여 집적정보통신시설에 관한 정보보호 지침을 만들어 강제 규정을 정하게 되었다.

- 17 -

본 보고서는 이러한 정부시책에 맞추어 집적정보통신시설인 IDC센터의 정보보호 현황과 실

태를 조사하고, 국내에 마련되어 있는 정보보호 기준과 해의 기준을 분석하는 것이다. 본 보

고서의 구성은 2장에서는 국내IDC의 정보보호 피해사례를 조사하여 유형을 분류하고 문제

점을 분석하였다. 3장에서는 국내 . 의 IDC의 물리적 시설물 현황과 보안서비스 운영현황을

조사하였다. 4장에서는 국내 . 외의 정보보호정책과 관련된 법률과 기준 등을 조사하고 서로

의 항목을 비교조사 하였다. 5장에서는 2장의 피해사례의 문제점과 3장의 정보보호 현황에

서 나타난 문제점에 한 책을 마련하기 위해 4장을 근거로 방안을 제시한다.

- 18 -

제 2 장 피해사례 및 분석

제 1 절 국내 피해사례 조사

IDC안에는 수십 수백 의 서버가 밀집되어 있고, 네트워크는 근거리구내통신망(LAN)형태로

네트워크를 공유하고 있다. 이러한 상황에서 서버들은 재해와 재난에 의한 장비의 물리적

피해와, 네트워크를 통한 불법 침입에 의한 시스템 정보 침해 사고에 해서 하나로 묶여

있다고 볼 수 있다. IDC업체들은 이러한 물리적 피해 및 정보 침해 사례를 업무 정책상 공

개 하지 않으며, 정보 침해를 받은 업체들도 보안사고 발생 사실을 같은 이유로 부인하고

있는 실정이다. 다음의 기사는 국내 보안 및 해킹 포탈 사이트인 해커즈 뉴스의 2001년 8월

12일자 보도로 IDC나 ISP업체가 보안 피해를 숨기고 있는 실상을 보여주고 있다.

【윈도NT/2000 웹서버인 IIS 4.0/5.0의 보안 취약점을 이용한 코드레드 인터넷 웜 공격이

급속히 늘고 있으나 피해 신고 건수는 3%를 밑도는 것으로 추산되었다.

정보 통신부는 지난 7월 20일부터 나타나기 시작한 코드레드 인터넷 웜 공격에 의해 10일

오전 현재 4만3201개(1만5000여기관)의 국내 서버가 피해를 본 것으로 추산되었으나 한국정

보보호진흥원 해킹바이러스 상담지원센터에 신고된 실제건수는 1391건인 것으로 나타났다고

10일 밝혔다.

정통부 관계자는 특히 신고된 1391건 중 1200건이 1개 IDC가 입주업체 피해조사를 바탕으

로 일괄 신고했다고 설명하며 이를 감안한다면 현재 부분의 IDC나 ISP, 민간기업들이 피

해사실을 모르고 있거나 숨기고 있는 것으로 분석된다고 실명했다.

정통부가 국제침해사고 응협의회(FIRST)로부터 입수해 분석한 자료에 따르면 10일 오전 9

시 현재 코드레드 웜에 의해 총 4만3201개의 국내 서버(1만5000여개기관)가 피해를 당한 것

으로 추산되었다.

- 19 -

국내에서 정품 윈도NT 및 2000을 OS로 사용하고 있는 서버는 45만 로 분석되고 있어 그

피해 규모는 전체의 10%에 달하는 것으로 추산된다.

～ 이하 생략 ～ 】

기사의 내용은 일부 웜 바이러스에 국한된 것이지만 실제로 ㆍ해커에 의한 IDC의 해킹 피

해는 현재 IDC의 보안 서비스 실시 형태나 입주업체의 참여도에 비추어 보면 상당히 많을

것으로 생각된다. 그러나 이런 사례들이 보도되거나 알려진 예는 좀처럼 찾기가 어렵다. 따

라서 실제 피해 사례를 찾기란 단히 어려운 일이지만, 신문지상과 인터넷상에 기사화 된

자료를 바탕으로 IDC의 물리적, 시스템적 피해사례를 조사하고, 그러한 사례 및 정보보호의

위협요소의 원인별로 유형을 분류하겠다.

1. 물리적 피해사례

가. 시설물 부실관리에 의한 서비스 중단

재해나 재난에는 지진, 수해, 낙뢰 등의 자연재해와 건물 내 배관 파손, 화재 등의 인위적

사고가 있을 수 있다. 이러한 재해는 정보통신 시설물에 치명적인 물리적 훼손을 가져오게

되고, 정전사태로 발전할 수 있어 서비스를 중단시킬 수도 있다. 다행히 자연재해에 의한 시

설물 파괴에 한 사례는 아직 발생되지 않았지만, 2001년 초 모 IDC 건물내부 화장실의 배

관이 겨울 한파로 파손되어 누수 현상이 일어나 고객 서버가 입주해 있는 전산실까지 물이

홀러 들어와 전원 차단 직전까지 간 적이 있었다. 해당 IDC업체는 사고가 발생하자 곧바로

직원들을 투입, 양동이로 물을 퍼내는 등 응급 배수 작업을 벌여 사고 발생 3시간이 지나서

사고 수습을 마무리했다. 이날 사고로 서버를 설치해 놓은 입주업체 관계자 들이 현장에 도

착, 서버 상태를 점검하고 만일의 사태에 비해 서버 전원 차단 여부를 논의하기도 했으며,

일부 업체는 서버가 다운되는 사고를 우려, 한 때 자사 서버의 전원을 차단하기도 했다.

- 20 -

나. 정전에 의한 서비스 중단 및 시설물 파손

정보통신시설물에 있어서 안정적인 전원의 공급이 얼마나 중요한가는 언급할 필요가 없다.

단 1000분의 1초라도 정전 공급이 불시에 중단된다면 서버가 받는 피해는 일시적인 서비스

중단과는 비교할 수 없을 만큼 커질 수 있다. 실례로 2000년 10월에 국내 최 메이저 IDC

업체에서 한달동안 2차례의 정전으로 고가의 전자 장비가 파손되고, 서비스가 중단되었다.

이 사고로 인하여 해당 IDC에 입주하고 있던 다음커뮤니케이션, 네이버, 인터넷제국, 드림위

즈, 한게임 등의 업체들이 2시간 이상 서비스가 중단되는 피해를 당했고, 한국인터넷정보서

비스는 웹메일 서버와 DB서버에 손상을 입어 서비스에 지장을 초래했다. 이 IDC에는 당시

1000여개 업체의 8000 정도의 서버가 입주에 있었고 사고가 발생한 층은 700 정도의 서

버가 있었다. 이 IDC는 같은 달 6일에도 정전 사고가 발생해 드림위즈, 한게임 등 10여개

입주 업체가 피해를 입은 바 있었다. 또 모VAN사는 이 정전 사태로 인해 3000여 만원의

고가 정보통신장비가 손상을 입었다고 한다.

2. 시스템적 피해사례

가. 네트워크 불법 침입 및 바이러스

얼마 전 국내 IDC가 미국 등 해외 해커들의 해킹 경유지로 활용되고 있음이 공식 확인되었

다. 2000년 2월, 미 정부기관에 증권거래위원회(SEC)로부터 국내외 IDC에 입주한 업체 서

버로부터 해킹 시도가 이루어지고 있다는 보고가 들어왔다.

- 21 -

접수한 국내 IDC 업체의 시스템을 분석해 본 결과 리눅스 bind 취약점을 이용하여 공격이

이루어졌으며, 시스템에 관리자 권한을 도용한 후 내부 네트워크를 모니터링 할 수 있는 스

니퍼를 설치하여 사용자 ID 및 패스워드 등 중요 트래픽을 가로채고 있었다. 현재 국내의

IDC가 입주 업체에게 시설물만을 임 해 주고 보안 서비스는 부가 서비스로 선택을 하여야

하는 실정으로 보면 입주 고객의 서버가 해커들의 집중적인 공격의 상이 되는 것은 명약

관화한 사실이다. 다음의 인용 기사(출처 : 조선일보 2000 7월 31일자)는 우리나라가 외국의

해커에게 경유지로 사용되고 있음을 보도한 내용이다.

【 국내 92개 기관 '무차별 해킹' 당해

기업, 교육청, 구청, 학 등 250여개 국내 컴퓨터가 해킹에 무방비로 노출됐으며 이중 92

개 기관 컴퓨터가 해커에 의해 점령당한 형 해킹사건이 발생, 경찰이 수사에 나섰다.

경찰청은 31일 「지난 17일 미국 버지니아의 한 인터넷 서비스 제공업체에 접속한 해커가

강릉시의 한 PC방 리눅스 서버의 운영권을 획득하고, 이를 거점으로 전국 250여 컴퓨터

(170여개 기관)에 침투를 시도했다」 고 밝혔다.

경찰은 이중 31 의 컴퓨터가 해킹을 당했다고 밝히고, 「피해 컴퓨터는 모두 리눅스 시스

템으로 이들 컴퓨터에서 「서비스 거부 공격」 (Denial of Services) 프로그램이 발견됐다」

고. 말했다.

～ 중략 ～

현재까지 해킹 피해가 확인된 기관은 학 10여개, 구청 3～4개, 기업 서버 1개, 중소기업

15개 등. 경찰청 관계자는 「수사가 더 진행되면 피해 규모가 늘어날 것」 이라고 말했다.

이번 해킹을 처음 발견한 모 보안전문 기업의 보안팀장은 「피해 서버 가운데 일부는 이른

바 서버 호텔로 불리는 인터넷 데이터 센터(IDC)에 보관된 것」 이라며

～ 이하 생략 ～ 】

- 22 -

[표2-1] 6개월간의 IDC 침입탐지 통계(2001년4월 ～ 2001년9월)

순위 침입탐지 상 룰 침입횟수 백분율

1 Microsoft IIS Unicode Bug 436,594 42.00

2 Microsoft IIS CMD.exe 365,420 35.15

3 Microsoft IIS CodeRed worm 153,951 14.81

4 HTTP URI Bufferoverflow Trial 45,754 4.40

5 [FTP] Command before logging 9,792 0.94

6 Apache Tomcat/admin Context 6,728 0.65

7 [FTP] Long Login ID 4,671 0.45

8 TCP SYN(half open) scanning 3,896 0.37

9 Netscape Web Server %20 filename 2,056 0.20

10 (FTP) Port with another. host-ip 1,174 0.11

11 root login trial 1,173 0.11

12 (FTP) Same Command DOS 1,047 0.10

13 Microsoft IIS Dot Source Disclosure 1,038 0.10

14 [RPC] PortMapper 호출시도(UDP) 920 0.09

15 Microsoft IIS translate : f Source Disclosure 909 0.09

16 Microsoft Exchange Server AUTH/XAUTH DoS 838 0.08

17 [RPC] Sadmin 호출 시도(WP) 756 0.()7

18 [FTP] Noop 713 0.07

19 BIND Named Probe Version 483 0.05

20 Linux Apache / doc 428 0.04

21 Smurf Attack 2181 0.04

22 TCP Desynchronized State Attack 357 0.03

23 Sambar Server admini login 285 0.03

24 [Messes] Finger CGI 256 0.02

합계 1,039,620 100

- 23 -

[표2-2] 7,8,9월간의 침입탐지 세부 통계

월 침입탐지 상 룰 침입 횟수

7월 Apache Tomcat/admin Context 3,067

[FTP] Long Login ID 1,227

TCP SYN (half open) scanning 1,005

[FTP] Command before logging 708

Microsoft IIS CMD.exe 682

Microsoft IIS Dot Source Disclosure 622

Linux Apache/doc 428

root login trial 398

Smurf Attack 381

Netscape Web Server %20 filename 374

8월 Microsoft IIS CodeRed Worm 153,951

HTTP URI Bufferoverflow Trial 26,898

Microsoft IIS Translate: f Source Disclosure 909

[RPC] PortMapper 호출시도(UDP) 505

BIND Name Probe Version 483

Microsoft IIS Dot Source Disclosure 416

[FTP] Command before logging 353

Microsoft IIS CMD.exe 324

Sambar Server adminlogin 258

[Nessus] Finger CGI 256

9월 Microsoft IIS CMD.exe 361,588

Microsoft IIS Unicode Bug #26 132,755

Microsoft IIS Unicode Bug #15 117,716

Microsoft IIS Unicode Bug #4 54,702

Microsoft IIS Unicode Bug #16 49,666

Microsoft IIS Unicode Bug #1 24,267

Microsoft IIS Unicode Bug #18 23,823

Microsoft IIS Unicode Bug #3 23,519

HTTP URI Bufferoverflow Trial 17,237

Microsoft IIS Unicode Bug #17 9,615

- 24 -

[표2-1]은 국내 IDC업체와 제휴를 통해 보안 서비스를 제공하고 있는 보안 업체에서 지난

6개월간(2001.04 ～ 2001.09) 침입탐지시스템으로 탐지된 해킹의 로그를 통계 낸 자료이다.

[표2-2]는 [표2-1]의 7～9월의 탐지내용을 세분화하여 정리한 것이다. 표를 통해서 보면 얼

마나 많은 해킹시도와 바이러스 침투가 이루어지고 있고, 해킹 증가 추세 또한 상당히 가파

르게 증가하고 있다는 것을 실감할 수 있다.

3. 피해 유형 분류

이미 발생한 피해 사례별 특성에 따라 유형을 분류하고 현재 피해는 발생하지 않았지만 발

생가능성이 있는 피해 유형을 분류하였다.[표2-3]은 이러한 유형을 표로 작성한 것이다. 도

난이나 경쟁 업체간 과다 경쟁으로 입주사의 정보통신 시설이 피해를 당할 수도 있으며, 특

히 사이버 테러뿐만 아니라 테러 집단에 의한 물리적 테러 피해는 최근의 세계정세에 비추

어 볼 때 발생 가능성이 높은 피해로 추측된다.

4. 피해원인 분석

가. 전력확보의 미흡

물리적 피해를 발생시킬 수 있는 1차적 원인은 지진, 수해, 낙뢰, 화재와 같은 재해이고, 이

러한 재해로 인한 2차 원인인 정전이 발생하여 전산장비의 물리적 훼손을 가져올 수 있다.

물론 정전은 물리적 피해의 1차 원인이기도 하다. 정전이 자주 발생하는 한가지 이유는 인

터넷 사용자의 급증에 따른 입주 수요가 늘어나 전력 소모량이 높아진 것을 IDC가 예측하

지 못해 충분한 전력이 확보되어 있지 않았다는 것이다.

- 25 -

[표2-3] 피해 유형 분류

유형 세부 피해 내용

물리적 피해

재해에 의한 피해- 화재, 수해, 지진에 의한 정보 통신장비 손실- 서비스 중단- 데이터 손실

정전에 의한 피해- 정전으로 인한 정보통신장비 손실- 서비스 중단- 데이터 손실

시설물 부실 관리 및 운영에 의한 피해

- 건물내 시설물 부실 관리로 정전- 수해 등 피해의 2차 원인이 됨

불법 출입에 의한 서버의 물리적 훼손 및 도난

- 불법 침입자나 경쟁 업체의 고의에 의한 시설물 도난 또는 훼손이 예상됨

물리적 테러에 의한 피해 - 물리적 테러에 의한 IDC 전체 기능 마비

시스템적 피해

사이버 테러에 의한 피해- 해커의 침입 EH는 바이러스 감염으로 인한 서비스 중단- 데이터 손실

IDC가 사용하고 있는 건물이 IDC 전용으로 설계된 것이 아닌 경우에 이러한 전력수요를

충분히 공급할 수 있는 전력 확보가 어렵다. 다음 기사는 한 인터넷 포탈사이트

(http://member.cityscape.empas.com)의 게시판에 올라온 글에 인용되어진 기사이다. 이 기

사는 위에 피해사례로 기술한 IDC에 관한 내용이다.

【 IDC 잦은 정전사고 ''잘못된 설계가 원인"

인터넷 업체들의 서버를 맡아 관리해 주는 '서버호텔'인 인터넷 데이터센터(IDC).

- 26 -

국내 인터넷 산업의 기간 인프라인 IDC지만 최고의 시설과 서비스를 자랑해온 00인터넷데

이터센터에 지난달에만 두 차례의 정전사고가 발생해 인터넷 업체들이 큰 피해를 입은 것을

두고 우려의 목소리가 크다.

거듭된 사고와 관련, 한 업체 관계자는 "O사 의 경우 20층 규모 건물 사용량의 4배에 해당

되는 전기가 필요한데 애초 O사가 IDC 전용 건물로 설계된 게 아닌데다 예측한 전력 수요

보다 소비량이 급격히 늘어났던 것이 문제" 라고 밝혔다.】

또 한 가지는 정전이 발생한 경우에는 UPS와 백업 발전기가 가동되어 일정 시간 전원을

공급해야 하는데 UPS가 수전, 변압, UPS 단계까지만 이중화되어 있고 분배나 아웃렛 단계

에선 이중화되어 있지 않는 중앙집중식 형 UPS는 한번 장애가 발생하면 전체 서버가 다

운될 가능성이 높다.

나. IDC 네트워크의 구조적 문제점

IDC는 입주 서버들이 거 한 LAN으로 묶여져 있어서 하나의 서버가 해킹을 당하거나 웜에

감염이 되면 동일 네트워크에 있는 이웃한 입주 서버까지 피해를 보게 된다.

LAN으로 형성된 네트워크에서의 또 다른 약점은 입주한 서버들이 동일한 IP세그먼트를 부

여받기 때문에 내부자에 의한 해킹에는 완전 무방비 상태에 있다는 것이다. 서버에 공유환

경을 구성해 놓으면 이 네트워크에 연결된 다른 업체들에게 노출될 수 있고 공유를 하지 않

아도 약간의 프로그램 지식만 있으면 다른 서버를 해킹 하는 것은 어려운 문제가 아니다.

- 27 -

다. IDC내 관리자의 운영 미숙과 실수

정보통신시설물을 운영하는 관리자는 숙달된 기술과 고도의 정보통신지식을 갖추고 있어야

한다. 관리자의 운영 미숙은 데이터의 손실, 서버의 불안정 등을 가져올 수 있다. 실례로 위

에서 예를 든 2차례의 정전사고 모두가 UPS증설 작업 중 부주의와 UPS 모니터 및 오퍼레

이팅 인력 자질 부족 등으로 정전사건이 일어나게 된 것이다.

라. 정보보호 서비스 제공 미흡

IDC내 입주서버의 해킹 상이 주로 영세 소호 업체나 Co-Location서비스를 받고 있는 서

버들인 것으로 알려져 있다. 기본적인 보안 서비스가 추가 요금을 부담하고 선택해야 할 옵

션으로 설정되어 있기 때문에 영세한 업체들은 서비스를 받지 않고 있는 실정이고, 실제로

IDC내 입주고객의 보안서비스 이용률이 전체 고객의 10%선에 머무르고 있는 것으로 알려

져 있다. IDC에서도 보안 서비스를 받지 않아 발생하는 피해는 전적으로 입주업체에 있는

것으로 약관에 명시하고 있다. 이러한 현상의 원인은 부분의 IDC가 입주 고객확보를 위한

과다 경쟁으로 서비스 요금을 내리고 그 신 기본적으로 제공해야 할 보안서비스나 백업서

비스를 부가 서비스로 제공하고 있는 것으로 조사되었다.

또한 IDC내 시스템 정보보호를 부분의 IDC가 외부 보안전문업체와 제휴를 맺어 서비스

하는 방식으로 되어 있어 IDC는 보안에 관한 한 제 3자의 입장에 놓여 있는 것이다.

- 28 -

제 2 절 국의 피해사래 조사

1. 물리적 피해 사례

가. 정전

2001년 5월에 미국 캘리포니아에 위치한 Exodus Communications IDCs에 전력회사로부터

의 전력공급에 차질이 생겨 야후를 포함한 일부 고객의 서비스가 약 1시간동안 중단되는 사

태가 발생되었다. 발생원인은 이 IDC에 전력을 공급하고 있는 전력회사로 부터 전력이 차단

된 후, 이IDC의 백업 자가발전기가 제 로 동작하지 않아서이다. 이 사고로 야후는 일부 서

비스(Yahoo Messenger)가 약 3시간 가량 중단되었다.

2. 시스템적 피해 사례

가. 서비스 거부 공격에 의한 서비스 중단 위기

2001년 2월에 야후의 웹 사이트가 있는 IDC의 라우터에 초당 1기가비트에 해당하는 서비스

요청이 집중해서 들어와 야후와 함께 다른 입주사들이 서비스 중단의 위기에 처할 뻔했다.

해커들은 네트워크의 취약점을 이용해 DoS 공격을 가한 것으로 알려졌다. 이외에도 야후는

계속해서 해커로부터 공격의 상이 되어지고 있다.

3. 피해원인 분석

가.IDC 위치선정의 오류와 전력장비 운영 부실

Exodus Communications IDCs에 발생한 정전 사태는 이 IDC가 있는 지역의 전반에 걸친

정전 사태가 발생한 것이 1차적 원인이고, 이 정전이 발생한 후 IDC의 UPS와 자가발전기

가 전원공급의 임무를 수행했어야 했는데 두 장비 모두 제 역할을 하지 못한 것이 가장 큰

원인이 된 것이다.

- 29 -

이 사례에서는 두 가지 문제점이 있는데 그것은 다음과 같다.

① IDC가 위치한 지역은 근본적으로 전력공급이 충분하지 않은 지역인데 이를 고려하지 않

고 IDC의 위치를 선정했다는 것이다.

② 정전이 자주 발생하는 지역임에도 불구하고 UPS장비와 자가발전기의 정상동작 점검을

하지 않아 실제 상황에 처를 하지 못했다.

- 30 -

제 3 장 국내 . 외 IDC 현황

제 1 절 국내 IDC 업쳬별 보안정책

1. A사

A사는 정보보안 전문 업체와 제휴하여 IDC 내 Co-location서비스 가입업체와 서버 호스팅

업체에게 차별화(SLA : Security Level Agreement) 된 보안 서비스를 제공하고 있다. 이것

은 가입절차에 보안서비스 항목을 명시하고, 선택 시 각자 서비스 환경에 맞는 보안솔루션

을 제공하는 방식이다. 또한 자체적으로 사전에 보안사고 발생을 미연에 방지하는 "A팀"

과, 보안사고 이후 정보시스템 복구 서비스를 제공하는 "B팀" 으로 이원화된 2개의 보안 팀

을 운영하여 24시간 고객 사이트를 감시하고 있다.(그림 3-1)은 A사의 보안사고 발생 시 처

리 절차이다.

2. B사

이 업체는 보안의 범주를 3가지로 나누어 지침을 마련하고 있다.

① 물리적 보안 : 시설물을 상으로 하는 보안으로 중요 시설물의 출입구에 출입통제장치

를 두어 외부로부터의 침입과 피해를 차단하는 것이다. 물리적 보안 시설 장비로는 CCTV,

생체보안시스템 등을 운영하며, 전산장비 보호물로는 시건 장치가 된 랙, Vault를 사용하고

있다. 또한 방재시설로 가스 스프링쿨러, 연기 감응 장치, 화재 감응 장치 등을 설치하고 있

다.

② 시스템 보안 : 보안전문업체와 제휴하여 침입차단시스템, 침입탐지시스템, Anti Virus시

스템을 운영하고 있으며 보안서비스는 부가 서비스로 제공하고 있다.

- 31 -

(그림 3-1) A사의 보안사고 처리 절차

③ 재해복구:재해 발생 후 손실을 당한 정보통신장비의 신속한 복구 책을 마련하고 있다.

현재 제휴업체를 통해 보안 서비스를 제공하고 있는 B사는 자체 보안 전문 인력을 배양하

여 2003년부터는 보안에 한 관제를 자체 인력으로 시행할 계획이다.

3. C사

C사는 종합적인 정보보호 정책은 없으나 계정관리와 비밀번호관리, 접근 및 권한 관리에 관

한 정책과 개인보안지침을 마련하여 실시하고 있다.

- 32 -

가. 계정관리 정책

- 사용자계정의 생성 및 삭제는 관리책임자의 승인 하에 관리한다.

- 퇴직자 및 업무변경자가 발생할 경우에는 바로 사용자 계정을 삭제 정지 또는 변경한다.

나. 비밀번호관리 정책

- 비밀번호가 없는 사용자는 계정 사용을 금지하고 월 1회 정기적으로 변경한다.

