정보 보안 실무 05 위험 분석 및 평가

정보 보안 실무 05 위험 분석 및 평가

위험 분석 수행

1. 정보 자산 그룹핑의 필요성

위험 분석 수행

기관이나 기업 등 다양한 유형의 조직이 존재하지만, 조직 내 보안의 목표는 공통적으로 보유하고 있는 가치 있는 자산일 것입니다.

우리는 앞서 자산을 식별하고 평가하는 방법을 배운 바 있는데요. 바로 조직에서 보유한 지켜야 할 대상이 무엇인지, 즉 보안을 해야 할 목적이 무엇인지 명확하게 하기 위한 단계였습니다. 이후 위험 관리 절차에 따라, 위험을 식별하고, 조치를 위한 정보보호 대책을 선정하게 되는 것입니다. 그런데, 자산을 식별하는 과정에서 무수하게 많은 종류의 자산과 수량이 보호 전략을 수립하는데 큰 난관으로 다가오는데요. 이러한 이러한 애로 사항을 해결하기 위해 우리는 정보 자산을 그룹핑하는 작업을 수행하게 됩니다.

그럼 정보 자산 그룹핑이 무엇인지 알아보겠습니다. 자산의 중요도 등을 고려하여 유사한  자산끼리 묶는 것을 말하는데요. 정보 자산 그룹핑이 필요한 이유는 첫째, 식별된 정보 자산의 수가 많을 경우 위험이나 취약성을 모두 식별하기 어렵기 때문이며, 둘째, 같은 결과가 나오는 자산에 대해 동일한 작업을 반복하지 않기 위한 것입니다. 예를 들어, 인터넷 포털 사이트는 많은 이용자에 안정적인 서비스를 제공하기 위해 수 백 대 이상의 서버를 구축하여 운영하고 있습니다. 말 그대로 안정적 운영을 위한 목적으로 동일한 기능,

동일한 스펙, 동일한 설정을 한 서버가 다수 존재합니다. 이렇게 하나의 동일한 서비스를 제공하기 위한 시스템은 하나로 그룹핑하여 위험을 식별하고, 도출된 위험에 대한 동일한 대책을 그룹핑된 자산에 적용할 수 있습니다.  

자산을 그룹핑하는 기준으로 자산의 중요도, 자산의 유사성,  자산의 위치, 자산의 소유자, 자산의 용도를 들 수 있습니다. 자산의 중요도를 기준으로 그룹핑을 수행하면, 회사 경영에 필요한 핵심 자산을 기준으로 그룹화하여 위험 식별이 가능합니다.

만약 자산의 유사성을 기준으로 그룹핑을 한다면, 동일한 형태, 동일한 설정, 동일한 목적으로 활용되는 수 많은 자산을 보다 효율적으로 통제하고 관리할 수 있습니다. 이 외, 자산의 위치, 자산의 소유자 등 자산 관리 포인트를 중심으로 유사한 성격을 기준 삼아 그룹핑함으로써 효과적인 위험 관리 전략을 수립할 수 있습니다.

2. 위험 분석 접근 방법 산정

위험관리를 수행함에 있어 위험분석은 가장 중요한 단계이며, 필수적인 단계입니다. 위험분석은 조직에 존재하는 위험이 어떠한 것들이 있는지 명확하게 진단하고 분석해내는 단계인데, 수행하는 방법이 상당히 많이 있습니다. 조직에서 위험분석을 실시하기 위해서는 적절한 위험분석 접근 방법을 선정해야 하는데요. 올바른 접근방법 선정을 위해  대상 조직에 필요한 보안요구사항, 전문인력의 보유현황, 수행 가능한 기간, 확보된 예산 등의 조직 내 자원 등을 충분히 고려하여 적절한 접근방식을 선택해야 합니다.

구체적인 위험 접근 방법에 대해 알아보겠습니다.  접근 방식에 따라 베이스라인 접근법, 비정형 접근법, 상세 위험분석, 복합 접근법이 있습니다.

하나씩 살펴볼까요?

