정보보안기사 필기 - 40(정보보호 위험 관리)

- 위험 관리

위험 관리란 조직의 자산에대한 위험을 감수할 수 있는 수준으로 유지하기위하여 자산의 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정을 말합니다. 위험 관리 과정은 첫째 전략과 계획을 수립하고, 둘째 위험을 구성하는 요소들을 분석하고, 셋째 이러한 분석에 기초하여 위험을 평가하여, 넷째 필요한 정보보호 대책을 선정하고, 다섯째 이들을 구현할 계획을 수립하는 5가지 세부 과정으로 이루어집니다. 위험관리는 보안관리 활동에 있어 가장 핵심적인 부분입니다.

 

<위험의 구성요소>

위험이란 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 의미합니다. 발생 가능성 * 손실의 정도로  표현할 수 있습니다. 또한 자산 * 위험 * 취약점으로도 표현할 수 있습니다.

 

<위험의 구성요소>

자산 : 위험관리를 수행하는 가장 큰 목적은 조직의 자산을 보호하기 위함입니다.

위협 : 자산에 손실을 초래할 수 있는 사건의 잠재적 원인이나 행위자로 정의됩니다.

취약점 : 자산의 잠재적 속성으로써 위협의 이용대상이 되는 것으로 정의되나 때로 정보보호대책의 미비로 정의되기도 합니다. 취약점이 없다면 위협이 발생해도 손실이 나타나지 않습니다.

정보보호 대책 : 위협에 대응하기위해 자산을 보호하기 위한 관리적, 기술적 대책으로 정의됩니다.

 

<전체 위험과 잔여 위험>

전체 위험(total risk) : 기업이 어떠한 안전장치도 설치하지 않았을경우의 위험을 말합니다. 취약점*자산*위험으로 표현합니다.

잔여 위험(residual risk) : 전체 위험에서 안전 장치로 대책을 마련한 경우의 위험을 말합니다. 전체위험 - 대책 으로 표현할 수 있습니다.

 

- 위험 분석

위험 분석은 위험관리중 80% 이상을 위험 분석 과정이 차지하고 있으므로 실질적인 가장 핵심은 위험분석 과정이라고 할 수 있습니다. 위험 분석의 목적은 보호되어야할 대상 정보시스템과 조직의 위험을 측정하고 이 측정된 위험이 허용가능한 수준인지 아닌지 판단할 수 있는 근거를 제공하는 것입니다. 위험분석 수준을 선택하기 위해서는 사전 위험 분석을 수행해야합니다.

 

<사전 위험분석>

사전 위험분석의 목적은 네트워크 및 시스템 환경에 적합한 위험분석 수준을 결정하는 것입니다. 얼마나 위험 분석을 할 것인지 어디서부터 어디까지 위험분석을 할 것인지 정합니다. 자산과 해당 자산의 업무상 중요도등을 고려해야합니다.

 

<위험분석 방법론>

기준 접근법(baseline approach) : 보안대책의 세트를 체크리스트 형태로 제공합니다. 이 체크리스트에 있는 보안 대책이 현재 구현되어 있는지를 판단하여 없는 것을 구현하는 방식을 취합니다. 갭분석이 예가 될 수 있으며 작은 조직에 사용하도록 권고되고 있습니다. 자원과 비용과 시간, 노력을 최소화 할 수 있지만 조직 내의 시스템이 사용되는 방법에따라 달라질 수 있는 위험의 차이를 고려할 수 없다는 점이 있습니다.

비정형화된 접근법(informal approach) : 개인의 지식과 전문성을 활용하여 실용적인 위험분석을 실시합니다. 전문가 의존형 접근법으로도 불리빈다. 위험 분석이 비교적 빠르게 수행될 수 있고 비용이 적게듭니다. 하지만 일부 위험들이 적절하게 평가되지 않을 수 있고 개인의 주관적 판단에 따라 결과가 왜곡될 수 있는 단점이 있습니다.

상세 위험 분석(Detailed risk analysis) : 정형화되고 구조화된 프로세스를 사용하여 조직의 IT 시스템에대해 상세한 위험 평가를 수행하는 것입니다. 보통 위험분석을 한다면 상세 위험 분석을 지칭합니다. 위협에대해 가장 상세하게 살펴보며 연속적으로 시스템을 관리하는데 필요한 가장 좋은 정보를 제공합니다. 하지만 시간과 자원, 전문성등에대해 비용이 많이들며 분석에 소요시간에의해 시스템에 따라서 적절한 수준의 보안을 제공하는데 지연이 발생할 수 있습니다.

통합된 접근법(combined approach) : 복합 접근법은 고위험 영역을 식별하여 이영역은 상세 위험분석을 수행하고 다른 영역은 베이스라인 접근법을 사용하는 방식입니다.적정 수준의 보호를 가능하면 빨리 제공한다음 시간을 두고 중요시스템들에 대한 위험을 보다 구체적으로 평가하여 보호대책을 조정하는 것입니다.

 

- 상세 위험 분석

업무상 중요도가 높거나 자산 가치가 클 경우 적용됩니다. 자산 분석, 위협 분석, 취약점 분석, 대응책 분석 , 위험 산출등의 일련의 과정을 상세위험분석이라고 하며 일반적으로 위험분석을 수행한다고 하는 것은 상세 위험분석을 수행함을 의미합니다. 아래는 과정들입니다.