- 비밀번호는 영문, 숫자, 특수문자의 조합으로 8자 이상

- 유추가 가능한 비밀번호 사용금지

다. 접근 및 권한

- 네트워크 장비는 TACAS(Terminal Access Control Access System)을 통해 접근하는 것

을 원칙으로 한다.

- TACAS에서는 각 장비별로 계정을 부여하고 그룹을 생성하여 권한 관리를 그룹을 통해

서 한다.

- 운영 및 서비스 장비에 한 계정은 서비스 운영요원을 제외한 모든 계정은 일반 계정으

로 한다.

- 일반 계정은 시스템 현황을 모니터링 할 수 있다.

라. 개인보안지침

- 개인 PC는 반드시 부팅 시 비밀번호를 입력받도록 하고 중요 파일과 데이터는 주기적 백

업과 비밀번호를 걸어둔다.

- PC의 폴더는 공유를 하지 않으며 공유사용 후에는 반드시 해제한다.

- 퇴근 시에는 중요문서는 서랍에 넣고 시건을 확인한다.

- 패스워드 관리

- 바이러스 백신을 설치하여 정기적 점검을 한다.

- 사내문서보안 유지

- 33 -

제 2 절 국내 . 외 IDC의 물리적 시설 현황

1. 국내 현황

우리나라 IDC를 운영중인 물리적 시설로 규모를 분류하자면 [표3-1]과 같이 나눌 수 있다.

이 표는 국내 메이저 IDC인 모 IDC에서 내부적으로 분류한 표로 공식적인 자료가 아님을

밝힌다.

[표3-1] 물리적 시설 등급 기준

구분 중․ 형 IDC 소형

건물 판매상면 990m2(300평) 이상

판매상면 990m2 이하

물리적 보안

출입통제 시스템CCTV소방, 전력감시 시스템침입감지 시스템(선택)

출입통제 시스템CCTV소방, 전력감시

기획UPS 이원화발전기지진강도 고려

UPS 단일 전원발전기

[표3-2]는 위의 [표3-1]을 기준으로 국내의 IDC의 물리적 사실을 항목별로 조사하였다. 조

사 자료는 각 IDC의 인터넷 웹 사이트에서 제공하는 시설 현황을 참조하였다.

- 34 -

[표3-2] 국내 IDC 항목별 물리적 시설의 비교

항목 프리즘커뮤니케이션 인터넷제국

건물- 규모 : 370평

- 하중 : 500kg/ m 2

물리적 보안 시설- CARD Reader기 인증- 정맥인식 시스템의 인증- CCTV, 운동감지기

수변전 설비

- 국내 최 의 서비스 면적당 전력량 공급(2500KVA)- IDC전용의 이중화 수전설비로 외부에서 들어오는 고조파를 최소화하게 위해 2-Step구성- 수전설비에서부터 고객사 시스템까지의 전원케이블링을 이중화로 구성함은 물론, 수전 시스템도 이중화 구성하여 사고 발생시 즉각적인 전력공급 체 가능

자가발전장치- 가스터빈 발전기를 구축하여 정전 시 1000시간동안 안정적인 전원공급이 가능

UPS

- Liebart사의 Static UPS를 채택하여 설치- 시스템 자동 충전식 Battery 관리로 Battery의 방전 정도를 자동으로 check

- 2조 병렬방식으로 전원 공급- 한전전원/발전기 정전시 최소 1시간의 안정적인 전원공급이 가능

- 35 -

항목 프리즘커뮤니케이션 인터넷제국

항온항습장치

- 운용 온도/습도:20～25。C / 40～60%- 이중화된 항온항습 설비로 비상 상황에 완벽하게 응- 외기에 의한 응축방식이므로 동파의 우려가 없음- 압축기가 실외에 설치되므로 소음이 작아 쾌적한 작업환경을 조성

- 운용온도 20～24。C, 운용습도 40～60%로 유지- 수냉식 및 공냉식 항온 항습기 15 운영

방호, 방재 시설

- 가스식 청정소화약제를 설치 Damper 설치- 수동식, 자동식 소방설비 구축- 자동 화재탐지 설비 구축

- 국제 몬트리올규정에 적합한 Halon, NAF III시스템으로 구성, 전산실 외부 전/후면에 소화 시스템을 구축, 안정적인 환경을 제공

- 36 -

항목 KT-IDC KIDC

건물

- 형전산시스템을 수용 가능한 하중 고려해 설계된 건축구조 및 Access floor(H=400mm)

- 하중 : 950kg/ m 2

물리적 보안 시설

- 폐쇄회로를 통한 입/출입자 모니터링 및 자동 추적- 체온감지, 진동감지, 파손감지, 운동감지등의 감지센서를 통한 모니터링- 지문인식, 카드리더, 경보장치를 통한 사전 등록된 고객만 입/출입통제

- 지문인식, CCTV, 출입통제 시스템

수변전 설비 - 이원화 - 이중수전설비 확보

자가발전장치

- 비상발전용 2차 자가

발전시설, 3차 이동형 발전차

- 2*Rack별 Dedicated 30A

전원공급(3상4선식)

- 2*Rack별 차단기(Breaker)를

통한 고객별 전원관리 이원화

- 1500kVA 2 2500kVA

2 가 유류 공급없이 30시간

동안 안정적인 전원 공급이

가능

- 37 -

항목 KT-IDC KIDC

UPS

- 7*24 무정전 전원공급을 위한 1차 UPS(Full redundant, Backup time:6 0min)- 이원화

- 2조 병렬방식- 400kVA × 2 10조 시스템 구축- 최소 1시간의 안정적인 전원공급이 가능

항온항습장치

- 상면시설 및 최적의 항온항습제공(항온:22±2。C, 항습:45±5%)- 하향송풍을 통한 Rack별 공조가능

- 운용온도 20～25。C, 운용습도 40～60%로 유지- 기계실의 환경에 맞는 DOWN/UP FLOW 방식 병행 운용- 냉각탑의 이원화로 유사시 최소 50%의 가동만으로 정상 운영될 수 있음

방호, 방재 시설

- 자동화재탐지설비- 천장내부, Access Floor 하부 및 비상경보시설- 방화벽- 청정가스 소화설비(하이드로클로로 풀르오로 카본혼화제)- 내부 구조물은 불연성재료 시공- 휴 용 가스소화기/서버실 및 UPS실 패키지형 가스소화기 배치

- 국제 몬트리올 규정에 적합한 Halon, NAFIII시스템으로 구성- 전산실 외부 전/후면 자동 방화벽 자동방화셔터로 안정성을 극 화- DMAX300 수신반으로 건물 전체에 한 시스템 감시

- 38 -

항목 GNGIDC

건물- 독일에서 제작된 수입 Rack Frame- 지진에 비한 고강도 Frame으로 제작- 7.5A / 220V Dual Feeder제공

물리적 보안시설

- 지문 인식 시스템과 rf시스템의 이중 출입인증 시스템- 기계실 전용 Elevator 운용- 각층, 각 코너에 설치된 감시카메라로 24시간 감시- 화물 및 방문자의 이중 출입구- 전력 및 회선 인입설비의 밀폐형 공간 설치

수변전 설치- 수전설비에서부터 고객사 시스템까지의 모든 전원 케이블을 2중으로 설비한 Real Dual Power System

자가발전장치

- 24시간 발전용량의 연료를 상시 비축하였으며, 인근 연료공급소와의 비상연료 공급체계 마련- 별도의 2개 변전소로부터 전력을 공급받는 수전 시스템으로 한 개 변전소의 사고 발생 시 즉각적인 전력공급 체

UPS

- UPS 및 변압기를 필요 설비 수 보다 1개 이상으로 구비- 정전 등으로 인한 기본전력의 완전 차단을 비한 무정전시스템(UPS)을 구축하였으며 무정전시스템의 신뢰성을 높이기 위해 배터리 시스템이 아닌 Generator방식으로 운영하는 CPS(Continuous Power Supply)시스템

- 39 -

항목 GNGIDC

항온항습장치

- Open Type 항온 항습기 설치로 항온 항습 효율 극- 항온 : 21。C- 항습 : 50～55% (+/- 2%)- 기계실 층고를 5.1m로 높여 서비스 공간 내의 공기 흐름을 원활하게 유지 되도록 설계- 전력공급이 중단될 경우에도 항온 항습기가 동작되어 안정적인 온도 및 습도 유지- 전공정 실시간 모니터링- 예상용량 비 150% 시설 및 추가 설치를 비한 설계로 확장용이

방호, 방재 시설

- 전 기계실 및 전원관련 설비에 한 Halon Gas 소화 시스템 구축- Gas 동작압력 조절을 위한 Damper 설치로 소화시 발생하는 건물 및 시스템의 파손 방지- 고감도 온도/냄새/가스 감지 설비 구축으로 신속한 경보 체계 가능- 전 공정 실시간 모니터링 구현- 중앙 집중식 Gas 공급 설비 구축

- 40 -

2. 국외 현황

[표3-3]은 국외 IDC의 물리적 시설 현황이다.

[표3-3] 국외 IDC 물리적 시설

항목 KDDI Exdous Communications

건물- 이중마루 350mm 높이에 설치- 한 층의 높이는 2,800mm- 하중 : 600kg/m2

- 방재성 고려한 높은 층간- 내진 설비 주문 설계

물리적 보안 시설

- KDD Otemachi 건물 출입을 위한 특별 허가 제도 실시- 기계실 영역을 위한 온라인 카드 접근 보안 장치

- 고강도 알루미늄 선반으로 제작되어지고 잠금장치가 장착된 Rack- 고객 비즈니스를 위한 밀폐형 캐비넷 제공- 이중 알루미늄 벽과 충격 저항 유리로 만들어진 Vault- 움직임 감지 센서, 폐쇄 비디오카메라 감시, 영상기록 유지- 생체보안형 잠금문과 경보 시스템- ID카드를 사용한 6단계 보안 레벨 운영- 출입자 man traps

수변전 설비 - 이중 전력 공급

- 41 -

항목 KDDI Exdous Communications

자가 발전 장치

- 도쿄 전기 회사에 주발전기를 갖고 있으며, 세 개의 전환 케이블을 보유함.- 24시간동안 지속적으로 제공할 수 있는 보조 발전기로 하나의 가스 터빈 엔진과 네 개의 디젤 엔진을 보유함.- 24시간 모니터링 시스템 보유함.

- 다중 메가와트급 디젤 발전기로 square foot당 200w 제공- 백업 발전기 운영

UPS- 변환장치, 베터리 체인저, 베터리 포함

- UPS 이원화

항온항습장치

- 기계실 환경에 맞는 최적의 온도와 습도를 유지.- 공기 청정기준 : 0.1mg/m3 미만- 이중화된 항온, 항습 시스템 보유.- 환경제어실에는 방수처리 필수.

- HVAC 온도제어 시스템

방호, 방재 시설

- Halon 가스를 이용한 화재 진압 시스템- 자동 화재 탐지 설비 : 연기 탐지 시스템

- 연기 탐지 시스템- 화재진압시스템

- 42 -

3. 시설물 관련 국내 법령 및 국외 기준

가. 국내 건축물과 전기통신시설기준 관련 법규

IDC 건물의 입지조건은 자연재해 발생이 적고 전기통신 시설물에 화학적, 물리적 변형 또는

손실을 가할 수 있는 시설물이 주변에 없는 곳을 선택해야 한다. IDC 전용건물을 건축하는

경우에는 해당 지역의 자연환경과 주변 환경을 정확히 파악해 최 한 건물 설계에 고려하여

야 하며 전력, 방호, 방재 시설물을 규모에 맞게 설치해야 한다. 국내에는 IDC 전용 건축물

에 한 건축기준법과 시설물 기준 법이 없지만 일반적으로 적용되는 건축법과 전기통신시

설설치기준과 관련한 법이 제정되어 시행 중에 있다. 다음은 건축법과 전기통신관련법에서

전력, 방호, 방재 시설에 관한 항목을 정리한 것이다. 그리고 아래 항목과 연관되나 본문에

기술하지 않은 건축법 관련 시행규칙과 명령 전기통신시설기준에 관한 시행규칙 등의 관련

항목을 [부록1]에 수록하겠다.

(1) 건축물관련 법령

건축법시행령

제46조(방화구획의 설치) ①법 제39조제2항의 규정에 의하여 주요구조부가 내화구조 또는

불연재료로 된 건축물로서 연면적이 1천제곱미터를 넘는 것은 건설교통부령이 정하는 기준

에 따라 내화구조로 된 바닥 . 벽 및 제64조의 규정에 의한 갑종방화문(건설교통부장관이

정하는 기준에 적합한 자동방화샷다를 포함한다. 이하 이 조에서 같다)으로 구획(이하 “방화

구획"이라 한다)하여야 한다. 다만, 원자력법 제2조의 규정에 의한 원자로 및 관계시설은 원

자력법이 정하는 바에 의한다.

제56조(건축물의 내화구조) ①법 제⑾조제1항의 규정에 의하여 다음 각 호의 1에 해당하는

건축물(제6호에 해당하는 건축물로서 2층 이하인 건축물의 경우에는 지하층부분에 한한다)

의 주요구조부는 이를 내화구조로 하여야 한다.

- 43 -

다만, 연면적이 50제곱미터이하인 단층의 부속건축물로서 외벽 및 처마밑면을 방화구조로

한 것과 무 의 바닥은 그러하지 아니하다.

3. 문화 및 집회시설중 전시장 및 동 . 식물원, 판매 및 영업시설, 교육 연구 및 복지시설 중

생활권수련시설 및 자연권수련시설, 운동 시설중 체육관 및 운동장, 위락시설(주점영업의 용

도에 쓰이는 것을 제외한다), 창고시설, 위험물저장 및 처리시설, 자동차관련시설, 공공용시

설중 방송국 . 전신전화국 및 촬영소, 묘지관련시설중 화장장 또는 관광휴게시설의 용도에

쓰이는 건축물로서 그 용도에 쓰이는 바닥면적의 합계가 500제곱미터이상인 건축물

건축물의구조기준등에관한규칙

제3조(구조설계의 원칙) ①건축물의 구조설계에 있어서는 건축물의 용도 . 규모구조의 종별

과 지반의 상황 등을 고려하여 기초 . 기둥 . 보 . 바닥 . 벽 등을 유효하게 배치하여 건축물

전체가 이에 작용하는 고정하중 . 적재하중 . 적설하중 . 풍하중 . 토압 . 수압 . 지진하중 기

타 진동 또는 충격에 하여 구조내력상 안전하도록 하여야 한다.

②내력부분인 벽은 건축물에 작용하는 횡력에 하여 유효하게 견딜수 있도록 균형있게 배

치하여야 한다.

③건축물의 구조는 그 지반의 부동침하, 떠오름, 미끄러짐, 전도 또는 동해(凍害)에 하여

구조내력에 지장이 없어야 한다.

(2) 전기통신관련 법령

전기통선설비의기술기준에관한규칙

제7조(보호기 및 접지) ①낙뢰 또는 강전류전선과의 접촉 등에 의하여 이상전류 또는 이상

전압이 유입될 우려가 있는 전기통신설비에는 과전류 또는 과전압을 방전시키거나 이를 제

한 또는 차단하는 보호기가 설치되어야 한다.

- 44 -

②제1항의 규정에 의한 보호기와 금속으로 된 주배선반 . 지지물 . 단자함 등이 사람 또는

전기통신설비에 피해를 줄 우려가 있을 때에는 접지 되어야 한다.

③제1항 및 제2항의 규정에 의한 전기통신설비의 보호기 성능 및 접지에 한 세부기술기준

은 정보통신부장관이 이를 정하여 고시한다.

제10조(전원설비) ①전기통신설비에 사용되는 전원설비는 그 전기통신설비가 최 로 사용

되는 때의 전력을 안정적으로 공급할 수 있는 충분한 용량으로서 동작 전압과 전류를 항상

변동 허용범위 내로 유지할 수 있는 것이어야 한다.

②제1항의 규정에 의한 전원설비가 상용전원을 사용하는 사업용 전기통신설비인 경우에는

상용전원이 정전된 경우 최 부하전류를 공급할 수 있는 축전지 또는 발전기 등의 예비전

원설비가 설치되어야 한다. 다만, 상용전원의 정전 등에 따른 전기통신 역무 중단의 피해가

경미하고 예비전원 설비를 설치하기 곤란한 경우에는 그러하지 아니하다.

③사업용 전기통신설비 외의 전기통신설비에 한 전원설비의 설치기준에 관하여 필요한 사

항은 정보통신부장관이 이를 정하여 고시한다.

제22조(안전성 및 신뢰성 등) ①사업자는 이용자가 안전하고 신뢰성 있는 전기통신역무를

제공받을 수 있도록 다음 각호의 사항을 구비하여 운용하여야 한다.

1. 전기통신설비를 수용하기 위한 건축물 또는 구조물의 안전 및 화재 책에 관한 사항

2. 전기통신설비를 이용 또는 운용하는 자의 안전 확보에 필요한 사항

3. 전기통신설비의 운용에 필요한 시험 . 감시 및 통제를 할 수 있는 기능에 관한 사항

4. 그밖에 전기통신설비의 안전성 및 신뢰성 확보를 위하여 필요한 사항

②제1항의 규정에 의하여 전기통신역무에 사용되는 전기통신설비가 갖추어야 할 안전성 및

신뢰성에 한 세부기술기준은 정보통신부장관이 이를 정하여 고시한다.

- 45 -

나. 국외 - IBM의 IDC 설비 구축 기준

IBM의 IT설비 구축서비스사업의 기준서의 내용이다. 이 기준서는 건축분야와 전원설비분

야, 무정전 설비분야, 항온항습 설비분야 등 총 9개 분야에 걸쳐 자체 기준을 규정하여 IT

설비 구축서비스사업을 실시하고 있다.

(1) 건축물관련 기준

① 내진 책 고려 설계

- 건물구조

- 전산장비 고정장치

② 건물 구조 설계

- 바닥적재하중 500kg/ m 2

- 천장고 2700～3000mm 기준

- 형 안테나 설치 고려- 옥상구조

- 무정전 설비 하중 비 - 지하층

- 장비 반출입 통로 및 운송수단

- 전산 장비실 무창 설계

③ 방수, 침수 책 설계

- 천장 수배관 배제

- 상층부 바닥방수

- 하층부 결로현상 비

④ EPS실 설계

- 100평당 1평 기준 설계

- 강전 및 약전 분리 설계

- 1종 단독 접지 설치

- 24시간 공조설비 운영

- 46 -

- 유지보수 공간 확보

⑤ 주위환경 설계 고려사황

- 침수환경 여부

- 장애요인 고려사항(전자계, 진동, 부식성 GAS, 인화성 물질)

- 외장재, Cooling Tower등 임해 책

(2) 전기통신관련 기준

① 고려사항

- Safety Factor 30%

- 확장성 고려된 부하용량

- 긴급상황 처 방안고려

- Cabling의 표준화

② 설비 Infra분야

항목 A급 B급 C급

한전수전복수화 적용 미적용 미적용

발전설비 24시간 12시간 6시간

발전설비 Backup 병렬, All All UPS

변전설비 Backup 복수 단수 단수

③ 1차,2차 전원공사분야

- Dual 파워 공급

- 208V x 3P, 220V x 1P

- Sys 단독접지 구축(통신, H/W)

항목 A급 B급 C급

Maintenance By-Pass Line

적용 미적용 미적용

Emergency Pwr S/W 적용 미적용 미적용

Emergency Lighting 적용 미적용 미적용

DC전원(통신장비) 복수 단수 단수

- 47 -

(3) 무정전 설비분야

① 고려사항

- Backup 관련기능

- 부하용량 산출근거

- High Quality 제품

- I/P, O/P 380V x 3P

- FMS 연동가능

- UPS/BAT실 공조, 소화설비

② UPS Backup 시스템

항목 A급 B급 C급

Parallel Capacity Redundant

병렬처리 미적용 미적용

Hot Stand-by Redundant 적용 미적용 미적용

③ Battery Backup 시간

A급:60분, B급:40분, C급:20분

(4) 항온항습 설비분야

① 고려사항

- 적정온도 20。C ～ 24。C 유지

- 적정습도 40 ～ 50%유지

- 연중무휴 가동 가능한 제품

- FMS연동가능

- 아연도금배제

(5) 수장공사 분야

① 칸막이 공사

- 바닥부터 천장 위 스라브까지 설치 : 소방설비, 보안관련

- 48 -

- 이중마루 하단부분 방수처리

- 불연성 자재 사용

- 밀폐형 전산 장비실 구축

- 보안관련 설치강화 : 문 방향, 잠금 장치

- 이중마루 하단 외부와 차단

② 이중마루공사

- 정전기, Noise 제거방안

- 적절한 표면 저항 상태 유지

- 하중을 고려한 Access Flower 구축

- Net Gnd 구축

- 아연도금 관련제품 배제

(6) 소화 설비분야

① 고려사항

- 인화성,폭발성 물질 배제

- 불연성 자재 사용

- 정기적 점검 및 관리체재

- 사용소화설비 약재 . Halon 1301 가스. NAF-III . FM 200

② 소화설비 Cover여부

항목 A급 B급 C급

이중마루 상단 적용 적용 적용

이중마루 하단 적용 적용 미적용

UPS/BAT 연동 적용 적용 미적용

- 49 -

(7) 보안설비 관련분야

① CCTV/출입관리 시스템

항목 A급 B급 C급

사각지 (coverage) 없음 없음 허용

출입기록 6개월 유지 3개월 유지 2개월 유지

행동감지센서 설치

종합상황실 통제기능 통제 통제 미통제

출입인원 통제방법 이중화 단일화 단일화

② Data 보관실(내화금고)

A급 : 적용, B급 : 미적용, C급 : 미적용

(8) 운영 설비분야

① 종합 상황실

항목 A급 B급 C급

통 제 기 능 관 리 체 제

전산 장비실 통제 통제 통제

전기관련 정보 통제 통제 미통제

통신장비실 통제 통제 통제

항온항습설비 통제 미통제 미통제

보안 설비 통제 통제 통제

화재 설비 통제 통제 통제

- 음성 경고 시스템

- FMS(Facility Monitoring System)

- 50 -

제 3 절 국내 IDC 보안서비스 운영 현황

다음은 IDC에서 제공하는 보안서비스와 백업서비스를 조사한 내용이다.

1.보안서비스

각 IDC가 보안서비스로 중점을 두고 있는 부분은 다음의 3가지이다.

① 물리적 보안 : 출입통제, CCTV, 접근통제, 케이지, 랙, Valult, 잠금 시설, 방재시설, 백업

설비

② 시스템 보안 : 침입차단시스템(Firewall), 침입탐지시스템(IDS), 안티 바이러스 시스템

③ 재해복구

부분의 IDC는 위의 3가지 요소를 보안과 백업으로 나누어 부가서비스의 형태로 제공하고

있으나 이 장은 물리적 보안을 제외한 시스템 보안과 백업 서비스에 관한 내용만을 기술하

겠다.

IDC는 시스템 보안서비스를 제공하기 위해 별도의 보안조직을 운영하거나, 제3의 전문보안

업체와 제휴하여 고객에게 서비스를 제공하고 있다. 부분의 IDC가 후자의 형태를 취하고

있으며, 보안 시스템의 부분을 부가서비스 형태로 제공하여 입주사에게는 추가 비용부담

을 주고 있으며, 실제로 A사는 코로케이션 서비스 이용자 중 약 33%, 서버호스팅 이용자

중 약 12% , 전체 비율로는 약 18%에 해당하는 이용자만이 서비스를 이용 받고 있다.

이에 따라 정부가 IDC 정보보호에 관련하여 실시하는 정책의 방향은 다음과 같다.

① IDC 입주고객의 보안 이용율이 현저하게 낮아 입주사가 보안 서비스를 선택할 경우 3～

5%의 세액공제를 추진하고 있다.

- 51 -

② IDC시설 피해에 비하여 IDC별 시설 안전기준을 법제화 하고 있다. 이의 일환으로 정

보보호 지침을 마련하여 이행 검증을 추진하고 있다.

[표3-4]은 국내 IDC의 보안 서비스 현황을 조사한 것이다. 이 표를 보면 단 하나의 IDC사

만 보안 서비스를 기본으로 채택하고 있는 것으로 파악된다. 그러나 이 IDC도 입주사가 원

하지 않으면 이용료를 감면하는 형태로 보안서비스를 제외하는 것으로 조사되었다.[표3-5]

되는 모 IDC의 보안서비스 이용요금을 나타내고 있다.

