정보 보안 실무 02 정보보호 위험 관리

정보 보안 실무 02 정보보호 위험 관리

위험관리 개요

1. 위험의 정의와 구성 요소

위험관리 개요

위험으로부터 효과적으로 방지하기 위해서는 관리를 해야 합니다. 그렇다면  위험관리란 무엇이고 어떤 방법으로 관리할 수 있는지 알아보도록 하겠습니다.

이처럼, 위험은 외부의 위협이 내부의 취약성을 이용하여 보유한 각종 자산에 피해를 입힐 수 있는 잠재적인 가능성을 말하는데요.

여기서 위험을 구성하는 위협과 취약성, 자산은 무엇을 의미하는 것일까요? 위협은 자산에 손실을 초래할 수 있는, 원치 않는 사건의 잠재적 원인이나 행위자로 정의하죠. 취약성은 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해, 사용자, 특히 악의를 가진 공격자에게 ‘허용된 권한’ 이상의 동작이나 ‘허용된 범위’ 이상의 정보 열람을 가능하게 하는 약점을 말합니다. 또는 사용자 및 관리자의 부주의나 사회공학 기법에 의한 약점을 포함한 정보 체계의 모든 정보 보안상의 허점을 말하죠. 자산은 조직이 보호해야 할 대상으로서, 정보, 하드웨어, 소프트웨어, 시설 등을 말하며, 관련 인력, 기업 이미지 등의 무형자산을 포함하기도 합니다.

모건 스탠리 그룹이 겪은 911 테러를 예로 들면, 외부의 위협인 ‘비행기 충돌’이 내부의 취약성인 ‘건물의 내구성’을 이용하여 자산인 건물, 증권 서비스 등 기업 자산 전반에 손실을 끼치게 됩니다.

이런 구성으로써 ‘테러’라는 위험이 발생한 것입니다.

2. 위험 관리

조직의 입장에서 위험관리란 무엇을 뜻하는 것일까요? 위험관리란 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위해, 자산에 대한 위험을 분석하고, 또한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하여 위험으로부터 자산을 보호하는 일련의 과정을 뜻합니다.

위험 관리의 절차는 조직의 현황을 분석하여 위험을 “식별”하고 “측정”하는 “위험분석”의 과정과 분석된 데이터로 부터 위험도를 “산출”해내는 “위험평가”의 과정으로 나뉘며 이렇게 평가된 위험을 “조치”하거나 “수용”하는 위험 처리의 과정으로 나눌 수 있습니다.

이러한 위험관리를 통해 ‘불필요한 투자’와 ‘과도한 투자’를 방지할 수 있으며, 위험을 수용 가능한 수준으로 감소 및 유지시킬 수 있습니다.

3. 위험 분석

911 사태처럼, 언제 일어날지 모르는 테러에 대비해서 모든 건물을 비행기가 충돌해도 무너지지 않을 만큼의 내구성을 가지도록 설계해야 할까요? 우리는 위험관리를 통해 ‘불필요한 투자’와 ‘과도한 투자’를 방지할 수 있다고 배웠습니다. 그렇다면 어떤 기준으로 불필요하고 과도한 투자를 구분할 수 있을까요?

위험에 관련된 모든 요소들과 그들이 어떻게 위험의 규모에 영향을 미치는 지를 분석해서 위험의 유형과 규모를 확인하는 것을 위험분석이라고 합니다. 예를 들어볼까요?

화재가 발생하여 피해를 미칠 가능성은 얼마나 될까요? 화재로 인한 위험을 분석해 봅시다. 화재를 예방하거나 피해를 복구하기 위한 대책에 투자할 수 있는 예산의 타당성을 평가해야 할 텐데요. 화재 경보 장치, 화재 진압 장치를 설치하는 등의 취약점을 보호할 대책을 수립할 수 있습니다. 하지만 화재진입장치로도 대응하지 못하는 대형 화재가 있을 수 있죠. 여전히 취약점이 존재하겠죠? 이러한 대형 화재가 50년에 한 번 발생할 확률로 발생하고 피해 평가액이 50억라면, 여기서 잠재적인 피해 금액은 연 1억 원일 것입니다. 그러므로 1억 원의 예산 범위 내에서 대형 화재에 대한 대응 방법을 결정해야 합니다.

