위험평가와 위험대책

■ 위험평가

 - 위험평가는 자산 분석, 취약점 분석, 위협 분석, 대응책 분석을 통하여 얻은 데이터와 분석 결과를 바탕으로 위험을 측정하고 평가한 후 보안대책을 제시해주는 단계이다

 - 위험평가 과정은 정량적 또는 정성적 위험평가 방법을 사용하여 위험을 나타내고, 이를 ㅏ탕으로 위험이 높은 것부터 낮은 것까지 순위를 결정한다

 - 위험순위를 바탕으로 가장 위험한 자산과 필요 대응책을 도출하며, 대응책 실시비용과 감소된 위험수준을 고려하는 비용효과 분석을 실시한다

 

** 위험평가의 목적

  - 적절하고 정당한 보안대책의 수립을 위해 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한 것

 

 

■ 위험대책

 

1) 위험관리 전략 및 방법

  - 위험관리 작업반은 일반적으로 해당 업무 프로세스와 위험요인을 이해하는 실무 책임자와 IT 실무 책임자가 포함되어야 하며, 위험관리 전문가가 작업반을 주도한다

  - 위험관리 전략은 크게 위험감소, 위험전가, 위험회피가 있으며, 정보보호 대책은 주로 위험감소를 위해 사용된다

  - 위험관리가 추구하는 궁극적인 목표는 무조건 위험을 최대한 제거하는 것으로 생각할 수 있다. 그러나 이것은 끝없는 비용 투자가 필요한 방법이다. 완전히 위험을 제거한다는 것은 올바른 목표라 할 수 없다. 보다 현실적인 방안은 필요한수준의 보호대책을 수립하고, 그 위험을 용인할 수 있는 수준으로 유지하는 것이라 할 수 있다

  - 위험관리는 정보보호 관리를 위해 반드시 필요한 과정으로 모든 정보보호 활동의 정당성을 제공하는 역할을 수행한다

 

2) 위험회피 (Risk Avoidance)

  - 위험회피는 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것이다

  - 자산 매각이나 설계변경 등 다른 대안을 선택하여 해당 위험이 실현되지 않도록 하는 것이다

  - 위험회피는 식별된 위험에 대처하기 위한 정보보안 위험관리의 위험 처리방안 중 불편이나 기능 저하를 감수하고라도 위험을 발생시키는 행위나 시스템 사용을 하지 않도록 조치하는 방안이다

 

3) 위험전이 (Risk Transitoin, Risk Transfer, =위험전가)

  - 위험에 대한 책임을 제3자와 공유하는 것이다. 즉 위험전이는 비용을 동반한다

  - 위험을 보험회사와 같이 다른 개체에 전이하는 것으로 위험전이는 비용을 동반한다

     (ex, 도출된 위험이 해당 사업에 심각한 영향을 주는 관계로 보험에 가입하는 경우)

 

■ 재보험

 - 보험계약의 위험을 분산시키기 위해 보험회사가 드는 보험으로 보험사를 위한 보험이라고 할 수 있다

 - 보험사라는 것이 잘못하면 천문학적인 액수를, 그것도 일시불로 보험금으로 지불해야 할 수 있기 때문에 대형 사고라도 연달아 터지면 보험사가 파산위기에 놓일 수 있다

 - 이를 방지하기 위해 거의 모든 보험사들은 위험관리 차원에서 보험을 들게 된다. 이때 보험을 들어주는 회사는 또 다른 보험사일 수도 있고, 재보험을 전문으로 취급하는 재보험사일 수도 있다

 

4) 위험완화 (위험감소)

  - 취약점이 악용될 가능성을 줄이기 위해 적합한 통제를 이행함으로써 위험감소가 이뤄진다. 이것은 기술적 통제와 관리적 통제 그리고 물리적 통제를 통하여 위험 수준을 감소시키는 것이다

    (ex, 보안통제를 구현하는 위험대응은 위험완화(감소)라고 할 수 있다)

  - 위험은 보호대책에 의해 부분적으로 경감될 뿐 완전히 제거할 수 없다. 보다 완벽하게 위험을 제거하는 데는 그에 상당하는 비용이 필요하다. 따라서 현실적인 위험관리 목표는 자산의 취약점을 감소시켜 공격이 성공하는 것을 더 어렵게 하여 자산의 보안을 증진시키는 것이다

 

5) 위험수용

  - 비용 대비 효과를 고려하여 비즈니스 목적상 위험을 그대로 수용하는 것이다

  - 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말한다. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로 일정 수준 이하의 위험은 어쩔 수 없는 것으로 인정하고 사업을 진행하는 것이다

  - 이것은 보통 위험을 처리하는 데 들어가는 과도한 비용 또는 시간에 기인한다. 관리부서는 위험이 조직에 발생시키는 결과에 대한 책임을 받아들여야 한다