2. 백업서비스

데이터 백업서비스는 백업 용량별, 주기별, 보관 기간별로 구분하여 종량제 방식으로 운영하

여 고객이 선택하도록 하고 있다. 백업 서비스는 백업 매체 저장소가 물리적으로 IDC 본 건

물과 분리되어 있어야 하고 네트워크도 분리되어 있어야 네트워크 침입으로부터 보호를 받

을 수 있다. 재난이나 테러로 인한 건물의 손상 시 백업 저장소가 건물 내부에 위치하고 있

으면, 복구가 불가능해질 수도 있으므로 이러한 설계는 필수적이라 할 수 있다. 그러나 부

분의 IDC가 백업서비스 자체에는 충실하고 있으나 장소 분리의 문제는 간과하고 있다. 또한

백업 서비스 요금이 고가로 책정되어 있어 영세 업체는 큰 부담이 되고 있다.[표3-6]은 모

IDC업체의 백업서비스의 비용을 표시한 것으로 백업 보관 기간별, 용량별로 가격을 세분화

시키고 있다.

- 52 -

[표3-4] 국내 IDC의 보안 서비스 현황

IDC 업체 가입자 보안시스템 서비스 종류

A사- Firewall- NIDS

- Giga Bit 방화벽은 백본에서 기본제공

B사 - NIDS - 비침입식 스케닝툴 사용

C사- Firewall, VPN,- NIDS,- AntiVirus

- Premium : 고객사 독점으로 보안 서비스 사용- Plus : 가격의 효율성 고려한 준 독점형- Basic : 가격의 효율성 고려한 공유형- 서비스 : Firewall, NIDS, SIDS, AntiVirus 모니터링, 리포팅, 피해복구지원, VPN

D사- Firewall,- NIDS

- SCC-F, SCC-I, SCC-Plus, SCC-V, 리포팅, 로그분석, 보험서비스- N 보안전문업체와 제휴

E사- Firewall, VPN,- NIDS,- AntiVirus

- Premium : Full- Gold : Firewall, NIDS- Silver : Firewall, SIDS- Bronze : Firewall- 부가 : AntiVirus, 리포팅, 취약점분석

F사- Firewall,- NIDS

- 방화벽, SIDS, NIDS, 취약점관리, 리포팅, 교육- H 보안전문업체와 제휴

G사- Firewall- NIDS- AntiVirus

- Firewall, IDS, VirusWall, 운영관제, 보안진단, 리포팅, 컨설팅- S 보안전문업체와 제휴

H사- Firewall,- NIDS- AntiVirus

- 기본 : 보안크리닉, 방화벽, IDS, Antivirus, 모니터링, 리포팅, 재해복구서비스- 선택 : VPN, 다중침입차단, 보험연계

- 53 -

[표3-5] 보안서비스 비용 및 내용

(단위:원/월 VAT별도)

LineSpeed

설치비

Basic Plus Premium

Firewall & NIDS Firewall IDS

서버당 서버당 기본 보호 HIDS NIDS

10MShared

500,000

250,000 300,000

별도 협의

10MDedicate

300,000 400,000

100MShared

- 500,000

50MDedicate

- -

100MDedicate

- -

Giga 별도 협의

Discount 다수할인 서버수량 6 이상 별도 협의

[표3-6] 백업서비스 비용 및 내용

(단위:원/월 VAT별도)

용량(Gbytes)

보관기관설치비 서비스 제공수준

1주 2주 3주 4주

10 89,000 157,000 226,000 294,000

150,000

-고객요청에 의한 시간조정-공인된 장비사용으로 백업, 안전성 보장-고속백업을 통한 부하 최소화 및 데이터 안전성 보장-철저한 모니터링-백업용 NIC 별도 (고객부담)

20 130,000 240,000 349,000 459,000

30 171,000 322,000 473,000 624,000

40 212,000 404,000 596,000 738,000

50 253,000 487,000 720,000 953,000

60 294,000 569,000 843,0001 1,118,000

70 336,000 651,000 967,0001 1,282,000

80 377,000 720,000 1,090,000 1,447,000

90 418,000 816,000 1,214,000 1,612,000

100 459,000 898,000 1,337,000 1,776,000

- 54 -

3.IDC의 약관

약관은 양자의 의무와 책임을 규정하고 있는 중요한 문서이다. 본 보고서는 일부 IDC의 약

관에서 보안과 백업에 관해 규정한 부분과 IDC의 책임범위를 명시한 부분을 조사 기술하였

다. 일부 IDC의 약관만을 조사했지만 부분의 IDC가 비슷하게 내용을 구성하고 있다. 이

약관에서 주의해서 읽을 점은 재난과 피해 책임에 해서 규정한 부분인데 다소 IDC에게

유리하거나 불합리한 내용을 포함하고 있다.

가. 보안과 백업 서비스에 관한 규정

(1) A사의 약관

제15조 (부가 서비스)

① 부가 서비스는 고객이 Co-Location 서비스를 더욱 효율적으로 이용 할 수

있도록 당 IDC가 제공하는 보안, 백업 등의 서비스를 말합니다.

② 고객은 당 IDC가 공시하는 바에 따라 별도의 이용 신청을 통해 부가 서비스를

이용할 수 있습니다.

③ 부가 서비스의 이용 내용, 요금 등의 제반사항은 별도 규정에 의합니다.

(2) B사의 약관

★ 보안서비스 용어의 정의

보안서비스란 당사에 입주해 있는 서버에 한 보안을 행하여 관리하는

서비스를 말합니다.

★ 보안서비스의 종류 및 이용요금

회사가 제공하는 기본 서비스의 종류는 “별표 1” “서비스 종류

- 55 -

및 기본가격"과 같습니다.

★ 백업서비스 정의

① 서비스명 : 당사 정기백업서비스

② 서비스 내용 : 정기백업서비스(이하 '서비스'라 합니다.)는 당사와 협력관계에

있는 ㅇㅇ가 제공하는 서비스로서 고객사의 필요에 따르는 백업 데이터 용량과

보관 주기를 기준으로 가장 효율적이고 안정적인 백업을 행하는 서비스입니다.

★ 서비스의 종류 및 이용요금

회사가 제공하는 기본 서비스의 종류는 "별표1" "서비스 종류 및 기본가격"과

같습니다.

나. 재난과 피해 책임에 한 규정

나. 재난과 피해 책임에 한 규정

(1) A사의 약관

제34조 (손해배상의 범위)

① 당사의 귀책사유로 고객이 서비스를 이용하지 못하는 경우에는 당사가

고객에게 손해를 배상합니다.

② 당사의 귀책사유 범위는 당사가 제공하는 상면 서비스, 네트워크 서비스 및

설치 서비스에 한정됩니다. 따라서 당사는 고객 장비에 한 외부의 물리적인

불법 침입에 해서는 책임이 있으나, 네트웍을 통한 외부의 불법적인

침입으로부터의 고객 장비 및 고객 장비내의 자료에 한 손해는 별도의 네트웍

보안에 한 부가서비스 계약을 체결하지 않는 한 책임이 면제됩니다.

- 56 -

제37조 (면책)

고객의 손해가 다음 각 호의 사유로 발생된 경우에는 당사가 손해 배상의 책임을

지지 않습니다.

1. 천재지변, 전쟁 등 불가항력적인 경우

2. 고객의 고의 또는 과실로 인하여 발생한 경우

3. 당사 이의의 타 통신사업자가 제공하는 전기통신서비스의 장애로 인한 경우

4. 전기통신서비스의 특성상 불가피한 사유가 있는 경우

백업서비스 특별약관에 있는 백업에 관한 손해 배상에 관한 규정

2) 보상에서 제외되는 경우

(가) 고객 측 관리자의 실수나 설치한 장비 및 소프트웨어의 문제점으로 인한 장애

및 복구 실패

(나) 전쟁, 내란, 폭동, 천재지변, 적법기관의 합법적인 명령 등 불가항력의 사태로

인한 장애 및 복구실패

(다) 고객시스템 환경에서 서비스에 영향을 줄 수 있는 서비스 상 시스템의 변경

사항을 통보하지 않음으로써 발생한 장애 및 복구 실패

(라) 문제 발생의 원인이 서비스 관련부분

(백업시스템/NETWORK)이 아닌 경우에는 그로 인한 서비스의 수행 불능에

해서 당사에게 책임을 물을 수 없습니다.

(마) 서비스 요금을 지정된 납부 일자까지 납부하지 않았을 경우 연체 기간 동안에

발생하는 어떠한 문제에 해서도 당사에게 책임을 물을 수 없습니다.

- 57 -

(2) B사

★ 고객의 권리와 의무(보안서비스약관)

고객은 고객의 네트워크 및 시스템에 한 구성, 최고 사용자 패스워드 등 필요한

정보를 회사의 기술 지원 담당자에게 반드시 제공해야 하며, 이를 제공하지 않았을

경우 서비스의 중단 및 서비스 제공의 불가 상황이 발생 될 수 있다.

★ 보안서비스 손해배상 예외 항목

다. 전쟁, 천재지변 등 불가항력적인 사유로 인해 서비스를 정상적으로 제공하지

못하는 기간에 발생한 보안사고 발생 시

라.1일 이전에 예고하지 못한 고객 혹은 회사의 정전, 네트워크장애, 선로장애,

하드웨어 장애 발생으로 인해 서비스를 정상적으로 제공하지 못한 기간에 보안사고

발생 시

마. 고객서버에서 운용중인 응용소프트웨어의 개발상의 오류에 의해 파생된 보안

취약점에 의한 보안사고 발생 시

사. 기술적으로 불가항력적인 침해유형(DoS등)으로 인한 보안사고 발생 시

★ 백업서비스 손해배상에서 제외되는 경우

2) 전쟁, 내란, 폭동, 천재지변, 적법기관의 합법적인 명령 등 불가항력의 사태로

인한 장애 및 복구실패

4) 문제발생의 원인이 서비스 관련 부분(백업시스템/NETWORK) 이 아닌 경우에는

그로 인한 서비스의 수행 불능에 해서 회사에게 책임을 물을 수 없습니다.

- 58 -

제 4 장 국내 . 외 정보보호 정책

정보통신망을 이용한 다양한 네트워크 서비스 제공이 확 되고 그 이용이 증가함에 따라 정

보통신망의 보호와 기능유지를 위한 기준이 다양한 기관에서 제시되고 있고, 정부에서도 국

민들이 언제 어디서나 안심하고 지식과 정보를 교환할 수 있도록 안전하고 신뢰할 수 있는

정보보호 인프라를 구축하여 정보보호를 생활화한다는 목표 아래 다양한 정보보호 책을

마련하고 추진하고 있다.

본 보고서는 정부에서 제정한 정보보호 관련 법률과, 민간기관에서 발표한 정보통신의 안전

과 신뢰성에 관련한 기준을 조사하여 세부적 내용을 비교하고, 이를 바탕으로 5장에서 IDC

와 같은 집적정보통신 시설에 필요한 정보보호 지침을 위한 방안을 제시한다.

제 1 절 국내 정보보호정책

1. 집적정보통신시설 정보보호 지침

가. 제정 배경

인터넷을 통한 비즈니스가 늘어나면서 인터넷 비즈니스 사업을 추진하거나 실시하고 있는

많은 업체들이 인터넷의 인프라를 제공하는 IDC업체로의 입주가 급격히 증가하고 있다.

IDC와 같이 정보통신시설이 집적되어 있는 곳이 재해나 재난으로 인해 물리적으로 훼손당

하고 해킹이나 바이러스로부터 침해를 받는다면 입주한 업체의 서비스 중단으로 인한 경제

적인 손실과, 개인 신상 정보의 유출로 인한 사생활에 침해를 받을 우려가 있다. 따라서 정

부는 이러한 물리적, 시스템적 피해를 사전에 예방 하고 효과적인 응책을 마련하기 위해

<정보통신망이용촉진등에관한법률>을 개정하고 이에 근거한 집적정보통신시설에 관한 정보

보호지침을 만들어 시행할 예정에 있다.

- 59 -

나. 주요 내용

이 지침은 <정보통신망이용촉진등에관한법률> 제46조 및 동법 시행규칙 제4조의 규정에 의

하여 집적정보통신시설을 운영, 관리하는 사업자가 취하여야 하는 보호조치의 세부적 기준

등 집적정보통신시설보호를 위하여 필요한 사항을 정하는 것으로 3장, 10조의 지침사항과

부칙으로 구성되어 있다.

① 제1장 총칙

지침의 목적과 지침에서 사용되는 용어의 정의

② 제2장 보호조치

출입자의 접근제어 및 감시와 재난에 비한 보호조치, 관리인원의 선발 및 배치 그리고 내

부관리계획의 수립 및 시행

③ 제3장 보호조치 이행 검사 및 평가

검사의 실시, 검사결과의 처리, 평가

2. 정보통신망 안전 . 신뢰성에 관한 기준

가. 목적

정보보호정책구축에 필요한 사항과 요소를 언급하고 관련 영역에 따라 여러 가지 기준을 제

시하여, 네트워크 기반 서비스 업무에 한 취약점의 해결방안과 보호기술의 적용으로, 적용

업무별 안전성과 신뢰성을 확보하고, 수요자 환경 별 시스템 관리 책을 수립 할 수 있는

보안 절차와 보안 책 수립을 지원하는 것이다. 전체 내용을 요약하여 정리한 표를 [부록2]

에 수록하였다.

- 60 -

나. 주요 내용

① 관리적 기준

정보통신망에 관련된 관리와 절차에 관한 기준으로써 정보보호 정책 및 지침, 보안조직 및

책임, 위험분석 및 위험관리, 인력관리, 비상계획, 위탁관리, 보안감사, 표준화에 관한 사항으

로 이루어져있다.

② 기술적 기준

정보통신망 자원과 기능에 관한 기준으로써 정보통신망 자원의 도입, 변경, 정보통신망 운

영, 자원의 관리, 감시 및 장애 처리, 컴퓨터 바이러스에 관한 사항으로 이루어진다.

③ 시설 기준

정보통신망 자원이 설치된 시설에 한 기준으로써 건물, 전산실, 정보통신 설비실, 데이터

보관실에 관한 사항으로 이루어진다.

3. 인터넷사이트안전마크(i-Safe) 제도

가. 목적

인터넷 이용이 보편화됨에 따라 컴퓨터를 이용한 범죄행위 발생 등 역기능에서 인터넷 이용

자를 보호하고 안전한 인터넷 사용여건을 마련하며, 네트워크상에서 영리 또는 비영리 목적

으로 설치 운영중인 인터넷사이트를 상으로 한 개인정보 보호, 시스템 보안, 소비자 보호

에 한 평가를 통하여 인터넷 사이트에 안전마크 부여한다. 안정된 네트워크 환경을 구축

한 모범적인 인터넷사이트 모델을 제시함으로써 국내 인터넷 사용기반 확 및 관련산업 활

성화로 국가 경쟁력 강화에 기틀을 마련하고자 함이다.

- 61 -

나. 주요 내용

정보통신부 고시 예정인 인터넷사이트 운영시스템 안전, 신뢰성 기준과 한국정보통신진흥협

회 인터넷모범상점인증 심사기준을 근거로 작성한 것으로 A그룹(금융, 의료부분 포함)은 3

개 분야(개인, 소비자, 금융, 의료부분 기업) 73개 항목(필수 58개 항목)의 체크리스트와 이

에 한 해설서로 이루어져 있고, B그룹(그 외) 3개 분야 66개 항목(필수 40개 항목)의 체크

리스트와 해설서로 이루어져 있다.

(1) 보안과 신뢰성 확보를 위한 물리적 요건

보안과 신뢰성 확보를 위한 물리적 요건의 항목으로는, 서버 및 시스템의 보관 장소나 환경,

침입이나 도난, 파손에 비한 환경 구성, 화재 비시설 등이 있다. 보안과 신뢰성을 확보

하기 위해서, 서버나 기타 장비들을 격리하여 보관하고 정당한 관리자만이 물리적으로 접촉

할 수 있도록 하는 것은 기본적인 사항이며, 기타 재해 예방설비, 서버 운영 환경조절 설비

등도 안전한 서비스 제공을 위해 반드시 필요한 항목이다.

1) 물리적 접근 제어시설

불법적인 침입을 통해 전산 자원에 물리적인 접근하는 것을 방지하기 위해 전산자원 자체

및 전산자원이 보관되는 장소에 설치된 시설로, 자물쇠와 열쇠를 이용한 단순 잠금장치, 잠

금 기능 외에 불법적인 시도에 해 경고, 완전 잠금 등의 보안 기능이 첨가된 잠금장치, 지

문, 홍채의 패턴, 손등의 정맥 패턴 등을 이용해 사용자를 식별하는 생체 특성을 이용한 잠

금장치, 불법적인 조작이나 접근 시도에 해 시간의 기록과 함께 경보를 울리도록 설계된

경보 시스템, 사람의 행동을 감지하는 행동 감지 장치 등이 있다.

전산 자원에 불법적인 접근을 막기 위해 설치된 물리적인 보안 장치를 운용하는 방법을 규

정하여야 한다.

- 62 -

2) 유사시를 비한 책

가) 비상시를 비한 안정적인 전원 공급 방법

정전이나 전력 공급 시설의 이상으로 인해 정상적인 서비스 제공이 불가능하게 되거나, 시

스템에 손상이 가지 않도록 방지하기 위해 안정적인 전원 공급 책을 세우고 있어야 한다.

UPS와 자체 발전기를 운용하여야 하며, 주요 전산자원을 위해 독립적인 비상 전원 체계를

운용하는 방식도 고려되어야 한다.

나) 재해 예방설비의 설치 방법

재해에 비하여 전산 자원 및 기타 주요 시설을 보호하기 위한 방재 시설로 화재 경보장

치, 자동 소화 장치 등과, 내진 설비, 낙뢰 방지, 피뢰 설비 등을 갖추고 있어야 한다.

3) 서버운영실 및 서버 운영환경

서비스 제공을 위한 서버를 보관, 관리하기 위해서 독립적인 운영실을 갖추고 있어야 한다.

서버 운영실에 한 통제 방법으로 출입 기록과, 단순한 열쇠와 자물쇠, 전자식 자물쇠, 생

체인식 보안장치와 같은 잠금 장치를 설치하고, CCTV를 이용해 운영실을 감시한다.

4) 백업에 관한 물리적 보호

서버의 자료를 백업한 백업 미디어를 보관하는 장소 서버운영실과 같은 곳에 서버와 함께

보관하거나, 서버와는 다른 안전한 장소에 보관한다. 백업 미디어의 내구성과 수명을 위해

화재 방지, 환경 조절이 가능한 곳에 보관한다.

- 63 -

5) 통신선로 및 통신장비 보호

통신 선로는 벽의 내면과 같이 물리적으로 인력이 닿지 않는 곳이거나, 격리된 곳에 설치하

거나, 보호 시설을 사용하여 밀봉되어 일반인이 접근할 수 없도록 한다. 광케이블과 같이 특

수한 매체를 이용하여 근본적으로 도청이 어렵도록 하는 경우도 있다. 선로의 단선 및 도청

에 비하여 선로가 훼손되거나 침범 당하는 경우 이를 알릴 수 있는 경보장치가 필요하다.

(2) 보안과 신뢰성 확보를 위한 기술적 요건

보안과 신뢰성 확보를 위해 어떠한 보안 기술이나 보안 장비를 적용하고 있는가에 해 기

술한 것으로, 네트워크상의 각 구성요소나 서비스에 한 접근제어를 위해서 방화벽을 사용

하며, 외부 혹은 내부 사용자에 의한 침입행위 유무에 한 감시를 위해서는 침입탐지시스

템을 사용하며 각 데이터나 통신의 안전을 위해서는 암호화 기술을 적용하는 것이 필요하

다. 신뢰성 확보를 위해서는 예비 시스템이나 여분의 구성요소를 갖추고, 자료의 정기적인

백업을 수행하는 것이 일반적인 방법이다.

1) 침입차단시스템(Firewal1)

사내 네트워크 및 각 호스트를 보호하기 위해 네트워크 전단에 침입차단시스템을 설치하여

운영한다. 침입차단시스템으로는 상용의 제품이나 공개용의 침입차단시스템을 사용할 수 있

다.

2) 침입탐지시스템(IDS)

네트워크 혹은 호스트에 한 공격이 시도되고 있는지 흑은 발생하였는지 여부를 탐지하기

위한 침입탐지시스템을 설치 운영한다. 상용 침입탐지시스템을 설치 운영하는 경우가 있으

며 공개용의 침입탐지시스템을 운영하는 경우도 있다.

- 64 -

3) 시스템 취약성 진단 시스템 사용 여부

잠재적으로 공격의 상이 될 수 있는 시스템 취약성의 존재 여부를 검사하기 위해 시스템

취약성 진단을 실시하여야 한다. 상용의 시스템 취약성 진단 도구를 사용하는 경우가 있으

며, 내부적으로 자체 개발한 취약성 진단 도구를 사용하는 경우도 있고, 공개되어 있는 취약

성 분석 도구를 이용하는 방법이 있다.

시스템 취약성 분석을 위해 취약성 분석 소프트웨어를 사용하는 경우가 있으며, 내부적인

보안 전문가 혹은 시스템 전문가가 취약성 항목에 해 수작업으로 점검하는 방법과 그리

고, 외부의 전문 기관이나 전문가가 취약성 점검을 신하는 경우가 있다.

시스템 취약성 처 업무는 자동화된 소프트웨어를 이용하여 발견된 취약성에 한 조치를

할 수 있으며, 내부적인 전문가가 취약성에 한 조치를 취하는 경우가 있다. 그리고, 보안

전문 서비스 흑은 자문업체와의 계약을 통해 취약성에 한 조치 업무를 수행하는 경우가

있다.

4) 컴퓨터바이러스

컴퓨터 바이러스에 비하여 상용의 바이러스 진단 시스템을 사용하는 경우가 있으며, 공개

용의 바이러스 진단 시스템을 사용하는 경우가 있다. 그리고, 바이러스 진단 시스템 운용 방

식에 따라 중앙에서 통제 및 진단시스템의 업그레이드가 가능한 진단시스템을 운용하는 경

우가 있다. 네트워크 통신을 감시하거나 호스트를 상시 감시하여 실시간으로 바이러스를 진

단할 수 있는 시스템을 사용하는 경우가 있다.

5) 백업기술

자동화된 도구나 설비를 사용하여 주기적으로 데이터를 백업하는 경우가 있으며, 시스템 관

리자가 수작업으로 정해진 일정에 따라 주기적으로 데이터를 백업하는 경우가 있고, 부정기

적으로 필요할 경우에만 데이터를 백업하는 경우가 있다.

- 65 -

시스템의 운용에 필요한 파일과 사용자 파일 등 시스템 상에 존재하는 모든 파일을 상으

로 백업을 실시하는 경우가 있으며, 시스템 설정, 서비스 기능 설정 파일과 같은 주요 파일

과 사용자 파일만 백업하는 경우도 있고, 사용자들의 작업결과, 서비스이용에 한 결과 파

일만 백업하는 경우가 있다.

백업된 자료를 물리적 보안이 유지되는 안전한 장소에 접근 통제 시설을 이용하여 보관하는

경우가 있으며, 백업의 상이 되는 시스템과 동일한 장소에 보관하는 경우가 있고, 백업 업

무를 담당한 관리자가 개인적으로 보관하는 방법이 있다.

6) 인증기술

칭 암호화 기술을 이용한 패스워드 방식을 사용하는 경우와, 제 3자가 제공하는 인증 서

비스를 이용하는 경우도 있고, 일회용 패스워드(one time password)를 이용하는 경우가 있

다. 또한, 외부적인 토큰 생성기와 같은 부가적인 장비나 시설을 이용하여 비밀 토큰을 이용

한 방식을 사용하는 경우도 있다.

7) 장애 처기술

기존의 시스템에 한 완전한 복제 시스템을 운용하여 즉시 서비스 제공 기능을 체할 수

있는 경우가 있으며, 핵심 부분만을 체할 수 있도록 부분적인 체 시스템을 준비하여 이

상이 발생한 즉시 발생 지점을 파악하여 체할 수 있는 경우가 있고, 중요 부분에 해

체할 수 있는 체 시스템을 보유하되 일정 복구 시간을 요하는 경우가 있다. 체 시스템

을 준비하고 있지는 않으나 체 및 복구 전문 업체와의 계약을 통해 일정 시간 후 복구 업

무를 수행할 수 있다.

