부정 감시 시스템, 접근 제어 시스템, 진입 방지 말뚝, 감시 등 물리적인 데이터센터 침입과 위협에 대한 보안 방법을 소개한다.
자체 그리드로 운영되는 데이터센터인 SRP의 데이터스테이션(DataStation). 이미지 출처 : SRP
미국 연방 정부가 대사관 등 중요 시설을 건설할 때 적용하는 ‘황금 기준’에 해당하는 시설 사양부터 TIA(Telecommunications Industry Association)같은 특정 업종의 단체가 발행한 인프라 기준, NFPA(National Fire Protection Association) 등의 안전 요건 및 기준에 이르기까지 기업들이 안전한 데이터센터 구축에 참조할 복잡한 자료와 문서들은 많다. 그러나 새로 데이터센터를 설계하는 단계에서 CSO들이 참고할 만한 보안 방법은 무엇일까?
다음은 산업 스파이부터 테러리스트나 자연 재해에 이르는 모든 위험을 막아낼 수 있도록 데이터센터 설계 단계에서 참고할 만한 사항들이다. 물론 아래의 19가지 지침을 따르며 데이터센터를 지으려면 비용이 많이 들 수 있다. 하지만, 이것들은 재해를 겪어도 안전할 수 있는 시설을 짓는데 드는 비용의 일부일 뿐이다.
1. 최적의 장소에 짓는다. 본사에서 일정 거리를 벗어나지 않은 장소에 데이터센터를 건설해야 한다. 통상 본사로부터는 20마일(약 32킬로미터) 이내, 주요 도로로부터는 100피트(30미터) 이상 떨어진 장소에 건설한다. 공항, 화학 공장 및 시설, 발전소 등 ‘나쁜 이웃’은 피한다. 지진 단층선, (올해 그 피해를 확인한) 허리케인 및 홍수 취약 지역도 피해야 한다. 그리고 ‘데이터센터’라는 간판을 내걸지 않는다.
2. 유틸리티를 이중화한다. 데이터센터는 전기, 수도, 전화, 데이터(인터넷) 등 유틸리티를 이중화해야 한다. 서로 별개인 두 곳의 변전소와 두 개의 수도관에서 전기와 수도를 공급받아야 한다. 전기선과 전화선은 지하에 매설되어 있어야 하고, 건물 내의 각각 다른 장소로 연결되어 있어야 한다. 또 수도관은 다른 유틸리티와 분리되어 있어야 한다. 데이터센터의 예상 전력 소비량을 추정해, 전기 회사에 특별히 요청해 이를 수용하도록 만들어야 한다.
3. 벽에 신경 쓴다. 두꺼운 콘크리트는 저렴할뿐더러 풍우와 폭발성 장치에 효과적인 방벽 역할을 한다. 이밖에 방탄복 소재인 케블라 섬유로 벽을 더 단단하게 만들 수 있다.
4. 가능하면 창문을 없앤다. 사무실이 아닌 창고라고 생각한다. 창문을 설치해야 하는 경우에도 휴게실과 관리실에만 창문을 설치한다. 또 내폭성 적층 유리를 이용한다.
5. 시설 보호를 감안해 조경을 꾸민다. 나무와 돌, 도랑을 이용해 지나가는 차량에서 건물이 보이지 않도록 만들고, (방호벽 등) 보안 시설을 숨기고, 차량 근접을 막을 수 있다. 물론 조경은 보기에도 좋다.
6. 시설 주변에 100피트(30미터) 정도의 완충 지대를 설치한다. 조경만으로 차량으로부터 건물을 보호할 수 없다면, 충돌 방지 장애물을 활용한다. 화단이나 거리 화분을 추천한다. 다른 장애물과 비교했을 때 눈에 잘 띄지 않으며, 보기에도 좋기 때문이다. 아니면 애플과 구글처럼 경비원을 채용하는 방법도 있다.
7. 차량 진입로에 차단기를 설치한다. 차량 입출입 지점에 차단기를 설치해 유인 경비실에서 주차장과 화물 하역장 출입을 통제한다. 위로 들어올릴 수 있는 출입구와 녹색 신호등을 이용, 차단기를 내린 후 차량의 출입을 허가한다. 추가적인 시설 보안이 필요할 경우, 차단기가 항상 길을 막고 있도록 만든다. 그리고 허가 받은 사람이 지나갈 때만 차단기를 개방한다.
8. 폭발물을 탐지할 계획을 세운다. 아주 중요하거나 표적이 될 가능성이 높은 데이터센터의 경우, 경비원으로 하여금 거울을 이용해 차량 밑을 수색, 폭발물이 있는지 탐지하도록 만든다. 위험 수준이 격상되었을 경우, 방문자와 배달용 차량은 물론 직원 차량까지 차량 수색 횟수를 증가시킨다.
