[위험관리] 상세 위험분석 (Detailed risk analysis)

출처 - KISA 정보보호관리체계 위험관리 가이드 (2004)
https://www.kisa.or.kr/204/form?postSeq=010304&lang_type=KO

KISA 한국인터넷진흥원

---

1. 상세 위험분석 절차

위험분석의 절차는 자산 분석, 위협 평가, 취약성 평가, 정보보호 대책의 평가를 통해 잔존 위험을 평가하는 단계로 나눌 수 있음

1) 자산 분석
  a. 주요 자산을 유형별로 분류하여 목록을 작성한다.
  b. 각 자산에 대하여 조직에 대한 가치를 평가한다.
  c. 각 자산에 대하여 비밀성, 무결성, 가용성의 요구 정도를 평가한다.
  d. 세 가지 보안속성과 해당 자산의 가치에 기초하여, 각 위협에 따른 보안사고가 각 자산에 미치는 영향(손실)을 판단한다.

- 결국 어떤 자산을 어떤 방법으로 어느 정도 비용으로 보호해야할 것인가를 결정해야 함
- 따라서 위협에 대한 영향이 달라지는 것을 고려하여 주요 자산 중심으로 분류하고, 자산의 목록은 자산의 가치평가 및 비밀성, 무결성, 가용성 요구사항이 달라지는 수준에서 그룹핑하는게 좋음

2) 위협 분석 및 취약성 분석 단계
- 우려되는 발생 가능한 위협을 목록화하고 각각의 발생 가능성을 예측
- 위협에 대한 취약성을 자산 별로 확인하여 그 정도를 결정
- 모든 위협을 고려하는 것은 어려우므로 중요한 위협을 빠뜨리지 않도록 주의해야 함
- 위협의 발생 가능성을 정확히 평가하는 것은 불가능하며 검증할 수도 없지만, 그럼에도 위협의 발생 가능성을 추론하는 것은 중요함
- 취약성 분석도 모든 취약성을 나열하는 것은 불가능함
- 그래서 파악된 위협에 대해 자산별로 취약성을 평가하거나 인증심사 기준과 같은 표준적인 대책 목록에 대하여 구현 여부를 확인한 후 구현되지 않은 대책의 영향을 파악하기도 함
- 우려(concern)라는 표현으로 위협과 취약성을 통합한 개념으로 가능성을 평가하기도 함

3) 정보보호대책의 효과 평가
- 자산, 위협, 취약성을 분석하여 파악한 위험을 원천 위험(original risk)라고 함
- 취약성 평가 시에는 이미 설치된 보안 대책의 보호 효과를 고려하지 않고 평가했음
- 정보보호대책의 적용에 따라 취약성을 낮추거나 피해의 규모를 감소시키거나 위협의 발생 가능성을 낮출 수 있음
- 따라서 마지막에는 자산에 대한 존재하는 위협 및 취약성에 대비하여 이미 설치된 정보보호대책의 효과를 평가하게 됨
- 이렇게 함으로써 최종적으로 현재 조직의 위험 규모를 평가하게 됨

---

2. 정성적 위험평가와 정량적 위험평가

1) 정성적(Qualitative) 위험평가
- 손실이나 위험의 개략적인 크기로 비교
 ㄴ ex. 화재 위험이 높다, 해킹 위험이 낮다
- 위험을 어떤 상황에 대한 설명으로 묘사함
 ㄴ ex. 네트워크 호스트의 기술적 장애
 ㄴ ex. 외부인에 의한 사용자 ID 도용
- 그 정도는 매우 높음, 높음, 중간, 낮음 등으로 표현하거나, 5점 척도, 10점 척도의 점수화가 사용되기도 함

장점
- 금액으로 평가하기 어려운 정보의 평가가 가능
- 분석 시간이 상대적으로 짧고 이해가 쉬움

단점
- 표현이 주관적이어서 사람에 따라 그 이해가 달라질 수 있음

2) 정량적(Quantitative) 위험평가 
- 손실 및 위험의 크기를 금액, 숫자 값으로 나타냄
 ㄴ ex. 조직의 연간 예상 손실액
- 연간 예상 손실액(ALE, Annual, Los Expectancy)을 계산하기 위해 모든 값들을 정량화 시켜서 표현
 ㄴ 연간 기대 손실은 어떤 위협이 성공했을 경우 예상 손실액(Single Loss Expectancy)에 그 위협의 연간 발생률(Annual Rate of Occurrence)을 곱한 값

장점
- 비용・가치 분석이 수행될 수 있고, 예산 계획에 활용할 수 있음
- 평가된 값이 의미하는 바가 분명함

단점
- 분석에 필요한 시간, 노력의 비용이 커짐
- 이러한 값이 실제 자산의 가치를 정확히 반영할 수 없음

---