[정보보안기사] 40. 정보보호 위험관리

1. 위험(Risk) 이란?

원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 의미한다. (발생 가능성 * 손실의 정도)

 

1) 위험의 구성 요소

위협은 취약점을 공격하여 이용하고, 취약점은 자산을 노출시킨다.

 

자산(Assets): 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소

위협(Threats): 자산에 손실을 초래할 수 있는 사건의 잠재적 원인이나 행위자 (환경적, 의도적, 우연적 위협이 존재)

취약점(Vernerability): 정보보호 대책의 미비

 

위험을 파악 함으로써 보안 요구사항을 파악할 수 있고 보안 요구사항을 파악하기 위해 정보보안 대책을 선정하여 구현한다.

 

정보보호 대책(Safeguard): 위협에 대응하여 자산을 보호하기 위한 관리적, 기술적 대책 (FW, IPS, 절차, 정책, 교육, 통제 등)

 

 

조직은 자산가치 산정을 통해 보호를 받을 가치가 있는 자산에 대해 정보 자산의 형태, 소유자, 관리자, 특성 등을 포함한 목록을 만들고 자산의 가치와 중요도를 산출하여 정보자산과 업무처리와의 관계를 알아낼 수 있다.

 

2) 전체 위험(Total risk)과 잔여 위험(Residual risk)

정보보호 대책을 구현하여 전체 위험을 수용할 수 있는 수준으로 감소시키고 구현 후 100% 안전한 시스템이나 환경은 존재하지 않기 때문에 남겨진 위험을 잔여 위험이라고 부른다.

 

전체 위험: 위협 * 취약점 * 자산

잔여 위험: 전체 위협 - 대책, (위협 * 취약점 * 자산) * 통제 격차

 

3) 위험 관리

조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정은 보안 관리 활동의 핵심이다.

 

위험관리 세부과정

자산 식별 → 위험 분석 및 평가  → 정보보호대책 수립 → 정보보호계획 수립  

 

2. 위험 분석

위험을 관리하기 위해 위험 분석은 가장 핵심적인 과정이다.

보호되어야 할 대상 정보 시스템과 조직의 위험을 측정하고 측정된 위험이 허용 가능한 수준인지 아닌지 판단할 수 있는 근거를 제공하는 것이다.

 

1) 사전 위험 분석

효과적인 위험 분석을 하기 위해서 현재 구성되어 있는 네트워크 및 시스템 환경에서 적합한 위험분석 수준을 결정하는 것이다.

사전 위험 분석이 이루어진 후 위험 분석 방법을 결정한다.

 

2) 위험 분석 방법

기준 접근법, 비 정형화된 접근법, 상세 접근법, 통합된 접근법 총 4가지가 존재한다.

 

2.1) 기준 접근법 (Baseline Approach)

표준화된 보안대책의 세트를 체크리스트 형태로 제공한다.

조직화된 위험 평가 접근법을 구현할만한 자원을 갖지 못한 작은 조직에 사용하도록 권고되는 것이 일반적이다.

조직의 자산 변동이나 새로운 취약점 발생 등 보안환경의 변화를 적절하게 반영하지 못한다.

위험분석을 위한 자원이 필요하지 않다.

 

장점: 자원과 비용 감소, 시간과 노력 감소, 반복 사용 가능 

단점: 조직의 특징과 시스템이 사용되는 방법에 따라 달라질 수 있는 위험의 차이를 고려할 수 없음

 

2.2) 비 정형화된 접근법 (Informal Approach, 전문가 의존형 접근법)

개인의 지식과 전문성을 활용하여 실용적인 위험 분석을 실시한다.

중소규모의 조직에 적합하다.

 

장점: 개인의 지식과 전문성에 의존하므로 위험분석이 빠르고 비용 감소

단점: 일부 위험이 적절하게 평가되지 않을 수 있고 취약한 상태로 방치할 가능성 존재, 주간적 판단에 의한 정당성 결여

 

2.3) 상세 위험 분석 (Detailed risk analysis)

정형화되고 구조화된 방법을 이용하여 조직의 IT 시스템의 모든 정보자산에 대해 상세 위험 분석을 하는 방법이다.

보통 중요도가 높거나 자산가치가 클 경우에 적용된다.

 

장점: 보안 위협에 대해 가장 상세하게 살펴봄, 정당화 가능

단점: 자원과 비용 증가, 시간과 노력 증가, 지연 발생 가능성

 

2.3.1) 자산 분석

조직의 자산 규모를 파악하고 자산의 가치 및 중요도 산출 및 자산과 업무처리와의 관계도를 알 수 있다.

 

분석 대상: 자산도입 비용, 자산복구 비용, 자산교체 비용

 

자산 분석 과정

① 자산의 식별

데이터, 문서, 소프트웨어의 자산을 조사한다.

 

② 3단계 자산 평가

자산의 CIA 측면에서 중요도를 평가한다.

중요도 평가가 모호한 경우 데이터, 서비스 중 중요도가 가장 높은 것을 따라 결정할 수 있다.

 

기밀성, 무결성: 데이터가용성: 서비스

 

③  자산의 그룹핑

조사된 자산을 CIA평가 결과에 기초하여 자산 유형, 보안특성, 중요도가 같은 것들을 묶어 공통 자산 그룹으로 명시한다.