9. 진입점을 제한한다. 주 출입구와 화물 적재 및 하역용 출입구를 하나씩만 설치해 건물 출입을 통제한다. 이렇게 하면 시설 건설 및 유지관리 비용도 절감할 수 있다.
10. 방화문은 밖으로 나갈 때만 사용할 수 있도록 만든다. 소방법에 따라 설치해야 하는 방화문의 경우 밖에서는 문을 열 수 없도록 만든다. 방화문이 열리면 즉시 경보음이 울려, 보안 통제실에서 여기에 맞게 대응해야 한다.
11. 많은 CCTV를 설치한다. 건물 경계, 출입구, 기타 모든 출입로 및 지점에 감시 카메라를 설치한다. 동작 감지기, 저조명 카메라, 팬 틸트 줌 카메라, 일반적인 고정 카메라를 혼합해 설치하는 것이 이상적이다. 그리고 디지털 방식으로 녹화한 감시 영상을 외부에서 보관한다.
12. 건물에 설치된 기계류를 보호한다. 환경 관련 시스템, 연속 전원 공급기 등 기계류가 설치되거나 위치한 장소의 출입을 아주 엄격하게 통제한다. 발전기가 외부에 있다면, 콘크리트 벽을 이용해 보호한다. 도급업체나 수리업체 직원들이 이들 장소를 방문할 경우 상시 직원이 동반한다.
13. 안전한 공기정화 계획을 수립한다. 난방, 환기, 냉방 시스템은 외부 공기를 유입하지 않고도 내부 공기를 순환하게끔 설정돼 있어야 한다. 그래야만 생물학 공격, 화학 공격, 인근에서 발생한 화재로 인한 연기로부터 직원과 장비를 보호할 수 있다. 또 공기 중에 화학, 생물학, 방사능 오염 물질이 있는지 감시하는 장비를 추가 설치할 수 있다.
14. 벽이나 천장에 숨거나, 숨길 수 없도록 만든다. 데이터센터 내 보안 지역에서는 내부 벽이 슬라브 천장부터 통상 배선이 설치된 마루 및 속바닥까지 이어지도록 만든다. 또 드롭 다운 천장(Drop-down Ceiling)이 은닉된 출입 지점이 되지 않도록 만전을 기한다.
15. 이중 인증 체계를 적용한다. 데이터센터 내 중요 보안 지역에서 생체 인증 시스템을 사용하는 사례가 일반화되고 있다. 일반적으로 홍채 인식보다는 손바닥 전체를 인식하는 ‘장문 인식’이나 지문 인식 시스템이 개인정보를 덜 침해한다. 다른 지역에서는 이보다 저렴한 출입 카드 시스템을 사용할 수 있다.
16. 핵심 보안 지역에는 다중 보안 체계를 적용한다. 데이터센터에서 가장 중요한 지역을 통과하기 위해서는 최소 3단계 이상을 거치도록 만들어야 한다.
a. 외부 출입문. 방문자는 반드시 안내데스크를 거쳐야 한다.
b. 내부 출입문. 직원 구역과 방문자 구역을 분리한다.
c. 데이터가 보관된 지역으로 연결된 출입문. 가장 엄격하게 통제해야 하는 장소다. 절대 ‘편승’을 허용해서는 안 된다. 여기에는 다음의 2가지 방법이 있다.
1) 바닥에서 천장까지 연결된 회전문. 출입 허가를 받은 사용자 뒤에 누군가 몰래 숨어 들어오려 시도할 경우, 회전문이 반대 방향으로 회전한다. (화재가 발생했을 경우, 회전문의 벽이 무너져 내려 쉽게 출입을 할 수 있는 상태가 된다.)
2) 맨트랩(Mantrap). 장비와 장애인 출입구를 분리하는 방법이다. 사이에 에어록이 설치된 2개의 문으로 구성되어 있다. 한 번에 문 하나만 열린다. 두 문을 모두 사용하기 위해서는 신원 확인이 필요하다.
d. 컴퓨터실로 연결된 출입문. 서버와 메인프레임, 기타 중요한 IT장비가 위치한 방이다. 필요한 경우에만 출입을 허락해야 한다. 또 출입을 통제 및 추적하기 위해 가능한 분리시킬 필요가 있다.
17. 출입을 감시한다. 주요 시설은 물론 시설 내 중요 보안 지역을 대상으로 출입을 감시한다. 누가 언제, 어느 장소에 출입했는지 추적하는데 도움이 된다. 또 화재 발생 시 건물 소개에도 도움이 된다.
18. 컴퓨터실에 음식 반입을 금지한다. 사람들이 음식을 먹을 수 있는 공동 공간을 제공한다. 컴퓨터실에 식품을 반입하지 못하도록 하기 위해서다.
19. 방문자용 휴게실을 설치한다. 방문자와 배달하러 온 사람들이 건물의 중요 보안 지역에 출입하지 못하도록 별도의 화장실 등을 만들어야 한다.
dl-ciokorea@foundryco.com
