MPAA 시설보안프로그램 콘텐츠보안모범사례 보완지침 www.fightfilmtheft.org/en/bestpractices/_piracybestpractice.asp 버전 2.1
문서이력 문서이력 버전날짜설명작성자 1.0 2009 년 12 월 31 일 최초일반공개 Deloitte & Touche LLP MPAA MPAA 회원사 2.0 2011 년 5 월 15 일 업데이트및개정 공통지침및보완지침으로통합 2.1 12 개의보완문서전체를하나의 MPAA 모범사례 보완 문서로통합 PricewaterhouseCoopers LLP MPAA MPAA 회원사 PricewaterhouseCoopers LLP MPAA MPAA 회원사 MPAA 콘텐츠보안모범사례 보완지침 페이지 i
목차 목차 문서이력 I I. 시설별관련보완지침 1 소개 1 목적및적용 1 예외절차 1 용어집 1 질문또는의견 1 II. 모범사례보완지침 3 부록 A 시설개요 16 부록 B 보완관리수단관련참고문헌 23 MPAA 콘텐츠보안모범사례 보완지침 페이지 ii
시설별관련보완지침 I. 시설별관련보완지침 소개 본보완지침문서는 MPAA 콘텐츠보안모범사례문서와함께사용해야합니다. 각시설은오른쪽용례를검토하여시설이제공하는서비스에해당하는시설종류를식별한다음위험평가결과를바탕으로적절한관리수단을이행해야합니다. 목적및적용 본문서는회원사가고용한현재및향후의제 3 자업체가콘텐츠보안에대한일반적인기대사항과현재발행된업계모범사례를이해하도록하는데그목적이있습니다. 특정회원사의업체이용에관한결정은각회원사가일방적으로정합니다. 콘텐츠보안을위한모범사례는시설이제공하는서비스, 시설이취급하는콘텐츠종류및시설이속한개봉기간을고려하여작성됩니다. 본문서에설명된보완지침은현지, 주, 지역, 연방및국가별법규의적용을받습니다. 본문서에설명또는포함된보완지침, 업계표준, ISO 참고사항은정기적으로변경될수있습니다. 모범사례의준수는전적으로자유의사에따릅니다. 이는인정프로그램으로간주되지않습니다. 예외절차 모범사례의준수가실행불가능한시설은준수불가능사유를문서화하고모범사례를대신한보완책을실시해야합니다. 또한예외사항은회원사로직접전달해야합니다. 용어집 본문서에서굵은글씨체로강조표시된모든용어는 MPAA 콘텐츠보안모범사례에있는용어집에정의되어있습니다. 이용어정의는관련된 ISO 표준 (27001/27002), 보안표준 ( 즉, NIST) 및업계모범사례에서취하였습니다. 질문또는의견모범사례에대한질문이나의견은이메일로 sitesurvey@mpaa.org 에문의해주시기바랍니다. 용례 ADS 음성, 더빙및자막제작 DVD DVD 제작 CA 크리에이티브광고 FL 영화현상소 CDF 특송, 배달, 운송 IFE IFE 및접객서비스 D 배포 PP 포스트프로덕션 DC 디지털영화 R 복사 DS 디지털서비스 VF 시각효과 번호 ADS CA CDF D DC DS DVD FL IFE PP R VF MS.S-1.0 MS.S-3.0 MS.S-4.0 MS.S-4.1 MS.S-10.0 MS.S-10.1 MS.S-10.2 MS.S-10.3 MS.S-10.4 PS.S-1.0 PS.S-1.1 PS.S-1.2 PS.S-1.3 PS.S-1.4 PS.S-4.0 PS.S-4.1 PS.S-4.2 PS.S-6.0 PS.S-7.0 MPAA 콘텐츠보안모범사례 보완지침페이지 1
시설별관련보완지침 번호 ADS CA CDF D DC DS DVD FL IFE PP R VF PS.S-9.0 PS.S-9.1 PS.S-10.0 PS.S-11.0 PS.S-11.1 PS.S-11.2 PS.S-11.3 PS.S-11.4 PS.S-11.5 PS.S-11.6 PS.S-11.7 PS.S-11.8 PS.S-12.0 PS.S-12.1 PS.S-13.0 PS.S-13.1 PS.S-14.0 PS.S-15.0 PS.S-15.1 PS.S-15.2 번호 ADS CA CDF D DC DS DVD FL IFE PP R VF PS.S-15.3 PS.S-16.0 PS.S-16.1 PS.S-16.2 PS.S-16.3 PS.S-16.4 PS.S-17.0 PS.S-17.1 PS.S-17.2 PS.S-17.3 PS.S-17.4 PS.S-17.5 PS.S-20.0 PS.S-21.0 PS.S-21.1 PS.S-21.2 DS.S-9.0 DS.S-10.0 DS.S-10.1 DS.S-10.2 MPAA 콘텐츠보안모범사례 보완지침페이지 2