베이스라인 접근법이란 모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호대 책을 선택하는 방법입니다. 이 방법의 장점은 시간과 비용이 많이 들지 않고 모든 조직에서 기본적으로 필요한 보호 대책을 선택할 수 있다는 것이지만 조직의 특성을 고려하지 않아 적정 보안 수준보다도 높거나 낮은 보안 통제가 적용된다는 단점이 있습니다.

어떠한 경우에 베이스 라인 접근법을 채택하는 것이 좋을까요? 컴플라이언스 기준이나 각종 표준 등은 조직에 반영해야 할 정보보호 업무나 목표, 통제 적용에 대한 명확한 로드맵이 존재하지 않을 때, 정보보호 활동의 기본 지표로 활용될 수 있습니다.

예를 들어 회사의 보안 목표를 ‘정보보호 관련 법률의 준수‘ 로 세웠다면, 정보보호 관련 법률의 종류와 그 내용을 기준으로 체크 리스트를 도출하여 위험 분석의 기준점으로 선정할 수 있습니다. 체크 리스트의 100% 만족을 목표로 선정하여 분석하는 것과 같은 행위를 베이스 라인 접근이라 합니다.

비정형 접근법은 정형화된 방법을 사용하지 않고 전문가의 지식과 경험에 따라서 위험을 분석하는 방법입니다. 이 방법은 작은 조직에서 비용이 효과적입니다.  하지만 구조화된 접근 방법이 없기 때문에 위험을 제대로 평가하기 어렵고 보호 대책의 선택 및 소요 비용을 합리적으로 도출하기 어려우며 계속적으로 반복되는 보안 관리의 보안 감사 및 사후 관리가 제한된다는 특징이 있습니다.

그렇다면, 비정형 접근법은 어떤 경우에 활용하면 좋을까요? 단일 서비스를 운영하는 소규모 업체에서는 서비스에 존재하는 위험을 식별하기 위해 해당 분야 전문가를 초빙하여, 예측 가능한 위험을 심플하게 도출할 수 있습니다. 일방 문자 만명 정도의 여성 의류만을 판매하는 온라인쇼핑몰은 직관적으로 몇 가지 정보를 파악하여 예측 가능한 위험이 존재하므로, 이러한 경우 많은 비용이 들이지 않고 예상되는 위험을 분석하여 대응할 수 있습니다.

상세 위험분석은 자산의 가치를 측정하고 자산에 대한 위험의 정도와 취약성을 분석하여 위험의 정도를 결정하는 접근법 입니다.  

조직 내에 적절한 보안 수준을 마련할 수 있다는 장점이 있지만 전문적인 지식과 시간 그리고 노력이 많이 소요된다는 단점도 있습니다.

실제로 많은 조직이 상세 위험 분석 방법을 채택하고 있습니다. 시간과 비용, 노력이 다소 많이 소요되지만, 위험 분석 대상을 명확하게 식별하고, 중요도에 따라 선별적인 보호 대책 적용이 가능하여 효율적인 대응이 가능해집니다. 또한 분석 결과에 대한 근거 등이 상대적으로 명확하여 조직에 꼭 필요한 효율적인 대책 수립이 가능합니다.

복합 접근법은 상세 위험 분석과 베이 스라인 접근법을 복합적으로 사용하는 방법입니다. 조직 활동에 대한 필수적이며 위험이 높은 시스템을 식별할 때는 상세 위험 분석을, 그렇지 않은 시스템에는 베이스 라인 접근법을 적용합니다. 이 방법은 보안 전략을 빠르게

구축할 수 있고 상대적으로 시간과 노력을 효율적으로 활용이 가능합니다. 하지만 두 가지 방법의 적용 대상을 명확하게 설정하지 못함으로써 자원의 낭비가 발생할 수 있다는 단점이 있습니다.