 

상세 위험 분석 종류

자산 분석: 조직의 자산 규모 파악, 자산의 가치 및 중요도 산출, 자산과 업무처리와의 관계 파악

위협 분석: 자산에 피해를 가할 수 있는 잠재적 위협 파악, 위협이 발생할 가능성

취약점 분석: 자산의 속성과 중요도를 바탕으로 자산이 가지고 있는 취약점 식별 및 취약점이 전체적인 위험에 미칠 수 있는 영향

대응책 분석: 네트워크 및 시스템을 새로 구축하거나 운영 중인 자산에 필요한 대응책 조사 후 기본 기능 수행 여부를 파악

위험 평가: 자산, 위협, 취약점, 대응책 분석을 통해 결과를 바탕으로 위험을 측정하고 평가한 후 대응책을 제시

잔류 위험 평가: 위험 평가에서 대응책을 적용할 때 보안 정책에 명시되어 있는 허용 위험 수준을 만족하는지 검증

 

2.4) 통합된 접근법 (Combined Approach, 복합 접근법)

고위험 영역은 상세 위험 분석을 사용하고 다른 영역은 베이스라인 접근법을 사용하는 방식이다.

중요한 자원이 투입되기 전에 필요한 정보를 얻기 위한 간단한 고수준 접근을 사용한다.

 

장점: 상세 위험 분석, 베이스라인 접근법을 초기에 적용하여 유연성있게 해결 가능 

단점: 초기 위험 평가가 정확하지 않을 경우 조직을 일정 시간 동안 취약한 상태로 방치, 잘못 선택될 가능성 존재 

 

3. 위험 처리 전략

1) 위험 수용

현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것이다.

과도한 비용 또는 시간이 들 경우 위험을 수용하고 위험에 대한 손실을 책임져야 한다.

 

2) 위험 감소

2.1) 위험 결과를 낮추는 방법

위험이 발생했을 때 조직에 해가 되는 결과를 낮추는 대책이다.

백업, 프로세스 확립, 이중화, 재난 복구 계발 계획 등이 있다.

 

2.2) 위험 발생 가능성을 낮추는 방법 

자산의 취약점이 실제로 이용될 수 있는 가능성을 낮추는 통제수단을 구현하는 것이다. (비용효과 분석 실시)

기술적 통제(방화벽, 액세스 토큰 설치), 관리적 통제(교육, 비밀번호 정책 설정)를 포함할 수 있다. 

 

3) 위험 전가

위험에 대한 책임을 제삼자와 공유하는 것이다.

보험, 다른 기관과 계약(보안관제) 등이 있다.

 

4) 위험 회피

위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것이다.

 

 

4. 정량적 위험분석과 정성적 위험분석

1) 정량적 위험 분석

위험 분석 프로세스의 모든 요소에 금전적 가치와 숫자 값을 부여한다. (객관적 분석)

수학적, 과학적인 접근 방식을 통해 도출된 값을 통해 잔여 위험을 판단한다.

 

자동 위험 분석 방식: 정량적 위험 분석이 수동으로 진행된다면 매우 어려우므로 자동으로 만들어주는 분석 도구가 존재한다.

 

1.1) 정량적 위험 분석 단계

①자산에 가치 부여: 각각의 자산에 대한 가치를 설정

②각각의 위협에 대한 잠재적 손실 계산: 노출계수 계산, SLE(단일 예상 손실) 계산(자산가치 * 노출계수)

③위협 분석 수행: ARO(연간 발생률) 계산 (1년 동안의 시간 단위에서 특정한 위협이 발생할 수 있는 빈도를 추정하는 값)

④개별 위협마다 전체 손실 예상액 도출: ALE(연간 예상 손실) 계산 (SLE * ARO)

⑤ 위험 감소, 위험 전이, 위험 수용

 

고객 DB에 대한 자산가치와 노출 계수 ARO값이 존재할 때 SLE, ALE 값은?

자산	위험	자산가치	노출계수	SLE	ARO	ALE
고객 DB	해킹	$432,000	74%		25%

정답

SLE: $319,680

자산 가치 * 노출 계수

432,000*0.74 = 319,680

 

ALE: $79,920

SLE * ARO

319,680*0.25 = 79,920

 

1.2) 정량적 방법의 종류

과거 자료 분석법: 과거 자료를 통해 미래 사건의 발생 가능성 예측

수학공식 접근법: 위협 발생 빈도를 계산하는 식을 이용하여 위험을 계량

확률 분포 법: 미지의 사건을 추정하는데 이용

점수 법: 위험 발생 빈도에 가중치를 두어 추정 (과거 자료의 획득이 어려울 경우)

 

2) 정성적 위험 분석

다양한 위험 가능성 시나리오에 판단, 직관, 경험을 투영시켜 위협의 심각성과 자산 중요성의 순위를 정한다.

가치를 따로 평가할 필요가 없지만, 측정 기준이 주관적이고 위험 관리 성능을 추적할 수 없다.

 

2.1) 정성적 방법의 종류

델파이 법: 전문가 집단이 위협과 취약점을 토론을 통해 분석

시나리오 법: 일정 조건하의 위협에 대해 발생 가능한 결과를 추정 

순위 결정법: 비교 우위 순위 결정표에 위험 항목들의 서술적 순위 결정

퍼지 행렬 법: 위험분석 요소들을 정성적인 언어로 표현된 값을 사용하여 기대손실을 평가

 

위험 발생 요인

자산, 위협, 취약점 → 정보보호 대책

위험 분석 방법론

기준 접근법, 비정형화 접근법, 상세 분석, 통합 접근법

위험 처리 방법

위험 수용, 위험 감소, 위험 전가 , 위험 회피

위험 분석 방법

정량적 위험 분석 (델파이, 시나리오, 순위, 퍼지 행렬), 정성적 위험 분석(과거 자료, 수학 공식, 확률 분포, 점수)