- 66 -

(3) 보안과 신뢰성 확보를 위한 관리적 요건

보안과 신뢰성 확보를 위한 관리적 요건은 앞서 열거한 기술적 항목들과 같이 필요한 도구

및 시스템의 확보 여부보다는 이러한 도구들을 관리하는데 필요한 관리자의 행동 지침, 보

안 정책의 결정 방식, 정책의 적용 방식과 각 사용자들에 한 교육 형태 등과 같이 서비스

와 관계된 정책적 요소들에 한 점검을 하기 위한 것이다.

1) 사용자 계정관리

사용자 계정 관리 형태로 시스템 관리자가 사용자 계정의 생성 및 삭제 업무만을 수행하고

일반 사용자에게 전적으로 그 관리의 책임을 맡기는 경우와, 시스템 관리자가 필요에 따라

계정을 생성 삭제하거나 불량 사용자에 한 조치 및 각 사용자들의 패스워드 변경 행 등

의 업무를 수행하는 경우가 있다.

2) 사용자들의 비밀 번호 관리 방법

사용자들이 각자의 비밀번호를 설정하는데 강제적으로 추측 가능한 비밀번호나 취약한 비밀

번호를 사용하지 못하도록 하고, 각 사용자들이 주기적으로 비밀번호를 바꾸도록 한다. 다수

의 계정을 가진 사용자들에 해 각 서비스별 혹은, 수행하는 업무별로 사용되는 비밀번호

를 모두 다르게 사용하도록 한다.

3) 감사기록(로그 파일) 관리

기록 상이 되는 정보로는 네트워크 접속관련 로그 정보와, 시스템 접속에 관련된 로그 정

보, 시스템에 접속 후 시스템이 제공하는 웅용 프로그램을 사용한 내역에 한 정보이다. 그

리고, 침입 탐지의 목적으로 공격 징후나 침입 시도에 한 로그 정보도 기록한다. 시스템

관련 로그 파일에 해서 모든 사건이 나이와 관련된 각종 정보를 기록하고 주기적으로 관

리자나 전문가가 분석을 한다.

- 67 -

로그 파일은 관리자 이외의 사람들이 그 내용을 볼 수 없도록 제한하거나, 관리자와 보안

관리 업무를 수행하는 인력들만이 접근하도록 한다.

로그 파일의 종류에 따라 저장 기간을 정하고 보존하여야 한다.

4) 각종 지침, 절차 수립 및 관리

가) 백업의 복구방법 및 절차 규정 및 시행에 관한 지침

나) 보안 체계의 수립 및 이의 준수에 관한 지침

다) 보안정책, 지침 및 절차의 수립 및 사용에 관한 지침

라) 정보통신 보안 수행 체계의 수립 및 운영에 관한 지침

마) 직원 정보보호를 위한 지침

바) 침입차단시스템(Firewal1)의 운용 형태와 침입탐지시스템(IDS) 운용 형태에 관한 지침

4. 공공정보시스템 보안을 위한 위험분석 표준

가. 목적

이 표준은 한국정보통신기술협회에서 2000년 3월에 제정한 것으로 제정 목적은 공공정보 시

스템을 운영하거나 구축하고자 하는 모든 보안 담당자가 효과적인 위험관리를 수행할 수 있

도록 위험분석의 세부 절차와 위험분석수행을 위한 구체적인 기술을 제시하기 위해서이다.

이 표준은 공공기관의 보안업무 담당자들이 알맞은 보안 응책을 수립할 수 있도록 위험분

석 방법론을 쉽게 적용하는데 도움을 주고 더 나아가 국내 공공기관들의 보안관리 체계 수

립에 도움을 준다.

나. 내용

이 표준은 ISO/IEC JTC 1 SC27에서 제정한 TR13335 국제표준의 내용 및 기능과 유사하

다.

- 68 -

그러나 TR13335 국제표준이 보안관리 전반에 걸쳐 모든 분야를 다루고 있는데 반하여 이

표준은 위험분석 분야만을 중점적으로 다루고 있다.

이 표준은 크게 3 분야로 나누어져 있다.

공공정보시스템 보안을 위한 위험분석 표준 : 개념과 모델

공공정보시스템 보안을 위한 위험분석 표준 : 위험분석 방법론 모델

공공정보시스템 보안을 위한 위험분석 표준 : 위험관리와 평가

이외에도 한국정보통신기술협회에서 제정한 '공공기관 정보시스템 구축준비단계의 보안지침

서' 와 '공공기관 정보시스템을 위한 비상계획 및 재해복구 지침서' 등이 있다.

제 2 절 국외 정보보호 정책

2절은 국외에서 정보보호를 위하여 시행 중인 법률과 제도에 관해서 조사 한 것이다. 부

분의 국가가 정보보호와 정보기반보호를 위한 법률은 존재하지만 그 방향이 개인정보보호

정책에 맞추어져 제정되어서 우리나라처럼 집적정보통신시설물에 관한 물리적 시설 기준과

시스템 보안에 관한 기준에 해 구체적인 지침을 시행하는 법률은 발견하지 못했다. 일본

의 통상산업성고시 536호가 우리나라의 <집적정보통신시설정보보호지침>과 비슷한 내용을

보이고 있으나 시설물 설치와 운영의 자세한 기준을 제시하고 있지는 않다.

보안분야 선진국인 이스라엘의 정보보호 관련 법규를 주한 이스라엘 사관을 통하여 조사

하였으나, 영문 법규를 제공받을 수 없는 관계로 실질적인 조사를 할 수가 없어 본 연구에

는 포함시킬 수 없었다.

- 69 -

1. 미국

1999. 11월에 제정된 「Gramm-Leach-Bliley Act」(PL 106-102)는 금융고객의 개인정보와

거래기록을 안전하게 보호하기 위하여 통화감독청(OCC), 연방준비제도(FRS), 예금보험공사

(FDIC), 증권감독위(SEC) 등 금융감독기관들로 하여금 은행, 증권, 투신 등 각급 금융기관

들이 공통적으로 활용할 수 있는 표준적인 정보보호관리기준을 개발․보급할 것을 규정하였

다. 이에 따라, OCC, FRS, FDIC 등은 소관 금융기관들에게 적용할 「정보보호관리기준」

을 공동으로 마련하고 2000.8월 현재 입법 예고 중에 있다.

가. 정보보호관리기준의 주요 내용

이 기준은 고객정보의 안전성, 비밀성 그리고 무결성을 보호하기 위한 관리적

(administrative), 기술적(technical), 물리적(physical) 보호 책을 개발하고 구현하기 위한

표준에 해서 다룬다. 이 기준은 FRS에 소속된 각 주의 회원은행(state member banks)과

그 은행의 비금융 자회사에 의하여 또는 해당 은행과 그 은행의 비 금융 자회사를 위하여

관리 . 유지되고 있는 고객정보에 적용된다.

(1) 고객정보보호를 위한 표준

각 은행은 관리적, 기술적, 물리적 보호 책을 포괄하는 종합적인 정보보호 프로그램을 실

시하여야 하며, 보호 책들은 각 은행의 규모와 복잡성 그리고 영업 활동의 특성과 범위에

적절하여야 한다.

모든 정보보호프로그램은

- 고객정보의 안전성(security)과 비밀성을 보증하여야 한다.

- 고객정보를 그 정보의 안전성과 무결성에 한 모든 예측되는 위협과 위험들(hazards)로

부터 보호하여야 한다. 그리고

- 70 -

- 고객정보를 해당고객에게 실체적 손해와 불편을 야기할 수 있거나 해당 은행의 안전과

건전성에 위험을 초래할 수 있는 그 정보에 한 접근과 사용으로부터 보호하여야 한다.

(2) 정보보호프로그램의 작성과 실시

각 은행의 이사회는 이 기준에 따르는(comply) 각 은행의 정보보호정책문서와 프로그램 문

서를 승인하고, 효율적인 정보보호프로그램을 작성, 실시, 관리하려는 노력을 감독하여야 한

다.

정보보호프로그램의 종합적인 위험관리계획의 일환으로서 각 은행은 식별된 위험을 통제하

는데 적절하고 정보보호프로그램의 전반적인 목적을 달성할 수 있는 문서화된 정책과 절차

들을 수립하여야 한다. 정책과 절차들은 정보의 민감도 뿐만 아니라 해당 은행과 그 영업

활동의 복잡성과 범위에 적합하여야 한다. 정책과 절차들을 수립하는데 있어서 각 은행은

다음의 사항을 적절하게 고려하여야 한다.

① 고객정보에 한 접근권한

② 신원확인 뒤 권한 있는 개인과 회사들에게만 접근을 허용하는 통제 책을 포함한, 고객

정보시스템에 한 접근통제

③ 건물, 컴퓨터설비실, 기록보관설비실 등과 같은 고객정보를 저장하고 있는 물리적 장소에

한 접근제한

④ 권한 없는 개인들이 접근할 수 있는 네트워크 또는 시스템에서 전송되거나 저장되는 전

자적인 고객정보의 암호화

⑤ 고객정보시스템에 한 변경이 해당은행의 정보보호프로그램과 상호모순이 없음을 확인

하는 절차

⑥ 이중통제절차, 권한분리 그리고 고객정보에 책임을 지거나 접근 할 수 있는 직원에 한

고용인 배경조사

⑦ 서비스 제공업자에 의하여 관리되거나 처리되고 있는 고객 정보의 시큐리티를 보호하기

위한 계약조항과 감독 메커니즘

- 71 -

⑧ 고객정보시스템에 한 성공되거나 시도된 공격 또는 침입 사고를 탐지하기 위한 모니터

링시스템과 절차

⑨ 고객정보시스템에 한 무인가 접근이 의심스럽거나 발견되는 경우 취해져야 할 조치들

을 구체적으로 특정 하는 응 프로그램

⑩ 화재, 수해 등 잠재적인 물리적 위험에 기인한 고객정보의 파괴로부터의 보호

⑪ 망실된 또는 손상된 고객정보의 복구를 포함하여 컴퓨터 또는 다른 기술적 장애가 발생

하는 경우에 고객정보의 무결성과 안전성을 유지하기 위한 응 프로그램

2. 일본

일본은 1997년에 통상산업성고시 536호에서 정보시스템의 안전 책기준을 정하였다. 이 기

준의 목적은 정보시스템의 기밀성(Confidentiality),안전성(Integrity) 및 가용성(Availability)

을 확보하는 것이다. 이 기준의 주요 내용은 자연재해, 기기의 장애, 고의과실 등의 리스크

를 미연에 방지하며, 발생했을 경우 영향을 최소화하고 회복의 신속을 도모하기 위해 정보

시스템 관리자가 실시하여야 할 항목들의 리스트로 설치기준 100항목, 기술기준 26항목, 운

용기준 66항목으로 구성되어 있다. 각 항목의 요약 내용은 3절에 수록하였다.

가. 설치기준(100항목)

정보시스템, 관련설비, 재난방지설비 및 방범설비를 화재, 지진 등의 자연재해, 구성요소의

장해, 불법침입자에 의한 파괴 등의 위험으로부터 물리적으로 보호하기 위한 설비 및 기기

의 설치환경간의 책

- 72 -

나. 기술기준(26항목)

정보시스템이 구비한 기능을 원활하고 안전하게 활용하기 위한 하드웨어 및 소프트웨어에

의한 기술면의 책

다. 운용기준(66항목)

설치기준, 기술기준에서 제시하는 각각의 책에 의한 적절한 적용을 도모하고 정보시스템

등의 안전성과 신뢰성 확보를 위한 운용면의 책

3. 호주

호주는 정부기관 및 공공기관의 IT시스템의 보안을 위해 ACSI 33이라는 보안 명령을 시행

하고 있다. 이 법은 공공기관의 정보통신시스템의 물리적, 기술적, 관리적 보안에 관한 전반

적인 내용을 다루고 있으나 구체적인 기준을 제시하고 있는 것은 아니다. 본 보고서는

ACSI 33에서 물리적 보안에 관련된 명령 항목을 조사 기술하였다.

가. 내용

시스템에 해서 물리적 보안 법안을 적용해야 하는 데는 두 가지 이유가 있다. 하나는 시

스템 부품들이 파괴, 절도, 손상되지 않도록 보호하는 차원에서, 또 하나는 시스템 내부 정

보에 한 보호 차원에서 물리적 보안 법안을 적용해야 한다.

IT 시스템의 각 요소들에 한 물리적 보안 법안의 내용을 살펴보면 다음과 같다.

① 위치선정 : 사적인 장소나 설비가 제어되지 않는 지역은 피하고, RFI(radio frequency

interference)-무선통신 주파수 방해지역은 피한다.

- 73 -

소방소나 경찰 등 응급 서비스가 쉬운 지역, 홍수와 같은 자연 재해를 피할 수 있는 지역,

두개의 전화 교환국이나 전기 변전소에 가까운 지역이 적합하다.

② 주변보호: 접근을 제어하는 주변 방화벽(담), 외부 보호 조명시설이 필요하고, 주차장은

주변 방화벽(담) 밖에 있어야 한다. 방화벽(담)과 건물 사이에는 침입자 탐지 시스템이 있어

야 하고, 또 하나의 접근을 제어하는 차량 운반용 베이가 필요하다.

③ 건물 디자인: 건물에 접근할 수 있는 지점을 최소화한다.(출입구나 비상구의 수를 최소화

한다.)이때 출입을 제어하는 적당한 법안을 제공한다. 컴퓨터나 기계 등이 있는 지역(room)

은 창문이 없도록 하고, 있을 경우에는 창문에 색을 넣거나 보안 커튼을 장착한다. 건물 외

벽에 관을 장착하는 것은 피한다. 건물 외벽 재료는 방탄용으로 한다. 에어컨이나 파워 등의

서비스 품목들은 외벽 안쪽에 위치하도록 한다. 허가되지 않은 접근이 있을 때 알려주기 위

한 보안알람 시스템을 장착한다.

④ 설비계획: 설비는 각 용도에 맞게 제공되어야 한다.(컴퓨터실, 기계실, 데이터 보관소, 입

출력 제어실 등등) 건물의 공공장소와 멀어질수록 보호 단계가 다 높은 지역으로 책정된다.

접근 제어를 도와주는 컴퓨터 센터를 위한 보조 장소가 외부에 있어야 한다.

암호 설비를 위한 장소, 중요한 자료가 보관된 데이터 보관소는 백업 보관소를 추가로 설치

한다. IT 시스템의 부품들은 외벽과 먼 곳에, 수도관과 물탱크는 중요한 컴퓨터 시스템과

먼 곳에 위치하도록 한다. 보안관리자, 네트워크 관리자, 시스템 프로그래머 각각은 메인 컴

퓨터실과 분리하여 보안 설비를 제공한다.

⑤ 서비스와 전기 보호: 공조기, 전력, 전화교환국 등이 여기에 속한다. 전기시설은 컴퓨터와

떨어진 곳에 위치하도록 한다. 전력 시설물은 IT 시스템 중 아주 민감한 부분이므로, 백업

장비를 비책으로 준비해야 한다.

⑥ 출입 제한 구역으로 지정될 곳: 서버와 메인프레임 실, 통신실, 중요한 정보를 다루는 곳,

시스템 프로그래머와 데이터베이스 관리자와 통신관리자의 사무실, 보안 관리실. 이러한 장

소에는 전자 잠금장치, smart/swip 카드 장치등을 장착하고, 개인 ID 명찰을 부착한다.

- 74 -

⑦ 방문자 처리: 방문객에게는 명찰을 부착하도록 하고, 안내자가 반드시 함께 이동한다.

⑧ 기술과 데이터 저장 매체에 한 물리적 관리: 각 장치들마다 전자 태그를 부쳐 외부 방

출이 있을 때 알람을 울릴 수 있도록 한다. 저장 매체에 한 지침은 SCEC 에서 잘 나타내

고 있으며, PSM에 의해 표준 보호법이 제안되었다.

4. 영국

영국은 정보보호 관리 규격인 BS7799를 제정하여 위험분석 및 관리정책을 실시하였다. 이

규격의 Part1은 2000년에 ISO/IEC 17799:2000으로 채택되어 국제 표준으로 상정되어 세계

여러 나라의 기업에서 IS()인증을 획득하기 위한 노력이 준비 중이다.

이 규격은 다음 두 부분으로 되어있다.

① ISO/IEC 17799:2000 (Part l)

표준 실행 지침으로 보안 업무를 수행하는 일종의 카다로그로써 참고할 수 있다. ISO/IEC

17799:2000는 정보보호 관리가 이루어져야 할 기관에 적합한 실질적인 세이프가드를 식별하

도록 10개의 주요 섹션하에 127가지의 보안 통제항목을 정의하고 있다.

이 규격은 위험관리(Risk management)의 중요성을 강조하고 있으며, 규격의 범위는 음성과

그래픽 그리고 휴 폰과 팩스와 같은 매체를 포함한 모든 형태의 정보에 해서 다루고 있

다. 신 규격은 전자상거래, 인터넷, 아웃소싱, 텔레워킹 그리고 이동 컴퓨팅과 같은 업무를

수행하는 새로운 방식을 감안하고 있다.

- 75 -

② BS7799-2:1999 (Part 2)

정보보안경영시스템(ISMS)를 위한 규격이다. ISMS는 경영층이 잠재 업무 위험올 최소화하

여 보안의 지속성이 전조직, 고객 그리고 법적 요구사항에 적합하게 운영되고 있다는 것을

보장하도록 보안을 감시하고 통제함을 의미한다.

제 3 절 정보보호정책 항목 비교

1. 비교 상 및 비교 항목

[표4-1]은 집적정보통신시설의 정보보호를 위하여 기준으로 마련되어야 할 물리적, 관리적,

시스템 측면의 세부 항목이다. 지금까지 연구 조사된 법률과 기준을 [표4-1]의 항목을 바탕

으로 비교 요약하였다.

법률이나 기준에 따라 수치적 기준을 제시하는 것이 있고 항목에 하여 서술형으로 제시하

는 것이 있어 모든 항목을 비교할 수는 없었다. 또한 하나의 표에 요약하지 못하고 항목별

로 각 기준의 내용을 비교 기술하였다.

비교 상은 다음과 같다.

① 집적정보통신시설 정보보호지침

② 정보통신망 안전 . 신뢰성에 관한 기준

③ 한국정보통신진흥협회 인터넷 안전마크(i-Safe) 기준

④ IBM 제시 IDC 설치기준

- 3장에 기술한 내용 참조

⑤ 일본 통상산업성 고시 536호

- 76 -

[표4-1] 집적정보통신시설의 정보보호관련 비교 항목

항목 내용

물 리 적 보호조치

건물- 건물입지조건 및 구조- 건물설비 및 방화벽, 내장재, 하중 안전성에 관한 기준

주요시설- 주요시설의 위치 및 방호 시설- 공기조화시설

전력시설 및 정전방지시설

- 전력장비와 백업장비- UPS장비에 관한 기준- 자가발전시설에 관한 규정

방재 및 방호시설 - 화재 감지 및 경보 시설, 소화 장비에 관한 기준

출입통제 감시장치- 주요 전산실의 출입통제를 위한 제도적 기준 및 물리적 시설 설치 기준

시 스 템 보호조치

정보보호시스템

- 네트워크 접근제어 기준- 침입차단시스템 설치 및 사용 기준- 침입탐지시스템 설치 및 사용 기준- 취약성진단시스템 설치 및 사용 기준

백업시스템 - 백업의 장소, 미디어 보관에 관한 기준

관 리 적 보호조치

정보보호정책

- 정보보호 정책을 수립하고 총괄 운영하는 IDC내의 정보보호조직에 관한 기준- 정보보호정책 수립 및 지침서 운영- 정보보호 전문가 양성 및 내부 직원 정보보호 마인드 향상을 위한 교육 실시기준- IDC내부 사용자 인증에 관한 정책 및 기준- 시스템 로그 분석 및 보고, 보관에 관한 기준

- 77 -

2. 항목별 비교

가. 건물

① 집적정보통신시설 정보보호지침

- 화재 및 물리적 충격에 견딜 수 있는 철골조, 철근 콘크리트 건축

- 하중안정성:UPS, 변압기, 배전반, 자가발전설비가 설치된 장소의 바닥은 최소 500kg/ m 2

이상의 하중에 견디도록 하거나 조치

- 각종 마감재는 불연재 또는 난연재 사용

② 정보통신망 안전 . 신뢰성에 관한 기준

- 자연재해에 영향을 받지 않는 견고한 지반이나 지역에 위치하며, 방수 기능을 설치

- 주변 환경 고려 설치. 강력한 전자기에 의한 장해가 없는 지역. 폭발이나 화재의 우려가 없는 지역 . 먼지, 증기, 부식가스, 유독가스, 염분이 없는 지역