• 자산 분석 : 위험분석 결과의 정확도를 결정하는데 필요한 매우 중요한 과정입니다. 자산 분석 과정은 자산 조사과정과 자산 가치 산정 과정으로 구성되어 있으며 자산을 식별해야합니다.
• 위협 분석 : 자산에 피해를 가할 수 있는 잠재적인 요소인 위협을 파악하고 발생할 가능성등을 분석하는 과정으로 위험을 산출하는데 있어 중요한 단계입니다.
• 취약점 분석 : 자산 분석을 통하여 자산의 속성과 중요도를 바탕으로 자산이 가지고 있는 취약점을 식별하고 분석합니다. 자산의 잠재적인 위험을 산출하고 평가하기위한 사전작업으로 자산에 취약점이 미치는 영향을 알아냅니다.
• 대응책 분석 : 네트워크 및 시스템을 새로 구축하는 경우와 운영중인 자산에 필요한 대응책을 조사하여 이들 대응책들의 기본 기능 수행여부를 파악합니다.
• 위험 평가 : 자산 분석, 취약점 분석, 위협 분석, 대응책 분석을 통하여 얻은 데이터와 분석 결과를 바탕으로 위험을 측정하고 평가한 후 대응책을 제시해주는 위험 분석의 최종 단계입니다. 위험 평가 과정은 정량적 또는 정성적 위험 평가 방법을 사용하여 위험을 나타내고 이를 바탕으로 위험이 높은 것부터 낮은 것까지 순위를 결정합니다. 위험 순위를 바탕으로 가장 위험한 자산과 그 자산에 필요한 대응책을 도출하며 대응책 실시 비용과 감소된 위험 수준을 고려하는 비용효과분석을 실시합니다.
• 잔류위험평가 : 보안 정책에 명시되어 있는 허용 위험수준을 만족하는 지를 검증하는 것으로 만약 만족시키지 못한다면 위험 수준까지 낮추는 대응책을 마련해야합니다.

- 위험 처리 전략

• 위험 수용(risk acceptacne) : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말합니다. 일정 수준 이하의 위험은 어쩔 수 없는 것으로 인정하고 사업을 진행하는 것입니다.
• 위험 감소(risk reduction) : 위험 수준을 낮추는 대책은 위험 결과를 낮추는 대책과 위험발생 가능성을 낮추는 대책으로 나눌 수 있습니다. 위험결과를 낮추는 대책은 실제로 발생했을때 해가되는 결과를 낮추는 대책으로 예를 들어 자료 백업 프로세스 확립, 재난 복구 계획 개발 등이 있습니다. 위험 발생 가능성을 낮추는 대책은 자산의 취약점이 실제로 이용될 수 있는 가능성을 낮추는 통제수단을 구현하는 것으로 예를 들면 방화벽 설치, 강한 인증 수단 적용 등이 있습니다.
• 위험 전가(rsik transition) : 위험에 대한 책임을 제3자와 공유하는 것으로 보험을 들거나 다른 기관과 계약을 맺는것이 있습니다.
• 위험 회피(risk avoidance) : 위험이 존재하는 사업을 수행하지않고 포기하는 것입니다.

- 정량적 위험 분석과 정성적 위험분석

<정량적 위험분석>

정량적 위험분석은 분석 프로세스의 모든 요소에 대하여 금전적 가치와 숫자값을 부여하는데 사용됩니다. 분석내의 각요소는 공식에 입력되어 전체 및 잔여 위험을 판단합니다. 이는 과학적이거나 수학적입니다. 객관적인 평가긱준이 적용되지만 계산이 복잡하여 부석하는데 비용이 많이듭니다. 위험 분석 공식에 입력하기위해 모든 데이터를 수집하고 결과를 해석하는 작업이 수작업으로 진행되면 매우 어렵고 오래걸릴 수 있습니다. 따라서 여러 자동 위험 분석 도구가 있습니다. 아는 보고서와 그래프를 출력할때 유용합니다. 아래는 예시입니다.

자산	위험	자산가치	노출계수	SLE	ARO	ALE
고객 DB	해킹	$432,000	74%	$319,680	25%	$79,920

노출 계수 : 실제로 위험이 일어났을때 피해를 입는 정도

SLE : 한번의 침해로 발생한 손실액

ARO : 연간 위협 발생률로 25%라면 한해에 91번 발생

ALE : ARO * SLE

 

<정성적 위험분석>

다양한 위험 가능성의 시나리오에 경험을 투영시켜 위협의 심각성과 자산 중요성의 순위를 정합니다. 판단, 직관 그리고 경험으로 판단합니다. 계산에 대해 노력이 적게들지만 사람에따라 결과가 달라집니다.

 

<정성적 방법의 종류>

• 과거자료 분석법 : 과거의 자료를 통해 위험발생 가능성을 예측합니다.
• 수학 공식 접근법 : 위협의 발생 빈도를 계산하는 식을 이용하여 위협 발생 빈도를 추정하고 분석합니다.
• 확률 분포법 : 확률적 편차를 이용하여 최저, 보통, 최고의 위험분석을 예측할 수 있습니다. 정확성은 낮습니다.
• 점수법 : 위험 발생 요인에 가중치를 두어 위험을 추정합니다. 정확도는 낮습니다.

 

<정성적 위험분석>

• 델파이법 : 전문적인 지식을 가진 전문가 집단이 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약점을 토론을 통해 분석하는 방법입니다. 정확도가 낮습니다.
• 시나리오 법 : 일정 조건하의 위협에 대해 발생가능한 결과를 추정하는 방법입니다. 적은 정보를 가지고 가능성을 추론할 수 있지만 이론적인 추측에 불과합니다.
• 순위 결정법 : 비교 우위 순위 결정표에 위험 항목들의 서술적 순위를 결정합니다. 각각의 위협을 상호 비교하여 취종 위협 요인의 우선순위를 도출합니다.
• 퍼지 행렬법 : 자산의 가치를 화폐로 표현하고 위협발생확률의 높고 낮음을 변수로 표현하여 수학적으로 계산합니다.