위험 관리 방법론을 선정할 때 고려해야 할 사항에 대해 알아보겠습니다. 일반적으로 적용 용이성, 효과성, 관리 체계 측면을 고려하게 되는데요. 먼저 적용 용이성을 고려해 봐야 합니다. 조직의 형태나 사업 유형 등을 확인하고, 다루는 정보의 형태, 그리고 조직의

구조 등을 충분히 파악하여 실제 적용이 가능하고 활용이 가능한지 고려하여야 합니다. 또한 적용 하는데 필요한 자원이 적절한지, 그리고 그에 따른 결과가 적절한지 효과성을 충분히 고려해야 합니다. 마지막으로 조직 내 구축한 혹은 구축예정인 관리체계의 형태도 고려하여야 합니다. 개인정보나 조직의 중요 정보를 가지고 있음으로써 발생하는 위험을 수용 가능한 수준으로 관리할 수 있도록 지원해야 합니다. 이러한 모든 요소를 고려하여 활용 가능한 방법론을 선정해야 합니다.

정보보호 인증 신청 기관은 내부 위험 관리 기준에 따라 위험 평가를 실시해야 하는데, 대책이 선정되면 이를 구현하기 위한 구체적인 일정 계획을 수립해야 합니다. 이를 달성하기 위해서는 위험 분석 단계의 결과로 나타나는 위험의 규모를 평가해야 하며, 미리 설정된 목표 위험 수준과 비교하여 각 위험의 대응 여부와 우선순위를 결정해야 합니다. 이 단계에서 가장 중요한 것은 목표 위험 수준을 경영진이 결정하고 책임지도록 하는 것입니다.

3. 상세 위험 분석 방법

이번에는 상세 위험 분석 방법에 대해 알아보겠습니다. 정보 자산 식별과 그룹핑이 끝나면 식별된 정보 자산에 대한 위험 분석을 실시합니다. 위험이란 원하지 않은 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 말하는데, 위험의 유형과 규모를 확인하기 위해서는 발생 가능성과 손실의 정도를 분석해야 합니다. 또한 위험은 자산, 위험, 취약성 상호 간의 작용을 토대로 분석하게 됩니다. 즉. 기본적으로 위험은 자산과 위험, 취약성을 고려하여 분석하게 되는데, 자산의 가치를 평가하고, 자산이 갖고 있는 고유한 취약성을 분석하여 영향을 분석하고, 취약성을 악용하여 자산에 영향을 미치는 위험의 빈도를 분석하여 위험 분석을 수행하게 됩니다.

화재 발생을 예로 들어 위험 분석에 대해 설명하겠습니다. 화재로 인한 위험은 화재가 발생할 수 있는 주위의 환경적인 요소와 화재 발생 시 피해를 미칠 수 있는 경제적인 범위로 정의될 수 있습니다. 여기서 발생 가능성은 손실을 유발할 수 있는 잠재적 요소인 위험과 이 위험에 의해 손실을 입을 수 있는 자산의 취약성을 통해 분석할 수 있으며 손실의 정도는 자산의 중요도에 따라 판단할 수 있으므로, 손실의 정도를 예측하여 각 자산 별 우선순위를 정할 수 있습니다,.

4. 취약점과 위험의 분석

취약점과 위험의 분석은 세 가지로 나누어 살펴볼 수 있습니다. 첫째, 취약점의 심각도 분석, 둘째, 위험 식별 및 위험 발생 가능성 분석, 셋째, 우려 사항 분석입니다. 하나씩 자세히 살펴보죠.

먼저 취약점의 심각도 분석에 대해 살펴보겠습니다. IT인프라에 대한 취약점을 진단한 결과,  해당 위험분석 시점에서 제거되지 못한 취약점은 위험으로 도출되어야 합니다. 그 심각 정도를 판단하기 위해 개별 취약점의 심각 정도를 확인하고 이에 구간 값을 적용하게 됩니다. 공통적인 취약점인 경우, 다음의 표와 같은 기준을 정하고 도출된 취약점의 심각 정도에 따라 그 구간 값을 판단하게 됩니다.

이번에는 위험 식별  및 위험 발생 가능성 분석에 대해 알아보겠습니다.  먼저 위험의 분석 유형을 세 가지로 나누어 살펴보겠습니다.

