[위험관리] 정보보호관리체계 위험관리 가이드 공부

2004년 배포된 KISA의 "정보보호관리체계 위험관리 가이드"의 위험관리에 대한 앞부분을 공부한 후 정리 목적으로 글을 작성하였다.

작성일 : 2023-10-27

 

출처 : https://www.kisa.or.kr/204/form?postSeq=010304&lang_type=KO 

KISA 한국인터넷진흥원

 

---

위험관리(Risk Management)

조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정

 

* 본 정의를 통해 위험관리의 목적과 중요한 포인트를 알 수 있다.

* 위험관리의 목적 : 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위함

* 위험관리의 중요 포인트 : 위험을 분석하는 것, "비용 대비 효과적인" 보호대책을 마련하는 것

* 효과적인 보호대책을 마련하는 것이 위험관리이다.

   임의의 자산에 대한 위험을 감소시키는데 100억이 들어간다고 하면, 그것을 효과적인 보호대책이라고 할 수 있을까.

 

위험관리 과정

총 5가지 세부 과정으로 이루어져있다고 한다.

 

1. 전략과 계획을 수립한다

2. 위험을 구성하는 요소들을 분석한다

3. 2의 분석에 기초하여 위험을 평가한다

4. 필요한 정보보호대책을 선정한다

5. 이들을 구현할 계획을 수립한다

 

위험평가 vs 위험완화 vs 위험분석 vs 위험관리

위험관리(Risk Management)는 앞서 설명했기 때문에 패스

 

앞서 언급한 위험 관리의 5가지 세부 과정은 위험평가(Risk Assessment)와 위험 완화(Risk Mitigation)이라는 두 단계로 크게 나눠지기도 한다.

• 위험 완화는 "정보보호 계획 수립"이라고 불리기도 한다.

여기에서 그치지 않고 위험 완화(Risk Mitigation) 이전 단계를 위험 분석(Risk Analysis)과 위험 평가(Risk Assessment)로 더 세분화하기도 한다.

혹은 위험분석, 위험관리, 위험평가를 구분하지 않고 비슷한 뜻으로 사용하는 경우도 있다고 한다.

 

하지만 일반적으로 다음과 같이 구분된다고 한다.

위험관리(Risk Management)	위에서 말한 5가지 세부 과정으로 구성되는 전반적인 과정을 말한다
위험분석(Risk Analysis)	위험을 식별하는 단계를 말한다
위험평가(Risk Assessment)	위험의 규모를 결정하는 단계를 말한다
위험완화(Risk Mitigation)	새로이 필요한 대응책을 식별하는 단계를 말한다. (=정보보호 계획 수립)

 

위험 분석과 위험 평가가 좀 헛갈리는데 다음과 같은 차이가 있다고 한다.

   * 위험 분석 : 자산의 가치를 평가하고 자산에 대한 위협, 취약성을 분석하는 단계

   * 위험 평가 : 해당 정보자산의 가치와 위협 및 취약성의 정도에 따라 기밀성, 무결성, 가용성 손상에 따른 잠재적 손실의 규모를 평가하는 단계이다.

 

왜 위험관리를 해야할까?

위험분석을 자산의 가치와 손실을 측정하여 위험을 평가하고, 이를 조직에 수용할 수 있는 수준으로 감소시키기 위하여 적절한 보호대책을 우선 순위에 따라 효율적으로 필요한 곳에 설치하도록 함으로써 과도하거나 과소의 투자를 예방한다.

 

이러한 체계적인 위험분석 과정 없이 보호대책을 수립하면 다음과 같은 문제가 발생할 수 있다.

(1) 취약점과 위협에 대한 우선순위가 설정되지 못하여 불필요하거나 과도한 투자가 발생 가능

(2) 보호대책을 수립하였음에도 불구하고 위협에 대처하지 못하는 경우가 발생 가능

(3) 보호대책은 시간이 지나면서 그 효과가 감소하게 되므로, 조직의 위험 수준을 지속적으로 유지하기 위해서는 반복적인 위험관리 필요하므로

 

위험분석 용어

위험(Risk)

위험(risk)이란, 원치 않는 사건이 발생하여 손실(부정적인 영향)을 미칠 가능성을 말한다.

일반적인 위험은 다음과 같이 평가된다.