- 건물은 내화구조 건축물이어야 함

- 각종 마감재는 불연재 또는 난연재 사용

- 비상구, 비상통로 마련, 방화구역 설치, 피난, 배수시설 마련

- 출입문은 방화문 설치

③ 한국정보통신진흥협회 인터넷 안전마크(i-Safe) 기준

- 내진 설비, 낙뢰방지, 피뢰 설비

- 전기통신 케이블은 촉수 불가능 구역에 배선 또는 특수 밀봉 처리

④ 일본 통상산업성 고시 536호

- 건물은 활단층 등에 의한 지진피해의 우려가 있는 장소는 피할 것

- 건물 내부의 설비는 파손 및 낙하방지의 조치를 강구할 것

- 건물 및 전산실은 자연재해, 전자기, 공기오염의 피해가 없는 곳

- 건축기준법에 따라 내화성능을 갖출 것

- 마감재는 불연재를 사용할 것

- 78 -

- 실내, 천장 속 등에는 수도관이 지나지 않도록 할 것

- 전원배선 및 통신 케이블은 방화, 방범, 노이즈 방지 등의 조치를 강구할 것

- 각종 케이블이 방화벽을 관통할 경우 연소 방지 및 방연 조치강구

- 공기조화설비의 배관, 닥터류는 내화성이 강한 재료를 사용하고 실내를 관통할 경우 방화

및 방연 조치를 강구할 것

나. 주요시설

① 집적정보통신시설 정보보호지침

- 주요시설 : 중앙감시실, 전산실, 전력감시실, 통신장비실, 방재센터

- 전산실은 천장을 통하여 외부와의 왕래가 불가능하도록 전산실의 벽면과 접한 천장을 차

단

- 주요시설관련 건물내부의 창문은 강화유리를 사용하고 개폐가 되지 않도록 설치

- 전산실에 24시간 항온항습기 가동

- 주요시설 천장 및 바닥(지하는 벽면 포함)은 방수시공을 해야 함

② 정보통신망 안전 . 신뢰성에 관한 기준

- 주요시설 : 전자계산기실, 정보통신 설비실, 데이터 보관실

- 주요시설의 창문은 강화유리이고 개폐할 수 없음

- 출입문은 방화문 설치

- 전산실은 가능한 한 건물의 중앙에 위치

- 주요시설에는 정전기가 발생하지 않는 내장제와 의복 착용

- 주요시설의 케이블은 난연 조치를 강구하며, 벽면의 케이블 관통 부분은 연소방지 조치를

함

- 주요시설의 출입구에는 수동으로 작동되는 전원차단장치를 설치

- 주요시설은 항온항습 : 온도 18～22도 습도:40～60%, 공기조화

- 79 -

③ 한국정보통신진흥협회 인터넷 안전마크(i-Safe) 기준

- 서버 시스템의 내구성과 안전을 위해 온도, 습도 조절 장치 설치

④ 일본 통상산업성 고시 536호

- 전산실은 분리 단독 운용

- 전산실의 창문과 출입문은 방범장치 설치 및 출입구는 줄일 것

- 건축기준법에 따라 내화성능을 갖출 것

- 전산실은 독립된 방화구역으로 할 것

- 전산실 및 전원설비실은 피난조치 및 피뢰설비를 강구할 것

- 전산실은 수재방지 조치 강구

- 지진에 비하여 정보시스템 등의 운전을 제어하는 설비를 갖출 것

- 공기조화설비 설치하고 성능상의 여유를 둘 것

- 전산실의 공기조화설비는 전용으로 하고 부하변동에도 정확하게 작동하는 자동제어장치

를 설치할 것

다. 전력시설 및 정전 방지시설

① 집적정보통신시설 정보보호지침

- 전력감시실 : 전력(비상전력 포함), 축전지설비, 자가발전설비, 수변 전설비, UPS에 한

상황파악 및 제어

- UPS:고객정보시스템 장비의 3개월간 평균 순간사용전력의 130%에 해당하는 전력을 최소

20분이상 공급 가능

- 축전지설비 : 별도의 축전지실이나 폐쇄형 공간 이용

- 자가발전설비 :고객정보시스템, 항온항습기, 비상유도등의 3개월간 평균 순간사용전력의

130%의 전력 공급이 가능해야하고 연료 보충 없이 2시간 이상 발전할 수 있는 연료저장시

설 있어야 함

- 배전반에 단락, 지락 및 과전류를 방지할 수 있는 계전기(Relay)설치 및 누전차단기 설치

또는 누전경보기 설치

- 주요시설의 각종 전원장비에 한 접지시설

- 80 -

② 정보통신망 안전 . 신뢰성에 관한 기준

- 분전반의 각 회로에는 과전류차단기, 누전차단기 및 누전 차단기 및 누전경보기 설치

- UPS 설치 및 자가발전설비 설치

③ 한국정보통신진훙협회 인터넷 안전마크(i-Safe) 기준

- UPS 설치 및 자가발전기 운용, 주요 전산자원에 한 독립적인 비상전원 체계 운용

④ 일본 통상산업성 고시 536호

- 정전 비조치 강구

- 정보시스템의 전원설비는 전압 및 주파수의 변동에 비한 조치를 강구할 것

- 정보시스템의 전원설비는 라인필터의 교류투과전류의 환류치가 일정한 값을 넘지 않도록

조치를 강구할 것

- 정보시스템의 배선으로 노이즈가 유도되지 않도록 전자차폐 조치를 강구할 것

- 정보시스템의 전용의 전원배선공간을 확보할 것- 정보시스템의 접지는 전용으로 할 것

- 감시설비, 재해방지설비 및 방범설비의 예비 전원설비를 설치할 것

라. 방재 및 방호시설

① 집적정보통신시설 정보보호지침

- 방재 센터는 화재감지센서 설치 및 연동 된 경보장치 설치

- 주요시설에는 바닥 또는 작업면의 조도가 최소 10룩스 이상이 유지되도록 비상조명등 설

치

- 집적정보통신시설 전지역에 유도등 및 유도표지 설치

- IDC내 전 구역에 열감지 또는 연기감지 센서 설치

- 주요시설은 소화시 장비에 피해를 주지 않는 가스소화장비를 설치하고 그 외는 가스, 살

수 소화장비 설치

- 81 -

② 정보통신망 안전 . 신뢰성에 관한 기준

- 소화설비 : 살수소화장치, 이산화탄소 및 할론 가스사용

- 주요시설에는 가스 소화설비 설치, 그 외는 살수 소화설비

- 주요시설에는 소방법에 규정된 자동화재탐지설비 . 및 자동화재경보장치를 설치하며, 당직

실 등에 경보장치 설치

- 휴 용 조명기기 및 유도등 및 유도표지 설치

③ 한국정보통신진흥협회 인터넷 안전마크(i-Safe) 기준

- 화재경보장치, 자동소화장비 설치 운용

④ 일본 통상산업성 고시 536호

- 피뢰설비, 자동화재경보설비, 비상방송장비, 소화설비 설치

- 배연설비, 비상조명설비, 유도등 또는 유도표지 설치

마. 출입통제 감시장치

① 집적정보통신시설 정보보호지침

- 주요시설 입구에 출입자의 인증과정이 필요한 잠금장치 설치

- 주요시설에 한 출입기록 및 2개월 이상 보관, 그의 시설 1개월

- 주요시설 출입구에 CCTV설치 및 24시간 모니터링, 영상기록 보관

- 24시간 경비업무 수행하는 상근 경비요원 가동

- 고객정보시스템은 잠금장치가 있는 Rack에 설치

② 정보통신망 안전 . 신뢰성에 관한 기준

- 주요시설에는 출입구 수를 줄이고 출입을 감시 통제할 수 있는 기능 설치

- 방범설비 (CCTV, 적의선 침입탐지기, 굴곡형 차량 진입로)- 주요시설은 사전 승인하에

출입가능하고 기록 유지

- 주요시설은 출입자 인증과정이 필요한 잠금장치 설치

- 주요시설의 시설물 재고기록 유지 및 반입반출 장비의 기록 유지

- 중요장비에는 물리적인 접근통제와 잠금장치 설치

- 82 -

③ 한국정보통신진흥협회 인터넷 안전마크(i-Safe) 기준

- 전산자원이 있는 곳 또는 전산자원 자체에 단순 잠금장치 또는 생체 인식 보안장치 설비,

CCTV

④ 일본 통상산업성 고시 536호

- 전산실 등은 출입상황을 원격 감시 할 수 있는 설비를 갖출 것

바. 정보보호시스템

① 집적정보통신시설 정보보호지침

- 고객 정보시스템: IDC내 입주 고객의 정보통신설비

- 관리용 정보시스템:IDC 자체 Web서버, DNS서버, E-mail서버, 백본, 라우터

- IDC내 네트워크 장비(백본, 라우터)는 인가 받은 자에 한하여 접근 할 수 있도록 하고 접

근제한(Access list) 실정

- 침입차단시스템: IDC자체 관리용 정보시스템의 보안을 위해 공개용 또는 상용 침입차단

시스템 설치

- 침입차단시스템 로그 기록 및 유저

② 정보통신망 안전 . 신뢰성에 관한 기준

- 정보보호정책에 따른 침입차단시스템의 보안정책 수립

- 정보보호정책에 따른 컴퓨터 바이러스 시스템 운용

③ 한국정보통신진흥협회 인터넷 안전마크(i-Safe) 기준

- 라우터 장비의 보안 기능 활용

- 네트워크상의 각 구성요소나 서비스에 한 접근 제어를 위해서 침입차단시스템 설치 및

운용

- 외부 혹은 내부 사용자에 의한 침입 행위 유무에 한 감시를 위해 침입탐지시스템 설치

및 운용

- 시스템 취약성 진단을 위한 시스템 설치 및 운용

- 취약성 분석 업무 수행 및 취약성에 한 처 방안

- 메시지 보호를 위한 가상 사설망 사용여부

- 83 -

- 컴퓨터 바이러스 응시스템 사용

- 내부 자료의 유출을 탐지하기 위해 네트워크 감시 및 탐지 S/W설치 및 운영

- 네트워크 전반, 혹은 전산 자원 전반에 걸쳐 보안 유지를 위한 관리시스템이나 보안 시스

템을 통합적으로 관리할 수 있는 보안 관리S/W나 방안 마련

사. 백업

① 집적정보통신시설 정보보호지침

② 정보통신망 안전․신뢰성에 관한 기준

- 정보통신설비의 장애 발생시에 비한 백업 및 복구절차를 규정

- 데이터의 중요도 및 법규 등에서 요구하는 사항에 부합하도록 백업 상, 백업방식, 백업

기준 등을 설정

- 정보통신망에 중 한 영향을 미치는 기능은 중첩 설치 또는 지리적으로 분산시킴

③ 한국정보통신진흥협회 인터넷 안전마크(i-Safe) 기준

- 백업 미디어 보관 장소는 서버실 또는 다른 장소에 보관

- 백업 미디어의 내구성과 수명을 위해 화재방지, 환경 조절이 가능한 곳에 보관하여야 함.

- 백업 정책 및 주기, 범위에 관한 규정 운영

④ 일본 통상산업성 고시 536호

- 재해시의 백업을 위한 건물 및 전산실을 설치하는 경우에는 원격지에 설치할 것

- 데이터와 기록매체는 집중, 분산처리의 형태에 따라 정해진 장소에 보관할 것

- 84 -

아. 정보보호정책 및 지침의 수렵

① 집적정보통신시설 정보보호지침

- 주요시설의 유지 관리를 위한 시스템, 네트워크, 전기의 각 분야별 전문인력(관련분야 2년

이상) 고용 또는 외부 전문 업체 위탁

- 관리용 정보시스템은 사용자별 그룹별로 사용자 계정관리 및 비밀번호는 필수로 설정

- 사용자계정의 등록, 변경, 폐기는 관리 책임자 승인 하에 실시

- 퇴직자, 업무 변경자 발생 시 즉시 삭제 또는 정지

- 관리용 정보시스템의 비밀번호는 매월 1회 이상 변경

- 관리책임자는 IDC내의 모든 보호조치를 계획, 감독, 통제

- 시설보호계획 정책 및 지침 수립 . 시설보호의 목적 및 범위 . 시설보호 조직 및 인력의 구성 및 운영에 관한 사항. 시설보호를 위한 교육 및 훈련에 관한 사항 . 침해사고 예방, 웅 및 복구 책 . 기타 시설의 안전한 운영, 관리를 위한 지침

- 시설보호계획은 주된 사업장에 배치하고 직원은 내용 숙지

- 시설보호계획은 계속해서 수정 보완함.

② 정보통신망 안전 . 신뢰성에 관한 기준

- 정보보호정책을 문서화하고 세부 지침 수렵

- 정책의 목적, 범위, 책임 및 이행에 필요한 사항을 포함

- 정보보호지침에 한 적합성 평가와 개선을 수행함.

- 정보통신망에 적합한 보호를 계획, 구현, 승인, 감독할 수 있는 조직수립

- 직원에 한 정보보호 책 수립 및 직무수행의 오류 및 부정행위를 방지하기 위해 임무

분할

- 정보통신망의 보안유지 및 운용에 관한 교육훈련 계획수립 및 시행

- 비상계획의 수립 : 정해진 절차에 의거 비상사태시의 체제를 명확히 수립하고 정보통신망

관리책임자의 승인을 받도록 함.

- 85 -

- 비상계획은 정보통신망의 재해발생 위협에 한 위험평가와 업무영향분석을 기초로 수립

-비상계획은 비상시를 비한 조직 및 임무, 연락체계, 백업설비의 구성 및 위치, 비상시 긴

급처리절차, 정상상태로의 복귀절차 포함

- 실제 상황을 가정하여 비상계획에 한 정기적인 훈련과 시험을 실시하여 효과를 검증해

야 함

- 정보통신망과 관련된 업무를 위탁하여 수행할 경우에는 위탁계약에 의해 작업절차, 책임

범위를 명확히 하고 그에 한 감독실시

- 감사조직을 구성해 자체적으로 정기적 보안감사 실시 및 사후조치

- 보안사건 처리 규정과 절차, 책임자 규정을 문서화 함

- 정보통신망 자원의 추가, 제거, 변경 시 보안기능이 정보보호정책에 부합되어야 함.

- 정보통신망 자원의 폐기, 반납, 양도 시 정보누설방지 책 수립

- 사용자계정의 발행과 폐쇄에 한 절차 규정

- 사용자 권한에 따라 적절한 인증 기능 설정

- 패스워드 운영관리 기준 설정

- 네트워크를 통한 정보통신장비 사용 시 적절한 임의적 접근통제, 강제적 접근통제

③ 한국정보통신진흥협회 인터넷 안전마크(i-Safe) 기준

- 케이블은 광케이블 사용하여 도청이 불가능하게 함

- 케이블의 단선 및 도청에 비하여 케이블이 훼손하는 경우 이를 알리는 경보장치 설치

- 사용자 계정의 관리에 한 정책을 규정해야 함

- 전산자원에 접근에 한 통제 메커니즘의 형태 규정해야 함

- 감사기록(로그 파일) 관리에 관한 정책을 규정해야 함

- 제반 인적자원에 한 보안 교육 실시 정책 규정

- 86 -

. 일반사용자 보안 교육

. 시스템 운용관리자에 한 보안 교육

. 보안 전문 인력 유무와 교육형태 규정

. 개인정보보안에 관한 교육

- 각종 지침, 절차 수립 및 관리 . 백업의 복구방법 및 절차 규정 및 시행 여부. 보안 체계의 수립 및 이의 준행 여부 . 보안 정책, 지침 및 절차의 수립 및 사용 여부. 정보통신 보안 수행 체계의 수립 및 사용 여부. 직원용 정보보호에 관한 문서 . 보안 시스템 운용 및 관리 형태

- 사후 처리능력 관리 . 발생한 보안문제에 한 처 방법. 보안문제 발생 시 응인력의 보유. 전산 시스템 및 네트워크 이상 징후 발견 시 처리 능력 보유. 공격에 의한 시스템 문제 발생 시 이의 처 방법 보유 . 보안 위반 시도 시 혹은 발생 시 처 방법 보유. 시스템의 폐해 발생 후 복구 소요 시간 . 인터넷 해킹 사건/사고의 처리 담당자 운영 . H/W, S/`V 보안문제 발생을 비한 예비요소 확보

- 정보보호정책 및 감사 관리

- 중요 인적 자원, 및 인적 요소 관리 . 민감한 정보를 취급하는 사람의 채용 형태 . 민감한 정보를 취급/중요한 위치에 있는 사람에 한 보안서약 여부 . 시스템/네트워크 운영자의 권한 범위 . 일반 프로그램의 설치, 변경 및 시스템/네트워크 정책 설정 담당자 운영

- 87 -

④ 일본 통상산업성 고시 536호

- 정보시스템의 운용계획 수립

- 데이터의 관리계획 수립 . 기밀성, 중요성에 따라 보유, 이용, 배포, 반출, 반입, 소거, 폐기 등의 계획 수립

- 정보시스템 등의 원활한 운영을 위한 조직 및 관리 규정

- 재난 시의 응을 위한 지침 수립

- 88 -

제 5 장 IDC 정보보호 방안

4장에서 조사한 국내․외 정보보호 정책과 기준을 바탕으로 집적정보 통신시설의 정보보호

를 위한 방안을 제시한다. 이 방안은 크게 3가지로 물리적 보호, 시스템 보안, 관리적 보안

으로 제시하였다.

제 1 절 물리적 보호

1. 건물

가. 입지 조건

① 활단층 등에 의한 지진피해의 우려가 없는 견고한 지반의 지역

② 낙뢰다발지역, 풍수해의 영향을 덜 받는 지역에 위치해야 함

③ 강력한 전자기에 의한 장해가 없는 지역

④ 폭발이나 화재의 우려가 없는 지역

⑤ 먼지, 증기, 부식가스, 유독가스, 염분이 없는 지역

지반이 약할 경우에는 붕괴방지조치와 내진 설비를 해야 하고, 풍수해의 영향을 받는 지역

은 방수장비를 설치하고, 전력을 사용하지 않는 동력기로 동작하는 비상용 펌프를 준비하여

야 한다. 또한 건물내의 전력배선과 배관은 누수와 누전을 고려하여 설계하여야 한다.

나. 건물의 구조 및 설비 조건

① 내화구조, 방화벽, 불연재, 내장재 관련사항은 건축법시행령 참조

- 89 -

② 건물은 화재 및 물리적 충격에 견딜 수 있는 철골조, 철근 콘크리트의 내화구조 건축물

이어야 함

③ 재해 발생 시 피 또는 소화 및 보수를 위해 독립된 방화 구획 및 배연 시설, 피난 시

설, 배수 시설 설치

④ 각종 마감재는 불연재 또는 난연재 사용

⑤ 습기로 인한 정보통신설비의 고장과 사고를 방지할 수 있도록 건물의 외벽, 지붕, 배관

등은 완벽한 방수처리 해야 함

⑥ 내진 설비, 낙뢰방지, 피뢰 설비

⑦ 하중안정성:UPS, 변압기, 배전반, 자가발전설비가 설치된 장소의 바닥은 최소 5OOkg/

m 2 이상의 하중에 견디도록 조치

⑧ 실내, 천장 속 등에는 수도관이 지나지 않도록 할 것

⑨ 전원배선 및 통신 케이블은 방화, 방범, 노이즈 방지 등의 조치(특수밀봉처리)를 취할 것

⑩ 각종 케이블이 방화벽을 관통할 경우 연소 방지 및 방연 조치 강구

⑪ 공기조화설비의 배관, 닥트류는 내화성이 강한 재료를 사용하고 실내를 관통할 경우 방

화 및 방연 조치를 강구할 것

2.주요시설

주요시설에는 중앙감시실, 전산실, 전력감시실, 통신장비실, 방재센터 등이 포함된다.

가. 주요시설의 위치 및 방호시설

① 주요시설은 창문과 출입문을 줄이고 잠금장치 설치

② 주요시설의 벽면과 접한 천장을 차단하여 외부로부터의 침입차단

③ 주요시설 천장 및 바닥(지하는 벽면 포함)은 방수시공을 해야 함

④ 주요시설의 출입구에는 수동으로 작동되는 전원차단장치를 설치

⑤ 주요시설의 창문은 강화유리이고 개폐할 수 없음

- 90 -

⑥ 주요시설의 케이블은 난연 조치를 강구하며, 벽면의 케이블 관통부분은 연소방지 조치를

함

⑦ 주요시설에는 피난 또는 소화상 필요한 최소폭 이상의 통로를 가능한 확보해야 함

⑧ 주요시설에는 정전기가 발생하지 않는 내장재와 의복 착용

⑨ 전산실은 먼지, 습기, 유독가스, 염분 등으로부터 영향을 받는 지역을 피해 가능한 한 건

물의 중앙에 위치하고, 독립된 방화구획으로 할 것

⑩ 전산실은 불특정 다수가 이동하는 계단이나 엘리베이터 주변을 피해 출입구를 설치하는

것이 바람직함

⑪ 재해에 비하여 정보통신설비 등의 이동을 제어하는 설비를 갖출것

나. 공기조화시설

① 공기조화설비 설치하고 성능상의 여유를 둘 것

② 주요시설은 항온 항습 : 온도 18～22도 습도:40～60% 유지

③ 전산실은 24시간 항온 항습기 가동

④ 전산실의 공기조화설비는 전용으로 하고 부하변동에도 정확하게 작동하는 자동제어장치

를 설치할 것

3. 전력시설 및 정전방지시설

가. 전력장비와 백업장비

① 전기통신기본법의 전기통신기본설비기술기준에 관한 규칙 참조

② 전력감시실 : 전력(비상전력 포합), 축전지설비, 자가발전설비, 수변전설비, UPS에 한

상황파악 및 제어

③ 주요시설의 각종 전원장비에 한 전용 접지 시설 마련

④ 분전반의 각 회로에는 과전류차단기, 누전차단기, 및 누전 차단기 및 누전경보기 설치

- 91 -

⑤ 정보시스템의 전원설비는 라인필터의 교류투과전류의 환류치가 일정한 값을 넘지 않도록

조치를 취할 것

⑥ 정보시스템의 배선으로 노이즈가 유도되지 않도록 전자차폐 조치를 취할 것

⑦ 감시설비, 재해방지설비 및 방범설비의 예비 전원설비를 설치할 것

나. UPS장비에 관한 기준

① UPS:고객정보시스템 장비의 3개월간 평균 순간사용전력의 130%에 해당하는 전력을 최

소 20분이상 공급 가능

다. 자가발전시설에 관한 규정

① 자가발전설비 : 고객정보시스템, 항온항습기, 비상유도등의 3개월간 평균 순간사용전력의

130%의 전력 공급이 가능해야 하고 연료보충 없이 2시간 이상 발전할 수 있는 연료저장시

설 있어야 함

4. 방재 및 방호시설

① IDC내 전 구역에 열감지 또는 연기감지 센서 설치

② 주요시설에는 소방법에 규정된 자동화재탐지설비 및 자동화재경보장치를 설치하며, 중앙

에서 모니터링 할 수 있어야 함

③ 소화설비 : 살수소화장치, 이산화탄소 및 할론 가스사용

④ 주요시설은 소화 시 장비에 피해를 주지 않는 가스소화장비를 설치하고 그 외는 가스 또

는 살수 소화장비를 적재적소에 배치

⑤ 주요시설에는 바닥 또는 작업면의 조도가 최소 10룩스 이상이 유지되도록 비상조명등 설

치

⑥ 집적정보통신시설 전지역에 유도등 및 유도표지 설치

- 92 -

5. 출입 통제 및 감시장치

적절한 출입통제를 통해 허가되지 않은 자의 접근을 제한하고 허가된 자에 한하여 전산망

센터를 이용할 수 있도록 출입구 및 창에는 외부로부터 침입을 방지할 수 있는 조치를 해야

한다. 이 조치는 출입 허용 상, 취약 지역, 취약 시간 등을 고려한 것으로 다음과 같은 사

항을 포함하는 것이 좋다.

① 주요시설 입구에 출입자의 인증 과정이 필요한 잠금장치 설치

② 주요시설에 한 출입기록 및 2개월 이상 보관, 그 외 시설 1개월

③ 주요시설 출입구에 CCTV설치 및 24시간 모니터링, 영상기록 보관

④ 24시간 경비업무 수행하는 상근 경비요원 가동

⑤ 주요시설은 사전 승인 시에만 출입이 가능하고 그 기록을 유지함

⑥ 주요시설의 시설물 재고기록 유지 및 반입반출장비의 기록을 유지함

⑦ 고객정보시스템은 잠금장치가 있는 Rack에 설치

제 2 절 시스템 보안

1. 정보보호시스템

IDC에서 정보보호시스템의 적용 상이 되는 부분은 다음 두 종류의 정보시스템이다.

- 고객 졍보시스템 : IDC내 입주 고객의 정보통신설비

- 관리용 정보시스템 : IDC 자체 Web서버, DNS서버, E-mail서버, 백본, 라우터

네트워크 접근제어나 침입차단, 침입탐지 시스템의 적용 상이 되는 것은 관리용 정보시스

템이고 취약성 진단시스템의 상이 되는 것은 두 종류 모두 포함된다.

- 93 -

입주고객의 정보시스템이 정보보호시스템의 적용을 받기 위해서는 부가서비스를 선택하거

나, IDC가 보안서비스를 기본서비스로 적용하여야 한다. 향후에는 IDC가 보안서비스를 기

본서비스로 제공하는 것이 바람직하다고 본다.

가. 네트워크 접근제어

접근 통제는 IDC 직원이 네트워크를 통하여 관리전산장비에 접근할 때, 허용된 시스템에서

접근요청을 하는지, 통신 상이 되는 목적지 시스템에 한 접근 권한이 있는지를 검사하

여 허용여부를 결정한다. 접근통제는 접근통제규칙(Access Control Rule)에 의해서 이루어

지며 또한 접근통제 규칙은 보안정책에 의해 결정된다. 일반적으로 전통적인 접근통제 정책

은 객체에 접근을 하고자 하는 주체의 접근권한에 따라 접근통제를 하는 임의적 접근통제

(DAC)와 주체의 레이블과 주체가 접근하고자 하는 객체의 보안 레이블을 비교하여 보안정

책에 합당한 접근통제 규칙에 의하여 접근통제를 하는 강제적 접근통제(MAC) 규칙이 적용

된다.

또한 사용자별, 그룹별로 접근 권한에 제약을 두어야 한다. 이것은 접근제어리스트(ACL)을

사용하여 모든 허가된 사용자들(그룹 포함)에게 포함된 동일한 리스트를 객체에 소속시킨다.

나. 침입차단시스템(방화벽)

IDC내부의 관리용 전산장비와 네트워크를 보호하기 위해서는 라우터와 침입차단시스템을

적절하게 사용해야 한다. 네트워크의 보호를 위해 라우터의 보안 기능을 충분히 활용할 수

있는 전문가를 양성해야 한다. 또한 네트워크 전단에 침입차단시스템을 설치하여 운영한다.

침입차단시스템은 상용의 제품이나 공개용의 침입차단시스템을 사용할 수도 있다.

- 94 -

다. 침입탐지시스템

네트워크 혹은 호스트에 한 공격이 시도되고 있는지 혹은 발생하였는지 여부를 탐지하기

위하여 침입탐지시스템을 설치 운영해야 한다. 상용이나 공개용 침입탐지시스템을 설치 운

영한다. 침입탐지시스템은 탐지기반이 되는 정보의 형태에 따라 호스트 기반의 침입탐지 시

스템과 네트워크 기반의 침입탐지시스템이 있다. 그리고, 이 두 가지 방식을 혼용한 침입탐

지시스템이 사용되는 경우가 있다.

라. 시스템 취약성진단 도구

IDC의 관리용 전산장비와 입주서버의 시스템 취약성을 검사하기 위해 시스템 취약성 진단

도구를 사용해야 한다. 상용이나 공개용의 시스템 취약성 진단 도구를 사용하는 경우가 있

으며, 내부적으로 자체 개발한 취약성 진단 도구를 사용하는 경우도 있다.