첫째, 자산에 대하여 발생했거나 발생할 가능성이 있는 보안 관리에 관한 위험들을 조사하고 이들을 성질, 유형에 따라 분류하는 것입니다. 둘째,  IT 분야의 자산과 취약성과의 관계를 고려하여 위험을 각 자산별 및 조직 전체적인 관점에서 분류하는 것입니다.

셋째, 피해 규모를 산출하기 위해서 발생 빈도, 피해 종류, 발생 가능성, 피해 대상 등을 모두 고려해야 합니다.

알려진 위험의 경우 주로 조직에서 발생했거나 파악된 위험들이기 때문에 주로 전산실의 장애관리 일지 혹은 IT 보안 조직에서 대응했던 사고 대응일지 등을 바탕으로 조사합니다. 파악되지 않은 위험을 발견하기 위해서는 위험 시나리오를 이용합니다. 위험 시나리오란 가상적인 위험을 찾아내는 방법을 말합니다.

위험의 종류에는 지진, 화재, 전력 공급 중단부터 운영자 실수, 인가 받지 않은 장비 사용 등 그 범위가 매우 넓고 다양합니다. 이러한 위험이 발생하게 되면 조직에 경제적 손실을 야기할 수 있고 명예에 큰 손상을 입힐 수 있습니다. 위험 발생 주기는 위험이 얼마나 자주 발생하는가를 보여주는 척도를 말합니다. 이미 발생한 위험을 기록한 통계 자료를 이용하여 측정하지만 실제 통계 자료가 없는 경우에는 위험 발생 가능성에 대해 유추하여 사용합니다. 여기서 위험 발생 가능성이란 위험이 실제로 발생하지는 않았을지라도 추후 발생할 가능성이 얼마나 있는가를 보여주는 항목으로, 이에 대한 대책 마련이 요구됩니다.

위험 식별은 어떠한 절차에 따라 이루어 지고 있을까요? 우선 위험을 식별할 때는 장애 일지나 사고 대응 일지 등을 통해서 알아낸 위험과 발생 가능한 위험 목록을 조사하여 위험 시나리오를 작성하게 됩니다. 이후 위험에 의한 영향과 위험 발생주기에 따라 위험 평가 기준표와 위험 평가 매트릭스를 작성하게 됩니다. 정확한 위험에 대한 식별은 담당자와의 협의를 통해 이루어지며 위험 식별은 업무 프로세스별, 자산별로 분류하여 수행합니다. 또한 관리 및 물리적 환경에 대한 위험은 별도의 업무 프로세스로 분류하여 식별합니다.

우려사항 분석에 대해 알아보겠습니다. 우려 사항이란 위험과 취약성을 구분하지 않고 하나로 나타내어 위험을 도출하는 것을 말합니다. 이 때 우려되는 정도를 나타낸 값을 우려도라고 합니다. 위험과 취약점의 경우 구분하기 어려운 경우가 있고, 또한 취약성의 정도를 평가할 때 사람들이 일반적으로 자산의 가치를 고려하여 답을 하는 경향이 있습니다. 즉, 자산의 가치가 낮으면 대책이 없음에도 취약성이 낮다고 평가를 하거나 자산의 가치가 높으면 대책이 존재함에도 취약성이 높다고 평가하는 것입니다.

이러한 경향을 고려하여 위험과 취약성을 통합적으로 평가하여 한번만 답하도록 함으로써 평가와 조정이 효율적으로 이루어질 수 있습니다.

우려 사항은 문제 발생의 가능성을 두고 높음, 중간, 낮음으로 평가됩니다. 구체적인 예시입니다. 웹 서버란 자산에 대해 계정 잠금미설정으로 인해 접근 권한을 탈취 당할 우려 사항으로 인해 취약점 정도를 상으로, 위험 발생 가능성을 높음으로 평가한 것을 확인할 수 있습니다.