관리시스템 II. 모범사례보완지침 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 MS.S-1.0 운영진의보안인식 / 감독 정보보호목적으로운영진 / 소유자에의해승인된관리체계 ( 예 : IS0 27001) 를구현하는정보보호관리체계 (ISMS) 를수립한다 MS.S-3.0 보안조직 수상한활동을식별하고이에대응할수있도록정보시스템과물리적보안에대한사전예방적감시를담당하는보안팀을편성한다 사고가능성을탐지할수있도록하루내내정기적으로정보시스템을감시한다 탐지된사고를처리할사고대응절차를포함시킨다 정보시스템과관련된수상한활동이탐지된경우팀에자동통보하도록할수있다 감시절차의효과를모니터링하는정기적검토절차를이행한다 MS.S-4.0 콘텐츠보안및저작권침해이해 시설이취급하는콘텐츠에알맞은심층교육을제공한다 콘텐츠운반및취급을둘러싼위험에대한보안교육을포함시킨다 콘텐츠보호및저작권침해완화에대한각직무의개별적책임을강조한다 MPAA 저작권침해신고 웹사이트및제작실 / 고객연락처정보를포함하도록교육자료를통합한다 저작권침해를신고할수있는익명의내부전화번호및 / 또는웹사이트를제공한다 MPAA 콘텐츠보안모범사례 보완지침페이지 3
관리시스템 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 MS.S-4.1 콘텐츠보안및저작권침해이해 암호화된콘텐츠를취급하는모든담당자를대상으로암호화및키관리와관련된응용프로그램과절차에대해교육한다 각담당자의역할과책임에맞게필요한암호화키의생성, 배포및회수에대한보안교육을포함한다 MS.S-10.0 제 3 자의이용및적격심사 물리적자산보관을위한제 3 자저장장치제공자의이용에대해고객에게알린다 제 3 자저장장치업체에대한실사보고서를고객에게제공한다 고객이제 3 자저장장치업체의이용을승인및결재하도록요구한다 MS.S-10.1 제 3 자의이용및적격심사 국제 ( 미국출발 / 도착 ) 운송업체가 테러리즘에대한세관 - 무역동반자관계 (CTPAT) 의인증을받도록요구한다 첫고용시국제운송업체가 CTPAT 인증서증거문서를제출하도록요구한다 CTPAT 인증을받은운송업체의목록을유지한다 MS.S-10.2 제 3 자의이용및적격심사 운송및포장업체를매년재평가하고업체가소재지를변경하고 / 하거나추가서비스를제공할경우에도재평가를실시한다 해당연도에실사활동을실시한업체를추적하는절차를이행한다 ( 예 : 데이터베이스저장소, 완료증명서 ) MS.S-10.3 제 3 자의이용및적격심사 제 3 자콘텐츠배달시스템및웹사이트로의접근을매년검토한다 다음사항등에대해사용자접근을평가하는절차를이행한다. - 해제된사용자 - 권한수준 - 이메일계정확인 MPAA 콘텐츠보안모범사례 보완지침페이지 4
관리시스템 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 MS.S-10.4 제 3 자의이용및적격심사 민감한콘텐츠를취급하는제 3 자근무자의선별및채용절차의일환으로보안실사활동 ( 예 : 보안평가, 자체평가설문지 ) 을포함한다 다음을고려한다. - 콘텐츠취급과관련한자체정책및절차를제공하도록제 3 자근무자에게요구한다 - 제 3 자의운영진및주요절차소유자와면담을실시하여민감한콘텐츠의처리, 보관및전송에대한콘텐츠취급절차 / 관리수단을식별한다 - 보안위험평가결과및관련수정계획을제공하도록제 3 자에요구한다 MPAA 콘텐츠보안모범사례 보완지침페이지 5
물리적보안 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 PS.S-1.0 출입지점 비상구외의모든출입지점에 보안요원을배치한다 보안요원이시설을떠나는모든사람을육안으로검사하도록요구한다 보안요원이수상한행동을보고및조사하는절차를이행한다 PS.S-1.1 출입지점 적재구역의모든문에대해잠금장치작동과경보기설치를완료하고, 적재구역이사용중일때감시한다 PS.S-1.2 출입지점 트럭기사가시설내다른구역에 들어가지않도록트럭기사의 출입구를따로분리한다 유효한작업지시서가있는집행에대해서만적재구역을개방한다 적재중에는해당회사관계자가항상참석하도록요구한다 PS.S-1.3 출입지점 임의로정해진일정에따른일일 보안순찰절차를이행하고 로그에순찰결과를기록한다 PS.S-1.4 출입지점 보안요원이근무하는동안 탐지된모든사고를문서화, 조사 및해결한다 보안요원이내외부구역모두를순찰하도록요구한다 봉인물확인을포함하여비상구검사를포함시킨다 순찰 ( 예 : 검사지점 ) 을추적하고잠금을확인하는보안요원순찰시스템을사용할수도있다 사고대응절차의가동에대한지침을수립한다 탐지된보안사건을처리하는사고대응절차를포함시킨다 MPAA 콘텐츠보안모범사례 보완지침페이지 6
