ISMS-P 인증심사원 - 위험 관리(Risk Management)

1. 위험 관리(Risk Management)

 

1. 위험분석 및 계획수립

 

(1) 위험 정의 - 비정상적인 일이 발생할 수 있는 가능성을 말하며, 위험분석은 위험을 분석하고 해석하는 과정으로 조직 자산의 취약성을 식별하고, 위협분석을 통해 발생 가능한 위험의 내용과 정도를 결정하는 과정

 

(2) 위험관리 정의 및 목적 - 위험을 평가하고, 피해자가 수용할 수 있는 수준까지 위험 부담을 줄이기 위한 조치를 강구하며 그러한 위험을 용인할 수 있는 수준으로 유지하는 것 / 위험 측정과 관리를 통하여 다양한 위협요소로 인해 피해를 최소화하거나 막기 위함이다.
  - 전체 위험 / 잔여 위험

 

(3) 위험관리 구분

o 정보보호정책을 바탕으로 각 조직에 적합한 전반적인 위험관리 전략의 결정

o 위험분석 활동의 결과 혹은 기본 통제에 따른 개별 IT 시스템에 대한 대책의 선택

o 보안 권고에 의거한 IT 시스템 보안 정책의 정형화, 조직의 정보보호 정책

o 승인된 IT시스템 보안 정책을 토대로 하여 대책을 구현하기 위한 IT 보안 계획의 수립

 

(4) 위험관리 계획

구분	설명
위험분석	통제되거나 받아들여질 필요가 있는 위험을 확인하는 것이다. 위험분석은 자산 가치 평가, 위협, 취약성을 포함하며, 모든 시스템에 대한 간단한 초기 분석을 통해 불필요한 시간과 자원의 투자 없이 실행할 수 있다.
위험평가	위험평가의 목적은 적절하고 정당한 보안 대책을 선정하고 식별하기 위하여 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한 것이다. 위험은 위험에 처한 자산, 잠재적인 불리한 업무 충격을 유발하기 위해 발생하는 위협 가능성, 식별된 위협으로 인한 취약성의 용이한 사용 및 위험을 감소시키는 기존의 혹은 계획된 어떤 대책에 따른 새로운 위협 가능성 등을 포함한다.
대책설정	허용 가능 수준으로 평가된 위험을 줄이기 위해 적절하고 정당한 대책을 식별 및 선정한다. 대책은 위협을 방지하고, 취약성을 감소시키고, 원치 않는 사고의 충격을 제한하고, 원치 않은 사고를 감지하고, 복구를 촉진하는 실행, 절차, 메커니즘이다. 일반적으로 효과적인 보안에는 자산에 대한 보안 계층을 제공하는   다양한 대책의 조합이 요구된다.

조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위해 자산에 대한 위험을 분석하고, 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 과정

 

l  위험분석 접근 절차

구분	설명
위험분석 범위 선정	업무, 조직, 위치, 자산 및 기술적 특성에 따라 정보보호관리체계 범위에 근거한 위험분석 범위를 선정한다.
위험분석 방법 정의 및 위험분석계획수립	효율적인 위험분석 수행을 위하여 계량화 여부에 따른 정량적 혹은 정성적 방법을 선택하거나, 접근방법에 따라 기준선 접근법(Baseline Approach), 상세위험 접근법(Detailed Risk Approach), 복합적 접근법(Combined Approach) 등을 선택하고 이 내용을 위험관리지침 등으로 정할 수 있다. 위험분석 계획을 수립하여 정보보호 책임자 수준까지 승인을 받아야 한다.
자산 분석	조직의 업무와 연관된 정보 및 정보시스템을 포함하는 정보자산을 식별하고, 해당 자산의 기밀성, 무결성, 가용성이 상실되었을 때의 결과가 조직에 미칠 수 있는 영향을 고려하여 가치(중요도=보안등급)를 평가한다.
위협 분석	자산에 대한 위협의 식별 및 발생 가능성 정도를 인터뷰 또는 실사를 통하여 측정한다.
취약성 분석	식별된 위협에 대하여 자산이 어느 정도 취약한가를 인터뷰 또는 실사를 통하여 판명한다. (위협과 취약성을 분석하는 순서는 취약성 분석 후 위협을 분석하는 식으로 변경될 수 있다.)
우려사항 분석 (선택사항)	이 절차는 위협 및 취약성 분석을 별도로 하지 않고 함께 분석할 때 사용한다. 정보(Data)와 같이 위협과 취약성의 구분이 어려운 경우는 우려사항이라는 용어의 정의로서 이용 가능하다.
위험도 산정	식별된 자산, 위협 및 취약성을 기준으로 위험도를 산출하고 기존의 보호대책을 파악한다. 식별된 자산별 위협, 취약성 및 위험도를 정리하여 위험을 평가한다.
보호대책 선정	위험도 평가결과를 토대로 해당 위험도를 수용 가능한 위험수준(DoA)까지 낮추기 위한 보호대책을 선정한다.
정보보호 계획 수립	제거 또는 경감시켜야 하는 위험에 대한 보호대책을 언제, 누가, 어떻게 이행할 것인지 계획을 수립한다. 이 계획은 단기 또는 중, 장기로 구분되어 마스터플랜처럼 수립될 수도 있으나, 단기(또는 1년 내)에 이행이 요구되는 계획은 구체적으로 수립한다.

