위험 관리(Risk Management)에 대해 알아보겠습니다.

위험 관리에 대해 알아보겠습니다.

 

 위험관리 (Risk Management) 라는 뜻은 자산에 대한 위험을 수용할 수 있는 수준으로 유지키 위해 위험을 분석하고 비용대비 효과적인 보호대책을 마련하는 일련의 과정을 뜻합니다.

위험 관리는 총 5가지 단계로 이루어집니다.
1. 위험관리 전략 및 계획 수립
2. 위험 분석(위험식별)
3. 위험 평가(위험의 범위)
4. 정보보호대책 (위험 완화)
  - 대응책 식별
5. 구현 계획

 

Ⅰ. 위험관리 전략 및 계획 수립

 위험관리를 위해 전략과 계획 그리고 우선순위를 결정하는 과정입니다.

Ⅱ. 위험분석

 위험분석 단계는 자산의 가치를 평가하고 자산에 대한 위협, 취약성을 분석을 하는 것입니다.

 1. 베이스라인 접근법
 모든 시스템에 대하여 표준화된 보안대책의 체크리스트
 장점 : 분석의 비용과 시간 절약
 단점 : 조직에 적합한 체크리스트가 존재하는 경우가 아니라면 위험분석을 하지 않는 것과 유사한 상태
        조직의 자산 변동이나 새로운 위협/취약성의 발생 또는 위협 발생률의 변화 등 보안환경의 변화를 적절하게 반영하지 못한다는 점

 2. 비정형 접근법
 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석
 수행자의 경험에 따라 중요위험 중심으로 분석
 장점 : 작은 규모의 조직에는 적합
 단점 : 수행자 변경 시 수행자의 경험분야가 적은 위험 영역을 놓칠 가능성,  보안에 전문성이 높은 인력필요

 3. 상세 위험 분석
 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가

  장점 : 조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립
             자산, 위협, 취약성의 목록이 작성, 검토되어 해당 변경에 관련된 사항만을 추가, 조정, 삭제함으로써 

             보안 환경의 변화에 적절히 대처 가능
 단점 : 시간과 노력이 많이 소요, 보안에 전문성이 높은 인력필요

 4. 복합접근법
 고위험(high risk) 영역을 식별하여 이 영역은 상세 위험분석을 수행하고 다른 영역은 베이스라인 접근법을 사용하는 방식입니다.
 장점 : 비용과 자원을 효과적으로 사용 할 수 있으며, 고위험 영역을 빠르게 식별하고 적절하게 처리 할 수 있습니다.
  단점 : 위험 영역이 잘못 식별되었을 경우 위험분석 비용이 낭비되거나, 부적절하게 대응 할 수 있습니다.

 

Ⅱ-1. 위험분석 방법

  1) 정량적 분석방법 : 위험을 손실액과 같은 숫자값으로 표현함.

          ALE(연간손실액) = SLE * ARO

         SLE(단일예상 손실액) = AV(자산가치) * EF(노출계수)

 

예를 들어, 10년에 한번 지진이 일어나 회사 시설에 40%가 손상 된다고 치자.

회사 시설은 $300,000이다. 이때 연간 손실액을 구하면?

 

SLE = 300,000*0.4 = 120,000

ALE = 120,000*0.1 = 12,000

 

이러한 방식을 이용하여 조직의 예산계획에 활용할 수 있지만. 분석에 너무 오버헤드가 큽니다.

 

정량적 분석방법은 3가지 방법들이 있습니다.

- 과거 자료 분석법 : 과거 데이터를 통해 앞으로의 위험 발생 가능성을 분석하는 방법입니다. 과거가 앞으로의 미래가 비슷할 것이라는 전재로 하기 때문에 틀릴 경우도 있습니다.

- 수학공식 접근법 : 과거자료만으로 분석이 힘들 때 사용합니다. 위험발생 빈도를 수학적 공식으로 계산하여 숫자화하는 것입니다.

- 확률분포법 : 미지의 사건을 확률적 편차를 이용하여 최저, 보통, 최고 위험평가를 예측하는 방법이며, 확률에 의한 것이기때문에 실제로 맞을 확률은 낮습니다.

 

정량적 분석방법의 장/단점에 대해 알아보겠습니다.

- 장점 : 객관적이고 숫자로 표현되기 때문에 보는 사람이 이해하기 쉬우며, 성능, 평가, 비교에 유용합니다.

- 단점 : 계산이 복잡해서 시간, 노력, 비용이 많이 듭니다. 자동화 도구를 이용하여 산출 할 경우 신뢰도가 벤더에 의해 의존할 수 있습니다.

 

  2) 정성적 분석방법

 기업이나 조직에서 찾은 위험에 대해 '매우 높음', '높음', '보통', '낮음' 등으로 표현하는 것하는 것입니다.

 

- 델파이법 : 전문가들의 의견수립, 중재, 타협의 방식으로 반복적인 피드백을 통한 하향식 의견 도출 방법으로 문제를 해결하는 기법입니다.

- 시나리오법 : 어떠한 사건도 예상대로 실행되지 않는다는 사실에 근거하여 위험을 추정하고 이에 대비하기 위한 위험 분석 방법입니다. 시나리오법은 탐색적 시나리오와 규범적 시나리오로 나누어집니다.
  * 탐색적시나리오 : 목표를 정하지 않고 현재의 변화흐름과 환경의 추세분석을 통해 인과관계를 중심으로 작성하는 시나리오입니다.
 * 규범적시나리오 : 목표점을 정하고 그곳에 도달하는 방법의 과정을 그린 시나리오입니다.