물리적보안 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 PS.S-4.0 경계보안 구내무단출입의위험을줄일수있도록추가적인경계보호수단 ( 예 : 울타리, 차량방벽 ) 을설치한다 PS.S-4.1 경계보안 경계출입문을항상잠그고원격 잠금해제기능을전담하는 직원을현장에배치한다 PS.S-4.2 경계보안 경계출입구에보안요원을배치하고시설내에차량의출입을허용하는절차 ( 예 : 전자식출입차단기, 주차증 ) 를이행한다 PS.S-6.0 권한부여 제한구역 ( 예 : 금고실, 금고 ) 의출입을매월검토하고, 회사관계자및 / 또는제 3 자근무자의역할이나고용상태가변경된경우에도검토한다 PS.S-7.0 전자식출입 복사및마스터링을위한 작업실을별도로마련한다 울타리는무단침입을막을수있을만큼높게설치한다 차량방벽은차량강제침입의가능성을줄일수있는위치에설치한다 접견직원에게방문객의출입요청을관리하는책임을할당한다 경계출입문에카메라를설치하여방문객의신원을확인한다 보안요원이감시하는전자식차단기를설치하여시설내차량출입을통제한다 적절한서류절차를완료한회사관계자및제 3 자근무자에게주차증을배포한다 방문차량이신분증을제시하도록요구하고구내출입시모든방문객이사전허가를받도록한다 회사관계자및제 3 자근무자의고용상태를확인한다 해당출입이각사용자에게할당된직무에적절한지확인한다 각작업실의출입은직무역할에따라출입이필요한관계자만허용한다 한사람이두작업실에출입하지않도록업무분장모델을의무적으로시행한다 PS.S-9.0 카메라 카메라위치설정, 화질, 프레임률 및보존상태를매일검토한다 카메라가모든출입지점과기타민감한구역을감시범위에전부포괄하도록카메라위치설정을검토한다 화질을검토하여조명이적절하며얼굴구별이가능하도록보장한다 감시로그가최소 90 일동안보존되고있는지 MPAA 콘텐츠보안모범사례 보완지침페이지 7
물리적보안 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 감시로그를검토한다 PS.S-9.1 카메라 운영시간중에감시필름을모니터링하고탐지된보안사고를즉시조사할직원또는직원들의팀을지정한다 탐지된보안사고를처리하는사고대응절차를포함시킨다 PS.S-10.0 로깅및모니터링 적용가능한경우, 다음구역에대해전자식출입로그를매주검토한다. 마스터 / 스탬퍼금고실 사전마스터링 서버 / 장비실 스크랩실 보안이철저한케이지 이례적으로간주되는사건을식별하고문서화한다 수상한전자식출입활동이탐지된경우, 적절한보안담당자에게실시간으로통보하는자동보고절차의이행을고려한다 PS.S-11.0 수색 모든시설관계자및방문객에게적용되는다음을포함한출구수색절차를이행한다. 수색을위해모든외투, 모자, 벨트의탈의 주머니속모든내용물꺼내기 보안요원의감독하에자체몸수색실시 모든가방의철저한검사 랩톱내 CD/DVD 플레이어검사 수색대상자로부터약 3 인치거리에서휴대용금속탐지기로스캔 시설내반입이제한된물품 ( 예 : 카메라 ) 이나적절한허가없이시설밖으로반출할수없는필름자료를찾도록보안요원에게지시한다 모든회사관계자및제 3 자근무자에게출구수색관련정책을알린다 교대근무를통해긴행렬및장시간대기를방지한다 MPAA 콘텐츠보안모범사례 보완지침페이지 8
물리적보안 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 PS.S-11.1 수색근무자가디지털기록장치 ( 예 : USB 저장장치, 디지털카메라, 휴대전화 ) 를가지고시설을출입하는것을금하고출구수색절차의일환으로이러한장치에대한수색을포함시킨다 탐지된디지털기록장치는압수하여보안사물함에보관한다 모든콘텐츠도난시도사고를문서화한다 콘텐츠도난을시도한당사자에대해필요한징계조치를취한다 디지털기록기능이내장된이동식 / 휴대전화장치를금지하는정책을이행하고의무시행한다 디지털기록기능이내장된휴대전화에조작확인이가능한스티커가사용될경우사용을허가한다 PS.S-11.2 수색 제작구역에반입되는음식에대해서는투명한비닐백과음식용기를사용하도록의무화한다 제작구역바깥에식사공간을지정하는것을고려한다 PS.S-11.3 수색너무큰의류 ( 예 : 헐렁한바지, 특대의모자달린운동복 ) 의착용을금하는복장규정을이행한다 PS.S-11.4 수색 시설반입및반출이가능한허가받은장치를식별할수있도록조작확인이가능하며번호가매겨진스티커 / 홀로그램을사용한다 PS.S-11.5 수색 출구수색절차를시험하는절차를이행한다 수색절차에대해정기감사를수행하여보안요원이수색을철저히실시하는지확인한다 출구수색절차를개선하는방법을파악한다 수색절차의모든감사결과및개선내용을문서화한다 MPAA 콘텐츠보안모범사례 보완지침페이지 9
