위험관리 이론

• 위험관리 개요

정보기술의 자산은 반드시 보호를 필요로 함
자산에 대한 보호를 체계적으로 하기 위해 자산을 식별
이것을 위협으로 부터 어느정도 위험에 처해있는지 측정
위험수준을 적절한 정도로 낮추기 위해 보안대책을 수립

• 위험의 종류

물리적 피해
인간 상호작용
장비 고장
내부 및 외부의 공격

• 전체위험과 잔여위험

전체위험 = 위협 * 취약점 * 자산
잔여위험 = (위협 * 취약점 * 자산) * 통제격차
잔여위험 : 100% 안전한 시스템은 존재하지 않음. 위험을 수용할 수 있는 수준으로 감소하는데 목적을 둔다(한정된 예산). 여기서 남겨진 위험(수용할 수 있는)을 잔여위험이라 함.

• 자산(Asset)

정보(데이터), 소프트웨어, 물리적 자산, 서비스, 인력 등 조직에서 보유하고 있는 가치가 있는 모든 것

• 위험에 대한 대책

위험회피 : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기함
위험수용 : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수함
위험전이 : 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당함
DoA유지 비용이 지나치게 높을 경우 선택하는 경우
위험감소 : 위험을 감소시킬 수 있는 대책을 채택하여 구현함. 소요되는 비용과 실제 감소되는 위험의 크기를 비교 비용효과 분석을 실시한다.
(정보보호대책의 효과 = 기존 ALE - 대책 구현 후 ALE - 연간 대책 비용)이 +라면 정보보호대책을 선택한다

• 위험분석

위험관리의 가장 핵심적인 부분
보호되어야 대상 정보시스템과 조직의 위험을 측정
측정된 위험이 허용가능한 수준인지 판단
위험관리와 위험분석의 개념

<위 그림은 저자 조상진님의 알기사 책을 참고하였습니다>

• 위험평가

정보자산에 대한 잠재적 및 알려진 위협과 취약성으로 나타날 수 있는 조직의 피해와 현재 구현된 정보보호대책의 실패 가능성 및 영향을 평가(수용가능한 위험수준을 진단)
정보자산의 위험을 관리할 수 있는 적절한 정보보호대책을 선택 및 우선순위를 확보하는 것이 목표

• 국내 보안성평가(CC)기관

한국인터넷진흥원(KISA)
한국산업기술시험원(KTL)
한국시스템보증(KOSYAS)
한국아이티평가원(KSEL)
한국정보통신기술협회(TTA)

• TCSEC(Trusted Computer Sysstem Evaluation Criteria)

미국에서 1985년 최초로 만들어진 일명 '오렌지북'이라고 불림. TCSEC에서는 정보제품의 보안성에 영향을 줄 수 있는 보안요구를 보안정책, 책임성, 신뢰성, 문서화로 분류해 기본요구사항을 명시하고 보안등급을 7단계로 나누어 규정함

• ITSEC(Information Technology Security Evaluation Criteria)

1991년에 유럽 각국의 기준과 미국의 TCSEC의 내용을 참조하여 새로운 유럽 공통 평가 기준인 ITSEC를 공동으로 만들었음

• 정성적 위험분석

구성요소와 손실에 숫자와 화폐적 가치를 부여하는 대신 다양한 위험 가능성의 시나리오에 정성적 요소를 투영하는 방법. 자산의 중요성이 우선. 숫자랑 안친함

- 델파이법 : 전문가 집단의 의견과 판단을 추출하고 종합. 전문가들에게 설문조사를 실시. 짧은 시간안에 결론도출 가능. 시간과 비용이 절약되지만 정확도가 낮다는 단점이 있음. 주간적인 견해가 개입될 수 있음.

- 시나리오법 : 어떠한 사실도 기대대로 되지 않는다는 베이스. 특정 시나리오를 통해 발생 가능한 위협의 결과를 도출. 정확성이 낮음

- 순위결정법 : 비교우위순위 결정표에 위험 항목들의 서술적 순위를 결정. 정확도가 낮음

• 정량적 위험분석

위험에 대한 분석을 숫자나 금액등으로 객관적 표시. 많은 시간과 인력이 필요

- 과거자료분석법 : 과거자료를 통해 위험 발생 가능성을 예측. 자료가 많을수록 정확도는 높아짐. 과거 사건이 미래발생 가능성이 낮아질 수 있는 환경에선 적용이 어려움

- 수학공식접근법 : 위협 발생빈도를 계산하는 식을 이용하여 위험을 계량화하는 방법. 기대손실을 추정하는 자료의 양이 적다는것이 단점

- 확률분포법 : 미지의 사건을 확률적으로 편차를 이용하여 위험평가를 예측. 정확도가 낮음

• 접근방식에 따른 위험분석 기법 종류

- 베이스라인 접근법 : 위험분석을 수행하지 않고 모든 시스템에 대하여 표준화된 대책을 체크리스트 형태로 제공. 보안관리를 수행하기 어려운 소규모 조직이나 대규모 조직의 중요하지 않은 일반 자산에 대해서 사용하는 편


- 벨-라파듈라(Bell-Lapadula) 모델 : 미 국방부의 다수준 보안정책으로 부터 개발. 객체애 대한 기밀성을 유지하는데 중점. 무결성하고 가용성은 관심없음. 분류된 정보가 덜 안전한 수준으로 이관하거나 전송하는 것을 방지.


- 비바(Biba) 모델 : 비군사적 조직에 있어서 무결성은 기밀성보다 중요하다. 기밀성과 가용성이 아닌 무결성에만 집중.


- 클락 윌슨(Clark-Wilson) 모델 : 무결성 관점에서 접근통제 모델. 주체는 객체에 대한 직접적인 접근을 가지지 않음. 객체는 오직 프로그램을 통해서만 접근가능. 휴율적 업무처리+임무분할 두가지 원칙. 효과적 무결성 보호.

• 정량적 예상손실액

단일예산손실액(SLE) = 자산가치 * 노출계수
연간예상손실액(ALE) = 회사자산가치 * 노출계수 * 연간발생률, SLE * 연간발생률

• 보안평가수준 7단계

1. 관리적 부문 : 정보보호관리체계에 준하여 관련된 분야를 선별, 설문 및 면담하고 평가한다
2. 물리적 부문 : 서버 및 네트워크 장비의 물리적 보안상태에 대하여 평가
3. 네트워크 부문 : 네트워크 장비의 기술적 보안 현황에 대한 평가
4. 시스템 부문 : 각 업무 프로세스별 서버들의 기술적 보안현황에 대한 평가
5. 응용시스템 부문 : 각 업무 프로세스별로 업무 수행을 위해 사용되는 응용시스템의 기술적 보안현황 평가
6. 데이터베이스 부문 : 각 업무 프로세스별로 업무 수행을 위해 사용되는 데이터베이스 기술적 보안현황 평가
7. PC 및 기타 단말기 : PC 및 기타 단말기들의 기술적 보안현황에 대한 평가