시스템 취약성진단 도구는 사용하는 목적에 따라 악용될 소지가 있으므로 허가된 사용자만

사용할 수 있도록 하고 진단 결과에 따라 적절한 조치를 취해야 한다. 이러한 내용을 규정

한 업무 매뉴얼을 작성하여 비치하고 교육을 해야 한다.

2. 백업시스템

① 입주고객의 백업 데이터를 저장한 미디어의 보관은 IDC 건물과 물리적으로 분리된 원격

지나 내화금고에 보관함

② 보관 장소의 지리적 이원화도 고려해야 함(백업의 백업)

③ 보관 장소는 백업 미디어의 내구성과 수명을 위해 화재방지, 환경조절이 가능해야 함

④ 백업 하드웨어와 네트워크는 서비스용과 분리시켜 독립적으로 운영해야 함

- 95 -

⑤ 관리용 정보시스템 장애 발생시에 비한 백업 및 복구절차를 규정함

⑥ 데이터의 중요도 및 법규 등에서 요구하는 사항에 부합하도록 백업 상, 백업방식, 백업

기준 등을 설정해야 함

3. 바이러스

IDC 입주서버의 네트워크는 LAN으로 구성되어 있어 하나의 입주서버가 바이러스에 감염되

면 이웃한 입주 서버에게도 영향을 미칠 수 있다. IDC는 신종 바이러스가 발견되면 이를 입

주 고객에게 통보하고 적절한 조치를 취할 수 있도록 해야 하고 이를 행하지 않는 고객에

하여서는 서비스를 제한할 수 있도록 약관에 명시한다.

제 3 절 관리적 보안

1.정보보호정책

가. 보안조직 운영 및 책임

IDC의 집적정보통신시설에 적합한 보호를 계획, 구현, 승인, 감독할 수 있는 조직 체계를 수

립해야 한다. IDC에 맞는 정보보호조직은 적어도 (그림 5-1)과 같은 조직체계를 갖추고 있

어야 한다. 또한 구성원의 책임 및 권한을 명확히 규정하여 모든 직원이 이를 공유해야 한

다.

- 정보통신망에 적합한 보호를 계획, 구현, 승인, 감독할 수 있는 조직수립

- 정보보호조직 관리는 IDC내의 모든 보호조치를 계획, 감독, 통제

- 96 -

- 감사조직(정보보호위원회)을 구성해 자체적으로 정기적 보안감사 실시 및 사후조치

- 주요시설의 유지 관리를 위한 시스템, 네트워크, 전기의 각 분야별 전문인력(관련분야 2년

이상) 고용 또는 외부 전문 업체 위탁

- 정보통신망과 관련된 업무를 위탁하여 수행할 경우에는 위탁계약에 의해 작업절차, 책임

범위를 명확히 하고 그에 한 감독실시

(그림 5-1) 정보보호조직구성도

나. 정보보호 정책 및 지침의 수립관리

IDC업체는 정보보호의 목적과 핵심 원칙을 규정하는 틀을 제공하기 위하여 조직 내부 및

입주고객의 정보보호 정책을 문서화해야 한다. 이문서는 보안 책으로 일반 책, 물리적 통

제, 하드웨어 통제, 소프트웨어 통제, 관리적 통제, 접근 제어, 데이터 보호, 통신 보호의 등

의 항목을 포함하며, 각 항목에 맞는 세부 지침을 수립하여야 한다.

- 97 -

① 정보보호정책을 문서화하고 세부 지침 수립

- 정보보호의 목적 및 범위

- 정보보호 조직, 인력의 구성 및 운영에 관한 사항

- 정보보호를 위한 교육 및 훈련에 관한 사항

- 침해사고 예방, 응 및 복구 책

- 기타 시설의 안전한 운영, 관리를 위한 지침

- 비상계획은 정보통신망의 재해발생 위협에 한 위험평가와 업무 영향분석을 기초로 비

상계획을 수립함

- 보안사건 처리 규정과 절차, 책임자 규정을 문서화 함

② 정보보호정책 및 지침서는 주된 사업장에 배치하고 직원은 내용숙지

③ 정보보호정책 및 지침서는 평가와 개선의 피드백 체제유지

④ 비상계획은 비상시를 비한 조직 및 임무, 연락체계, 백업설비의 구성 및 위치, 비상시

긴급처리절차, 정상상태로의 복귀절차 포함

다. 정보보호전문가 양성 및 직원 보안교육

① 정보통신망의 보안유지 및 운용에 관한 교육훈련 계획수립 및 시행

② 실제 상황을 가정하여 비상계획에 한 정기적인 훈련과 시험을 실시하여 효과를 검증해

야 함

③ 제반 인적자원에 한 보안 교육 실시 정책 규정

④ 사후 처리능력 관리

- 발생한 보안문제에 한 처 방법

- 보안문제 발생 시 응인력의 보유

- 전산 시스템 및 네트워크 이상 징후 발견 시 처리 능력 보유

- 공격에 의한 시스템 문제 발생 시 이의 처 방법 보유

- 보안 위반 시도 시 혹은 발생 시 처 방법 보유

- 시스템의 폐해 발생 후 복구 소요 시간

- 인터넷 해킹 사건/사고의 처리 담당자 운영

- 98 -

- H/W, S/W 보안문제 발생을 비한 예비요소 확보

⑤ 중요 인적 자원 및 인적 요소 관리

- 민감한 정보를 취급하는 사람의 채용 형태

- 민감한 정보를 취급/중요한 위치에 있는 사람에 한 보안서약 여부

- 시스템/네트워크 운영자의 권한 범위

- 일반 프로그램의 설치, 변경 및 시스템/네트워크 정책 설정 담당자 운영

라. 사용자 계정관리

IDC 관리전산장비와 내부 네트워크의 접속을 제한하는 사용자 계정은 IDC의 안전 및 신뢰

성을 보장하는 가장 중요한 요소이므로 사용자 계정의 요청과 발행 및 폐쇄에 한 절차를

담은 사용자 계정 정책을 정해야 하다. 사용자 계정은 권한을 부여받은 지정된 책임자만이

통제할 수 있도록 하여, 사용자 계정이 비인가자에게 노출되는 것을 예방하고, 미사용사용자

계정의 말소와 한 번 사용한 사용자 계정의 재사용 방지 등 관리감독을 철저히 하여 내부

침입과 해커의 도용을 방지하고, 주기적으로 시스템 사용자 계정 관리를 검토하여 장기간

사용하는 것을 막아야 한다. 사용자의 권한과 업무에 따라 사용자 그룹을 나누어 적절한 강

도의 인증기능을 설정하고 사용권한 범위도 정해야 한다.

마. 패스워드 운영관리

IDC 직원의 패스워드는 운영관리 기준을 정해야 한다. 운영관리 기준에는 패스워드의 길이,

패스워드 생성방법, 금지된 패스워드 설정, 사용기간 제한, 패스워드 재사용에 관한 제한 사

항, 패스워드의 암호화 방법 등을 포함해야 한다. 패스워드 관리 시 참조할 수 있는 사항은

다음과 같다.

- 99 -

① 하나의 사용자 ID를 복수의 시스템 사용자가 이용하지 않는다.

② 패스워드는 주기적으로 변경하고 접근상황 분석에 따라서 필요시 변경한다.

③ 자동 검출기능을 이용하여 한 번 사용된 패스워드는 재사용에 제한을 두어야 한다.

④ 초기설치, 이전설치, 유지보수 등의 경우, 해당 업무의 작업이 완료되었을 때는 전산망

자원의 패스워드를 변경한다.

⑤ 시스템 소프트웨어 설치 시 디폴트로 정해진 패스워드는 반드시 변경한다.

⑥ 퇴직자의 ID나 특정기간 사용하지 않는 ID는 말소한다.

⑦ ID에는 반드시 패스워드를 설정하여야 하며 ID마다 달리 실정한다.

⑧ 패스워드는 타인의 추정이 어렵도록 구성 및 길이 등을 적절히 설계한다.

⑨ 접속시도 가능 횟수를 설정한다.

- 100 -

[참고 문헌]

[1] 한국전산원, "2001 한국인터넷 백서" , 2001.02

[2] 한국정보통신기술협회, "정보보호기술 전문 용어 표준" , 1998.11

[3] 한국정보통신기술협회, "공공정보시스템 보안을 위한 위험분석 표준

- 위험분석 방법론 모델 ,2000.3

[4] 한국정보통신기술협회, "공공기관 정보시스템 구축준비 단계의 보안지침서" , 2000.3

[5] 한국정보통신기술협회, "공공기관 정보시스템을 위한 비상졔획 및 재해복구에 관한 지침

서" , 2000.3

[6] 한국정보보호센터, "정보통신망 안전안전 . 신뢰성에 신뢰성에 관한 기준 해설서",

1999.10

[7] 한국인터넷정보센터 "VoIP 신기술 동향과 해킹 책연구", 2001.6

[8] 한국정보통신산업협회 "인터넷모범상점 인증제도 연구보고서", 1999

[9] Defence Signals Directorate “Australian Communications-Electronic Security Instru-

ction 33 (ACSI33)" April 1998

[10] http://www.kisa.or.kr

[11] http://www.tta.or.kr

[12] http://www.hackersnews.org

[13] http://www.kisdi.re.kr

- 101 -

[부록1] 건축법 및 전기통신시설물 관련 법령

건 축 법 시 행 령

제2조(정의) ①이 영에서 사용하는 용어의 정의는 다음과 같다.

～ 1 - 6 중략 ～

7. "내수재료"라 함은 인조석․콘크리트 등 내수성을 가진 재료로서 건설교통부령이 정하는

재료를 말한다.

7의2. “내화구조"라 함은 화재에 견딜 수 있는 성능을 가진 구조로서 건설교통부령이 정하

는 기준에 적합한 구조를 말한다.

8. "방화구조"라 함은 화염의 확산을 막을 수 있는 성능을 가진 구조로서 건설교통부령이

정하는 기준에 적합한 구조를 말한다.

9. "난연재료"라 함은 불에 잘 타지 아니하는 성질을 가진 재료로서 건설교통부령이 정하는

기준에 적합한 재료를 말한다.

10. "불연재료"라 함은 불에 타지 아니하는 성질을 가진 재료로서 건설교통부령이 정하는

기준에 적합한 재료를 말한다.

제32조(구조안전의 확인) ①법 제38조제2항의 규정에 의하여 다음 각호의 1에 해당하는 건

축물을 건축하거나 수선하는 경우에는 건설교통부령이 정하는 구조기준 및 구조계산에 따

라 그 구조의 안전을 확인하여야 한다.

1. 층수가 3층 이상인 건축물

2. 연면적이 1천제곱미터 이상인 건축물

3. 높이가 13미터이상인 건축물

4. 처마높이가 9미터이상인 건축물

5. 기둥과 기둥사이의 거리(기둥이 없는 경우에는 내력벽과 내력벽 사이의 거리를 말한다)가

10미터이상인 건축물

②다음 각호의 1에 해당하는 건축물을 건축하거나 수선하는 경우에는 지진에 한 안전여

부를 확인하여야 한다. 다만, 사용승인서를 교부받은 후 5년이 경과된 건축물의 증축(연면적

의 10분의 1이내의 증축 또는 1개층의 증축에 한한다) 및 일부 개축의 경우에는 그러하지

아니하다.

- 102 -

1. 층수가 6층 이상인 건축물

2. 연면적이 1만제곱미터 이상인 건축물

3. 건설교통부령이 정하는 지진구역안의 건축물

4. 국가적 문화유산으로 보존할 가치가 있는 건축물로서 건설교통부령이 하는 것

제46조(방화구획의 설치) ①법 제39조제2항의 규정에 의하여 주요구조부가 내화구조 또는

뷸연 재료로 된 건축물로서 연면적이 1천제곱미터를 넘는 것은 건설교통부령이 정하는 기준

에 따라 내화구조로 된 바닥 . 벽 및 제64조의 규정에 의한 갑종방화문(건설교통부장관이

정하는 기준에 적합한 자동방화샷다를 포함한다. 이하 이 조에서 같다)으로 구획(이하 "방화

구획"이라 한다)하여야 한다. 다만, 원자력법 제2조의 규정에 의한 원자로 및 관계시설은 원

자력법이 정하는 바에 의한다.

1. 내지 3. 삭제 [99 . 04 . 30]

②다음 각호의 1에 해당하는 건축물의 부분에는 제1항의 규정을 적용하지 아니하거나 그 사

용에 지장을 초래하지 아니하는 범위에서 제1항의 규정을 완화하여 적용할 수 있다.

1. 문화 및 집회시설(동 . 식물원을 제외한다), 의료시설 중 장례식장 또는 운동시설의 용도

에 쓰이는 거실로서 시선 및 활동공간의 확보를 위하여 불가피한 부분

2. 물품의 제조 . 가공 . 보관 및 운반 등에 필요한 형기기 설비의 설치 . 운영을 위하여

불가피한 부분

3. 계단실부분 . 복도 또는 승강기의 승강로 부분(당해 승강기의 승강을 위한 승강로비 부분

을 포함한다)으로서 당해 건축물의 다른 부분과 방화구획으로 구획된 부분

4. 건축물의 최상층 또는 피난층으로서 규모 회의장 . 강당 . 스카이라운지 . 로비 등의 용

도에 사용하는 부분으로서 당해 용도로의 사용을 위하여 불가피한 부분

- 103 -

5. 복층형인 공동주택의 세 안의 층간 바닥부분

6. 주요구조부가 내화구조 또는 불연 재료로 된 주차장의 부분

7. 단독주택, 동물 및 식물 관련시설 또는 공공용 시설 중 군사시설에 쓰이는 건축물

③건축물의 일부가 법 제40조제1항의 규정에 의한 건축물에 해당하는 경우에는 그 부분과

다른 부분을 방화구획으로 구획하여야 한다.

④ 삭제 [99 . 04 . 30]

⑤ 및 ⑥삭제 [95 . 12 . 30]

제56조(건축물의 내화구조) ①법 제40조제1항의 규정에 의하여 다음 각 호의 1에 해당하는

건축물(제6호에 해당하는 건축물로서 2층 이하인 건축물의 경우에는 지하층부분에 한한다)

의 주요 구조부는 이를 내화구조로 하여야 한다. 다만, 연면적이 50제곱미터이하인 단층의

부속건축물로서 외벽 및 처마밑면을 방화구조로 한 것과 무 의 바닥은 그러하지 아니하다.

1. 삭제 [95 . 12 . 30]

2. 문화 및 집회시설(전시장 및 동 . 식물원을 제외한다), 의료 시설 중 장례식장 또는 위락

시설 중 주점영업의 용도에 쓰이는 건축물로서 관람석 또는 집회실의 바닥면적의 합계가

200제곱미터(옥외관람석의 경우에는 1천 제곱미터)이상인 건축물

3. 문화 및 집회시설 중 전시장 및 동 . 식물원, 판매 및 영업시설, 교육연구 및 복지시설 중

생활권 수련시설 및 자연권 수련시설, 운동시설 중 체육관 및 운동장, 위락시설(주점영업의

용도에 쓰이는 것을 제외한다), 창고시설, 위험물저장 및 처리시설, 자동차관련시설, 공공용

시설 중 방송국 . 전신전화국 및 촬영소, 묘지관련시설 중 화장장 또는 관광휴게시설의 용도

에 쓰이는 건축물로서 그 용도에 쓰이는 바닥면적의 합계가 500제곱미터이상인 건축물

- 104 -

4. 공장의 용도에 쓰이는 건축물로서 그 용도에 사용하는 바닥면적의 합계가 2천제곱미터

이상인 건축물. 다만, 화재의 위험이 적은 공장으로서 건설교통부령이 정하는 공장을 제외한

다.

5. 건축물의 2층이 단독주택 중 다중주택, 공동주택, 제1종 근린생활시설(의료의 용도에 쓰

이는 시설에 한한다), 의료시설, 교육연구 및 복지시설중 아동관련시설 . 노인복지시설 및

유스호스텔, 업무시설중 오피스텔 또는 숙박시설의 용도에 쓰이는 건축물로서 그 용도에 쓰

이는 바닥면적의 합계가 400제곱미터이상인 건축물

6. 3층 이상의 건축물 및 지하층이 있는 건축물. 다만, 단독주택, 동물 및 식물관련시설, 공

공용시설 중 교도소 및 감화원 또는 묘지관련시설(화장장을 제외한다)의 용도에 쓰이는 건

축물을 제외한다.

②제1항제2호 및 제3호에 해당하는 용도에 쓰이지 아니하는 건축물로서 그 지붕틀을 불연

재료로 한 경우에는 당해 지붕틀을 내화구조로 하지 아니할 수 있다.

제57조( 규모 건축물의 방화벽 등) ①법 제40조제2항의 규정에 의하여 연면적이 1천 제곱

미터 이상인 건축물은 방화벽으로 구획하되, 각 구획의 바닥면적합계는 1천 제곱미터 미만

이어야 한다. 다만, 주요구조부가 내화구조이거나 불연 재료인 건축물과 제56조제1항 제6호

단서의 규정에 의한 건축물 또는 내부설비의 구조상 방화벽으로 구획할 수 없는 창고시설의

경우에는 그러하지 아니하다.

②제1항의 규정에 의한 방화벽의 구조에 관하여 필요한 사항은 건설교통부령으로 정한다.

③연면적이 1천제곱미터 이상인 목조의 건축물은 건설교통부령이 정하는 바에 따라 그 구조

를 방화구조로 하거나 불연 재료로 하여야 한다.

④ 삭제 [99 . 04 . 30]

제58조(방화지구안의 건축물) 법 제41조제1항의 규정에 의하여 그 주요 구조부 및 외벽을

내화구조로 하지 아니할 수 있는 건축물은 다음 각호와 같다.

- 105 -

1. 연면적이 30제곱미터미만인 단층 부속건축물로서 외벽 및 처마면이 내화구조 또는 불연

재료로 된 것

2. 도매시장의 용도에 쓰이는 건축물로서 그 주요구조부가 불연 재료로 된 것

제61조(건축물의 내부마감재료) 법 제43조의 규정에 의하여 다음 각호의 1에 해당하는 건축

물의 내부마감 재료는 건설교통부령이 정하는 기준에 적합한 것이어야 한다. 다만, 제1호 내

지 제4호에 해당하는 건축물의 경우 주요구조부가 내화구조 또는 불연 재료로 된 건축물로

서 그 거실의 바닥면적(스프링클러 기타 이와 유사한 자동식소화설비를 설치한 부분의 바닥

면적을 뺀 면적으로 한다. 이하 이 조에서 같다) 200제곱미터이내마다 방화구획이 되어 있

는 경우에는 그러하지 아니하다.

1. 문화 및 집회시설(예식장을 제외한다), 판매 및 영업시설 또는 위락 시설(단란주점 및 주

점영업을 제외한다)의 용도에 쓰이는 건축물로서 당해 용도에 쓰이는 거실의 바닥면적의 합

계가 200제곱미터(주요구조부가 내화구조 또는 불연 재료로 된 건축물의 경우에는 400제곱

미터)이상인 건축물 .

2. 단독주택 중 다중주택, 공동주택, 숙박시설(여관 및 여인숙을 제외한다), 의료시설, 교육연

구 및 복지시설 중 아동관련시설 . 노인복지시설 및 유스호스텔 또는 업무시설 중 오피스텔

의 용도에 쓰이는 건축물로서 3층 이상의 층의 당해 용도에 쓰이는 거실의 바닥면적의 합계

가 200제곱미터(주요구조부가 내화구조 또는 불연 재료로 된 건축물의 경우에는 400제곱미

터)이상인 건축물

3. 위험물저장 및 처리시설(자가난방 . 자가발전 등의 용도에 쓰이는 시설을 포함한다), 공

장, 자동차관련시설 또는 공공용시설 중 발전소 . 방송국 및 촬영소로 사용되는 건축물

4. 5층 이상의 층의 거실의 바닥면적의 합계가 500제곱미터이상인 건축물

- 106 -

5. 제2종 근린생활시설 중 공연장 . 단란주점 . 당구장 . 노래연습장, 문화 및 집회시설 중

예식장, 교육연구 및 복지시설 중 생활권수련시설 . 자연권수련시설, 숙박시설중 여관 . 여

인숙 또는 위락시설 중 단란주점 . 주점영업

제64조(방화문의 구조) 방화문은 갑종방화문 및 을종방화문으로 구분하되, 그 기준은 건설교

통부령으로 정한다.

건축물의설비기준등에관한규칙중개정령안

제14조 (배연설비 등) ① 영 제87조제2항의 규정에 의하여 다음 각호의 1에 해당하는 곳에

는 건설교통부장관이 행정자치부장관과 협의하여 고시하는 바에 따라 화재시 연기를 급기

또는 배기하여 건축물 밖으로 배출하는 배연설비를 설치하여야 한다.

1. 6층 이상인 건축물로서 문화 및 집회시설, 판매 및 영업시설, 의료 시설, 교육연구 및 복

지시설 중 연구소 . 아동관련시설 . 노인복지시설 및 유스호스텔, 운동시설, 업무시설, 숙박

시설, 위락시설 및 관광휴게시설의 용도에 쓰이는 층

2. 근린생활시설 . 위락시설 . 숙박시설 . 판매 및 영업시설의 용도에 쓰이는 지하층 또는

무창층(바닥면적이 1천 제곱미터 이상인 것에 한한다)

3. 문화 및 집회시설 . 운동시설(무 부 바닥면적이 200제곱미터 이상인 것에 한한다)

4. 특별피난계단 및 영 제90조 제3항의 규정에 의한 비상용승강기의 승강장

② 제1항의 규정에 의하여 배연설비를 하여야 하는 곳이 5층 이하의 지상층에 있는 경우로

서 다음 각호의 기준에 적합하게 배연창을 설치하는 경우에는 제1항의 규정에 의한 배연 설

비를 설치하지 아니할 수 있다.

- 107 -

1. 영 제46조 제1항의 규정에 의하여 건축물에 방화구획이 설치된 경우에는 그 구획마다 1

개소 이상의 배연창을 설치하되 배연창의 상변과 천장 또는 반자로부터 수직거리가 0.9미터

이내일 것. 다만, 반자높이가 3미터 이상인 경우에는 바닥으로부터 2.1미터 떨어진 곳에 배

연창의 하변이 놓이도록 설치할 것

2. 배연창의 유효면적은 별표6의 산정기준에 의하여 산정된 면적이 1제곱미터 이상으로서

그 면적의 합계가 당해 건축물의 바닥면적(영 제46조 제1 항 또는 제3항의 규정에 의하여

방화구획이 설치된 경우에는 그 구획된 부분의 바닥 면적을 말한다)의 100분의 1이상일 것.

이 경우 바닥면적의 산정에 있어서 거실바닥 면적의 20분의 1이상으로 환기창을 설치한 거

실의 면적은 이에 산입하지 아니한다.

제18조제4호를 다음과 같이 한다.

4. 급수관 및 수도계량기는 얼어서 깨지지 않도록 별표7의 규정에 의한 설치기준 또는 지역

별 기후 특성을 고려하여 당해 자치단체의 조례로 정하는 설치 기준에 적합할 것

제23조제2항의 “냉방설비”를 “중앙집중냉방설비”로 하고, 제3항을 다음과 같이 신설한다.

③ 상업지역 및 주거지역에서 도로의 보도에 면한 건축물에 냉방시설 배기구를 설치하고자

하는 경우에는 보도면 으로부터 2미터 이상의 높이에 설치하여야 한다.

건축물의구조기준등에관한규칙

제3조(구조설계의 원칙) ①건축물의 구조설계에 있어서는 건축물의 용도 . 규모 . 구조의 종

별과 지반의 상황 등을 고려하여 기초 . 기둥 . 보 . 바닥 . 벽 등을 유효하게 배치하여 건축

물 전체가 이에 작용하는 고정하중 . 적재하중 . 적설하중 . 풍하중 . 토압 . 수압 . 지진하중

기타 진동 또는 충격에 하여 구조내력상 안전하도록 하여야 한다.

- 108 -

②내력부분인 벽은 건축물에 작용하는 횡력에 하여 유효하게 견딜 수 있도록 균형 있게

배치하여야 한다.

