위험관리 (Risk Management)

■ 위험관리 (Risk Management)

 - 위험관리는 조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약성을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정

 - 위험관리란 조직 내 주요한 자산의 가치 및 민감도를 측정하고, 이에 대한 위협 및 취약점을 분석하여 위험을 측정하고, 이를 조직에 적합한 위험수준으로 조정하기 위해 보안대책을 선택하는 일련의 활동이다

 - 위험관리는 위험분석과 위험평가가 주된 활동이다

 - 위험관리는 보호대상, 위험요소, 취약점 분석 등을 통한 위험분석, 적절한 메커니즘의 선택, 선택된 메커니즘의 구현과 시험, 구현된 메커니즘의 보안성 평가, 종합적인 보안의 재평가를 포함

 - 위험평가는 분석 결과를 기초로 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위협 수준을 낮추기 위한 과정으로 적절한 보안대책을 결정하는 단계

 

★ 위험관리 목적

 ① 위험분석에서 나온 근거에 바탕을 두며 불필요하거나 과도한 정보보호 투자를 방지한다

 ② 자산에 대한 위험을 분석, 비용 효과적 측면에서 적절한 보호대책을 수립한다

 ③ 위험관리는 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정이다. 즉 위험을 무조건 최소한으로 감소시키는 것 보다는 수용할 수 잇는 수준으로 감소시키는 것이 목적이다

 

★ 위험관리의 순서

 - 위험관리 순서는 자산식별 및 평가, 위협식별, 취약점식별, 영향평가, 대책선정, 권고안 작성 순으로 진행

 - 자산식별 및 평가 단계는 조직의 업무와 연관된 정보, 정보시스템을 포함한 정보자산을 식별하고, 해당 자산의 보안성이 상실되었을 때의 결과가 조직에 미칠 수 있는 영향을 고려하여 가치를 평가한다

 - 위험관리 순서는 크게 '위험분석 → 위험평가 → 대책설정'의 3가지 과정으로 구성된다

 

 

■ 3단계 위험관리 순서

 

1) 위험분석

 - 자산의 위협과 취약점을 분석하여 보안 위험의 내용과 정도를 결정하는 과정

 - 위험을 분석하고 해석하는 과정으로 조직 자산의 취약점을 식별, 위협분석을 통해 위험의 내용과 정도를 결정하는 과정을 의미

 - 모든 시스템에 대한 간단한 초기 분석을 통해 불필요한 시간과 자원의 투자 없이 실행할 수 있다

 

2) 위험평가

 - 분석 결과를 기초로 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위협 수준을 낮추기 위한 과정으로 적절한 보안대책을 결정하는 단계

 - 위험평가의 목적은 적절하고 정당한 보안대책의 수립을 위해 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한 것이다

 - 위험평가 단계는 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 기존의 보호대책을 파악하고, 자산별 위협, 취약점 및 위험도를 정리하여 위험을 평가한다

 

3) 대책설정

 - 허용가능 수준으로 위험을 줄이기 위해 적절하고 정당한 정보보호 대책을 선정하고 이행계획을 구축한다

 

 

■ 위험분석

 - 정보기술 보안관리(IT Security Management)를 수행하기 위해서 필수적인 과정 중의 하나이다

 - 실질적으로 가장 핵심이 되는 부분

 - 모든 시스템에 대한 간단한 초기 분석을 통해 불필요한 시간과 자원의 투자 없이 실행할 수 있다

 - 위험분석의 목적은 보호되어야 할 대상인 정보시스템과 조직의 위험을 측정하고, 이 측정된 위험이 허용가능한 수준인지 아닌지 판단할 수 있는 근거를 제공하는 것이다

 

★ 구성요소

 

① 자산

 - 위험관리를 수행하는 가장 큰 목적은 조직의 자산을 보호하기 위함이다. 자산은 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소를 포함한다. 이러한 자산은 조직의 업무 특성과 시스템 구성환경에 따라 그 가치와 중요도가 다르다

 - 자산의 식별된 위험을 처리하는 방안으로는 위험 수용, 위험 회피, 위험 전가 등이 있다

 - 자산의 가치 평가를 위해 자산구입비용, 자산유지보수비용 등을 고려할 수 있다

 - 자산의 적절한 보호를 위해 소유자와 책임소재를 지정함으로써 자산의 책임추적성을 보장받을 수 있다

 - 자산은 조직이 보호해야 할 대상으로서 주로 정보(Data)와 장비(Hardware) 및 소프트웨어(Software), 기반시설 등을 말하며 관련 인력과 기업 이미지 등의 무형 자산을 포함하기도 한다. 자산의 가치 평가 범위에 데이터베이스, 계약서, 시스템 유지보수 인력 등도 포함된다

 

