정보보안 - 위험관리

위험 관리(Risk Management)

• 위험 관리는 프로젝트 추진 과정에서 예상되는 각종 돌발 상황(위험) 을 미리 예상하고 이에 대한 적절한 대책을 수립하는 일련의 활동이다.
  • 위험은 불확실성과 손실을 내재하고 있는데, 위험 관리는 이러한 위험의 불확실성을 감소시키고 손실에 대비하는 작업이다.
  • 위험을 식별한 후 발생 확률을 산정하고, 그 영향을 추산하여 해당 위험에 대비하는 비상 계획을 마련한다.
    • 조직의 자산에 대한 식별을 통해 자산가치를 판별하고, 가치에 따라 보안대책을 수립
    • 조직의 자산에 대한 위험감수수준
      • 예:자산 가치 3억에 5억의 비용을 들여 보호하는 것은 넌센스다.
  • 주기적, 반복적으로 위험 관리를 하여야 함.
• 세부과정
  • 전략/계획 수립
  • 위험 요소 분석
  • 위험평가 : 위험에 대한 규모를 규정
  • 정보보호대책 선정 : 위험완화
  • 대응책 구현
    • 위험관리에 위험분석이 80% 비율, 위험관리, 위험분석, 위험평가를 비슷한 의미로 사용하기도 함
• 위험 관리는 프로젝트 추진 과정에서 예상되는 각종 돌발 상황(위험) 을 미리 예상하고 이에 대한 적절한 대책(위험 완화)을 수립하는 일련의 활동
  • 위험은 불확실성과 손실을 내재하고 있는데, 위험 관리는 이러한 위험의 불확실성을 감소시키고 손실에 대비하는 작업
  • 위험을 식별(위험 요소 분석)한 후 발생 확률을 산정(위험평가)하고, 그 영향을 추산(위험평가-위험의 규모를 결정)하여 해당 위험에 대비하는 비상 계획을 마련함
    • 위험분석 없이 보호대책을 수립하는 경우
      • 취약점이 너무 많아짐
      • 위협에 대한 우선순위가 설정되지 않음 : 과도한 투자가 이루어질 수 있음

위험 분석

• 위험 관리의 핵심 (80% 이상)
• 정보시스템과 조직의 위험을 측정하고 허용여부의 판단근거를 마련하는 과정
• 위험 분석 방법 : 기준 접근법(베이스라인 접근법), 세부위험분석(상세위험분석), 복합접근법, 비정형접근법 (ISO/IEC 13335-1)
• 위험 (Risk) : 원하지 않는 사건이 발생하여 손실이나 부정적 영향을 미칠 가능성
  • 위험 : 발생가능성 x 손실
• 위험의 구성요소
  • 자산 (Assets) : 조직이 보호해야 할 대상 (무형자산도 포함)
    • 정보, H/W, S/W, 시설, 인력, 기업이미지, 평판, 직원들의 사기
    • 자산 유형에 따라 취약성이 분류됨 (예: 문서는 해킹에 대한 취약점이 없음)
      • 자산의 분류 및 파악이 위험을 평가하는데 중요함
        • 보안사고 발생시 손실 (loss) 에 대한 파악이 되어야 함
        • 양적으로 손실 측정이 가능 -> 보호대책의 비용과 보안사고시 손실간 균형을 맞추는데 활용
        • 자산평가(가치) 의 필요성 : 구체적인 금액, 자산 손상시 미치는 피해의 정도
          • 취약성 파악의 필요성
          • 자산 관련 비용 (구회비용, 기회비용, 복구비용, 침해시 보상비용 포함)
  • 위협 (Threat) : 자산의 손실을 초래할 수 있는 윈치 않는(돌발적인) 사건의 잠재적 원인, 잠재적 행위자
    • 위협의 원천
      • 환경적 요인
        • 장비고장, 자연재해
      • 인간에 의한 요인
        • 의도적 위협, 우연한 위협
    • 위협 발생이 반드시 피해가 발생함을 의미하는 것은 아님
      • 자산의 취약성을 이용하는 것이 위협 (원치 않는 사건의 원인)
        • 자산의 취약성에 대한 보호대책이 있으면 위협의 결과(피해) 가 달라짐
        • 위협 발생 가능성 : 해킹시도
        • 위협 성공 가능성 : 해킹성공
  • 취약성 (Vulnerability)
    • 자산의 잠재적 속성
    • 자산과 위협 사이의 관계를 맺어주는 특성
    • 위협의 이용 대상
    • 정보보호대책의 미비
  • 정보보호대책 (대응책) (Safeguard, Countermeasure)
    • 위협에 대응하여 자산을 보호하기 위한 관리적, 기술적 대책