물리적보안 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 PS.S-11.6 수색 차량이시설주차장을나갈때임의차량수색절차를실시한다 PS.S-11.7 수색 고도로민감한콘텐츠를처리하는복사라인을따로분리하고기존의분리구역을나갈때수색을실시한다 PS.S-11.8 수색 보안요원의활동을모니터링하는추가관리수단을이행한다 보안요원이시설을퇴장할때실시하는출구수색절차를검토한다 보안요원의설비 / 제작구역감독책임과출구지점에대한보안요원의책임 ( 예 : 수색절차 ) 을분리한다 PS.S-12.0 재고추적 장기간동안금고실밖으로반출된자산에대해자동통보한다 각자산종류에대해예상되는대여기간을설정한다 자산이예상된기간내에반환되지않을경우금고실관리팀에게자동통보하도록콘텐츠자산관리시스템을구성한다 PS.S-12.1 재고추적 운송이정시에이루어질수없는경우지연되거나반환된자산을잠그고로그에기록한다 출입제한구역에자산을보관하는절차를수립한다 자산의현장보관을기록하는문서를유지하고, 보관날짜및사유를기록에포함시킨다 PS.S-13.0 재고합계 각고객의개봉전프로젝트에대한재고개수를매주조사하고, 자산관리기록과대조하여조정한다음, 변동사항을고객에게즉시알린다 모든재고개수를문서화한다 금고실관리팀이재고개수를조사하지않도록한다 ( 즉, 업무분장 ) PS.S-13.1 재고합계 워크플로우과정내내필름소자 ( 예 : 네거티브필름, 미처리필름 ) 를지속적으로 필름재료가워크플로우과정을거치는전과정동안작업지시서와대조하여조정한다 관리연속성양식을사용하여필름재료의이동을 MPAA 콘텐츠보안모범사례 보완지침페이지 10
물리적보안 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 모니터링한다 추적한다 PS.S-14.0 공백매체 / 생필름추적 원재료 ( 예 : 폴리카보네이트 ) 의소비를달마다추적하는절차를수립한다 재고변동을파악하기위해기존의생필름을작업지시서와대조하여조정한다 초과시사고대응절차를가동하는변동임계값을설정한다 월별추적절차의일환으로생필름개수를물리적으로조사하는것을고려한다 PS.S-15.0 고객자산 업무외시간에는출입카드를각기소지한회사관계자 2 명이민감한구역 ( 예 : 금고, 보안이철저한케이지 ) 을개방하도록요구한다 PS.S-15.1 고객자산 중간대기구역에출입제한케이지를사용하고감시카메라로해당구역을감시한다 PS.S-15.2 고객자산 밤사이시설에보관되는미배송소포의경우잠금장치가있는내화성금고를사용한다 금고를고정된표면 ( 예 : 바닥, 벽 ) 에볼트로죄어고정시킨다 PS.S-15.3 고객자산미배송스크리너의보관을위해, 감시카메라및 / 또는보안요원이잠금작동, 출입제한, 감시를담당하는안전한전용구역 ( 예 : 보안케이지, 보안실 ) 을설치한다 직무역할에따라출입이필요한관계자에게만출입을허용한다 스크리너보관구역은완전한봉쇄, 잠금상태를유지하여항상감시되도록한다 감시필름을정기적으로검토하는절차를이행한다 MPAA 콘텐츠보안모범사례 보완지침페이지 11
물리적보안 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 PS.S-16.0 처분 스크랩을파기할경우파기절차를감시하고기록할보안담당자를요구하는절차를이행한다 파기된자산은사용불가능하며복사될수없도록한다 파기된모든스크랩의기록을유지한다 PS.S-16.1 처분 모든회사관계자및제 3 자근무자를대상으로자산처분과파기절차 ( 예 : 자산을지정된용기에투입 ) 에대한정기적인보안교육을실시한다 회사관계자및제 3 자근무자가해당직무에알맞은자산처분과파기교육을받도록요구한다 해당연도에교육을받은근무자를추적하는절차를이행한다 ( 예 : 데이터베이스저장소, 완료증명서 ) PS.S-16.2 처분 디스크를스크랩통에넣기전에흠집을낸다 스크랩통에넣기전에해당매체를파쇄할수도있다 PS.S-16.3 처분 거부된디스크를복사장비로부터스크랩통으로바로옮기는데자동화시스템을사용한다 ( 장비기사가처리안함 ) 처분자동화가가능하지않은경우업무분장을실시한다 ( 예 : 검사디스크를만드는담당자와디스크를파기하는담당자를분리함 ) 디스크가처분된날짜와시간을기록하고이에서명한로그를유지한다 PS.S-16.4 처분 DCDM 드라이브또는사전공개된콘텐츠를파기하는데제 3 자업체를이용하는것을금한다 사전공개된콘텐츠를포함하는 DCDM 드라이브또는기타물리적매체의데이터파기를위한절차를수립하고이행한다 PS.S-17.0 운송 트럭운전사정보를담은별도의로그를문서화하고유지한다 모든트럭운전사에대한로그를유지하고다음정보를포함시킨다. - 이름 - 트랙터및트레일러의번호판 - 제휴회사 - 집배시간과날짜 - 취급콘텐츠 MPAA 콘텐츠보안모범사례 보완지침페이지 12
