정보 보안 실무 04-1 위협

정보 보안 실무 04-1 위협

위협의 이해

1. 위협의 정의

위협의 이해

위협이 무엇을 의미하는지 알아보겠습니다. 위협이란 정보자산이 가지는 고유의 취약성에 영향을 주어 악영향을 끼칠 수 있는 사건이나행위를 의미합니다. 이러한 위협을 야기시키는 위협의 주체에는 어떤 것들이 있을까요? 특정 포트를 통해 네트워크에 접근하는 침입자, 보안 정책을 위반하는 방법으로 데이터에 접근하는 프로세스, 시설물들을 파괴하는 토네이도, 의도하지 않은 실수로 기밀 정보를 누설하거나 파일의 무결성을 해치는 직원 등이 있습니다.

위협의 주체를 세 가지 기준, 즉 위협의 발원지, 가해자, 의도로 나누어볼 수 있습니다. 위협의 발원지에 따라 크게 조직의 내부에서 발생하는 위협과 외부에서 발생하는 위협으로 분류 할 수 있습니다. 가해자를 기준으로 인간이 주는 위협과 태풍이나 지진과 같이 비인간이 주는 위협으로 분류할 수 있습니다. 또한 의도성을 기준으로 의도적인 것과 그렇지 않은 것으로도 분류할 수 있습니다. 이러한 위협들은 중요 정보자산에 대한 노출과 변조, 파괴라는 결과를 가져옵니다.

2. 위협의 분류

분류된 위협 요소에는 어떤 것들이 있는지 예시를 통해 알아보겠습니다. 먼저 내부 위협은 세 가지 기준에 따라 나뉘었습니다.

어떤 것들이 있는지 살펴봅시다. 우선 발원지는 내부이고, 인간이 가하는 위협 중 비의도적인 위협 요소로는 실수로 인한 불량 데이터 입력 및 삭제, 매체에 대한 부적절한 통제를 예로 들 수 있으며 의도적인 위협 요소로는 의도적인 불량 데이터의 입력과 데이터의 파괴, 조직원들의 승인되지 않은 데이터 및 시스템 접근을 들 수 있습니다. 조직의 내부에서 정보자산에 위협을 초래할 수 있는 행위가 발생할 수 있으므로 조직 내부자에 대한 보안 관리가 이루어져야 합니다.

조직 외부에 위치한 보안 위협 중 인간에 의해 일어날 수 있는 위협에 대해 알아보겠습니다. 비의도적인 요소로는 외부자가 우연히 본 문서가 기밀문서인 경우를 예로 들 수 있으며, 외부인에 의해 일어날 수 있는 의도적인 위협은 해킹으로 인한 위협이 대표적입니다.  비인간 적인 것에 의한 위협은 모두 비의도적인데 여기에는 자연 재해로 인한 자산의 손상이 대표적이며 컴퓨터 바이러스에 의한 침입, 부적절한 물리적 통제 등도 위협 요소에 포함됩니다. 이처럼 다양한 위협으로부터 정보자산을 안전하게 지키기 위해서 위협 요소들을 식별하고 대책을 세우는 등의 노력을 기울여야 합니다.

3. 위협의 분석

위협 분석 유형은 위협 내용별, 자산별, 피해 규모별로 구분할 수 있습니다. 하나씩 자세히 살펴볼까요?

첫째, 자산에 대하여 발생했거나 발생할 가능성이 있는 보안 관리에 관한 위협들을 조사하고 이들의 성질에 따라 분류하는 유형이 있습니다.

둘째, IT 분야의 자산과 취약성과의 관계를 고려하여, 위협을 각 자산별, 그리고 조직 전체적인 관점에서 분류하는 유형이 있습니다.

셋째, 피해 규모를 산출하기 위해 위협의 발생 빈도 및 피해 종류, 발생 가능성, 피해 대상 등을 모두 고려한 분석 유형입니다.

이 유형은 알려진 위협에 대한 식별과 위협 시나리오를 통해 알려지지 않은 위협에 대한 식별로 그 방법을 나누어 볼 수 있습니다.

알려진 위협에 대한 조사는 과거 조직에 발생하였던 위협에 대한 기록들을 조사하여 식별하는 방법입니다. 주로 전산실의 장애사고 기록과 사고 대응일지 등을 바탕으로 조사하여 위협을 조사하게 됩니다. 그러나 위협은 위협에 대한 영향도와, 발생 빈도 및 가능성에 따라 그것이 실제 발생 여부가 달라지기 때문에, 이러한 방법으로는 조직이 가지는 위협의 일부만 식별할 수 있다는 단점이 있습니다.