③건축물의 구조는 그 지반의 부동침하, 떠오름, 미끄러짐, 전도 또는 동해(凍害)에 하여

구조내력에 지장이 없어야 한다.

제4조(구조부재의 강성 및 내구성) ①건축물의 내력부분에는 사용에 지장이 되는 변형이나

진동이 생기지 아니하도록 필요한 강성(剛性)을 확보하여야 하며, 순간적인 파괴 현상이 생

기지 아니하도록 인성(靭性)의 확보를 고려하여야 한다.

②내력부분으로서 특히 부식이나 닳아 없어질 우려가 있는 것에 하여는 이를 방지할 수

있는 재료를 사용하는 등 필요한 조치를 하여야 한다.

③구조부재로 사용되는 목재로서 벽돌 .콘크리트 .흙 기타 이와 유사한 함수성의 물체에 접

하는 부분에는 방부제를 바르거나 이와 동등 이상의 효과를 가진 방부조치를 하여야 한다.

④건축물의 벽으로서 직접 흙과 접하는 부분은 문 .담장 기타 이와 유사한 공작물 또는

건축물을 제외하고는 내수재료를 사용하여야 한다.

건축물의피난 . 방화구조등의기준에관한규칙

제2조(내수재료) 건축법시행령(이하 “영” 한다) 제2조제1 항 제7호에서 “건설교통부령이 정

하는 재료” 함은 벽돌 . 자연석 . 인조석 . 콘크리트 . 아스팔트 . 도자기질 재료 . 유리 기타

이와 유사한 내수성 건축 재료를 말한다.

제3조(내화구조) 영 제2조제1항제7호의2에서 “건설교통부령이 정하는 기준에 적합한 구조”

라 함은 다음 각호의 1에 해당하는 것을 말한다.

1. 벽의 경우에는 다음 각목의 1에 해당하는 것

가. 철근콘크리트조 또는 철골철근콘크리트조로서 두께가 10센티미터 이상인 것

- 109 -

나. 골구를 철골조로 하고 그 양면을 두께 4센티미터이상의 철망모르타르(그 바름바탕을

불연재료로 한 것에 한한다. 이하 이 조에서 같다) 또는 두께 5센티미터 이상의 콘크리트

블록 . 벽돌 또는 석재로 덮은 것

다. 철재로 보강된 콘크리트블록조 . 벽돌조 또는 석조로서 철재에 덮은 콘크리트블록 등의

두께가 5센티미터 이상인 것

라. 벽돌조로서 두께가 19센티미터 이상인 것

마. 고온 . 고압의 증기로 양생된 경량기포 콘크리트패널 또는 경량기포 콘크리트블록조로서

두께가 10센티미터 이상인 것

2. 외벽중 비내력벽의 경우에는 제1호의 규정에 불구하고 다음 각목의 1에 해당하는 것

가. 철근콘크리트조 또는 철골철근콘크리트조로서 두께가 7센티미터 이상인 것

나. 골구를 철골조로 하고 그 양면을 두께 3센티미터 이상의 철망모르타르 또는 두께 4센티

미터 이상의 콘크리트블록 . 벽돌 또는 석재로 덮은 것

다. 철재로 보강된 콘크리트블록조 . 벽돌조 또는 석조로서 철재에 덮은 콘크리트블록 등의

두께가 4센티미터 이상인 것

라. 무근콘크리트조 . 콘크리트블록조 . 벽돌조 또는 석조로서 그 두께가 7센티미터 이상인

것

3. 기둥의 경우에는 그 작은 지름이 25센티미터 이상인 것으로서 다음 각목의 1에 해당하는

것

가. 철근콘크리트조 또는 철골철근콘크리트조

나. 철골을 두께 6센티미터(경량골재를 사용하는 경우에는 5센티미터)이상의 철망모르타르

또는 두께 7센티미터 이상의 콘크리트블록 . 벽돌 또는 석재로 덮은 것

다. 철골을 두께 5센티미터 이상의 콘크리트로 덮은 것

4. 바닥의 경우에는 다음 각목의 1에 해당하는 것

- 110 -

가. 철근콘크리트조 또는 철골철근콘크리트조로서 두께가 10센티미터 이상인 것

나. 철재로 보강된 콘크리트블록조 . 벽돌조 또는 석조로서 철재에 덮은 콘크리트블록 등의

두께가 5센티미터 이상인 것

다. 철재의 양면을 두께 5센티미터 이상의 철망모르타르 또는 콘크리트로 덮은 것

5. 보(지붕틀을 포함한다)의 경우에는 다음 각목의 1에 해당하는 것

가. 철근콘크리트조 또는 철골철근콘크리트조

나. 철골을 두께 6센티미터(경량골재를 사용하는 경우에는 5센티미터)이상의 철망모르타르

또는 두께 5센티미터 이상의 콘크리트로 덮은것

다. 철골조의 지붕틀(바닥으로부터 그 아랫부분까지의 높이가 4미터 이상인 것에 한 한다)로

서 바로 아래에 반자가 없거나 불연 재료로 된 반자가 있는 것

6. 지붕의 경우에는 다음 각목의 1에 해당하는 것

가. 철근콘크리트조 또는 철골철근콘크리트조

나. 철재로 보강된 콘크리트블록조 . 벽돌조 또는 석조

다. 철재로 보강된 유리블록 또는 망입유리로 된 것

7. 계단의 경우에는 다음 각목의 1에 해당하는 것

가. 철근콘크리트조 또는 철골철근콘크리트조

나. 무근콘크리트조 . 콘크리트불록조 . 벽돌조 또는 석조

다. 철재로 보강된 콘크리트블록조 . 벽돌조 또는 석조

라. 철골조

8. 기타 건설교통부장관이 정하는 것으로서 건설교통부장관이 고시하는 기준에 따라 건설

교통부장관이 지정하는 자 또는 정부출연연구 기관 등의설립 . 운영 및 육성에 관한 법률

제8조의 규정에 의하여 설립된 한국건실기술연구원장(이하 “한국건설기술연구원장”이라 한

다)이 실시하는 품질시험에서 그 성능이 확인된 것

제4조(방화구조) 영 제2조제1항제8호에서 “건설교통부령이 정하는 기준에 적합한 구조“라

함은 다음 각호의 1에 해당하는 것을 말한다.

- 111 -

1. 철망모르타르로서 그 바름두께가 2센티미터 이상인 것

2. 석면시멘트판 또는 석고판위에 시멘트모르타르 또는 회반죽을 바른 것으로서 그 두께의

합계가 2.5센티미터 이상인 것

3. 시멘트모르타르위에 타일을 붙인 것으로서 그 두께의 합계가 2.5센티미터 이상인 것

4. 두께 1.2센티미터 이상의 석고판위에 석면시멘트판을 붙인 것

5. 두께 2.5센티미터 이상의 암면보온판위에 석면시멘트판을 붙인 것

6. 심벽에 흙으로 맞벽치기한 것

7. 산업표준화법에 의한 한국산업규격이 정하는 바에 의하여 시험한 결과 방화 2급 이상에

해당하는 것

제5조(난연재료) 영 제2조제1항제9호에서 정하는 기준에 적합한 재료 함은 산업표준화 법

에 의한 한국산업규격이 정하는바에 의하여 시험한 결과 난연 3급에 해당하는 것을 말한다.

제6조(불연재료) 영 제2조제1항제10호에서 “건설교통부령이 정하는 기준에 적합한 재료 함

은 다음 각호의 1에 해당하는 것을 말한다.

1. 콘크리트 . 석재 . 벽돌 . 기와 . 석면판 . 철강 . 알루미늄 . 유리 . 시멘트 모르타르 . 회

및 기타 이와 유사한 불연성의 재료. 다만, 시멘트모르타르 또는 회 등 미장재료를 사용하는

경우에는 건설기술관리법 제34조제1항제2호의 규정에 의하여 제정된 건축공사표준시방서 에

서 정한 두께 이상인 경우에 한한다.

2. 산업표준화법에 의한 한국산업규격이 정하는 바에 의하여 시험한 결과 난연 1급에 해당

하는 것

제7조(준불연재료) 영 제2조제1항제11호에서 “건설교통부령이 정하는 기준에 적합한 재료

함은 산업표준화법에 의한 한국산업규격이 정하는 바에 의하여 시험한 결과 난연 2급에 해

당하는 것을 말한다.

제8조(직통계단의 설치기준) 영 제34조의 규정에 의한 직통계단의 출입구는 피난에 지장이

없도록 일정한 간격을 두어 설치하고, 각 직통계단 상호간에는 각각 거실과 연결된 복도 등

통로를 설치하여야 한다.

- 112 -

제14조(방화구획의 설치기준) ①영 제46조의 규정에 의하여 건축물에 설치하는 방화구획은

다음 각호의 기준에 적합하여야 한다.

1. 10층 이하의 층은 바닥면적 1천제곱미터(스프링클러 기타 이와 유사한 자동식 소화설비

를 설치한 경우에는 바닥면적 3천제곱미터)이내마다 구획할 것

2. 3층 이상의 층과 지하층은 층마다 구획할 것

3. 11층 이상의 층은 바닥면적 200제곱미터(스프링클러 기타 이와 유사한 자동식 소화설비

를 설치한 경우에는 600제곱미터)이내마다 구획할 것. 다만, 벽 및 반자의 실내에 접하는 부

분 의 마감을 불연 재료로 한 경우에는 바닥면적 500제곱미터(스프링클러 기타 이와 유사한

자동식 소화설비를 설치한 경우에는 1천500제곱미터)이내마다 구획하여야 한다.

②제1항의 규정에 의한 방화구획은 다음 각호의 기준에 적합하게 설치하여야 한다.

1. 영 제46조의 규정에 의한 방화구획으로 사용하는 제26조제1항의 규정에 의한 갑종 방화

문은 언제나 닫힌 상태를 유지하거나 화재로 인한 연기의 발생 또는 온도의 상승에 의하여

자동적으로 닫히는 구조로 할 것

2. 급수관 . 배전관 기타의 관이 방화구획으로 되어 있는 부분을 관통하는 경우에는 그 관과

방화구획과의 틈을 시멘트모르타르 기타 불연 재료로 메울 것

3. 환기 . 난방 또는 냉방시설의 풍도가 방화구획을 관통하는 경우에는 그 관통부분 또는 이

에 근접한 부분에 다음 각목의 기준에 적합한 댐퍼를 설치할 것

가. 철재로서 철판의 두께가 1.5밀리미터 이상일 것

나. 화재가 발생한 경우에는 연기의 발생 또는 온도의 상승에 의하여 자동적으로 닫힐 것

다. 닫힌 경우에는 방화에 지장이 있는 틈이 생기지 아니할 것

라. 산업표준화법에 의한 한국산업규격상의 방화댐퍼의 방연시험방법에 적합할 것

- 113 -

제19조(경계벽 및 간막이벽의 구조) ①영 제53조의 규정에 의하여 건축물에 설치하는 경제

벽 및 간막이벽은 내화구조로 하고, 지붕 밑 또는 바로 윗층의 바닥판까지 닿게 하여야 한

다.

②제1항의 규겅에 의한 경계벽 및 간막이벽은 소리를 차단하는 데 장애가 되는 부분이 없도

록 다음 각호의 1에 해당하는 구조로 하여야 한다. 다만, 공동주택의 세 간의 경계벽인 경

우에는 주택건설기준 등에 관한 규정이 정하는 바에 의한다.

1. 철근콘크리트조 . 철골철근콘크리트조로서 두께가 10센티미터 이상인 것

2. 무근콘크리트조 또는 석조로서 두께가 10센티미터(시멘트모르타르 . 회반죽 또는 석고 플

라스터의 바름두께를 포함한다)이상인 것

3. 콘크리트블록조 또는 벽돌조로서 두께가 19센티미터 이상인 것

4. 제1호 내지 제3호의 것 외에 건설교통부장관이 정하여 고시하는 기준에 따라 건설 교통

부장관이 지정하는 자 또는 한국건설기술연구원장이 실시하는 품질시험에서 그 성능이 확인

된 것

제21조(방화벽의 구조) ①영 제57조제2항의 규정에 의하여 건축물에 설치하는 방화벽은 다

음 각호의 기준에 적합하여야 한다.

1. 내화구조로서 홀로 설 수 있는 구조일 것

2. 방화벽의 양쪽 끝과 윗 쪽 끝을 건축물의 외벽면 및 지붕면으로부터 0.5미터이상 튀어 나

오게 할 것

3. 방화벽에 설치하는 출입문의 너비 및 높이는 각각 2.5미터 이하로 하고, 당해 출입문에는

제26조제1항의 규정에 의한 갑종방화문을 설치할 것

②제14조제2항의 규정은 제1항의 규정에 의한 방화벽의 구조에 관하여 이를 준용한다.

제23조(방화지구안의 지붕 . 방화문 및 외벽 등) ①건축법 제41조제3항의 규정에 의하여 방

화지구안의 건축물의 지붕으로서 내화구조가 아닌 것은 불연 재료로 하여야 한다.

- 114 -

②건축법 제41조 제3항의 규정에 의하여 방화지구안의 건축물의 인접 지 경계선에 접하는

외벽에 설치하는 창문 등으로서 제22조 제2항의 규정에 의한 연소할 우려가 있는 부분에는

다음 각호의 방화문 기타 방화설비를 하여야 한다.

1. 제26조의 규정에 의한 갑종방화문 또는 을종방화문

2. 소방법령이 정하는 기준에 적합하게 창문등에 설치하는 드렌처

3. 당해 창문등과 연소할 우려가 있는 다른 건축물의 부분을 차단하는 내화구조나 불연 재

료로 된 벽․담장 기타 이와 유사한 방화설비

4. 환기구멍에 설치하는 불연 재료로 된 방화커버 또는 그물눈이 2밀리미터 이하인 금속망

제24조(건축물의 내장) ①건축법 제43조의 규정에 의하여 영 제61조 각호의 건축물에 하

여는 그 거실의 벽 및 반자의 실내에 접하는 부분(반자돌림 . 창 기타 이와 유사한 것

을 제외한다. 이하 이 조에서 같다)의 마감은 불연재료 . 준불연재료 또는 난연재료로 하여

야 하며, 그 거실에서 지상으로 통하는 주된 복도․계단 기타 통로의 벽 및 반자의 실내에

접하는 부분의 마감은 불연재료 또는 준불연재료로 하여야 한다.

②영 제61조 각호의 건축물중 다음 각호의 1에 해당하는 거실의 벽 및 반자의 실내에 접하

는 부분의 마감은 제1항의 규정에 불구하고 불연재료 또는 준불연재료로 하여야 한다.

1. 영 제61조제1호 내지 제3호의 규정에 의한 용도에 쓰이는 거실 등 을 지하층 또는 지하

의 공작물에 설치한 경우의 그 거실

2. 제2종 근린생활시설 중 단란주점 및 노래연습장 또는 위락시설 중 단란주점 및 주점영업

의 용도에 쓰이는 건축물의 거실

제26조(방화문의 구조) ①영 제64조의 규정에 의한 갑종방화문은 다음 각호의 1에 해당하는

구조로 하여야 한다.

1. 골구를 철재로 하고 그 양면에 각각 두께 0.5밀리미터 이상의 철판을 붙인 것

2. 철재로서 철판의 두께가 1.5밀리미터 이상인 것

- 115 -

3. 건설교통부장관이 정하여 고시하는 기준에 따라 건설교통부장관이 지정하는 자 또는 한

국건설기술연구원장이 실시하는 품질시험에서 그 성능이 확인된 것

②영 제64조의 규정에 의한 을종방화문은 다음 각호의 1에 해당하는 구조로 하여야 한다.

1. 철재로서 철판의 두께가 0.8밀리미터 이상 1.5밀리미터 미만인 것

2. 철재 및 망이 들어있는 유리로 된 것

3. 골구를 방화목재로 하고, 옥내면에는 두께 1.2센티미터 이상의 석고판을, 옥외면에는 철판

을 붙인 것

4. 건설교통부장관이 고시하는 기준에 따라 건설교통부장관이 지정하는 자 또는 한국건설기

술연구원장이 실시하는 품질시험에서 그 성능이 확인된 것

③방화문이 문틀 또는 다른 방화문과 접하는 부분은 그 방화문을 닫은 경우에 방화에 지장

이 있는 틈이 생기지 아니하는 구조로 하여야 하며, 방화문을 달기 위한 철물은 그 방화문

을 닫은 경우에 노출되지 아니하도록 하여야 한다.

전기통선설비의기술기준에관한규칙

제6조(위해 등의 방지) ①전기통신설비는 이에 접속되는 다른 전기통신설비를 손상시키거나

손상시킬 우려가 있는 전압 또는 전류가 송출되는 것이어서는 아니된다.

②전기통신설비는 이에 접속되는 다른 전기통신설비의 기능에 지장을 주거나 지장을 줄 우

려가 있는 전기통신신호가 송출되는 것이어서는 아니된다.

③전력선통신을 행하기 위한 전기통신설비는 다음 각호의 기능을 갖추어야 한다.

1. 전력선과의 접속부분을 안전하게 분리하고 이를 연결할 수 있는 기능

2. 전력선으로부터 이상전압이 유입된 경우 인명․재산 및 설비 자체를 보호할 수 있는 기

능

- 116 -

④제3항의 규정에 의한 전력선통신을 행하기 위한 전기통신설비의 위해 방지 등에 한

세부기술기준은 정보통신부장관이 이를 정하여 고시한다.

제7조(보호기 및 접지) ①낙뢰 또는 강전류전선과의 접촉 등에 의하여 이상전류 또는

이상전압이 유입될 우려가 있는 전기통신설비에는 과전류 또는 과전압을 방전시키거나 이를

제한 또는 차단하는 보호기가 설치되어야 한다.

②제1항의 규정에 의한 보호기와 금속으로 된 주배선반 . 지지물 . 단자함 등이 사람 또는

전기통신설비에 피해를 줄 우려가 있을 때에는 접지 되어야 한다.

③제1항 및 제2항의 규정에 의한 전기통신설비의 보호기 성능 및 접지에 한 세부기술

기준은 정보통신부장관이 이를 정하여 고시한다.

제8조(전송설비 및 선로설비의 보호) ①전송설비 및 선로설비는 다른 사람이 설치한 설비나

사람 . 차량 또는 선박 등의 통행에 피해를 주거나 이로부터 피해를 받지 아니하도록

하여야 하며, 시공상 불가피한 경우에는 그 주위에 설비에 관한 안전표지를 설치하는 등의

보호 책을 마련하여야 한다.

②전송설비 및 선로설비가 강전류전선과 교차 . 접근하거나 동일한 지지물에 설치되는 경우

에는 강전류전선 으로부터 피해를 받지 아니하도록 충분한 거리를 두거나 보호망 또는 보호

선을 설치하는 등의 보호 책을 마련하여야 한다.

③제1항 및 제2항의 규정에 의한 전송설비 및 선로설비 설치방법에 한 세부기술기준은

정보통신부장관이 이를 정하여 고시한다.

제9조(전력유도의 방지) ①전송설비 및 선로설비는 전력유도로 인한 피해가 없도록 건설 .보전되어야 한다.

②전력유도의 전압이 다음 각호의 제한치를 초과하거나 초과할 우려가 있는 경우에는

전력유도 방지조치를 하여야 한다.

- 117 -

1. 이상시 유도위험전압 : 650볼트. 다만, 고장시 전류제거시간이 0.1초

이상인 경우에는 430볼트로 한다.

2. 상시 유도위험종전압 : 60볼트

3. 기기 오동작 유도종전압 : 15볼트

4. 잡음전압 : 1밀리볼트

③제2항의 규정에 의한 전력유도전압의 구체적 산출방법에 한 세부기술기준은 정보

통신부장관이 이를 정하여 고시한다.

제10조(전원설비) ①전기통신설비에 사용되는 전원설비는 그 전기통신설비가 최 로

사용되는 때의 전력을 안정적으로 공급할 수 있는 충분한 용량으로서 동작전압과 전류를

항상 변동 허용 범위내로 유지할 수 있는 것이어야 한다.

②제1항의 규정에 의한 전원설비가 상용전원을 사용하는 사업용전기통신설비인 경우에는

상용전원이 정전된 경우 최 부하전류를 공급할 수 있는 축전지 또는 발전기 등의

예비전원설비가 설치되어야 한다. 다만, 상용전원의 정전 등에 따른 전기통신역무 중단의

피해가 경미하고 예비전원설비를 설치하기 곤란한 경우에는 그러하지 아니하다.

③사업용전기통신설비외의 전기통신설비에 한 전원설비의 설치기준에 관하여 필요한

사항은 정보통신부장관이 이를 정하여 고시한다.

제11조(전기안전기준) 이 규칙에서 정한 사항 의의 전기통신설비의 전기 안전기준은

국제전기기술위원회규격(IEC-60950)에서 정하는 전기안전기준을 준용한다.

제12조(절연저항) 선로설비의 회선 상호간, 회선과 지간 및 회선의 심선 상호간의

절연저항은 직류 500볼트 절연저항계로 측정하여 10메가옴 이상이어야 한다.

제22조(안전성 및 신뢰성 등) ①사업자는 이용자가 안전하고 신뢰성 있는 전기통신역무를

제공받을 수 있도록 다음 각 호의 사항을 구비하여 운용하여야 한다.

- 118 -

1. 전기통신설비를 수용하기 위한 건축물 또는 구조물의 안전 및 화재 책에 관한 사항

2. 전기통신설비를 이용 또는 운용하는 자의 안전 확보에 필요한 사항

3. 전기통신설비의 운용에 필요한 시험 . 감시 및 통제를 할 수 있는 기능에 관한 사항

4. 그밖에 전기통신설비의 안전성 및 신뢰성 확보를 위하여 필요한 사항

②제1항의 규정에 의하여 전기통신역무에 사용되는 전기통신설비가 갖추어야 할 안전성 및

신뢰성에 한 세부기술기준은 정보통신부장관이 이를 정하여 고시한다.

- 119 -

[부록2] 정보통신망 안전 . 신뢰성에 관한 기준 해설서 요약

(1) 관리적 기준

관리적 기준은 정보통신망에 관련된 관리와 절차에 관한 기준으로써 정보보호 정책 및

지침, 보안조직 및 책임, 위험분석 및 위험관리, 인력관리, 비상계획, 위탁관리, 보안감사,

표준화에 관한 사항으로 이루어진다.

항목 소 항목 기 준

정보보호 정책 및 지침

정보보호 정책 및 수립관리

- 정보보호의 목적과 핵심 원칙을 규정하는 틀을 제공하기 위하여 조직의 정보보호 정책을 문서화한다.- 정보통신망의 정보보호 정책에는 정책의 목적, 범위, 책임 및 이행에 필요한 사항 등을 포함한다.- 정보통신망 설계 및 구축에서 유지보수에 이르기까지 정보통신망을 위협 요인으로부터 안전하게 보호하고 정보 통신망의 신뢰성을 높이기 위하여 준수하여야 할 세부 지침을 수립하여 시행한다.- 정보통신망의 정보보호 지침에는 보안 책, 업무 중요도, 보안체계, 위험분석 접근방법, 임무권한, 절차 등을 포함한다.- 정책과 지침의 준수를 보증하기 위하여 정보통신망은 규정된 정보보호 세부지침에 의거 구축 운영하며 적정 시행 여부를 적절한 절차에 의거 지속적으로 검증한다.- 정보보호 지침을 정책 목적을 달성하기에 적합하도록 유지하기 위하여 정보 통신망 구성, 목표, 임무의 변경 등의 이유로 지침의 적합성이 의문시 될 경우 및 정기적으로 지침의 적합성 여부에 한 평가를 수행하고 필요할 경우 지침을 개선한다.- 정보통신망의 정보보호 지침은 관련 법․제도에 부합 되도록 한다.

- 120 -

항목 소 항목 기 준

보안조직 및 책임 - 정보통신망에 적합한 보호를 계획, 구현, 승인 감독할 수 있는 조직 체계를 수립한다.- 구성원의 역할과 책임 및 권한을 명확히 규정하여 모든 직원이 이를 이해하도록 한다.

인력관리 직원관리 - 직원에 의한 보안 사고를 예방하기 위하여 정보통신망의 운영직원에 한 보안 책을 수립하여 시행한다.- 필요한 직무에 적절한 직원을 임명할 수 있도록 정보통신망 운영직원 임명 시 확인절차 및 선발기준을 문서화하고 이에 따라 직원을 임명한다.- 직무 변경에 부합하는 적절한 보안을 유지할 수 있도록 정보통신망 관련 직원의 인사이동 및 퇴직 시 보안 조치를 한다.