물리적보안 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 PS.S-17.1 운송 소포를집배하는담당자가개수및운송서류를확인하고운송지점으로부터서명을받도록요구한다 발송합계가해당작업지시서와일치하는지수취자가대조하도록요구한다 불일치사항이나운송품파손이있는경우즉시보고한다 PS.S-17.2 운송 운송이현장에서이루어질경우트레일러의적재및봉인을관찰및감시한다 트레일러적재및봉인시보안담당자가항상참석하도록요구한다 PS.S-17.3 운송 시설간운송의이동시간, 경로및배달시간을기록하고모니터링하고검토하기위한공식절차를이행한다 이용빈도가높은운송지점간의배달시간기준을설정하고오차가있는지실제시간을모니터링한다 큰오차는조사, 보고하고적절한관계자에게상달한다 허가휴게소를지정한다 PS.S-17.4 운송 서명된허가증이있는경우를제외하고필름소자가운송을거치지않고시설밖으로반출되지않게한다 흔하지않은방법으로운반되는발송자산을문서화하는양식을마련한다 자산을운반하기전에적절한담당자의허가를받도록요구한다 운송또는기타방법을통해시설을떠나는필름소자를기록한다 PS.S-17.5 운송 극장개봉전시사용필름은분류하여운송한다 ( 예 : 홀수또는짝수릴별로 ) PS.S-20.0 포장 모든운송품을수축포장하고최종발송전에포장을검사하여포장처리가적절한지확인한다 산적화물로운송될경우개별자산 ( 예 : 스키드, 화물운반대 ) 또는스핀들단위로수축포장을한다 MPAA 콘텐츠보안모범사례 보완지침페이지 13
물리적보안 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 PS.S-21.0 운송차량 운송차량 ( 예 : 트레일러 ) 에다음과같은보안기능을포함시킨다. 운전실과분리 화물칸문을잠그고봉인할수있는기능 엄격한보안이필요한운송품에대한 GPS 민감한콘텐츠및고가치자산의배달에는 GPS 및 DA 추적시스템이설치된차량을이용한다 PS.S-21.1 운송차량 매우민감한제작물을운송할때에는화물칸문에번호가매겨진밀봉지를부착한다 보안요원이밀봉지를부착, 기록및모니터링하도록요구한다 매우민감한소포에는추가보안조치를고려한다 ( 예 : 잠금 / 보안이작동하는화물칸, 잠금장치가달린펠리컨케이스 ) PS.S-21.2 운송차량 매우민감한콘텐츠를고위험지역으로배달할경우호송경비를이용하도록요구한다 불법탈취, 강도및콘텐츠도난으로이어질수있는기타상황로부터매우민감한콘텐츠를보호할수있는보안인력을고용한다 MPAA 콘텐츠보안모범사례 보완지침페이지 14
디지털보안 관리시스템물리적보안디지털보안 조직및관리역량시설자산관리운송인프라콘텐츠관리콘텐츠전송 1 ADS 2 CA 3 CDF 4 D 5 DC 6 DS 7 DVD 8 FL 9 IFE 10 PP 11 R 12 VF 번호 보안주제 모범사례 이행지침 DS.S-9.0 로깅및모니터링 다음에대해사용되는모든시스템에로깅메커니즘을이행한다. 키생성 키관리 업체인증서관리 생성된키와추가된인증서모두에대해해당고유사용자를추적할수있도록한다 DS.S-10.0 보안기술 다음을다루는키관리절차를이행한다 신뢰할수있는장치의승인및회수 콘텐츠키의생성, 갱신및회수 콘텐츠키의내외부배포 필요에따라키관리절차를개선하고문서화한다 키관리절차를콘텐츠워크플로우에포함하고키관리수명주기의각단계 ( 예 : 생성, 배포, 회수 ) 에존재하는위험을식별한다 DS.S-10.1 보안기술 신뢰할수있는장치목록 (Trusted Device List: TDL) 에포함된장치가권한소유자의승인을바탕으로적절한지확인한다 콘텐츠재생용으로신뢰할수있는장치목록을제공하도록고객에게요구한다 TDL 장치에대해서만키전달메시지 (KDM) 를생성한다 DS.S-10.2 보안기술 콘텐츠키의유효성을확인하고만료일이고객지침과부합하도록한다 고객의콘텐츠키의만료일제공을의무화한다 키가만료되는종료일을지정하여콘텐츠를시청할수있는기간을제한한다 MPAA 콘텐츠보안모범사례 보완지침페이지 15
부록 A 시설개요 부록 A 시설개요 다음표에 MPAA 콘텐츠보안모범사례 보완지침의각시설종류에대한간략한개요가나와있다. 시설종류 개괄적설명 콘텐츠 종류 음성, 더빙및자막제작 음성시설은제작과정중에녹음되는음향의처리와추가적인음향효과및악보제작을통한음향의증강을담당한다더빙및자막제작서비스를제공하는시설은서로교체가능한대사와자막의중첩을담당한다. 스틸 대본 음성만 영상및음성 비디오특성설명일반적위험의예 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 음성과결합된완성영상 - 마스터음성파일 - 완성된악보 - 고품질음성및음향효과트랙 - 원시음성파일 - 자막형태로완성된대사 작은크기의음성파일, 자막파일및저해상도영상파일의무단반출 부당이용으로인해응용프로그램과콘텐츠를손상시킬수있는보안취약점을포함한특수및 / 또는맞춤소프트웨어 자원이제한된소규모시설에서의다음과같은보안관리수단부재 : - 출입지점에서의물리적보안 - 관리연속성 - 업무분장 - 기타고급보안관리수단 MPAA 콘텐츠보안모범사례 보완지침페이지 16