 

구분	위험도
	3 ~ 8(Acceptable Risk)	9 ~ 13(Unacceptable)
위험처리 방안	수용	감소(보호대책 식별)
향후 위험관리 방안	위험 허용수준의 감소 시, 보호대책 식별 및 적용	적용된 보호대책의 효과성을 지속적으로 유지, 관리

 

l  위험분석 및 평가 방법론은 과학적이고 정형적(Structured)인 과정으로 위험을 알아내고 측정하려는 노력을 정리한 것이다.

l  방법론 자체는 전 세계적으로 수백여 가지가 존재 하지만 실제로 분석 및 평가를 수행하고자 할 경우, 대상 조직 및 특징, 요구사항, 수행기간 등에 따라 다양한 방법론을 적용할 수 있다.

l  방법론을 특정 조직에 적용시 상황과 여건을 고려하여 가장 적절한 방법을 선택하는 것이 중요하다.

 

위험 분석(정량/정성)

 

o 정량적 위험분석

구분	설명
ALE (연간예상손실)	o 자산가치 * 노출계수 = 단일예상손실 (SLE) o 단일예상손실 * 연간발생률 = 연간예상손실 (ALE)
과거자료 분석법	과거의 자료를 통해 위험발생 가능성을 예측하는 방법. 위협에 대한 과거 자료가 많을수록 분석의 정확도가 높아진다. 그러나 과거에 일어났던 사건이 미래에도 일어난다는 가정이 필요하며, 과거 사건 중 발생 빈도가 낮은 자료에 대해서는 적용이 어렵다는 단점이 있다.
수학공식 접근법	위협의 발생빈도를 계산하는 식을 이용하여 위험을 계량하는 방법으로 이 방법은 과거자료의 획득이 어려울 경우 위험 발생 빈도를 추정하여 분석하는데 유용하다. 또한 위험을 정량화 하여 매우 간결하게 나타낼 수 있다는 점이다. 그러나 기대손실을 추정하는 자료의 양이 낮다는 단점이 있다.
확률 분포법	미지의 사건을 추정하는데 사용되는 방법이다. 이 방법은 미지의 사건을 확률적(통계적)편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있다. 그러나 확률적으로 추정하는 방법이기 때문에 정확성이 낮다.

 

o 정성적 위험분석

구분	설명
델파이법	시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법이다. 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있기 때문에 추정의 정확도가 낮다.
시나리오법	어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법이다. 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고, 위험분석팀과 관리층 간의 원활한 의사소통을 가능케 한다. 그러나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮다.
순위결정법	비교우위 순위결정표에 위험 항목들의 서술적 순위를 결정하는 방법이다. 각각의 위협을 상호 비교하여 최종 위협요인의 우선순위를 도출하는 방법이다. 위험 분석에 소요되는 시간과 분석하여야 하는 자원의 양이 적다는 장점이 있으나, 위험 추정의 정확도가 낮은 단점이 있다.