4. 위험 구성 요소들과의 관계

지금까지 위험을 구성하는 요소인 자산, 위협, 취약성, 그리고 보호대책에 관하여 살펴보았는데요. 이번엔 이 요소들 간의 관계에 대해서 알아볼까요?

위협은 취약성을 공격하여 이용하게 되며 취약성은 자산을 노출시킵니다. 또한 자산은 가치를 보유하는데 이러한 위협, 취약성, 자산, 가치는 모두 위험을 증가시킵니다. 한편 위험을 파악함으로써 보안 요구사항을 파악할 수 있고 보안 요구사항을 만족시키는 정보보호 대책을 선정하여 구현함으로써 위협을 방어할 수 있습니다. 정보보호 대책은 위협을 방어함으로써 위험을 감소시키는 역할을 합니다.

위험관리 전략 및 계획 수립

1. 위험분석 접근 방법의 선정

위험관리 전략 및 계획 수립

먼저 위험분석 접근방법의 선정을 살펴보겠습니다.

위험관리 방법론을 선정 시 고려할 사항은 관리 체계와적용 용이성 그리고, 효과성입니다.

먼저 관리 체계는 조직과 정보보호 환경변화에 대응할 수 있도록 지속적인 검토가 필수입니다.

적용 용이성은 사업자 업종 유형, 개인정보 취급 서비스 종류, 조직 구조 등에 따라 위험관리방법을 상이하게 해야 합니다.  효과성은 인증을 위한 위험평가가 아닌 소요자원 대비한 효과를 고려해야 합니다.

위험 관리 방법론 선정 시, 정보보호 인증 신청 기관은 내부 위험 관리 기준에 따라 위험 평가를 실시하여야 하는데, 대책이 선정되면 이를 구현하기 위한 구체적인 일정 계획을 수립하여야 합니다. 이를 달성하기 위해서는 위험 분석 단계의 결과로 나타나는 위험의 규모를 평가해야 합니다.

또한 미리 설정된 목표 위험 수준과 비교하여 각 위험의 대응 여부와 우선순위를 결정해야 합니다. 이 단계에서 가장 중요한 것은 목표 위험 수준을 경영진이 결정하고 책임지도록 하는 것 입니다.

2. 위험 관리 절차

위험관리 절차에 대해 살펴보도록 하겠습니다. 위험관리 절차는 검토 범위를 파악하고 자산 식별의 과정을 거친 후 자산가치와 의존도, 보안대책, 취약성, 위협 등을 평가합니다. 그런 후 위험을 평가하고 대책을 선택하는 등의 단계로 진행합니다. 순서를 다시 한번 살펴보세요.

그럼 각 단계에 대해 순서대로 살펴보겠습니다. 먼저, 검토 범위를 선정합니다.

조직의 업무, 위치, 자산 및 기술적 특성에 따라 위험분석 범위를 선정하고 위험분석 방법을 선정하는데, 계량화 여부에 따라 정량적 혹은 정성적 방법을 선택하거나, 베이스라인 접근법, 비정형 접근법, 상세 위험분석, 복합 접근법 등, 접근방법에 따라 위험분석 방법을 선택하여 위험분석 계획을 수립합니다. 위험분석 계획 수립한 후 정보보호 책임자 수준까지 승인을 받아야 합니다.

다음 단계에서는 자산을 식별합니다. 이를 위해 자산 분석이 수행되어야 하는데, 조직의 업무와 연관된 정보, 시스템 등의 정보자산을식별하고, 각 자산의 기밀성, 무결성, 가용성이 상실되었을 때 조직에 미칠 수 있는 영향을 고려하여 자산별 가치를 평가하고 이에더해 자산이 가지는 업무에 대한 의존도를 평가하게 됩니다. 의존도란 평가대상 자산이 해당업무에 기여하는 정도를 측정하는 것을 말합니다. 포털 사이트를 예를 들면 포털 사이트의 홈페이지를 제공하는 메인 웹서버와 그 외 부가서비스를 제공하는 뉴스 웹서버는 자산구분은 웹서버로 동일하나 웹서비스가 자산에 가지는 의존도는 상이할 수 있으므로 정확한 자산의 가치를 평가하기 위해서는 의존도를 평가하는 과정이 필요합니다. 가치평가 시 중요도는 보안등급과 같습니다.

평가 분석에 대한 내용을 설명하기 전 앞서 보셨던 위험 분석 방법론에 대해 간략하게나마 이해하고 넘어가도록 하겠습니다.