부록 A 시설개요 시설종류 개괄적설명 콘텐츠 종류 크리에이티브광고개요 크리에이티브광고시설은제작실이소유한제작물에대한광고의개발, 관리및취급을담당한다. 스틸 대본 음성 ( 영상제외 ) 영상및음성 비디오특성설명일반적위험의예 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 완성된트레일러, 티저및기타광고상품 - 음성과결합된일부고품질영상 - 고해상도스틸과클립 - 콘텐츠공개에훨씬앞선영상, 음성및그래픽 워크플로우및자산관리와관련한취약한보안관리수단 IT 네트워크및콘텐츠접근제한에대한고급기술의부족 스튜디오측이가시성을확보할수없는기타소규모의제 3 자시설및작업자고용 자원이제한된소규모시설에서의다음과같은보안관리수단부재 : - 출입지점에서의물리적보안 - 관리연속성 - 업무분장 - 기타고급보안관리수단 배포개요 배포시설은최종포장상품을홈비디오용으로소매업자및기타업체에운송하는책임을진다. 콘텐츠는주로운송전에이시설내중간대기구역이나창고에보관된다. 스틸 대본 음성만 영상및음성 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 완성된소비자상품 - 전체피처콘텐츠가포함된물리적매체 자산분류및매우민감한콘텐츠취급에대한교육의부재 최종포장상품과소비자상품을포함하는물리적매체를비감시중간대기구역및창고에보관함 크기가작은소비자상품은도난이용이함 ( 홈비디오배포 ) 스튜디오측이가시성을확보할수없는기타소규모의제 3 자업체및작업자고용 전체직원에대한감독이어려운대규모시설 위험한시설소재지 임시및계절근무자는콘텐츠보호에대한교육기회및인센티브가없을수있음 MPAA 콘텐츠보안모범사례 보완지침페이지 17
부록 A 시설개요 시설종류 개괄적설명 콘텐츠 종류 디지털영화개요 디지털영화시설은디지털마스터링과정을비롯하여전체피처디지털콘텐츠를복사하고이를디지털영화극장에배포하는일을담당한다. 이러한서비스는한시설에서모두수행하거나각각의시설에서개별적으로수행할수있다. 스틸 대본 음성만 영상및음성 비디오특성설명일반적위험의예 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 디지털영화원본마스터 (DSM) - 디지털영화배포마스터 (DCDM) - 디지털영화패키지 (DCP) - 완성된고해상도클린음성과영상 키생성및키관리에대해마스터링작업실의일관된준수가이행되지못할수있는임시절차 콘텐츠재생을지정된장치로만제한하는 TDL( 신뢰할수있는장치목록 ) 업데이트의불이행 보관이나운송중에쉽게도난될수있는전체피처 DCP 가포함된하드드라이브의복사및배포 드라이브가발송및반환된장소의관리 디지털서비스개요 디지털서비스시설은필름주사, 색상조정및필름녹화를포함하는디지털후반작업 (DI) 과정을담당한다. DI 과정은일반적으로필름주사로시작하며, 필름주사과정시필름은컴퓨터를사용하여조작및처리될수있는디지털형식으로주사된다. 색보정, 먼지제거, 전환, 그래픽, 최종마스터링등의편집작업을향상된정확도와속도로수행하는도구를사용할수있다. 스틸 대본 음성만 영상및음성 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 필름, 테이프, 하드드라이브, 디지털파일등에저장된음성및영상콘텐츠 - 고품질, 고해상도의전체피처콘텐츠 - 디지털마스터 - 필름배포마스터 필름및디지털파일상의콘텐츠자산관리에대해일관된준수가불이행될수있는임시절차 전체피처콘텐츠의운송에외부특송및배달서비스이용 고도의보안이필요한, 여러형식으로된대량의매우민감한콘텐츠 MPAA 콘텐츠보안모범사례 보완지침페이지 18