5. 기존 보호 대책 분석

위험 분석을 수행하기 위해서 기존의 보호 대책을 분석하는 작업에 대해 알아보겠습니다. 기존 보호 대책이 관리적, 물리적, 기술적 취약성의 관점에서 어떻게 적용되고 있는지 분석하여 보호 대책의 수립 시 불필요한 작업과 비용을 줄이고 기존 보호 대책 및 이미 계획된 대책이 적합하게 수행 되었는 지를 식별할 수 있습니다. 기존 보호 대책 분석은 생략이 가능한데, 이 경우 위험이 도출된 단계에 기존 보호 대책의 유무를 통해 위험을 다시 판단하게 됩니다.  만약 위험이 있으나 기존 보호 대책이 있어 위험이 이미 경감된다면 해당 위험은 보호 대책을 수립하지 않아도 됩니다.

기존 보호 대책 분석 시 확인 사항에 대해 알아보겠습니다. 먼저 정보보호 관리 문서와 관련하여 기존 정보보호 정책서 및 지침, 보안 규정과 정보보호 현황 분석서를 토대로 현행 시스템에 대한 보호 대책 현황을 분석해야 합니다. 식별된 위험 시나리오에 대한 현행 보호 대책과 관련해서는 현재 어떤 보호 대책이 적용되고 있는지 확인하고, 이에 대한 관련 지침 및 절차를 식별합니다.

그리고 정보 자산에 대한 현행 보호 대책 및 이행 여부 등을 확인해야 합니다.

6. 위험도 산정

위험도 산정에 대해 알아보겠습니다. 자산분석, 위험분석, 취약성 분석 결과를 기반으로 주요 자산에 대한 위험수준을 평가하고 위험을 산정하는 것 역시 위험분석을 위해 필요합니다.

이 때, 위험 시나리오와 자산/위험/취약성 매트릭스를 작성하고 분석하게 되는데, 이 결과를 기반으로 주요 자산의 위험수준을 결정하게 됩니다.

위험도를 산정할 땐 단순한 산술적 합으로 산정 되어서는 안 되며 자산, 위험, 취약성 분석의 결과를 기반으로 위험 수준을 평가하고 위험을 산정하게 됩니다.

위험도를 산정할 땐 단순히 산술적인 합으로 산정 되어서는 안 되며 자산, 위험, 취약성의 상호 간 작용을 평가해야 합니다. 다음의 표는 자산, 위험, 취약성을 네 가지 등급으로 각각 평가하고 그들의 상호작용을 평가한 것입니다. 위험 시나리오는 자산, 위험, 취약성을 매핑하는 과정으로서, 이것은 어느 한 자산에 취약성이 존재할 경우 특정 위험에 의해 위험이 발생할 수 있고, 이에 따른 보호 대책을 마련하는 일련의 과정을 정의하는 것을 의미합니다.

위험도를 결정할 때는 그 정의를 명확하게 하여 실제 어느 정도의 위험을 의미하는 것인지를 정량적 또는 정성적으로 표현해야 합니다.

위험 평가

1. 수용 가능 위험 수준 결정

위험 평가

위험 평가 시 수행되는 수용 가능한 위험 수준을 결정하는 것에 대해 알아보겠습니다. 위험 평가 단계는 수용 가능한 위험 수준을 결정하고 그에 따라 관리되어야 할 위험에 대한 통제  방안을 마련하는 단계로 볼 수 있습니다. 각 정보 자산별로 위험을 분석한 결과가 도출되면, 정보보호 최고 책임자가 참여하는 정보보호 위원회를 운영하여 수용 가능한 위험수 준을 결정하는 절차를 수행하게 됩니다.

여기서 잠깐, 정보보호 최고 책임자가 참여하는 정보보호 위원회에서 수용 가능한 위험 수준을 결정하는 이유가 무엇일까요?

그 이유를 차근히 생각해보면, 조직에 존재하는 위험을 수용한다는 것은 발생 가능한 요소에 대해 지켜보겠다는 의미로 해석될 수 있습니다. 만약에 수용하기로 결정한 위험이 실제로 발생하여 조직에 손실이 발생할 수 있다는 사실을 인지해야 합니다. 따라서 결정된 수용 가능한 위험 수준은 회사의 경영진이 참여한 기구에서 의사 결정에 의해 추진되어야만 합니다.