알려지지 않은 위협을 식별하기 위해서는 자산이 가지는 취약성을 악용하여 손실을 초래할 수 있는 위협이 어떤 것들이 있는지를 가상의 시나리오를 통해 식별할 수 있습니다. 이 방법을 통해 조직은 보다 다양한 위협을 식별하고 그에 맞는 대응책을 준비함으로써 해킹 사고, 기밀정보 유출 등의 각종 보안 위험에 대비할 수 있습니다.

시나리오 작성을 위해 위협을 식별하는 방법에 대해 알아보겠습니다. 첫째, 행위자를 식별하고 둘째, 접근 경로를 식별합니다. 셋째, 접근 동기를 식별한 후 마지막으로 위협에 미치는 결과를 식별합니다. 각 단계에 대해 구체적으로 살펴보겠습니다.

우선 자산에 위협을 일으키는 주체인 행위자가 누구인지를 식별합니다. 이 행위자는 인간과 비인간으로 분류할 수 있으며 인간은 내부자와 외부자로, 비인간은 기술, 환경, 자연이 될 수 있습니다.

자산 접근에 대한 경로를 식별하는 단계는 위협을 야기시킬 행위자가 정보자산에 어떻게 접근을 하는지를 의미합니다. 정보자산에 대한 접근은 서버와 같이 네트워크를 통한 원격 접근과 물리적으로 직접 자산에 접근하는 물리 접근이 있습니다

.

이 단계에서는 행위자가 어떠한 목적으로 자산에 접근하는지를 식별하게 됩니다. 예를 들어 시스템 관리자가 시스템 로그인 로그를 모니터링 중, 여러 번 패스워드가 틀린 사용자가 포착되었을 때 악의적인 목적으로 패스워드 대입 공격을 시도하는 중인지 아니면 정당한 사용자가 실수로 패스워드를 틀린 경우인지에 따라 그 조치가 달라져야 할 것입니다. 그래서 자산에 대한 접근 동기도 식별할 필요가 있는 것이지요.

이 단계에서는 위협이 실제 자산에 미치는 결과를 식별해야 합니다. 예를 들어 자산이 어떻게 변경되는지, 어떠한 정보가 노출이 되는지, 어떤 내용이 손실되거나 파괴되는지 확인합니다.

이렇게 네 단계에 따라 위협에 대한 내용을 식별하고 그 내용을 모으면 하나의 위협 시나리오가 완성됩니다.

4. 위협의 평가

이번에는 위협 평가에 대해 살펴보겠습니다. 먼저 위협 평가 기준에 대해 살펴보겠습니다. 위협 요소들의 식별이 이루어진 후에 위협에 대한 평가를 실시하게 됩니다. 평가는 반드시 기준에 의해서 진행됩니다. 위협 평가를 할 때는 실제 우리 조직에서 식별된 위협이 어떤 영향을 주게 되는지, 발생 주기나 발생 가능성은 어떠한지를 기준으로 평가해야 합니다. 왜냐하면 모든 위협이 조직에 끼치는 영향이 동일하지는 않기 때문입니다. 이러한 기준에 따라 낮음, 중간, 높음, 매우 높음의 등급으로 평가합니다.

태풍에 대한 예를 통해 평가 기준을 좀더 자세히 알아볼까요? 매년 주기적으로 발생하는 태풍은 그 강도가 강할 수도 있고 약할 수도 있습니다. 강할 경우 건물이 부서지는 등 시설이 파괴되고 자산이 유실되기도 하고 강도가 약해 큰 피해가 발생하지 않아 태풍의 영향이 낮은 경우가 있습니다. 이러한 상황에 위협의 의한 영향을 기준으로 위협을 평가할 수 있습니다.

태풍이 매년 1회 불어 닥칠 수도 있지만 불지 않을 수도 있습니다. 이렇듯 위협의 발생 주기 또는 발생의 가능성으로 위협을 평가할 수 있습니다.

일반적으로 위협이 자산에 끼치는 영향이 높을수록 그 발생 주기나 발생 가능성이 높다는 연구 결과가 있습니다. 반드시 정비례하지는 않습니다. 그러나 위협이 자산에 끼치는 영향을 평가하기는 쉬운 반면 발생 주기나 가능성에 대한 부분은 평가가 곤란한 경우가많습니다. 이럴 때엔 둘 사이의 관계를 참고하여 평가할 경우 위협에 대한 평가를 더욱 쉽게 진행할 수 있습니다.

위협 평가 기준을 표로 정리한 것입니다. 위협에 의한 영향과 발생 주기 또는 발생 가능성이라는 평가 기준에 따라 네 등급으로 평가한 것을 확인할 수 있습니다. 위협에 의한 영향에 따라 낮음에서 매우 높음으로 갈 수록 위협으로 인한 손실도 크고 이에 따라 업무 중단 시간이 길어집니다. 발생 주기 또는 발생 가능성을 기준으로 낮음에서 매우 높음으로 갈수록 위협이 빠른 주기 내에 자주 발생함을 확인할 수 있습니다.