- 순위결정법 : 비교우위 순위 결정표에 위험 항목들의 순위를 결정하는 방법.

- 그 외 : 질문서법, 브레인스토밍, 스토리보딩

 

정성적 분석방법의 장/단점에 대해 알아보겠습니다.

- 장점 : 정량적 분석 방법보다 분석에 대한 노력/비용이 적게들고, 수치로 표현된 값은 평가할 필요가 없습니다.

- 단점 : 평가 근거가 주관적이고, 결과도 수치를 표현할 수가 없어 정량적 분석방법에 비해 신뢰도가 떨어집니다. 

Ⅲ. 위험 평가

 위험평가 단계는 정보자산의 가치와 위협 및 취약성의 정도에 따라 비밀성, 무결성, 가용성 손상에 따른 잠재적 손실의 규모를 평가하는 것입니다.

1) 목표 위험수준 및 위험 우선순위 설정
조직에서 수용 가능한 목표 위험수준을 설정하고 이 이상의 위험에대해서만 적절한 대응
2) 목표 위험 수준의 설정 책임
예산에 맞추어 가장 우선순위가 높은 위험부터 대응하는 것은 실질적인
대응 방안이기는 하지만 조직의 책임자는 현재 조직의 위험수준과 목표
위험수준을 알아야 하고 어느 정도의 투자를 통해서 언제 위험 수준이
목표 수준에 도달할 수 있을지를 예상 / 위험의 존재를 경고하고 선택 가능한 적절한 대안을 제시하는 것은 위험분석 수행 책임자의 의무이다. 위험분석 수행 책임자는
모호할 수 있는 위험 평가의 결과를 비전문가도 이해할 수 있도록 사례 등을 통해 위험 수준의 의미를 설명함으로써 경영진이 감수해야 할 위험과 투자의 규모를 이해하고 결정할 수 있도록 지원

 

* 정량적 방식의 위험평가

 자산의 가치는 금액, 위험은 연간 발생률, 취약성은 백분율로 평가하는 방법

 연간예상손실액 = (자산가치) * (연간발생횟수) * (취약성%)

 

* 정성적 방식의 위험평가 : 자산, 위험, 취약성 3가지를 3점 척도로 평가하는 방법이 일반적입니다.

Ⅳ. 정보보호대책 (위험 완화)

1. 위험 완화
기업이나 조직에서 수용 가능한 위험을 넘었을 때 위험을 완화하는 방법으로는 위험수용, 위험감소, 위험회피, 위험전가의 4가지 방식이 있습니다.

1) 위험수용 : 위험 수용(acceptance)이란 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말한다. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로, 일정 수준 이하의 위험은 어쩔 수 없는 것으로 인정하고 사업을 진행합니다.
2) 위험 감소 :  위험을 감소시킬 수 있는 대책을 채택하여 구현, 대책의 채택 시 비용과 실제 감소되는 위험의 크기를 비교하는 비용효과 분석을 실시합니다.

3) 위험 회피 : 위험이 존재하는 프로세스나 사업을 진행하지 않습니다.

4) 위험 전가 : 보험이나 외주 등으로 잠재적 위험을 제3자에게 이전하거나 할당합니다.

2. 정보보호대책
 높은 수준의 위험을 수용할 수 있는 수준으로 감소시킬 수 있는 대책이 마련된 후에는 유사한 대책들을 효과적으로 구현할 수 있는 프로젝트들로 통합한 후 이들에 대한 우선순위를 설정하고 이에 따라 일정계획을 수립해야 합니다.
정책 및 절차를 수립하는 작업은 일반적으로 다른 업무보다 높은 우선순위를 갖지만 해당 정책이나 절차의 내용에 따라 사업 연속성 계획처럼 규모가 크고 최종 완료시까지는 시간이 걸리는 장기 프로젝트로 수행해야 합니다.
정보보호 시스템은 기 수립된 정보보호 정책과 절차를 준수하여 정보보호 시스템 도입 시 시스템 요구사항에는 정책 요구사항이 반드시 반영되어야 합니다. 정보보호 시스템이 절차를 변경하거나 단순화할 수 있는 경우 이러한 변경이 운영의 효율성을 높이는 측면은 있으나 적절한 승인이나 변경 통제를 제거하는 부작용은 없는지 고려하여 정보보호 시스템이 절차를 변경하거나 단순화를 반영되어야 합니다.
 모니터링이나 감사의 수행은 전체 정보보호 관리과정의 마지막 단계인 사후관리 단계에서 이루어집니다. 모니터링이나 감사를 위한 정책, 절차, 책임 설정, 모니터링 또는 감사용 시스템 도입 등과 같이 모니터링 및 감사에 필요한 사항들은 이 정보보호 계획 수립 단계에서 결정합니다.

Ⅴ. 구현 계획

-  위험에 대한 대책을 구현한 후의 위험도인 잔여 위험이 수용 가능한 목표 위험 수준 이하로 유지될 수 있는지, 비용 타당성이 있는지를 고려하여야 합니다. 
- 잔여 위험도를 구하기 위해서는 해당 대책을 구현했을 경우를 생각하여 우려사항을 재평가하여 새롭게 위험도를 계산하면 됩니다.

 -잔여 위험도를 다시 목표 위험 수준과 비교하여 목표 위험 수준 이상인 경우에는 추가 또는 더 강화된 대책을 고려해야 합니다.