임무관리 -정보통신망 운영에 있어 직무 수행의 오류 및 부정행위를 방지 하기 위하여 임무를 분할하여야 한다.- 책임회피를 예방하고 상호간 원활한 협조 체제를 유지할 수 있도록 각 역할의 책임 범위 및 운영 체계를 명시한다.

교육훈련 - 정보통신망의 보안 유지 및 운용에 관한 교육훈련 계획을 종합적으로 수립하여 시행한다.

- 교육훈련은 상과 목적을 명확히 하여 정기적으로 실시한다.

- 121 -

항목 소 항목 기 준

비상계획 비상계획수립

- 비상계획은 정해진 절차에 의거 비상사태시의 체제를 명확히 수립하고, 정보통신망 관리책임자의 승인을 받도록 한다.- 비상계획은 정보통신망의 재해발생 위협에 한 위험평가와 업무영향분석을 기초로 수립한다.

비상계획구성

- 비상계획은 비상시를 비한 조직 및 임무, 연락체계, 백업설비의 구성 및 위치, 비상시 긴급처리절차, 정상상태로의 복귀절차 등을 포함한다.- 비상계획은 비상사태의 형태 및 정도에 따라 각각 별도로 구성되도록 한다.

비상계획관리

- 실제 상황을 가정하여 비상계획에 한 정기적인 훈련과 시험을 실시하여 효과를 검증한다.- 환경변화, 검증결과 등에 따라 계획을 수정하며 계획의 변경은 수립 시와 동일한 절차에 따른다.

보안감사 감사체계 - 감사는 독립적이고 객관적으로 실시될 수 있도록 자체적으로 조직 및 기능을 구성한다.- 감사의 상, 범위, 기준 및 절차 등에 따라 감사업무를 담당할 전문가 또는 유자격자를 양성하여 전담요원으로 임명하고 감사 업무를 수행할 수 있도록 적절한 임무를 부여하거나 공신력 있는 제3자에 의한 감사 가능하도록 한다.

보안감사실시

- 보안 감사는 계획에 의거 정기적으로 실시한다.- 보안 감사는 정보통신망의 안전, 신뢰성 제고를 목적으로 하며 예방 차원에서 감사한다.- 보안 감사 실시 결과에 따라 사후 조치를 취한다.

- 122 -

항목 소 항목 기 준

보안사건처리

절차 - 보안 사건의 식별, 보고체계, 사건처리 절차, 기록보관 등에 관한 담당자와 책임을 규정하고 절차를 명확히 한다.

보안점 검 및 분석

- 적절한 주기로 보안 상태를 점검한다.- 보안 자료의 누적을 관리하고 주기적으로 통계를 분석하여

책을 수립한다.- 보안의 중요도에 따라 시스템의 보안 상태를 주기적으로 보고한다.

표준화 표준제정 - 정보통신망의 구축 및 운영에 관련된 제반절차, 문서, 사용양식 등을 표준화하여 적용한다.

표준관리 - 표준의 준수 여부 및 표준 활용도를 수시로 검증 하여 표준화 효과를 제고한다.- 정보통신망 특성에 적절한 등급의 평가를 득한 보호제품을 구매하여 설치한다.

- 123 -

(2) 기술적 기준

기술적 기준은 정보통신망 자원과 기능에 관한 기준으로써 정보통신망 자원의 도입․변경,

정보통신망 운영, 자원의 관리, 감시 및 장애처리, 컴퓨터 바이러스에 관한 사항으로 이루어

진다.

항목 소 항목 기 준

정보 통신망 운영

사용자 계정관리

- 사용자 계정의 요청과 발행 및 폐쇄에 한 절차를 정한다.- 주기적으로 시스템 사용자 계정 관리를 검토한다.- 사용자의 권한에 따라 적절한 강도의 인증 기능을 설정한다.- 패스워드 운영관리 기준에 의거 패스워드를 관리- 데이터 보호를 위해 비밀번호가 누설되지 않도록 책을 강구한다.- 인증관련 정보의 관리는 권한을 부여받은 지정된 책임자만이 통제할 수 있도록 한다.- 접속시도 가능 횟수를 설정하여 이를 초과한 접속 시도에

하여 적절한 접근 차단 기능을 설치- 매 접속 시마다 지난번 최종 접속 정보를 사용자에게 자동 으로 보여준다.

접근통제 - 사용자의 업무에 따라 적절한 권한을 설정한다.- 필요시 접근 시간 및 장소, 단말 등에 한 제약 조건을 설정한다.- 보안 위반 사항을 자동으로 기록하는 기능을 설치한다.- 보안 위반 시도를 감지하여 관리자에게 통보하는 기능을 설치한다.

- 124 -

항목 소항목 기준

정보 통신망 운영

서비스 사용자 관리

- 정보통신망 서비스 사용자의 정보는 엄중히 관리함- 정보통신망 서비스 사용자의 이용정보 등을 기록할 수 있는 방안을 확립한다.- 정보통신망 서비스 사용자로부터 요구가 있을 경우 본인의 이용정보 등을 제공한다.- 정보통신망 서비스 사용자의 부정 접근을 감시 가능한 방안을 확립한다.- 부정 접근을 행한 정보통신망 서비스 사용자에게 서비스를 제한할 수 있는 방안을 확립한다.

오퍼레이션 관리

- 오퍼레이션의 신뢰성을 향상시키기 위해 오퍼레이션의 자동화 및 간략화를 도모한다.- 오퍼레이터의 실수 방지 및 오류의 조기발견을 위한 확인기능을 충실히 설정한다.- 오퍼레이션 실행자에 관한 사항을 자동으로 기록- 오퍼레이션은 출입 통제가 된 별도의 장소에서만 수행되도록 조치한다.- 실 데이터는 운영이외의 목적으로는 사용하지 않는다.- 운영용 전자계산 조직에는 소프트웨어의 원시프로그램을 설치하지 않는다.

백업 - 정보통신설비의 장애 발생 시에 비한 백업 및 복구절차를 규정한다.- 데이터의 중요도 및 법규 등에서 요구하는 사항에 부합하도록 백업 상, 백업방식, 백업기준 등을 설정한다.- 백업된 데이터는 복구 시 문제없이 사용할 수 있도록 항상 최신의 것이 되도록 한다.- 주요 정보통신설비의 고장 발생에 비하여 필요한 예비부품을 확보하고 이의 체절차를 정한다.

- 125 -

항목 소 항목 기 준

서비스 사용자 관리

백업 - 정보통신망에 중 한 영향을 미치는 기능은 중첩설치 또는 지리적으로 분산 배치한다.- 중요한 전송로에는 우회경로와 예비통신회선을 설정하여 통신두절시 신속한 교환 전송이 가능하도록 한다.

유지보수 - 정보통신설비의 유지보수 절차를 규정한다.- 장애를 예방하기 위하여 정기적으로 예방점검을 실시한다.- 유지보수 작업시에는 담당자가 입회하여 그 결과를 확인한다.- 유지보수 계약시에는 예방점검 실시에 관한 구체적인 사항을 명기하여야 한다.- 보안기능을 우회하거나 삭제하는 기능은 시스템 관리자의 지도 감독 하에 사용한다.- 유지보수업체에 의뢰하는 경우 비밀준수계약(서약)을 체결한다.

자원운영 컴퓨터 관리

- 컴퓨터를 관리하기 위한 특권은 최소한으로 부여한다.- 장기간 이용하지 않는 기기는 정보통신망에 연결하지 않는다.- 특정 서비스에 관한 정보는 그 서비스에 관련한 기기에 한정하여 저장한다.

- 126 -

항목 소 항목 기 준

자원운영 정보 통신망 관리

- 정보통신망을 통하여 외부로부터 접근 가능한 통신 경로 및 컴퓨터를 최소화한다.- 정보통신망을 통하여 외부에서 시스템 관리를 행할 경우는 인증기능, 암호기능, 및 접근통제기능을 설정한다.

PC 및 단말운영

- 정보통신망 서비스에 관계되는 기기를 항상 관리할 수 있는 방안을 확립한다.- PC 및 단말 확인 기능을 설정한다.- 주요 업무처리용 PC 및 단말을 별도로 지정하여 물리적으로 안정하게 보호된 장소에 설치 운영한다.- PC 및 단말을 입력 기 상태로 방치하지 않는다.- PC 및 단말의 활성화 시에는 적절한 인증절차를 거치도록 한다.- 단말 사용에 관한 중요한 사항을 기록 유지한다.

데이터 관리

- 데이터는 중요도, 비밀보호 정도에 따라 분류하여 관리기준 및 절차를 실정하며 내용의 중요도에 상응하는 접근권한을 실정한다.- 데이터의 소유자를 명확히 하여 책임을 분명히 한다.- 중요한 데이터는 별도의 보안 기능으로 보호- 중요한 정보는 삭제, 수정, 누설 등에 의해 피해가 적도록 분산하여 저장한다.

- 127 -

항목 소 항목 기 준

자원운영 개인정보보호

- 개인의 사생활에 관련된 정보를 관리할 때에는 정해진 제반규정을 준수하여야 하며 이용에 관한 별도의 통제 기능을 설치한다.- 개인정보의 이용내역을 자동으로 기록하는 방안을 수립한다.

데이터 암호화

- 중요한 데이터에 한 암호화 책이 강구되어야 하며 데이터의 보안요구에 적절한 암호화 알고리즘을 사용한다.- 암호화에 사용되는 키는 안전하게 관리한다.

전송 - 중요한 정보를 송신하는 경우는 수신자를 한정하고 수신처를 충분히 확인한다.- 전송 중의 중요한 데이터가 누설되지 않도록 책을 강구한다.- 전송 중에 중요한 데이터가 변경되거나 유실되지 않도록

책을 강구한다.

기록매체 - 중요한 정보를 기록한 종이, 자기매체 등은 안전한 장소에 보관한다.- 데이터 파일의 보관 및 출납은 별도의 지정된 책임자가 정해진 절차에 의거 관리하며 이를 처리하는 업무는 적절한 통제를 득하여 실시.-누가, 언제, 어디서, 어떤 내용을, 어떤 매체에 출력하였는지를 전산상으로 자동 기록하는 절차를 수립 한다.- 중요한 정보의 배포에 한 절차를 정하여 관리- 중요한 정보를 기록한 종이, 자기매체 등을 폐기 할 경우는 내용이 누설되지 않는 방법으로 폐기한다.- 기록 매체는 적절한 식별자료에 의해 기록된 데이터의 내용을 식별할 수 있도록 한다.

- 128 -

항목 소 항목 기 준

컴퓨터 바이러스

예방 - 컴퓨터 바이러스에 한 홍보 및 교육을 실시.- 최신의 백신 프로그램을 이용하여 전자계산조직 및 자기매체에 하여 컴퓨터 바이러스의 침투여부를 수시로 진단한다.- 모든 프로그램이나 데이터는 사전에 시험 완료후 운영용 전자계산조직에 설치한다.- 디스켓 등의 무단 불법 복사를 금지한다.- 인터넷이나 PC 통신에서의 파일 다운로드 시 반드시 바이러스 감염여부를 진단하여야 한다.- 컴퓨터 바이러스로 인한 데이터 손상에 비하여 검사한 부팅 디스켓을 유지하고 수시 혹은 정기적으로 데이터의 백업을 실시한다.

조치 - 바이러스 감염 사실에 한 보고체계를 구비하여 해당 담당자로 하여금 즉각적인 응을 가능하게 해 피해를 최소화시킨다.- 정보통신망 자원에 컴퓨터 바이러스의 감염이 감지되면 감염된 정보통신망 자원의 가동을 즉시 중단하고 인접자원의 감염 여부를 진단- 데이터파일 및 프로그램에 컴퓨터 바이러스가 감염된 경우, 부분적인 내용복구를 지양하고 감염된 모든 자기 매체물 또는 전자계산조직을 전자적으로 초기화하여 새로이 구축한다.- 알려진 바이러스에 해서는 해당 바이러스를 치료할 수 있는 백신 프로그램을 구비하여 사용한다.

- 129 -

(3) 시설 기준

시설 기준은 정보통신망 자원이 설치된 시설에 한 기준으로써 건물, 전자계산기실, 정보통

신 설비실, 데이터 보관실에 관한 사항으로 이루어진다.

항목 소 항목 기 준

건물 입지조건 및

주위환경

- 지진 및 진동에 영향을 받지 않는 견고한 지반에 위치하며, 방수 기능을 설치한다.- 낙뢰다발지역, 풍수해의 영향을 받는 지역을 피한다.- 전파 탑이나 마이크로 회선 등 강력한 전자기에 의한 장해를 받지 않도록 한다.- 폭발이나 화재의 우려가 있는 위험물을 수용하는 시설에 인접한 지역은 피한다.- 먼지, 증기, 부식가스, 유독가스, 염분 등으로부터 영향을 받는 지역은 가능한 피한다.- 인접한 건물과의 간격을 충분히 하고 가능하면 방화벽( )을 설치한다.-건물에는 정보통신망 센터를 알리는 간판, 표시판, 표지등을 부착하지 않아 일반적인 건물로 보이도록 한다.

- 130 -

항목 소 항목 기 준

건물 구조조건 - 건축 기준 법에 규정한 내화 구조로 하며 기둥․벽 등은 가능한 건축 기준 법에 규정한 내화 건축물 또는 간이 내화 건축물로 한다.- 바닥 하중과 관련, 필요한 구조 내력을 지니도록 한다.- 건물에는 낙뢰 예방을 위해 피뢰침을 설치한다.- 피난 또는 소화상 필요한 통로를 확보한다.- 적절한 위치에 비상구를 설치하고 평상시에는 비상구를 통한 출입을 금지하며, 통행에 장애가 되지 않도록 한다.-재해 발생 시 피 또는 소화 및 보수를 위해 독립된 방화 구역 및 배연 시설, 피난 시설 등을 갖춘다.-창문에는 방수 설비를 구비하고 인접한 건물 층으로 창문을 설치하지 않도록 한다.- 창문은 개폐 및 분리가 안 되도록 하고 투시 및 태양광선을 차단하도록 하며, 자연 재해의 피해를 방지하는 조치를 한다.- 지층에 가까운 창문은 최소화한다.- 전화선, 전선 및 각종 케이블의 스위치 박스를 건물 내에 통일적으로 설치하여 인원 및 전산장비의 이동 및 배치 시 작업이 용이토록 한다.

내장 및 외장

- 건물의 내장은 난연재료를 사용한다.- 건물의 외벽, 지붕 등은 방수처리를 한다.- 건물의 외장은 물리적 충격에 견디어 낼 수 있는 강도를 갖도록 한다.

- 131 -

항목 소 항목 기 준

건물 출입통제 - 출입구 및 창에는 외부로부터 침입을 방지할 수 있는 조치를 강구한다.- 통상 이용하는 출입구에 출입을 감시 . 통제할 수 있는 기능을 설치한다.-평상시에는 비상구를 통한 출입을 금지한다.

방재설비 - 건물의 주위에는 충분한 조명도를 가진 방재 방범용 조명설비 를 설치한다.- 불법침입 등에 비하여 방범 설비를 한다.- 자동 화재 경보 설비를 설치한다.- 소화 설비를 설치한다.

전자 계산기실

위치 및 배치

- 먼지, 증기, 부식가스, 유독가스, 염분 등으로부터 영향을 받는 지역은 가능한 피한다.- 건물의 지하, 고층 및 물을 사용하는 설비가 있는 곳의 하층 부분은 피하도록 한다. 손상이나 소방 활동으로 인한 누수 현상 시 사용한다.- 전자계산실 내에는 피난 또는 소화상 필요한 폭1.5m 통로를 가능한 확보한다.- 전자계산기 실은 건물 자체의 보호 기능을 이용할 수 있도록 가능한 건물의 중앙에 설치한다.- 외부인이 쉽게 접근하는 곳을 피하고, 불특정 다수인이 출입 하는 장소로부터 격리한다.- 위험 장소 또는 주요 저장소와 인접한 상 . 하층은 피한다.- 전자계산실은 불연성 구조로 소화설비가 설치된 장소 내에 설치한다.- 가능한 지하층에는 전자계산실을 설치하지 않도록 하여 수해로부터 보호한다.- 제 3자가 침입할 우려가 적은 장소에 설치

- 132 -

항목 소 항목 기 준

전자 계산기실

구조조건 - 재해 발생 시 피 및 보수를 위해 필요한 공간을 확보한다.- 창문에는 방수 설비를 구비하고, 개폐 및 분리가 안되도록 한다.- 전자계산기 실에는 적절한 위치에 비상구를 설치한다.-출입구는 하나로 하고 방수 조치를 강구하며, 이중 출입문으로 한다.- 창문에는 방수 설비를 구비하고 인접한 건물 층으로 창문을 설치하지 않도록 한다.- 각각의 컴퓨터 시스템은 화재 발화 시 다른 컴퓨터 시스템 으로 화재가 전파되지 않도록 하는 구조를 갖춘다.- 전자계산기실과 같은 핵심 설비 위치에는 적절한 물리적 차폐 시설을 설치한다.

내장 및 외장

- 전자계산기 실은 방수처리를 하여야 하며, 바로위층 마루판 에는 별도의 방수시공을 함. 마루, 내벽, 천장 등에 사용하는 내장재는 불연재 또는 난연 재료를 사용한다. 단, 석면 등의 재료는 피한다.- 전자계산기 실에는 정전기 및 전자기의 영향이 없도록 조치 를 강구한다.- 마루 바닥은 배선, 공기정화 등을 위하여 적정한 높이로 설치한다.

- 133 -

항목 소 항목 기 준

전자 계산기실

출입통제 - 출입할 수 있는 인원을 지정하고, 지정되지 않은 인원은 사전 에 담당자의 승인을 얻고 출입 장에 기록한 후 관계자의 안내 하에 출입한다.- 전자계산기실의 출입구에는 입실자를 식별하고 기록하는 출입 관리 기능을 설치한다.- 출입문 및 비상구에는 물리적인 충격을 견딜 수 있는 강도로 하며, 방범 설비를 갖추고 출입문의 경우에는 보안성이 우수한 개폐장치를 설치한다.- 공용의 키를 사용하는 잠금 장치의 경우 키 관리에 한 별도 의 절차를 마련하여 관리창에는 강화 유리 또는 철망을 설치하여 외부로부터의 파괴를 방지한다.- 평상시에는 비상구를 통한 출입을 금지한다.- 중요한 구역의 경우 출입하는 사람을 빠짐없이 기록하기 위한 폐쇄회로 TV 및 경보장치를 설치한다.- 출입문 및 비상구에는 출입을 알리는 음향 또는 경보 등이 발생하는 경보 시스템을 설치한다.- 휴 용 컴퓨터, 휴 형 정보기술 품목 등에 한 재고 기록을 유지하고 관리하여야 한다.- 전자계산실로(로부터) 반입(반출)하는 물품 및 장비에 하여 반드시 기록을 유지, 관리한다.

- 134 -

항목 소 항목 기 준

출입통제 내부설비 - 소방법에 규정된 자동화재탐지설비 및 자동화재 경보장치를 설치하며, 당직실 등에 경보장치를 설치한다.- 전기, 급수, 배수, 난방 설비 등은 기타 건축 설비와 별도로 설치한다.- 이산화탄소, 할로겐 가스 등 소화 설비를 설치하며, 필요한 농도의 소화재가 일정시간에 균일하게 충만되어 있도록 한다.- 비상시의 연락 장치로서 비상벨, 경보 사이렌, 비상 전화 등을 설치한다.- 케이블은 난연 조치를 강구하며, 벽면의 케이블 관통 부분은 연소방지 조치를 강구- 출입구에는 화재에 비하여 방화문을 설치- 정전에 비하여 별도의 전원공급 시설을 설치한다.- 정전을 비롯한 비상사태에 비하여 휴 용 조명기기 및 유도 등 유도표지를 설치한다.- 온․습도를 적절히 유지할 수 있는 공기조화설비를 설치한다.- 실내에는 물․유류 사용기기를 설치하지 않으며 실내에는 테이프, 디스크 및 기타 가연성 물질은 보관하지 않는다.- 분전반의 각 회로에는 과전류 차단기, 누전 차단기 및 누전 경보기등을 설치한다.- 마루바닥은 하중을 충분히 고려하여 설치하며 심한 진동에 파손되지 않도록 한다.- 민감한 정보를 출력하는 화면은 권한이 없는 사람이 보지 못하도록 위치시킨다.

- 135 -

항목 소 항목 기 준

출입통제 내부설비 - 중요 장비에는 물리적인 접근 통제와 자물쇠가 있어야 한다.- 각종 기기에서 발생하는 전자파의 간섭을 받지 않도록 한다.- 전자계산실의 주요 출입구에는 수동으로 작동되는 전원차단 장치를 설치하여 비상시 관계자가 전자계산실의 모든 전기설비 에 한 전원을 차단시킬 수 있도록 한다.- 각종 전선 및 케이블이 쥐에 의해 훼손되지 않도록 조치 한다.

정보통신 설비실

위치 및 배치

- 전자계산기실의 위치 및 배치 내용을 그 로 적용한다.- 통신 장비들은 손상이나 권한이 없는 접근 및 사용으로부터 보호되는 장소 및 건물에 둔다.

구조조건 - 전자계산기실의 구조 조건을 그 로 적용함- 사람이 없는 시간 동안에는 민감한 구역을 안전하게 지킬 수 있는 설비를 해야 하며, 접근이 필요한 경우에는 일지에 기록함

외장 및 내장

- 전자계산기실의 내장 및 의장 내용을 그 로 적용한다

출입통제 - 전자계산기실의 출입 통제 내용을 그 로 적용한다.- 사람이 없는 시간 동안에는 민감한 구역을 안전하게 지킬 수 있는 설비를 해야 하며, 접근이 필요한 경우에는 일지에 기록함

- 136 -

항목 소 항목 기 준

정보통신설비실

내부설비 - 전자계산기실의 내부 설비 내용을 그 로 적용한다.- 분전반의 각 회로에는 과전류 차단기, 누전 차단기 및 누전 경보기 등을 설치한다.- 물리적인 접근을 제한하는 구역에 있지 않는 통신 장비에는 물리적인 자물쇠나 조절을 막는 장치를 사용해야 한다.- 휴 용 통신 장비 또는 주요 부품들은 잠긴 방이나 캐비넷에 보관한다.- 데이터 분석용 장비(회선 분석기 등)는 별도의 관리책임자를 지정하여 타장비와 분리 보관하며, 매 사용시마다 사용승인을 받고, 사용내역을 기록 관리한다.

데이터 보관실

위치 및 배치

- 전자계산기실의 위치 및 배치 내용을 그 로 적용한다.- 통신 장비들은 손상이나 권한이 없는 접근 및 사용으로부터 보호되는 장소 및 건물에 둔다.

구조조건 - 전자계산기실의 구조 조건을 그 로 적용한다.- 사람이 없는 시간 동안에는 민감한 구역을 안전하게 지킬 수 있는 설비를 해야 하며, 접근이 필요한 경우에는 일지에 기록 하도록 한다.

외장 및 내장

- 전자계산기실의 내장 및 의장 내용을 그 로 적용한다.

- 137 -

항목 소 항목 기 준

데이터 보관실

출입통제 - 전자계산기실의 내장 및 의장 내용을 그 로 적용한다.- 사람이 없는 시간 동안에는 민감한 구역을 안전하게 지킬 수 있는 설비를 해야 하며, 접근이 필요한 경우에는 일지에 기록하도록 한다.

내부설비 - 전자계산기실의 내부 설비 내용을 그 로 적용한다.- 데이터 보관실이 독립된 방화 구역이 아닌 경우는 중요 자료 보관을 위해 내화금고를 설치한다.- 자기 테이프나 레이저디스크 등이 파손되지 않도록 한다.- 민감하거나 중요한 정보가 들어 있는 탈착식 매체는 잠긴 용기 나 캐비넷에 보관하여야 한다.- 데이터를 저장하고 있는 매체의 보관 또는 유출에 관한 보안

책을 수립하여야 한다.- 민감한 정보를 다루는 구역(데이터 보관실 등)에서는 책상을 정리를 위한 요건을 수립하여야 한다.- 탈착식 매체는 매체별로 식별이 쉽도록 표식이나 색상을 표시한다.

- 138 -