보장 수준을 결정하는 방법은 표준화된 방법론이 없으며, 따라서 조직 내에서 정보보호를 협의하고 의결하는 최고 기구를 통하여 최대한 객관적인 판단을 유도하여 최종 보장 수준을 결정하는 것이 좋습니다. 이렇게 보장 수준이 결정되면 이에 따라 관리 되어야 할 위험과 잔여 위험에 대한 통제 방안을 마련하게 됩니다.

앞서 학습한 내용처럼, 회사에 최고의사결정 기구에서 확정된 수용 가능한 범위 내로 위험을 조정하여, 회사가 수용 가능한 수준의 잔여위험만을 남긴 채 지속적인 모니터링을 통해 위험을 관리해야 합니다. 그래서 위험 분석을 통해 도출된 위험이 수용 가능한 수준을 넘어선 위험이라면, 적절한 보안 통제를 적용하여 설정된 수준 이하로 낮춰주는 역할을 수행하게 됩니다. 이미지는 책정된 취약성 및 위험 수준과 수용 가능 수준을 목표로 그래프화한 것입니다.

2. 위험 처리 방향 결정

보장 수준에 따라서 위험은 어떠한 방법으로 처리되고 있을까요? 위험 수용, 위험 감소, 위험 회피, 위험 전가의 네 가지 방법이 있습니다. 가장 먼저 위험 수용에 대해 알아보겠습니다. 위험 수용이란 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말하는데, 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로 일정 수준 이하의 위험은 감수하고 사업을 진행하는 것입니다. 위험 모니터링도 있습니다. 주변 환경의 변화에 따라 위험 요인으로 변화할 수 있는 잠재 위험을 지속적으로 감시하는 것으로, 적정 위험 수준 주변의 위험도가 위험 모니터링의 대상이 될 수 있습니다.

위험 감소란 직접적인 피해가 발생할 수 있는 중대한 위험이 늘 잠재하고 있기 때문에 이러한 위험에 대해 정보보호 대책을 구현하는것을 말합니다. 어떠한 위험이 식별 되었을 때 위험 감소방안을 선택하게 될까요? 위험을 도출하는데 필요한 자산, 취약성, 위험 중하나의 수준을 낮추어 위험을 낮출 수 있습니다. 수용 가능한 위험수준을 넘어서는 위험에 대해 취약성을 해결하거나 위험의 빈도를 낮출 수 있는 통제를 적용하여 위험을 감소시킬 수 있습니다.

위험 회피란 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것입니다. 회사에서 새로운 사업을 추진하는데, 보안상 문제로 인해 기존 사업에까지 심각한 영향이 발생될 것이라는 위험 분석 결과를 확인하였습니다. 이러한 상황이라면, 새로운 사업을 시작해야 할까요? 아닙니다. 위험 분석 결과, 해결할 수 있는 수준을 넘어선다면, 조직은 위험 회피를 선택하여, 해당 사업을 수행하지 않는 것이 적절할 것입니다.

위험 전가란 보험이나 외주 등으로 잠재적 비용을 제 3자에게 이전하거나 할당하는 것을 말하며 조직에서 선택하는 효과적인 위험 처리 방안 중에 하나입니다. 대표적인 예가 보험인데요. 대부분 사람들은 암과 같이 발생하였을 때 피해가 막심한 위험에 대응하기 위해 보험을 가입하여 사후에 발생할 문제에 대처하고 있습니다. 조직에 존재하는 보안 상 위험도 마찬가지입니다. 예를 들어 회사에서 보유 중인 고객 정보가 외부로 유출되어 법적 손해배상을 하게 되었을 때, 그 수치가 천문학적 보상을 해야 하는 경우로 발전하고 있어

회사들은 이에 대한 대응에 고심이 큰데요. 최근 개인 정보 유출 사고에 대응하는 보험 상품이 생겨나고 있습니다.