부록 A 시설개요 시설종류 개괄적설명 콘텐츠 종류 DVD 제작개요 DVD 제작시설은 Blu-ray 또는 DVD 사전마스터링과정을담당하며, 사전마스터링과정은홈비디오로배포되는재생가능한최종디스크의생산에필요한여러다양한작업단계를포함한다. 스틸 대본 음성만 영상및음성 비디오특성설명일반적위험의예 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 클린 Blu-ray 또는 DVD 마스터및검사디스크 - 완전한고품질음성및영상 - 디지털마스터 - 고해상도디지털후반작업 다음부문에대한임시절차 : - 검사디스크의자산처리및추적 - 검사디스크의수취, 손실, 도난에대한통보 - 미판매상품의안전한보관및파기 검사디스크의초과배포 검사디스크배포에대한취약한관리연속성절차 필름현상소개요 필름현상소는물리적필름의현상, 처리및편집을담당한다. 물리적필름에촬영되어디지털후반작업과정을거치지않는제작물의경우, 모든처리와편집은물리적필름자체를사용하여이루어져야한다. 스틸 대본 음성만 영상및음성 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 완전한고품질음성및영상 - 상영용필름 품질관리검사시일부또는전체피처콘텐츠의녹화 디지털기록장치의사용을금지하는정책이행및의무시행의부재 스크랩보관및파기에대해일관된준수가불이행될수있는임시절차 필름릴의운송및수취에대한절차의불충분 MPAA 콘텐츠보안모범사례 보완지침페이지 19
부록 A 시설개요 시설종류 개괄적설명 콘텐츠 종류 IFE 및접객서비스개요 기내오락 (IFE, In-Flight Entertainment) 및접객시설은기내및기타극장외장소 ( 호텔, 유람선, 여객선, 도서관, 병원, 교도소등 ) 에서의재생에사용되는피처콘텐츠의배포를담당한다이들시설은스크리너검토, 콘텐츠부호화및암호화, IFE 소프트웨어및콘솔에콘텐츠통합등을포함한여러과정을수행한다. 스틸 대본 음성만 영상및음성 비디오특성설명일반적위험의예 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 하드드라이브상의완전한음성및영상 - 고품질의일부또는전체피처콘텐츠 - IFE 마스터 콘텐츠보관에대해보안이거의존재하지않거나없는소규모항공기및극장외장소 다음부문에대한임시절차 : - 소재파악이되지않는스크리너의손실및도난통보 - 콘텐츠의자산관리 포스트프로덕션개요 포스트프로덕션시설은콘텐츠디지털화, 음성및영상편집, 색조정및보정, 품질관리, 디지털마스터링등의여러서비스를담당한다. 스틸 대본 음성만 영상및음성 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 완성된고해상도의클린콘텐츠 - 마스터음성파일 - 완성된악보 스튜디오측이가시성을확보할수없는기타제 3 자시설및작업자에게외주 물리자산에대한취약한관리수단 매체전송시스템및장치상의제한없는인터넷외부접속 콘텐츠무단접근을초래하는네트워크분리부재 자원이제한되어다음과같은보안관리수단을이행할능력이불충분하거나제한적인시설 : - 출입지점에서의물리적보안 - 관리연속성 - 업무분장 - 기타고급보안관리수단 MPAA 콘텐츠보안모범사례 보완지침페이지 20
부록 A 시설개요 시설종류 개괄적설명 콘텐츠 종류 복사개요 복사시설은가정용오락시장에유통될 DVD 의대량생산을담당한다. 이시설은유통을위해포장, 준비되는대량의최종소비자상품을취급한다. 스틸 대본 음성만 영상및음성 비디오특성설명일반적위험의예 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 완성된소비자상품 - DVD 마스터 - 스탬퍼 처리를기다리는대량의물리적콘텐츠 크기가작은소비자상품은도난이용이함 콘텐츠손실및도난에대한보안인식부재 다음부문에대한임시절차 : - 스크랩 DVD 및불량품의파기 - 소재파악이되지않는콘텐츠의손실및도난통보 - 자산분류및매우민감한콘텐츠취급에대한교육 - 운송및수취합계 위험한시설소재지 시각효과 (VF) 개요 시각효과시설은디지털애니메이션, 컴퓨터합성영상및기타특수효과형태를포함한시각효과로라이브액션장면을증강하는작업을담당한다. 스틸 대본 음성만 영상및음성 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 고해상도콘텐츠 - 디지털세트, 배경, 캐릭터외관, 주요플롯라인및의상이나그래픽의최신디자인에대한스포일러 - 디지털효과및컴퓨터합성애니메이션 평판및제작물전체적수익에영향을미칠수있는, 시각효과가배제된생필름의유출. 콘텐츠외부전송으로이어질수있는, 아티스트워크스테이션에대한보안관리수단의부재. 직원의입소문, 개인웹사이트또는소셜미디어를통한민감한프로젝트정보의공개 MPAA 콘텐츠보안모범사례 보완지침페이지 21
