정보보호 위험 관리
위험관리
위험을 감수할 수 있는 수준을 유지하기 위해 자산에 대한 위험 분석
위험으로부터 자신을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정
보호대책은 시간이 지나면서 효과가 감소하므로 지속적이고 반복적인 위험관리 필요(1년에 1~2회)
위험을 평가하고 조직이 수용할 수 있는 수준으로 감소시키기 위해 적절한 보호대책을 필요한 곳에 설치
위험
원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 말함, 자산에 실질적으로 가해진 결과
위험은 잠재적인 위협이 현실화되어 나타날 경우 손실액 (위헙 = 위협이 성공할 가능성 x 위협 성공시 손실크기)
위험 구성요소
자산 : 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소
위협 : 자산 손실을 일으키는 잠재적 원인이나 행위자
취약점 : 자산의 잠재적 속성으로 위협의 이용 대상
정보보호대책 : 막아주는 절차, 방법, 기술
전체 위험 = 위협 x 취약점 x 자산
잔여 위험 = 전체 위험 - 대책 = 위협 x 취약점 x 자산 x 통제격차
위험분석
보안위험의 내용과 정도를 결정하는 과정
위험 관리 중 80% 이상을 위험분석 과정이 차지함
사전 위험분석의 목적은 효과적인 위험분석 수행을 위해 현재 구성되어 있는 환경에 적합한 위험분석 수준을 결정
위험분석 방법론
기준선 접근법 Baseline Approach
- 모든 시스템에 대하여 표준화된 정보보호대책 세트를 제공
- 체크리스트 형태
- 정보보호대책의 유무를 판단하여 없는 것을 구현
- 장점 : 비용 및 시간 절약
- 단점 : 과보호 또는 부족한 보호가 될 가능성 상존, 보안환경 변화 반영 미비, 점수에 집착, 계량화가 어려움
비정형화된 접근법 Informal Approach
- 모든 정보자산에 기업 이외의 전문가 지식 및 경험을 활용하는 방법 (전문가 판단법)
- 장점 : 비용 대비 효과가 우수하며 소규모 조직에 적합, 상세 위험분석보다 빠름
- 단점 : 누락하는 경우 발생, 설정의 근거가 희박, 검토자의 개인적 경험에 의존, 전문성이 높아야 함, 측정의 완전도 낮음
상세 위험분석 접근법
- 모든 정보자산에 대해 상세 위험분석을 하는 방법
- 자산가치, 위협, 취약점의 평가에 기초한 위험을 산정하므로 경영상 허용수준까지 위험을 줄이는 근거가 명확
- 계량적 수치화 가능, 평가의 완전도 높음
- 상당한 시간, 노력이 소요, 고급의 숙련된 인력 필요
복합 접근법
- Baseline Approach와 상세 위험분석을 조합하여 분석하는 방법
- 비용 및 지원을 효과적으로 사용
- 고위험 영역을 빠르게 식별하고 처리
- 부분적 계량화
- baseline approach가 부정확한 경우 상세 위험분석이 필요한 시스템이 누락
- 고위험 영역이 잘못 식별되었을 경우 비용 낭비 및 부적절한 대응
상세 위험분석
자산 분석 > 위협 분석 > 취약점 분석 > 대응책 분석 > 위험산출
조직의 자산규모를 파악하고 자산의 가치 및 중요도를 산출
자산과 업무처리와의 관계도 알 수 있음
정량적 기준 | 정성적 기준 |
자산도입 비용 | 업무처리에 대한 자산의 기여도 |
자산복구 비용 | 자산이 영향을 미치는 조직과 작업의 수 |
자산교체 비용 | 시간(복구 시간) |
자산 분석
- 자산의 식별
- 데이터 : 전산화된 정보. 데이터 파일, 데이터베이스 내의 데이터
- 문서 : 종이로 된 정보. 보고서, 계약서, 매뉴얼, 각종 대장