② 위협

 - 자산이 가지고 있는 고유의 취약점을 이용하여 자산에 직접적인 피해를 줄 수 있는 요소로써, 자산이 가진 취약점을 통해서만 자산에 피해를 줄 수 있다

 

③ 취약점

 - 취약점은 자산의 약점(weakness) 또는 보호대책의 결핍으로 정의할 수 있다

 - 취약점은 위협이 조직에 원하지 않는 사건이나 결말을 가져오는 것을 가능하게 만드는 통제 및 환경상의 결함이나 조건으로 취약점은 존재 자체만으로는 자산에 어떠한 영향이나 피해를 주지 못한다

 - 자산이 보유하고 있는 약점으로 위협에 의해서 이용된다. 이러한 취약점은 네트워크나 시스템 장비가 개발될 때 가지고 있는 고유한 약점이거나, 기존의 시스템 구성에 새로운 장비가 추가되어 생겨날 수 있는 약점일 수도 있다

 

④ 대응책

 - 자산의 취약점이 위협에 노출되어 자산에게 피해를 입힐 수 있는 것을 막아주는 각종 절차, 방법, 기술, 시스템 등이 있다. 보안의 목적을 최대한 달성하기 위하여 여러 종류의 대응책들이 서로 조합을 이루어 다른 종류의 대응책을 구성해 낼 수도 있다

 

⑤ 위험

 - 위협의 발생으로 인하여 자산에 실질적으로 가해진 결과이다. 이로 인하여 자산 자체가 파괴되거나 구성 환경이 변경될 수 있으며, 자산에 저장되어 있는 정보들이 변조, 폭로, 서비스 거부 등의 피해를 입을 수 있다. 이는 자산에 대한 기밀성, 무결성, 가용성, 인증, 신뢰성 등에 손실을 주게 된다

 - 위험은 위협 정도, 취약점 정도, 자산 가치 등의 함수관계로 산정할 수 있다

 

■ 위험분석 접근법

 

1) 기준선 접근법 (Baseline Approach, 기본통제 접근법)

 - 기준선 접근법은 표준화 된 보호대책의 세트를 체크리스트 형태로 구현하여 이를 기반으로 보호대책을 식별하는 방법

 - 모든 시스템에 대하여 기본적이고 일반적인 수준에서 표준화 된 정보보호 대책 세트를 체크리스트 형태로 제공하는 것을 목표로 함

 - 글로벌 선도 기업이 수행하고 있는 가장 이상적인 업무 수행 방법(업계 최선 실무)을 벤치마킹하여 위험분석을 시행한다

 - ISO/IEC 17799와 같은 정보보호관리체계 표준에 나열된 보안 통제사항을 근거로 시스템에 대한 보안 위험을 분석하는 방법이다. 즉 표준에 나열된 보안 통제사항을 체크리스트 형태로 비교하면서 보안 위험을 분석한다

 

 ☆ 장점

   - 위험분석에 필요한 비용 및 시간을 최소화 할 수 있다

 

 ☆ 단점 

   - 기본 통제의 수준이 너무 높으면 비용이 과다 지출되는 과보호의 위험이 있으며, 또한 너무 낮으면 부족한 보호가 될 가능성이 상존한다

   - 보안환경 변화에 따른 요구사항 반영이 적절한 수준으로 조정되지 않으면 새로운 취약점에 대한 통제가 미비될 수 있다

   - 점수에 집착 할 수 있고 계량화가 어려운 단점이 있으며, 소규모 조직에 적합하다

 

 

2) 비정형화 된 접근법 (Informal Approach, 비형식화 된 접근법)

 - 정형화되고 구조화 된 프로세스를 사용하는 대신에, 분석을 수행하는 내부 전문가나 외부 컨설턴트의 지식과 전문성을 활용한다

 - 모든 정보자산에 전문가 지식 및 경험을 활용하는 방법으로 전문가 판단법이라고도 하며, 중소규모 조직에 일반적으로 추천된다

 

 ☆ 장점

   - 비용 대비 효과가 우수하며 중소규모 조직에 적합하다

   - 상세 위험분석보다 빠르고 값싸게 수행될 수 있다

 

 ☆ 단점

   - 비정형화 된 접근법으로 특정 위험이 고려되지 않아 누락하는 경우가 발생할 수 있다

   - 설정의 근거가 희박하며, 검토자의 개인적 경험에 지나치게 의존한다

   - 전문성이 높은 인력이 수행하지 않으면 실패할 위험이 있다

   - 측정의 완전도가 낮다

 

 

3) 상세 위험분석 접근법 (Detail Risk Analysis)

 - 상세 위험분석 접근법은 자산의 가치 분석, 위협 분석, 취약점 분석을 수행하여 위험을 분석하는 방법이다

 - 정형화되고 구조화 된 프로세스를 사용하여 모든 정보자산에 대해 상세 위험분석을 하는 방법이다

 