위험 분석은 요구성격에 따른 위험 분석과 결과성격에 따른 위험분석으로 크게 나뉘어집니다. 요구성격에 따른 위험분석은 기본 통제 접근법, 위험 분석 접근법 두 가지로 나누어지며 위험 분석 접근법은 세부적으로 비정형 접근법, 상세 위험분석, 복합 접근법 세가지로 나누어 집니다. 또한 결과성격에 따른 위험 분석은 정량적 접근법 정성적 접근법으로 나뉘어집니다

위험 분석은 1970년대 공식적으로 보험업계에 도입되어 화재, 사고 등의 물리적 위협의 발생 가능성에 따른 잠재적인 손실을 계산하고 그 손실액에 대한 보상액을 기준으로 한 보험금을 도출해 내기 위해 사용되어 왔습니다. 이렇게 정립된 위험관리의 개념은 정보처리 분야에도 적용되어 정보보안의 다양한 위험들을 분석하기 위해 사용되고 있습니다.

오랜 시간이 흐르면서 위험관리에 대한 다양한 이론과 수많은 논문들이 발표되고 위험을 분석하고 평가하는 방법론만 전세계적으로 수백가지가 넘게 존재하지만 이 시간에는 국제표준으로 채택되고 있는 위험분석 방법론에 대해 설명하도록 하겠습니다.

정보기술 보안 관리를 위한 국제 표준 지침인 ISO/IEC 13335-1에서는 위험분석 전략을 크게 4가지로 나누고 있는데 기본 통제 접근법,비정형 접근법, 상세 위험분석, 복합 접근법으로 구분 지을 수 있으며 이는 다시 위험평가의 방법에 따라 정략적 접근법과 정성적 접근법으로 나눌 수 있습니다. 기본 통제 접근법은 모든 시스템에 대하여 표준화된 보호대책을 체크리스트 형태로 작성하여. 이 체크리스트에 있는 보호대책의 구현 여부에 따라 위험을 평가하는 방법입니다. 이러한 방식은 분석의 비용과 시간이 대단히 절약된다는 장점은 있으나, 과보호 또는 부족한 보호가 될 가능성이 상존하게 됩니다. 즉 체크리스트에 포함되지 않은 보호대책은 위험으로 식별되지 않을 수 있기에 위험분석을 하지 않은 것과 동일한 상태가 됩니다. 또한 이런 방식은 조직의 자산 변동이나 새로운 위협/취약성의 발생 또는 위협 발생률의 변화 등 전문적인 인력에 의해 체크리스트가 지속적으로 갱신되지 않는다면 보안환경의 변화를 적절하게 반영하기도 힘듭니다. 그리고 체크리스트 방식은 담당자로 하여금 보안 상태 자체보다 체크리스트를 통해 나타나는 점수에 집착하게끔 하여 보안요구사항에 따른 우선순위보다는 구현 용이성에 따라 정보보호대책을 구현하게 되는

경향이 나타납니다.

비정형 접근법은 구조적인 방법론에 기반하지 않고, 경험자의 지식을 사용하여 위험분석을 수행하는 방식이며 다음에 설명할 상세 위험분석보다 빠르고 시간과 노력이 절감되는 장점이 있으며. 특정 위험분석 방법론과 기법을 선정하여 수행하지 않고 수행자의 경험에 따라 중요 위험 중심으로 분석합니다. 이러한 방식은 작은 규모의 조직에는 적합할 수 있으나 새로운 위협이나 수행자의 경험이 많지 않은 영역의 위험 식별이 어려울 가능성이 존재합니다. 논리적이고 검증된 방법론이 아닌, 검토자의

개인적 경험에 지나치게 의존하므로 사업 분야 및 보안에 전문성이 높은 인력이 참여하여 수행하지 않으면 실패할 위험이 높은 방법입니다.

상세 위험분석은  자산분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 방법이며 방법론에 따라서는 취약성 분석과 별도로 설치된 정보보호대책에 대한 분석을 수행하기도 합니다. 그 단계는 먼저 자산을 분석한 다음 위협을 분석하고 나서 기존 정보보호대책 평가를 합니다. 그리고 마지막으로 위험분석을 합니다. 이러한 방식은 조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있으며, 자산, 위협, 취약성의 목록이 작성, 검토되었으므로 이후 변경이 발생하였을 때 해당 변경에 관련된 사항만을 추가, 조정, 삭제함으로써 보안 환경의 변화에 적절히 대처할 수 있는 장점이 있어

보안 컨설팅 현장에서 가장 많이 쓰이는 방식입니다. 그러나 이런 방식은 분석에 시간과 노력이 많이 소요되며 채택한 위험분석 방법론을 잘 이해해야 하므로 비정형 접근법과 마찬가지로 고급의 인적 자원이 필요합니다.