부록 A 시설개요 시설종류 개괄적설명 콘텐츠 종류 특송, 배달및운송개요 특송, 배달및운송시설은콘텐츠를포함하는물리적매체 ( 필름, 하드드라이브, DVD 등 ) 를한장소로부터다른장소로운반하는업무를담당한다. 스틸 대본 음성만 영상및음성 비디오특성설명일반적위험의예 완성도 해상도 품질 전체 일부 고 저 클린 워터마크표시 스포일처리 다음과같은민감한콘텐츠의손실, 차단, 또는도난 : - 음성과결합된완성또는일부영상 - 데이터테이프상의모든해상도필름과파일 - 마스터음성파일 - HDD 상의고해상도파일 - 다양한해상도의비디오테이프더브 특송, 배달및운송인력에대한종합적인적격심사와신원조회의부재 자산추적및취급에대해일관된준수가불이행될수있는임시절차 소재파악이되지않는콘텐츠의손실및도난통보에대해일관된준수가불이행될수있는임시절차 자산분류및매우민감한콘텐츠취급에대한교육의부재 MPAA 콘텐츠보안모범사례 보완지침페이지 22
부록 B 보완관리수단관련참고문헌 부록 B 보완관리수단관련참고문헌 다음표에모범사례와관련된 ISO 27001/27002 및 NIST 800-53 표준의일반적인사항이소개되어있습니다. 보안관리수단을구현할때추가정보가필요한경우이표준을참고할수있습니다. 번호보안주제 ISO 27002 참조 NIST 참조 MS.S-1.0 운영진의보안인식 / 감독 6.1.1, 6.1.2 PM-1, PM-2 MS.S-3.0 보안조직 6.1.3 PE-6, PM-2, SI-4 MS.S-4.0 MS.S-4.1 콘텐츠보안및저작권침해이해 MS.S-10.0 제 3 자의이용 MS.S-10.1 및적격심사 8.2.2 AT-3, CP-3 8.2.2, 12.3.1, 12.3.2 AT-3, SC-12 6.2.1 MS.S-10.2 6.2.3, 10.2.2 PS-3 MS.S-10.3 6.2.3, 8.3.3, 10.2, 11.2.4 MS.S-10.4 6.2.3, 8.1.2, 10.2 PS-3 AC-2, PS-4, PS-5, PS-7, SA-9 PS.S-1.0 출입지점 PS.S-1.1 출입지점 9.1.6 PE-3, PE-7, PE-16 PS.S-1.2 PS.S-1.3 PS.S-1.4 9.1.2, 9.1.6 PE-3, PE-7, PE-16 PE-1 13.1.1, 13.1.2 IR-1 번호보안주제 ISO 27002 참조 NIST 참조 PS.S-4.0 경계보안 9.1.1 PE-3 PS.S-4.1 PS.S-4.2 9.1.1 PE-3 9.1.1 PE-3 PS.S-6.0 권한부여 9.1.2, 11.2.4 PE-2, PE-3, PE-6 PS.S-7.0 전자식출입 9.1.2 PE-2, PE-3 PS.S-9.0 카메라 9.1.1 PE-3, PE-6 PS.S-9.1 6.1.3, 9.1.1 IR-5, IR-6, PE-3, PE-6 PS.S-10.0 PS.S-11.0 PS.S-11.1 PS.S-11.2 PS.S-11.3 로깅및모니터링 수색 9.1.2, 10.10 PE-6 7.1.3, 9.1.5, 9.2.7 AC-19 MPAA 콘텐츠보안모범사례 보완지침페이지 23
보완관리수단관련참고문헌 번호보안주제 ISO 27002 참조 NIST 참조 PS.S-11.4 PS.S-11.5 PS.S-11.6 PS.S-11.7 PS.S-11.8 수색 MP-3 10.1.3 AC-5 PS.S-12.0 재고추적 SI-5 PS.S-12.1 9.2.1 MP-2, MP-4 PS.S-13.0 재고합계 7.1.1 CM-8 PS.S-13.1 PS.S-14.0 공백매체 / 생필름추적 PS.S-15.0 고객자산 10.1.3 AC-5 PS.S-15.1 9.1.2 PE-3, PE-6 PS.S-15.2 9.2.1 MP-2, MP-4 PS.S-15.3 7.1.1, 10.7.1 MP-4, PE-2, PE-3 PS.S-16.0 PS.S-16.1 PS.S-16.2 PS.S-16.3 처분 8.2.2, 9.2.6, 10.7.2 AT-2, AT-3, MP-6 9.2.6 MP-6 번호보안주제 ISO 27002 참조 NIST 참조 PS.S-16.4 PS.S-17.0 PS.S-17.1 PS.S-17.2 PS.S-17.3 PS.S-17.4 PS.S-17.5 PS.S-20.0 PS.S-21.0 PS.S-21.1 PS.S-21.2 DS.S-9.0 DS.S-10.0 DS.S-10.1 DS.S-10.2 처분 6.2.1 운송 10.8.2, 10.8.3 MP-5, SA-9 포장 10.8.3 운송차량 로깅및모니터링 10.8.2, 10.8.3 10.8.3 MP-5, PE-16 10.8.2 MP-5, PE-16 10.8.3 PE-16 10.8.3 10.10, 12.3.1, 12.3.2 AU-1, AU-2, AU-3, AU-6, SC-12, SC-13 보안기술 12.3.1, 12.3.2 SC-12, SC-13 12.3.1, 12.3.2 SC-12, SC-13 MPAA 콘텐츠보안모범사례 보완지침페이지 24