    • 관리적 대책 : 절차, 정책, 교육
    • 기술적 대책 : IDS, Firewall
    • 보호대책의 효과를 파악하여 보호대책을 선정해야 함
      • 모든 위험을 완전히 제거할 수 없음
  • 위험 = f(자산, 위협, 취약점)
  • 전체위험(Total Risk) = 자산 * 위협 * 취약성
  • 잔여위험(Residual Risk) = (위협 * 자산 * 취약점) * 통제격차 (Controls Gap)
    • 통제격차 : 비용효율성, 조직에 대한 안전장치의 가치 (대응책 시행 전에 잔여위험을 파악하기 위함)
    • 잔여위험 : 전체위험 - 대응책
• 위험 분석의 절차
  • 위험관리
    • 범위결정
    • 위험분석 (80% 이상 차지)
      • 자산식별
      • 자산가치평가 / 위협평가 / 기존 보안대책 평가 / 취약성 평가
      • 위험평가
    • 대책선택 (제약조건을 고려)
    • 위험수용여부 결정
      • Yes : 보안정책 -> 보안계획수립
      • No : 대책선택으로 회귀 (다른 대책을 선택)
    • IT 시스템 보안정책 수립
    • IT 보안계획 수립
• 위험 분석의 유형
  • 기준선접근법 (Baseline-approach)
    • 체크리스트 (모든 시스템에 대한 표준화된 보안대책의 Set) 를 이용
    • BS7799 ISO-17799 를 사용한 Gap 분석
    • 장점 : 분석 비용, 시간을 매우 절약할 수 있음
    • 단점 : 과보호 또는 과부족 보호가 될 가능성이 존재
      • 조직에 적합한 체크리스트여야 함
    • 소규모 조직에 사용되도록 권고
  • 비정형 접근법 (Informal approach)
    • 구조화된 (정형화된) 방법론에 기반하지 않고 경험자의 지식과 전문성을 활용하여 실용적 위험분석 실시
    • 중소규모조직에 적합
    • 전문가 의존형 접근법 (내부 전문가, 외부 보안 컨설턴트)
    • 장점 : 위험분석이 빠름, 비용 절감, 조직내 시스템에 대해서 구체적 위험과 취약성 평가가 가능, 정교한 목표지향적인 대책, 통제수단 제시
    • 단점 : 일부 위험이 적절하게 평가되지 않을 수 있음. 개인의 주관적 판단에 의한 것이기 때문에 대책에 대한 정당성 결여, 결과왜곡이 될 수 있음. 일관성 없는 평가
  • 상세 위험 분석 (Detailed Risk Analysis)
    • 시간과 노력이 많이 소요됨 (비용 많이 발생, 대책 구현시 지연이 발생할 수 있음)
    • 고급 인적 자원이 필요
    • 가장 포괄적인 접근법 (정형화, 구조화된 프로세스 사용)
    • 모든 중요한 위험이 식별 (가장 상세한 분석 - 계량적 수치화, 평가의 완전도가 높음)
    • 보안환경 변화에 적절히 대처할 수 있음
  • 복합 접근법 (통합된 접근법, Combined Approach)
    • 기준선접근법, 비정현접근법, 상세위험분석접근을 상황에 맞게 복합적으로 적용
    • 예 : 고위험 영역을 식별하여 상세위험 분석, 다른 영역은 기준선접근법을 사용
• 상세 위험 분석
  • 위험 분석의 절차와 동일
    • 자산 분석
      • 주요자산 유형별 분류, 목록 생성 (위험 분석 결과 정확도와 연관)
      • 기밀성, 무결성, 가용성 평가
      • 자산의 가치 평가
    • 위협 분석
      • 위협 : 자산에 피해를 가할 수 있는 잠재적 요인
      • 위협을 파악, 발생 가능성을 분석 (위험산출에 있어서 중요한 단계)
        • 자산, 취약성 (위협이 취약성을 공격) 간의 관계를 정의
          • 향후 위협이 미칠 대상을 고려할 수 있음
      • 위협의 발생가능성은 정확히 평가할 수 없음 / 검증할 수 없음
        • 추론하는 것은 자산의 특성과 위험을 이해하는 것에 도움을 줌
    • 취약점 분석
      • 존재하는 모든 취약점을 나열하는 것은 불가능함
      • 자산분석을 통해 도출된 자산의 중요도, 속성을 바탕으로 자산이 갖고있는 취약점을 식별할 수 있음
