[위험관리] 위험, 위험의 구성요소, 위험관리 방법론

KISA에서 배포한 정보보호관리체계 위험관리 가이드 (2004)

https://www.kisa.or.kr/204/form?postSeq=010304&lang_type=KO

KISA 한국인터넷진흥원

 

굉장히 오래된 자료지만 위험관리 방법은 변함이 없다는 얘기를 들어 정리해본다.

(위험관리가 무엇인지 어렴풋이는 알지만 아직 명확히 설명은 못하겠는데.. 이거라도 보고나면 좀 나아질까 싶어서)

---

1. 위험 (Risk)

원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성

2. 위험의 구성요소

1) 자산 (Assets)
   - 조직이 보호해야 할 대상 (정보, 하드웨어, 소프트웨어, 시설, 인력, 기업 이미지 등)
   - 자산의 파괴, 기밀성, 무결성, 가용성의 손상 또는 조직의 이미지 실추 같은 보안사고 발생 시의 손실을 파악해야 함
   - 손실을 정량적으로 측정할 수 있다면 손실과 보호대책 간의 균형을 맞출 수 있음
   - 하지만 어떤 사건이 발생했을 때의 손실의 규모는 파악하기 어려우므로, 자산의 가치를 평가하여 자산이 손상되는 정도를 파악함
   - 손실(loss)을 영향(effect), 결과(consequence)로 표현하기도 함

2) 위협 (Threats)
   - 자산에 손실을 초래할 수 있는 사건의 잠재적인 원인이나 행위자
   - '비인가된 노출' 같이 위협이 현실화됐을 때 나타나는 결과로 표현하기도 하고, 'IP Spoofing' 처럼 사건이 일어나는 방식으로 표현하기도 함
   - 위협의 유형은 자산에 영향을 미치는 방식을 규정하며, 대책 선정에도 영향을 미치므로 가능한 구체적으로 표현하는게 좋음
   - 발생가능성(frequency, likelyhood)은 위협의 연간 발생 횟수 또는 발생 정로도 표현됨
   - 위협이 발생했다고 해서 반드시 피해가 발생하는 것은 아니며, 위협에 취약한지 또는 그 취약성을 보호할 대책이 있는지에 따라 달라짐
   - 위협의 발생 가능성(외부에서의 해킹 시도)와 위협의 성공 가능성(홈페이지 변조)는 다를 수 있음
   - 위험 분석 모델에 따라 위협의 외부적인 발생 가능성을 평가하는 경우도 있고, 위협의 성공 가능성을 평가하는 경우도 있음
   - 취약성은 때로 위협, 위험과 구분이 모호할 수 있음. 그래서 위협과 취약성을 결합한 우려(concern)이라는 개념을 사용하기도 함
   - 우려는 어떤 위협이 어떤 취약성에 작용하여 어떤 피해를 발생시킬 가능성 (위험의 유형)

3) 취약성 (Vulnerability)
   - 자산의 잠재적 속성으로서 위협의 이용 대상이 되는 것
   - 취약성이 없다면 위협이 발생해도 손실이 나타나지 않음
   - 특정 위협이 발생할 때 특정 자산의 가치와 관련한 어느 정도의 피해가 발생할 지를 나타냄

4) 정보보호 대책 (Safeguard, Countermeasure)
   - 위협에 대응하여 자산을 보호하기 위한 관리적, 기술적 대책
   - 방화벽, 침입탐지 시스템과 같은 제품 뿐만 아니라 절차, 정책, 교육 등의 모든 통제들이 포함됨
   - 특정 보호대책이 위험을 어느 정도 제거할 수 있는지 보호대책의 효과(Effectiveness) 정도를 평가하여, 보호대책의 구현 및 관리 비용과 비교함으로써 보호대책 선정을 정당화하게 됨

---

3. 위험관리 (Risk Management)

조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위해, 자산에 대한 위험을 분석하고
위험으로부터 자산을 보호하기 위한 보호대책을 마련하는 과정

 1) 전략과 계획 수립
 2) 위험을 구성하는 요소들을 분석
 3) 분석에 기초하여 위험 평가
 4) 정보보호 대책 선정
 5) 정보보호 대책을 구현할 계획 수립

일반적으로 아래와 같이 부르며 이 과정을 통틀어 위험관리라고 하지만, 용어를 혼용해서 쓰는 경우도 많음
- 위험분석: 위험을 식별
- 위험평가: 위험의 규모를 결정 
- 위험완화: 필요한 대응책을 식별 (=정보보호 계획 수립)

---

4. 위험분석 방법론

정보기술 보안 관리를 위한 국제 표준 지침인 ISO/IEC 13335-1에서는 위험분석 젼락을 크게 4가지로 나눔

1) 베이스라인 분석법
- 모든 시스템에 대해 표준화된 보안대책을 체크리스트 형태로 제공
- 체크리스트의 보안대첵이 구현되어 있는지를 판단하여 없는 것을 구현하는 방식
- 갭 분석(Gap analysis)가 이러한 예시

장점
- 분석 비용과 시간이 절약됨

단점
- 과보호 또는 부족한 보호가 될 가능성이 있음
- 조직에 적합한 체크리스트가 존재하는게 아니라면 위험분석을 하지 않는 것과 유사한 상태가 됨
- 조직의 자산 변동이나 새로운 위협/취약성의 발생 또는 위협 발생률의 변화 등 보안환경의 변화를 적절하게 반영하지 못함
- 담당자로 하여금 보안 상태 자체보다 체크리스트를 통해 나타나는 점수에 집착하게 하여, 보안 필요에 따른 우선순위 보다는 구현 용이성에 따라 정보보호대책을 구현하게 되는 경향이 나타나기 쉬움

2) 비정형 접근법 (Informal approach)
- 구조적인 방법론에 기반하지 않고 수행자의 경험 및 지식에 따라 중요 위험 중심으로 위험분석을 수행하는 것

장점
- 상세 위험분석보다 빠르고 비용이 덜 듦
- 작은 규모의 조직에는 적합할 수 있음

단점
- 새로운 분야나 수행자의 경험이 적은 분야의 위험 영역을 놓칠 가능성이 있음
- 논리적이고 검증된 방법론이 아니라 검토자의 개인적 경험에 의존하므로, 사업 분야 및 보안에 전분성이 높은 인력이 참여하여 수행하지 않으면 실패할 위험이 있음 

3) 상세 위험분석 (Detailed risk analysis)
- 잘 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 것
- 방법론에 따라서는 취약성 분석과 별도로 정보보호대책 분석을 수행하기도 함

장점
- 조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있음
- 자산, 위협, 취약성의 목록이 작성 및 검토되었으므로 이후 변경이 발생하였을 때 해당 변경에 관련된 사항만 추가, 조정, 삭제함으로써 보안 환경의 변화에 적절히 대처할 수 있음

단점
- 분석에 시간과 노력이 많이 소요됨
- 채택한 위험분석 방법론과 모델을 잘 이해해야 하므로 비정형 접근법과 마찬가지로 고급 인력이 필요함

4) 복합 접근법 (Combined approach)
- 고위험 영역은 상세 위험분석을 수행하고, 다른 영역은 베이스라인 접근법을 사용하는 방식

장점
- 비용과 자원을 효과적으로 사용할 수 있음
- 고위험 영역을 빠르게 식별하고 적절하게 처리할 수 있음

단점
- 고위험 영역이 잘못 식별되었을 경우 위험분석 비용이 남비되거나 부적절하게 대응할 수 있음