 ☆ 장점

   - 자산가치, 위협, 취약점의 평가에 기초한 위험을 산정하므로 경영상 허용수준까지 위험을 줄이는 근거가 명확하다

   - 계량적 수치화가 가능하다

   - 평가의 완전도가 높다

 

 ☆ 단점

   - 상당한 시간, 노력, 비용이 상당히 든다

   - 고급의 숙련된 인력이 필요하다

 

 

4) 복합 접근법 (Combined Approach, 통합된 접근법)

 - 기준선 접근법과 상세 위험분석 접근법을 조합하여 분석하는 방법으로 고위험 영역은 상세 위험분석을 수행하고, 다른 영역은 기준선 접근법을 사용하는 방식이다

 

 ☆ 장점

   - 비용 및 자원을 효과적으로 사용할 수 있으며 고위험 영역을 빠르게 식별하고 처리할 수 있다

   - 부분적 계량화가 가능하다

 

 ☆ 단점

   - 고위험 영역이 잘못 식별되었을 경우 비용 낭비 및 부적절한 대응이 이루어 질 수 있다

   - 기준선 접근법이 부정확한 경우 상세 위험분석이 필요한 시스템이 누락될 위험이 있다

 

 

■ 정성적 위험분석과 정량적 위험분석

 

1) 정성적 위험분석

 - 정성적 위험분석은 구성 요소와 손실에 대해 숫자와 화폐적 가치를 부여하는 대신에, 다양한 위험 가능성의 시나리오에 정성적 방법을 투영시켜 위협의 심각성과 자산 중요성의 순위를 정한다

 - 정성적 위험분석 기술은 판단, 직관, 그리고 경험을 포함한다

 

 ☆ 정성적 위험분석을 수행하는 경우

  - 위험분석을 수행하는 직원이 정량적 위험분석 경험이 부족할 경우

  - 위험분석 수행기간이 단기일 경우

  - 조직이 위험분석을 수행하는 데 필요한 충분한 데이터를 제공할 수 없는 경우

 

 ☆ 장점

  - 계산에 대한 노력이 적게 든다

  - 정보자산에 대한 가치를 평가할 필요가 없다

  - 비용/이익을 평가할 필요가 없다

 

 ☆ 단점

  - 진단 및 결과가 기본적으로 주관적이어서 사람마다 결과가 달라질 수 있다

  - 측정결과를 화폐가치로 평가하기 어렵다

  - 비용/효과 분석에 있어 기회비용을 일반적으로 무시한다

  - 주관적 측정치로 위험관리 목적들을 추적하기 어렵다

  - 위험완화 대책의 비용/이익 분석에 대한 근거가 제공되지 않고, 문제에 대한 주관적인 지적만 있다

  - 표준을 사용할 수 없다. 각각의 업체들은 자기만의 절차와 결과의 해석방법을 갖는다

 

* 정성적 위험분석 방법 종류

구분	설명
델파이법	- 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법 - 전문가 집단으로 구성된 위험분석 팀의 위험분석 및 평가를 통해 여러 가능성을 전제로 위협과 취약성에 대한 의견수렴을 통한 분석 방법 - 위험분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만 정확도가 낮음
시나리오법	- 시나리오법은 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법이다 - 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고 위험분석 팀과 관리충 간의 원활한 의사소통을 가능케 한다. 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮다
순위결정법	- 순위결정법은 비교 우위 순위 결정표를 위험 항목들의 서술적 순위로 결정하는 방법이다 - 각각의 위협을 상호 비교하여 최종 위협요인의 우선순위를 도출하는 방법이다 - 위험분석에 소요되는 시간과 분석하여야 하는 자원의 양이 적다는 점이 있으나 위험 추정의 정확도가 낮다
퍼지 행렬법	- 복잡하고 비선형적인 시스템에 대한 정확한 모델링 없이 분석하는 방법이다

 

2) 정량적 위험분석

 - 정량적 위험분석은 수학적 기법을 활용하여 자산에 대한 해당 위험도를 분석하는 방법으로, 위험에 대한 분석을 숫자나 금액 등을 이용하여 객관적으로 분석하는 것이다

 - 정량적 위험분석은 평가 대상 자산의 화폐가치 산정이 가능한 경우로 자산 도입비용, 자산 복구비용, 자산 교체비용이 기준이 된다

 - 정량적 위험분석을 통해 위험비용이 보안대책의 비용을 초과하는지 분석하는 것으로 많은 시간과 경험, 그리고 경험 많은 인력을 필요로 한다

 - 분석 내 각 요소의 자산가치, 위협빈도, 취약의 심각성, 피해영향, 안정장치 비용, 불확실성, 그리고 개연성 항목이 수량화되어 전체적인 위험과 잉여 위험을 결정하기 위해 방정식에 입력된다. 이때 자동화 위험분석 도구가 많이 사용된다