 

구분	정량적 기법	정성적 기법
장점	- 객관적인 평가기준이 적용된다. - 정보의 가치가 논리적으로 평가되고 화폐로 표현되어 납득이 더 잘된다. - 위험관리 성능평가가 용이하다. - 위험 평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해하기 쉽다.	- 계산에 대한 노력이 적게 든다. - 정보자산에 대한 가치를 평가할 필요가 없다. - 비용/이익을 평가할 필요가 없다.
단점	- 계산이 복잡하여 분석하는데 시간, 노력, 비용이 많이 든다. - 수작업의 어려움으로 자동화 도구를 사용할 시 신뢰도가 벤더에 의존된다.	- 위험평가 과정과 측정기준이 주관적임 - 측정결과를 화폐가치로 표현하기가 어렵다. - 위험완화 대책의 비용/이익 분석에 대한 근거가 제공되지 않고, 문제에 대한 주관적인 지적만 있다. / 위험관리 성능을 추적할 수 없다.

 

l  위험분석 접근 방법 선정

위험분석 및 평가 대상 조직의 보안요구사항, 가용자원(전문 인력, 기간, 예산 등), 규모 등을 고려하여 적절한 접근방식을 선택한다.

일반적으로 기준선 접근법(Baseline Approach), 전문가 판단법(Informal Approach), 상세위험 접근법(Detailed Risk Approach), 복합적 접근법(Combined Approach) 중 선택적으로 적용한다.

 

(2) 기본적인 접근 방법

- 조직의 보안정책을 참조하여 세부통제사항을 작성한다.

- 공공기관의 경우 정부 부처 및 공공기관에서 요구하는 보안요구사항을 참조하여 반영한다.

-  ISO 등 국내/외 표준을 참조하여 반영한다.

- 외국의 보안 컨설팅 기관에서 작성한 기본통제를 참조한다.

- 정보감리 등을 통하여 얻은 결과를 반영한다.

구분	설명
장점	위험분석을 위한 자원이 필요하지 않고, 보호대책 선택에 들어가는 시간과 노력이 줄어든다. 일반적으로 기본적인 보호대책을 확인하기 위해 어떠한 중요한 자원도 필요하지 않다. 큰 노력 없이 많은 시스템에 같은 또는 비슷한 안전요소가 적용될 수 있다. 만약 같은 환경에서 운영되는 조직의 시스템이 많고, 사업 필요성이 비교 가능하다면 기본적인 안전요소는 비용 효과적인 선택이다.
단점	만약 기본적인 보호대책이 너무 높게 설정되었다면 어떤 시스템에 대해서는 비용이 너무 많이 들고, 너무 제한적이며, 만약 너무 낮게 설정되었다면, 어떤 시스템에 대해서는 보안 결핍을 가져올 수 있다.

 

(3) 비공식적인 접근 - 구조적인 방법에 의존하지 않고, 개인적인 지식과 경험을 이용한다. 만약, 내부 보안 전문가가 가용하지 않다면 외부 계약자가 이 분석을 시행할 수 있다.

구분	설명
장점	비공식적 분석을 하기 위한 추가적인 기술의 습득이 필요하지 않고 세부적인 위험분석보다 신속하게 수행된다. 이 방식은 비용 효과적이며, 소규모 조직에 적합할 수 있다.
단점	구조화되지 못해서, 어떤 위험이 있는 관심지역을 잃어버릴 가능성이 증가한다. 이 방법은 비공식적인 특성 때문에 재검토자의 주관적 관점과 편견에 영향을 받을 수 있다. 1) 보호대책 선택에 정당성이 부족하다. 따라서 보호대책에 들어가는 비용이 정당화되기 어렵다. 2) 반복적인 재검토 없이는 시간에 따른 보안관련 변화의 관리가 어려울 수 있다. 비공식 위험분석을 했던 사람이 조직을 떠나면 문제가 발생할 수 있다.

 

(4) 세부적인 위험분석 - 정당성과 자산의 가치, 이 자산들에 대한 위협의 수준평가, 그리고 자산들의 취약성을 포함한다.

