위험분석(Risk Analysis) 개념 및 구성요소

위험분석: 정보기술 보안관리(IT Security Management)를 수행하기 위해서 필적인 과정 중 하나. 

위험 관리 중 80% 이상을 위험분석 과정이 차지하고 있으므로 실질적으로 가장 핵심은 위험분석 과정이라고 할 수 있음.

 

위험분석의 목적은 보호되어야 할 대상 정보시스템과 조직의 위험을 측정하고 이 측정된 위험이 허용가능한 수준인지 아닌지 판단할 수 있는 근거를 제공하는 것임.

 

보안이 비용효과적으로 적절하게 위협에 대응하는 것을 확인하기 위해 사용된다.

위험분석은 수준에 따라 수행절차가 복잡하고 시간과 인력 소모가 크므로 시스템 환경에 맞는 위험분석 수준을 선택하는 것이 중요하다. 위험분석 수준을 선택하기 위해서 사전 위험분석을 수행해야 한다.

 

위험분석의 구성요소

 

1. 자산: 위험 관리를 수행하는 가장 큰 목적은 자산을 보호하기 위함이다. 자산은 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소를 포함한다. 

 

2. 위협: 자산이 가진 고유의 취약점을 이용 자산에 직접적인 피해를 줄 수 있는 요소로서, 자산이 가진 취약점을 통해서만 자산에 피해를 줄 수 있다. 

 

3. 취약점: 자산이 보유하고 있는 약점으로 위협에 의해서 이용된다. 취약점은 존재 자체만으로 자산에 어떤한 영향이나 피해를 주지 못한다. 

 

4. 대응책: 자산의 취약점이 위협에 노출되어 자산에게 피해를 입힐 수 있는 것을 막아주는 각종 절차, 방법, 기술, 시스템 등이 있다.

 

5. 위험: 위협의 발생으로 인하여 자산에 실질적으로 가해진 결과. 이는 자산에 대한 CIA,인증,신뢰성 등에 손실을 준다. 

 

위험분석 방법

1. Baseline Approach - 기준 접근법(기본통제 방법)

기준 접근법은 기준문서, 실무 규약, 업계 최선 실무를 이용하여 시스템에 대한 가장 기본적이고 일반적인 수준에서의 보안 통제 사항들을 구현하는 것을 목표로 함.(체크리스트 형태로 제공) 

대표적인 정보보안 관리를 위한 실행 규약은 ISO 27002이가 있다.

 

기준 접근법은 보다 조직화된 위험 평가 접근법을 구현할만한 자원을 갖지 못한 작은조직(소규모 조직)에 사용하도록 권고되는 것이 일반적이다.

 

장점

1. 비용 및 시간 절약

 

단점.

1. 위험의 차이를 특별하게 고려 할 수 없다.

2. 과보호 또는 부족한 보호가 될 가능성 상존

3. 보안환경 변화 반영이 미비

4. 계량화가 어렵고 점수에 집착

 

2. Informal Approach - 비정형화된 접근법(비형식화된 접근법) 

비정형화 접근법: 위험을 분석하는 개인의 지식과 전문성을 활용하여 실용적인 분석을 실시하는 방법

비정형 접근법은 전문가 의존형 접근법으로 불리기도 하는데 위험 분석을 실시하는 전문가는 내부 전문가일 수도 있고 외부 보안 컨설턴트일 수도 있다.

 

장점.

1. 위험 분석이 비교적 빠르게 수행(개인들의 지식과 전문성을 활용) 

2. 비용이 적게 든다.

3. 중소규모 조직에 적합

 

단점.

1. 위험 평가 수행에 있어 개인의 주관적 판단에 따라 결과가 왜곡 될 수 있음.

2. 전문성 높은 인력이 수행하지 않을시 실패할 위험이 크다.

3. 측정의 완전도가 낮다. 

 

3. Detailed Risk Analysis - 상세 위험 분석 

상세 위험 분석: 모든 정보자산에 대해 상세 위험 분석을 하는 방법

 

장점.

1. 보안 위협에 대해 가장 상세하게 살펴보며, 제안된 통제에 따르는 지출에 대해 정당화가 확실하다.

3.  자산가치, 위협, 취약점의 평가에 기초한 위험을 산정하므로 경영상 허용수준까지  위험을 줄임.

4. 계량적 수치화 가능

5. 평가의 완전도 높음

 

단점.

1. 전문성 측면에서 비용이 상당히 든다.

2. 고급 인력이 필요

 

4. Combined Approach - 통합된 접근법(복합 접근법) 

복합 접근법: 기준 접근법 + 상세 위험분석을 조합하여 분석하는 방법.

High risk 영역을 식별할때는 상세 위험분석을 수행

다른 영역은 기준 접근법을 사용한다. 

 

복합 접근법의 목적: 시간을 두고 중요 시스템들에 대한 위험을 보다 구체적으로 평가 보호 대책을 조정

                          조직의 모든 시스템에 대해 기준 접근법에 의한 기본 보안 대책들의 구현애서 시작

 

장점.

1. 위험 평가를 유연하게 적용

2. 비용 및 지원을 효과적으로 사용

3. 고위험 영역을 빠르게 식별하고 처리

4. 부분적 계량화

 

단점.

1. 기준 접근법이 부정확한 경우 상세위험 분석이 필요한 시스템이 누락됨.

2. 고위험 영역이 잘못 식별되었을 경우 비용 낭비 및 부적절한 대응