      • 자산분석, 위협분석, 취약점 분석을 통해 파악한 위험을 Original Risk 라고 함
    • 대응책 분석
      • 대응책 : 취약성을 낮추거나 피해규모 감소, 위협 발생 가능성을 낮추는 것
    • 위험 평가 : 위험분석의 최종 단계
      • 자산, 위협, 취약점, 대응책의 분석을 통해 도출한 분석결과 데이터를 이용해 위험을 측정, 평가 => 대응책 제시
      • 보안대책 수립을 위해 시스템 및 그 자산의 노출위험을 평가하고 식별하는 단계
      • 피해의 크기와 발생 가능성을 고려
      • 위험 평가 과정
        • 정량적 위험평가(분석)
          • 손실의 크기나 위험의 크기를 금액(숫자값)으로 표기
          • 연간 예상(기대) 손실액 (Annual Loss Expectancy) 계산을 위해서 관련된 모든 값들을 정량화
            • ALE = SLE * ARO
            • SLE (Single Loss Expectancy) : 어떠한 위협이 성공했을 때 예상 손실액
              • 자산가치 * 노출계수
            • ARO (Annual Rate of Occurrence)
        • 정성적 위험평가(분석)
          • 손실의 크기와 위험의 크기를 개략적으로 비교
          • 화재 위험이 높다
          • Very High, High, Medium, Low..
      • 정량적 위험 분석 종류
        • 과거자료분석법
          • 과거자료를 통해서 미래 예측
          • 빅데이터 활용
          • 정확성이 높음
        • 수학공식접근법
          • 과거자료의 획득이 어려울 경우
          • 발생 빈도를 추정하는 계산식을 활용
          • 기대손실을 추정하는 자료의 양이 적음
        • 확률분포법
          • 정확성이 낮음 (확률적 편차 활용)
          • 미지의 사건을 추정
        • 점수법
          • 각 위험 발생 요인에 대해 가중치를 둠
          • 분석시간이 짧고, 분석해야할 자원의 양이 적음 -> 정확성이 낮음
      • 정성적 위험 분석의 종류
        • 델파이법
          • 전문가 취약점 토론 방법
          • 정확도가 낮음
        • 시나리오법
          • 어떠한 사건도 기대대로 발생하지 않는다는 사실에 근거하여 추정
          • 정확도, 완성도가 낮음
        • 순위결정법
          • 각각의 위협을 비교하여 순위를 매김
          • 정확도가 낮음
        • 퍼지행렬법
          • 정성적 위험 분석의 종류임에도 불구하고 수학적으로 계산하는 방법
          • 정성적 언어로 표현된 값을 수학적 방법을 이용하여 표현
          • 자산 가치 - 크고 적음을 화폐의 가치로 표현
          • 위협의 발생확률 - 높고 낮음을 변수로 표현
    • 잔류위험 평가
      • 위험 분석 결과에 대한 종합적 평가를 내리기 전에 검증하는 단계
• 위험 처리 방법
  • 위험 회피 (Avoidance)
    • 위험이 존재하는 프로세스 또는 사업을 포기
  • 위험 이전 (Transfer)
    • 위험 전가, 외주나 보험을 활용하여 잠재적 비용을 제3자에게 이전하거나 할당하는 것
  • 위험 수용 (Acceptance)
    • 위험을 일정수준 감수하고 일정정도 이용
  • 위험 감소 (Reduction)
    • 위험 축소
    • 위험 결과를 감소시킬 수 있는 대책을 채택하여 구현
      • 예) 자료백업 프로세스 확립, 재난복구계획 개발, 이중화
    • 위험 발생 가능성을 감소시킬 수 있는 대책을 채택하여 구현
      • 예) 통제수단 마련 (방화벽, 인증수단 등)
    • 감소되는 위험의 크기와 대책에 드는 비용을 비교하여 대책을 선택한다.