구분	설명
장점	1) 각 시스템에 필요한 적절한 보안의 수준이 확인된다. 2) 세부적인 위험분석으로부터 얻은 추가적인 정보로 변화 관리는 이익을 얻는다.
단점	1) 가시적인 결과를 얻기 위해, 많은 시간, 노력 그리고 전문성이 필요하다. 2) 중요한 시스템의 보안 필요성이 너무 늦게 다루어질 가능성이 있다. 모든 시스템이 같은 세부사항으로 간주될 수 있고, 이 분석을 완성하는데 많은 시간이 소요되기 때문이다. 따라서 모든 시스템에 세부적인 위험분석을 사용하는 것은 바람직하지 못하다.

 

o 위험분석은 자산에 대해 확인된 위험에 대한 만족하는 안전요소의 정당성, 선택 그리고 채택을 지원하고, 관리에 의해 정의된 받아들일 수 있는 수준의 위험의 감소를 지원한다.

 

o 세부적인 위험분석은 많은 자원이 소모되는 프로세스이고, 경계의 설정에 주의해야 하고, 지속적인 관리에 주의를 요한다.

 

(5) 복합적인 접근

구분	설명
장점	1) 중요한 자원이 투입되기 전에 필요한 정보를 얻기 위한 간단한 고수준 접근을 사용하는 것은, 위험관리 프로그램에 더 적합하다. 2) 이것은 조직적인 보안 프로그램의 신속한 전략 구상이 가능하고, 또 좋은 계획 보조도구로 사용될 수 있다. 3) 자원과 비용은 가장 큰 이익이 있는 곳에 사용될 수 있고, 높은 위험은 미리 다루어질 수 있다.
단점	1) 만약 고수준분석이 부정확한 결과를 가지고 온다면, 세부적인 분석이 필요한 어떤  시스템은 적절히 다루지 못할지도 모른다. 2) 만약 고수준 위험분석이 적절하게 점검된다면 어떤 사건에 대해서는 그 시스템은   여전히 기준선 안전요소에 의해 보호된다.

o 기준선 접근과, 세부위험분석에 설명된 기능들 중 최상의 핵심기능들의 조합이다.

o 결론적으로 이것은 보안요소 식별에 소요되는 최소한 시간과 노력의 좋은 균형을 제공한다.

o 대부분의 시스템에서 이 선택이 가장 비용 효율적인 접근을 제공하고, 대개의 조직에서 가장 권장되는 위험분석방법이다.

 

 

구분	설명
기준선 접근법	•       모든 시스템에 대하여 보호의 기본수준을 정하고 이를 달성하기 위하여 일련의 보호대책을 선택한다. •       시간과 비용이 많이 들지 않고 모든 조직에서 기본적으로 필요한 보호대책의 선택이 가능하다. •       조직의 특성을 고려하지 않기 때문에, 조직 내에 부서별로 적정 보안수준보다도 높게 혹은 낮게 보안통제를 적용한다.
전문가 판단법	•       정형화된 방법을 사용하지 않고 전문가의 지식과 경험에 따라서 위험을 분석한다. •       작은 조직에서 비용 효과적이다. •       구조화된 접근 방법이 없기 때문에, 위험을 제대로 평가하기 어렵고 보호대책의 선택 및 소요비용을 합리적으로 도출하기 어려우며 계속적으로 반복되는 보안관리의 보안감사 및 사후관리가 제한된다.
상세위험 접근법	•       자산의 가치를 측정하고 자산에 대한 위협의 정도와 취약성을 분석하여 위험의 정도를 결정한다. •       조직 내에 적절한 보안수준 마련이 가능하다. •       전문적인 지식과 시간과 노력이 많이 소요된다.
복합적 접근법	•       먼저 조직 활동에 대한 필수적인 그리고 위험이 높은 시스템을 식별하고 이러한 시스템에 대해서는 “상세위험 접근법”을 그렇지 않은 시스템에는 “기준선 접근법” 등을 각각 적용한다. •       보안전략을 빠르게 구축할 수 있고, 상대적으로 시간과 노력을 효율적으로 활용이 가능하다. •       두 가지 방법의 적용대상을 명확하게 설정하지 못함으로써 자원의 낭비 발생이 가능하다.