위험 = 발생가능성 X 손실의 정도

 

위험을 구성하는 것은 자산, 위협, 취약성이다.

 

위험을 구성하는 "자산"

자산은 일반적으로 데이터 자산, 문서 자산, 소프트웨어 자산, 하드웨어 자산, 물리적 자산(시설, 장비 등), 인적 자산 등으로 구분된다.

회사의 이미지, 평판, 직원들의 사기 등을 무형 자산으로 분류하기도 한다.

 

* 특정 자산이 회사에 대해 갖는 가치(value)를 우선 평가하고,

   이 가치가 특정 위협 사건에 의해 손상되는 정도를 취약성으로 파악하여 적용하는 것이 일반적이다.

• 여기에서 말하는 가치(value)는 구체적인 금액이나 손상시 발생하는 피해의 정도로 표현될 수 있다.
• 구매 비용, 복구 비용, 기회 비용, 사고에 따른 법적 보상 책임 비용 등

 

위험을 구성하는 "위협"

위협은 일반적으로 위협원천에 따라 크게 자연재해나 장비 고장 등 환경적 요인에 의한 것, 인간에 의한 것으로 나눌 수 있다.

 

위험분석 방법론 마다 다양한 위협 목록을 제시하고 있지만, 어느 것도 완벽한 목록은 없다.

위협에 관련하여 파악하여야 할 속성은 발생 가능성(likelyhood, frequency)이다.

하지만 위협이 발생했다고 해서 반드시 피해가 발생하는 것은 아니다.

자산이 그 위협에 취약한지, 그 취약성을 보호할 대책이 있는지에 따라 결과가 달라진다.

* 위협의 발생 가능성과 위협의 성공 가능성은 다를 수 있음을 유의!

 

위험을 구성하는 "취약성"

취약성(Vulnerability)란 자산의 잠재적 속성으로서 위협의 이용 대상이 되는 것으로 정의된다.

(종종 정보보호대책의 미비로 정의되기도 한다)

 

일반적으로 위협이 자산에 영향을 미칠 가능성을 취약성 값 또는 정도(grade)로 표현한다.

취약성 역시 완전한 목록은 없다.

 

정보보호 대책

정보보호 대책(Safeguard, Countermeasure)이란 위협에 대응하여 자산을 보호하기 위한 관리적, 기술적 대책으로 정의된다.

보호대책을 선택할 때는 조직의 환경과 문화에 맞는 것을 선택해야한다.

비용을 산정할 때는 구축 비용 뿐만 아니라 운영에 따른 관리비용도 반드시 고려해야한다.

 

보호대책은 여러 가지 방식으로 자산을 보호하지만, 어떠한 보호대책도 위험을 완전히 제거할 수는 없다.

 

따라서 특정 보호대책이 어떤 위험을 어느 정도 제거할 수 있는지.. 그 효과 정도를 평가하여야 한다.

그리고 보호대책의 구현 및 관리 비용과 비교하여야 한다.

이로써 보호대책 선정을 정당화하게 된다.

 

위험분석 방법론

정보기술 보안 관리를 위한 국제 표준 지침(ISO/IEC 13335-1)에서는 위험분석 전략을 크게 4가지로 나누고 있따.

 

베이스라인 접근법(baseline approach)

모든 시스템에 대하여 표준화된 보안대책의 세트(set)를 체크리스트 형태로 제공한다.

이 체크리스트에 있는 보안대책이 현재 구현되어 있는지를 판단하여 없는 것을 구현하는 방식을 말한다.

BS7799(혹은 ISO 17799)를 사용한 GAP분석이 이러한 예가 될 수 있다.

장점	분석의 비용과 시간이 대단히 절약된다.
단점	과보호 또는 부족한 보호가 될 가능성이 상존한다.   -> 체크리스트가 조직에 적합하지 않을 경우, 위험분석을 하지 않은 것과 유사한 상태가 된다. 조직의 자산 변동, 새로운 위협/취약성의 발생, 위협 발생률의 변화 등 보안환경의 변화를 적절하게 반영하지 못한다.

체크리스트 방식은 보안 상태 그 자체보다 체크리스트를 통해 나타나는 점수에 집착하게끔 할 수 있다.

 

비정형 접근법(informal approach)

구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행하는 방식이다.