 

 ☆ 정량적 위험분석을 사용하는 경우

  - 조직의 데이터 수집, 보관 프로세스가 복잡한 경우

  - 위험분석 수행 직원의 경험이 많은 경우

  - 위험분석 수행기간이 장기일 경우

 

 ☆ 장점

  - 객관적인 평가기준이 적용된다

  - 정보의 가치가 논리적으로 평가되고 화폐로 표현되어 납득이 더 잘된다

  - 위험관리 성능평가가 용이하다

  - 위험평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해하기 쉽다

 

 ☆ 단점

  - 계산이 복잡하여 분석하는 데 시간, 노력, 비용이 많이 든다

  - 관리자는 결과값이 어떤 방법으로 도출되었는지 알 수 없다

  - 자동화 도구 없이는 작업량이 너무 많으며, 위험분석의 신뢰도가 자동화 도구를 생산한 벤더에 의존된다

  - 환경에 대한 자세한 정보의 수집이 필요하다

 

* 정량적 위험분석의 예

구분	설명
ALE (연간 예상 손실)	- 자산가치 x 노출 계수 = 단일 예상 손실 (SLE) - 단일 예상 손실 x 연간 발생률 = 연간 예상 손실 (ALE)
과거자료 분석법	- 과거자료 분석법은 과거의 자료를 통해 위험발생 가능성을 예측하는 방법으로써 과거 자료가 많을수록 분석의 정확도가 높아진다
수학공식 접근법	- 수학공식 접근법은 위험의 발생빈도를 계산하는 식을 이용하여 위험을 계량하는 방법이다 - 과거 자료 획득이 어려울 경우 위험 발생 빈도를 추정하여 분석하는 데 유용하다. 위험을 정량화하여 매우 간결하게 나타낼 수 있다 (기대손실을 추정하는 자료의 양이 낮다)
확률 분포법	- 미지의 사건을 추정하는 데 사용되는 방법이다 - 미지의 사건을 확률적(통계적) 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있다 (정확성이 낮다)

 

■ 브레인스토밍 (Brain Storming)

 - 리더, 기록자 외에 10명 이내의 참가자(stomer)들이 기존의 관념에 사로잡히지 않고 자유로운 발상으로 아이디어나 의견을 내는 것

 - 6~12명 정도의 사람들이 모여 20분~1시간 가량 문제에 관한 리더의 설명을 듣고, 가능한 많은 대체인을 제시하면 이들은 비판받지 않고 기록된다. 그 후 토의와 분석이 이루어진다

 - 이의 목적은 보다 자유롭고 융통성 있는 사고를 증진하고 구성원들의 창조성을 촉진시키는 것이다. 브레인스토밍에서는 어떠한 내용의 발언이라도 그에 대한 비판을 해서는 안 되며, 오히려 자유분방하고 엉뚱하기까지 한 의견을 출발점으로 해서 아이디어를 전개시켜 나가도록 하고 있다. 이를테면, 일종의 자유연상법이라고도 할 수 있다

 - 어떠한 아이디어도 평가받거나 비난받지 않아야 하며, 브레인스토밍의 목적은 아이디어 평가가 아니다

 - 우습거나 독단적일지라도 다양한 아이디어가 용납되며, 질보다는 양을 추구하는 경향이 있다

 - 타인의 아이디어와의 결합을 통해 새로운 아이디어와 의견을 발상하고, 각 아이디어는 개인이 아닌 집단에 속하게 된다

 

 

■ 명목집단 기법 (Nominal Grouping Technique)

 - '명목(名目)'이란 독립적으로 행동하는, 이름만으로 집단을 구성함을 뜻한다. 사람들이 모이기는 하나 구두로 서로 의사소통 하도록 용납하지 않는 과정을 뜻한다

 - 7~10명의 구조화 된 집단모임으로 테이블에 둘러앉기는 하지만 서로 말하지 않고 종이에 아이디어를 기록하고 5분 후에 각자가 한 아이디어를 발표함으로써 아이디어의 공유가 시작된다

 - 지명된 한 사람이 기록자로서 흑판에 구성원 전체의 모든 아이디어를 익명으로 기록한다. 그때까지 토의는 시작되지 않는다. 이것이 첫 단계로써 통상 20분 전후가 걸린다

 - 다음 단계는 투표를 하기 전에 각 아이디어에 대한 구조적 토의가 이루어지는 과정이다. 각 아이디어의 지지도를 분명히 하기 위해 질문이 계속 된다. 그 후 투표를 통해 우선순위가 결정된다. 구성원들이 대면한다는 사실만 제외하고는 델파이법과 유사하다