복합 접근방법은 고위험(high risk) 영역을 식별하여 상세 위험분석을 수행하고, 그 외의 다른 영역은 베이스라인 접근법을 사용하는 방식입니다. 이 방식은 비용과 자원을 효과적으로 사용할 수 있으며, 고위험 영역을 빠르게 식별하고 적절하게 처리할 수 있다는 장점이 있어 많이 사용되기도 하지만 고위험 영역을 잘못 식별하였을 경우 불필요한 위험 처리로 인해 비용이 낭비되거나, 위험도가 높은 위험이 고위험군에 포함되지 않을 경우, 위험 처리가 효과적으로 이행되지 않을 위험이 있습니다.

위험을 평가하는 데는 정량적인 방법과 정성적인 방법이 있습니다. 정량적 방법은 손실 및 위험의 크기를

금액으로 나타내며, 정성적 방법은 손실이나 위험을 개략적인 크기로 비교합니다. 그 중 정량적 위험평가는 위험을 손실액과 같은 숫자값으로 표현하며 주로 미국에서 사용하고 있는 방식입니다. 이러한 방식은 연간 예상 손실액을 계산하기 위하여 관련된 모든 값들을 정량화시켜 표현하기 때문에 자산의 가치와 위협 발생률 역시 수치화하여 계산해야 합니다.

그러나 이를 정확한 값으로 파악하기는 매우 어려워서 미국 연방 위험분석 표준에서는 이 연간 기대 손실을 계산하기 위하여 자산의 가치와 위협 발생 확률을 구간의 대표값으로 수치화하는 방법을 제시하고 있습니다. 이러한 방식은 비용/가치분석이 수행될 수 있고, 예산 계획에 활용할 수 있으며 평가된 값이 의미하는 바가 분명하다는 점에서 유용합니다. 하지만 분석에 필요한 시간, 노력의 비용이 커지며 값이 실제 자산의 가치를 정확히 반영할 수 없는 단점이 존재합니다.

연간 기대 손실은 정보보호는 직접적인 이익이 발생하는 업무 분야가 아니므로 손실을 예방한 비용을 정보보호 기대 효과로 계산합니다 보안사고로 인해 발생할 수도 있는 손실을 예방한 기회비용을 수익으로 계산할 수 있습니다. 연간 예상 손실액은 어떤 위협이 성공했을 경우의 예상 손실액에 그 위협의 연간 발생률을 곱한 값으로 계산 할 수  있습니다.

정성적 위험평가에서는 위험을 어떤 상황에 대한 설명으로 묘사하여 표현하며, 주로 유럽 지역에서 사용, 구체적인 값 보다는 등급이나 설명을 사용하여 상황을 묘사합니다. 이러한 방식은 금액으로 평가하기 어려운 정보의 평가가 가능하고, 분석 시간이 상대적으로 짧아 시스템 담당자나 개발자 등 위험을 관리하고 처리할 실제 담당자가 이해하기 쉬운 장점이 있습니다.

그러나  표현이 주관적이어서, 사람에 따라 그 이해가 달라질 수 있으며 위험의 정도를 분류하는 기준이 위험 평가를 이행하는 담당자의 주관적인 판단에 따라 위험도가 실제와 다르게 표현될 단점을 가지고 있습니다.

‘라우터 장비의 기술적 장애’라든가, ‘해커에 의한 패스워드 크랙’과 같은 표현으로 위험을 분류하며, 그 정도는 ‘매우 높음’, ‘높음’, ‘중간’, ‘낮음’ 등으로 표현합니다. 또는 5점 척도, 10점 척도의 점수화가 사용되기도 합니다. 이러한 방식은 금액으로 평가하기 어려운 정보의 평가가 가능하고, 분석 시간이 상대적으로 짧아 시스템 담당자나 개발자 등 위험을 관리하고 처리할 실제 담당자가 이해하기 쉬운 장점이 있습니다.