특정 위험분석 모델과 기법을 선정하지 않는다. 대신 수행자의 경험에 따라 중요 위험 중심으로 분석한다.

장점	상세 위험분석보다 빠르고 비용이 덜 든다. 작은 규모의 조직에 적합하다.
단점	새로이 나타나거나 수행자의 경험분야가 적은 위험 영역을 놓칠 가능성이 있다. 검토자의 개인 경험에 지나치게 의존하므로 사업 분야 및 보안에 전문성이 높은 인력이 참여하여 수행하지 않으면 실패할 위험이 있다.

 

상세 위험 분석(detailed risk analysis)

잘 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 것이다.

* 방법론에 따라 취약성 분석과 별도로 설치된 정보보호 대책 분석을 수행하기도 한다.

장점	조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있다. 자산, 위협, 취약성의 목록이 작성 및 검토되었으므로 이후 변경이 발생하였을 때 해당 변경과 관련된 사항만을 추가.조정.삭제함으로써 보안 환경의 변화에 적절히 대처할 수 있다.
단점	분석에 시간과 노력이 많이 소요된다. 채택한 위험 분석 방법론과 모델을 잘 이해하여야 하므로 비정형 접근법과 마찬가지로 고급의 인적 자원이 필요하다.

상세 위험 분석을 어떻게 하는지 절차를 알아보자.

위험분석의 절차는 크게 4가지 단계로 나눌 수 있다.

1. 자산 분석

2. 위협 분석

3. 취약성 분석

4. 기 설치된 정보보호대책의 평가를 통해 잔존 위험을 평가

 

1. 자산 분석

자산 분석 단계를 통해 주요 자산을 유형별로 분류하고 목록을 작성한다. 이후 각 자산에 대하여 해당 자산의 조직에 대한 가치를 평가한다.

그리고 각 자산에 대한 기밀성, 무결성, 가용성의 요구 정도를 평가한다.

→ 이 세 가지 측면의 보안속성(기밀성, 무결성, 가용성)과 해당 자산의 가치에 기초하여 각 위협에 따른 보안 사고가 각 자산에 미치는 영향(손실)을 판단한다.

최종적으로는 어떠한 자산을 어떤 방법으로 어느 정도의 비용으로 보호해야 할 것인가를 결정한다.

 

2~3. 위협 분석 및 취약성 분석

우려되는 발생 가능한 위협을 목록화하고 각각의 발생 가능성을 예측한다.

위협에 대한 취약성을 자산 별로 확인하여 그 정도를 결정한다.

모든 위협을 고려한다는 것은 쉽지 않다. 다만, 중요한 위협을 빠트리지 않도록 주의할 필요가 있다.

 

자산, 위협, 취약성을 분석하여 파악한 위험을 원천 위험(original risk)이라고 한다.

 

4. 기 설치된 정보보호대책의 평가를 통해 잔존 위험을 평가

이미 설치되어 있는 정보보호대책의 효과를 평가한다.

대책의 종류에 따라 취약성을 낮추거나, 피해의 규모를 감소시키거나, 위협의 발생 가능성을 낮춘다.

 

이렇게 위험분석 절차를 거치면 최종적으로 현재 조직의 위험 규모를 평가(=위험평가)하게 된다.

 

그리고 이 위험평가는 정략적인 방법과 정성적인 방법으로 나타낼 수 있다.

정성적인 위험평가에서는 위험을 어떤 상황에 대한 설명으로 묘사한다. (ex. 네트워크 호스트의 기술적 장애 등)

그리고 이 위험을 '매우 높음', '높음', '중간', '낮음' 등으로 표현한다.

정량적인 위험평가에서는 위험을 손실액과 같은 숫자값으로 표현한다.

 

복합 접근법(combined approach)

고위험 영역을 식별하여 이 영역은 "상세 위험분석"을 수행하고, 다른 영역은 "베이스라인 접근법"을 사용하는 방식이다.

* 즉, 상세 위험분석과 베이스라인 접근법을 복합적으로 사용한다.

장점	비용과 자원을 효과적으로 사용할 수 있다. 고위험 영역을 빠르게 식별하고 적절하게 처리할 수 있다. (=> 때문에 많이 사용된다)
단점	하지만 고위험 영역이 잘못 식별되었을 경우 위험분석 비용이 낭비되거나 부적절하게 대응할 수 있다.