- 소프트웨어 : 패키지 소프트웨어, 시스템 소프트웨어, 응용 프로그램 등
- 3단계 자산 평가
- 자산의 비밀성, 무결성, 가용성 측면의 중요도를 평가할 수 있음
- 비밀성과 무결성은 주로 데이터에 의해 결정, 가용성은 서비스에 의해 결정
- 자산의 그룹핑
- 자산 유형, 보안특성, 중요도가 같은 것들을 묶어서 공통 자산 그룹으로 명시
- 같은 결과가 나오는 자산에 대하여 동일한 작업을 여러 번 반복하지 않기 위함
- 자산의 수가 적고 결과가 다양하면 그룹핑 하지 않음
위협 분석
- 자산에 피해를 가할 수 있는 잠재적인 요소인 위협을 파악
- 발생할 가능성 등 분석하는 과정으로 위험을 산출하는데 있어 중요한 단계
취약점 분석
- 취약점을 식별하고 취약점이 전체적인 위험에 미칠 수 있는 영향을 분석
대응책 분석
- 네트워크 및 시스템을 새로 구축하는 경우와 운영 중인 자산에 필요한 대응책 조사
- 대응책들의 기본 기능 수행여부를 파악
위험 평가
- 위험을 측정하고 평가한 후 대응책을 제시해주는 위험분석의 최종 단계
- 정량적 또는 정성적 위험평가 방법을 사용하여 위험을 나타내고 순위를 결정함
잔류 위험 평가
- 허용 위험수준을 만족하는지 검증
- 만족시키지 못한다면 허용 가능한 위험수준까지 낮출 수 있도록 필요한 대응책 마련
위험처리 전략
위험 수용 : 현재 위험을 받아들이고 잠재적 손실 비용을 감수, 어쩔 수 없는 것으로 인정
위험 감소 : 결과를 낮추는 대책(사후)과 위험 발생 가능성을 낮추는 대책(사전, 예방)
위험 전가 : 책임을 제3자와 공유하는 것, 보험을 들거나 다른 기관과 계약 등
위험 회피 : 프로세스나 사업을 수행하지 않고 포기
정량적 위험분석과 정성적 위험분석
정량적 위험분석
- 자동 위험분석 방식 : 수작업으로 진행된다면 매우 어려운 일이 될 수 있음. 자동 위험분석 도구 존재
- 노출 계수 : 손실비율(%)
- SLE Single Loss Expectancy 단일 예상 손실 = 자산가치 x 손실 비율(%)
- ARO Annualized Rate of Occurence 연간발생률 (5년에 1번 발생 = 1/5)
- ALE Annualized Loss Expectancy 연간예상손실 = ARO x SLE
- 과거자료 분석법, 수학공식 접근법, 확률 분포법, 점수법
📍수학공식 접근법 : 위협의 발생 빈도를 계산하는 식을 이용하여 위험을 계량화하는 방법
정성적 위험분석
- 판단, 직관 그리고 경험을 포함
- 델파이법, 시나리오법, 순위결정법, 퍼지 행렬법
📍시나리오법 : 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과 추정
📍순위결정법 : 각각의 위협을 상호 비교하여 최종 위협요인의 우선순위를 도출하는 방법
정량적 위험분석 | 정성적 위험분석 |
객관적인 평가기준이 적용됨 정보의 가치가 논리적으로 평가되고 화폐로 표현됨 위험관리 성능평가가 용이 위험 평가 결과가 금전적 가치, 백분율, 확률로 표현됨 |
계산에 대한 노력이 적게듦 정보자산에 대한 가치를 평가할 필요가 없음 비용/이익을 평가할 필요 없음 |
계산이 복잡하여 분석하는데 시간/노력/비용이 많이 듦 수작업의 어려움으로 자동화 도구를 사용할 시 시노리도가 벤더에 의존 |
위험평가 과정과 측정기준이 지극히 주관적이어서 사람에 따라 달라짐 측정결과를 화폐가치로 표현하기 어려움 위험완화 대책의 비용/이익 분석에 대한 근거가 제공되지 않고, 문제에 대한 주관적인 지적만 있음 위험관리 성능을 추적할 수 없음 |