자산 식별 단계를 거친 후에는 위험 분석을 하게 됩니다. 위험 분석 시에는 조직 내에서 이행되고 있는 기존 보안대책 분석, 자산 취약성 분석, 우려사항 분석이 있습니다. 기존 보안 대책 분석은 조직 내에서 현재 운영되고 있는 정보보안 정책과 지침을 분석하여 정의되지 않은 보안 요구사항을 식별하는 Gap 분석을 실시하게 됩니다. 그리고 위협 분석은 자산에 대한 위협 및 발생

가능성 정도를 인터뷰와 실사로 측정합니다.

취약성 분석은 식별된 위협에 대해 각 자산별 실사 또는 인터뷰를 통한 취약점 진단을 수행합니다. 마지막으로 우려사항 분석은 위협과 취약성 분석을 함께 할 경우에 사용하며, 위협과 취약성의 구분이 어려운 항목은 ‘우려사항’으로 정의할 수 있습니다.

그렇다면 위협과 취약성에는 어떤 차이가 있는 걸까요? 감기 바이러스는 어디에나 존재하지만 감기에 걸리는 사람이 있고 안 걸리는 사람이 있습니다. 그것은 그 사람의 건강상태에 의해서 결정되는 것입니다. 마찬가지로 위협는 어디에나 있지만 취약성 여부 및 정도에 따라 위험으로 바뀌어 지는지의 여부가 결정됩니다.

즉 위협은 감기 바이러스처럼 입력오류, 해킹 손실을 초래할 수 있는, 원치 않는 사건의 잠재적 원인이나 행위자로 정의할 수 있고 취약성은 건강상태처럼 접근통제, 백업 등 잠재적인 속성으로서 위협의 이용 대상으로 정의될 수 있습니다. 또한 위험은 질환처럼 서비스 중단, 보안사고로 인한 손실이 발생합니다.

이번에는 위험 평가 단계에 대해서 살펴보겠습니다. 평가분석 과정을 통해 식별된 자산, 위협 및 취약성을 기준으로 위험도를 산출하고 기존의 보호대책을 점검합니다. 산출된 위험도와 기존의 보호대책을 바탕으로 현재 기업이 가지고 있는 잠재적 위험을 평가합니다.

다음 절차는 대책 선택입니다. 이 과정에서는 보호대책을 선정해야 합니다. 위험평가 결과를 토대로 해당 위험도를 수용 가능한 위험수준까지 낮추기 위한 적합한 보호대책을 선정하는 것이 중요합니다. 그렇다면 수용 가능한 위험수준(DoA)은 어떻게 정할까요?

수용 가능한 위험수준, 즉, 보장수준을 결정하는 데 표준화되어 있는 방법론이 없기 때문에, 가장 좋은 방법은 조직 내 정보보호를 협의하고 의결하는 최고 기구를 통하여 최대한 객관적인 판단을 유도하고 최종 보장수준을 결정하는 것입니다. 여기서 보장수준에 따라 관리되어야 할 위험과 잔여위험에 대한 통제방안을 마련합니다.

각 정보자산별로 위험분석 결과가 도출되면 정보보호실무협의회를 운영하여 보장수준을 결정하는 절차를 수행하게 됩니다.

수용 가능한 위험수준을 산정하는 과정을 정리하면 다음과 같습니다. 우선 발견된 취약점 및 위협요소를 정렬하고, 수용 가능한 위험수준을 결정한 후에 수용 가능한 위험수준의 위험요소를 식별합니다. 식별된 위험요소에 대한 수용여부를 평가하여, 결과에 따라 수용 가능한 위험수준을 재설정하거나 초과수준에 대한 개선책 수립 후 개선대책의 우선순위를 설정합니다.

수용 가능한 위험수준은 기업 환경에 따라 다양하게 정의될 수 있는데요. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 보호대책을 선정할 수 있고 우선순위를 결정할 수 있습니다.

마지막으로 보안 정책과 계획 수립 절차에 대해서 살펴보겠습니다. 정보보호 계획은 제거 또는 경감시켜야 하는 위험에 대한 보호대책을 언제, 누가, 어떻게 이행할 것인지에 대한 구체적인 계획을 수립하게 됩니다. 이 계획은 단기 또는 중·장기로 구분되어 마스터플랜처럼 수립될 수도 있으나, 단기 또는 1년 내에 이행이 요구되는 계획은 구체적으로 수립합니다. 이러한 위험관리 절차는 정보보호 책임자 수준까지 승인을 받아야 합니다.