 

위험의 평가

위험 분석 단계에서 자산의 가치를 평가하고 자산에 대한 위협, 취약성을 분석했으니 이제 위험평가를 해야한다.

즉, 정보자산의 가치와 위협 및 취약성의 정도에 따라 비밀성, 무결성, 가용성 손상에 따른 잠재적 손실의 규모를 평가하는 것이다.

 

1. 위험 규모의 평가

정량적 방식과 정성적 방식이 있는데 너무 복잡해서 생략한다.

예시가 궁금하다면 KISA의 위험관리 가이드 19쪽을 참고하면 된다.

 

어떠한 방식을 사용해도 상관 없지만, 위험 평가 결과는 반드시 "수용 가능한 목표 위험 수준"과 비교할 수 있는 형태로 표현되거나 변환되어야 한다.

 

2. 목표 위험수준 및 위험 우선순위 설정

그 다음에는...

모든 위험에 대응하거나 위험을 완전히 제거할 수 없기에,

조직에서 수용 가능한 목표 위험수준을 설정하고 이 이상의 위험에 대해서만 적절한 대응을 강구하는 것이 필요하다.

때문에 목표 위험수준 및 위험 우선순위를 설정하는 것이다.

 

3. 목표 위험 수준의 설정 책임

목표 위험 수준의 설정 책임은 다음과 같다.

 

* 조직의 책임자 : 수용 가능한 목표 위험 수준(DoA)을 결정하여야 한다.

  → 예산에 맞춰 가장 우선순위가 높은 위험부터 대응하는 것이 실질적인 대응 방안이지만

       조직의 책임자는 현재 조직의 위험수준과 목표 위험수준을 알아야 하고

       어느 정도의 투자를 통해서 언제 위험 수준이 목표 수준에 도달할 수 있을지를 예상할 수 있어야 한다

 

* 조직의 경영 책임자 : 추가의 투자를 통해 위험을 목표 수준 이하로 관리할 것인지, 위험 부담을 감수하고 장기 계획을 세울 것인지를 결정하여야 한다.

 

* 위험분석 수행 책임자 : 모호할 수 있는 위험 평가의 결과를 비전문가도 이해할 수 있도록 사례 등을 통해 위험 수준의 의미를 설명함으로써 경영진이 감수해야 할 위험과 투자의 규모를 이해하고 결정할 수 있도록 지원하여야 한다.

 

위험의 처리 : 위험처리 전략

현재 존재하는 위험이 조직에서 수용할 수 있는 수준을 넘어간다면, 어떤 방식으로든 처리를 해야한다.

• 수용 가능한 위험을 DoA(Degree of Assurance)라고 한다.
  DoA를 수용 가능한 목표 위험 수준이라고도 하는 것 같다.

크게 위험 회피, 위험 전가, 위험 감소, 위험 수용의 네 가지로 나눌 수 있다.

 

* 위험 수용(acceptance)

현재의 위험을 받아들이고 잠재적 손실 비용을 감수한다.

어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없다.

따라서 일정 수준 이하의 위험(DoA 이하)은 어쩔 수 없는 것으로 인정하고 사업을 진행하는 것이다.

 

* 위험 감소(mitigation, Risk reduction)

위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것이다.

물론 대책의 채택 시에는 이에 따른 비용이 소요된다.

따라서, 이 비용과 실제 감소되는 위험의 크기를 비교하는 비용 효과 분석을 실시한다.

보통 다음과 같이 분석을 한다.

정보보호대책의 효과 = 원 ALE - 대책 구현 후 ALE - 연간 대책 비용

 

- ALE : Annual Loss Expectancy , 연간 손실 기대치 혹은 연간 손실 예상... 정도로 해석할 수 있다.

            특정 위험이 조직에 미치는 연간 재정적 영향에 대한 추정치를 알 수 있다.

            이 또한 계산식이 있다.

 

* 위험 회피(Risk avoidance)

위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것이다.

 

* 위험 전가(Risk transfer)

보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당하는 것이다.

KISA 위험관리 가이드에 나와있는 예시는 다음과 같다.

e.g.

어떤 조직이 인터넷을 이용하여 고액의 전자거래 시스템을 운영하고 싶어한다.

그래서 위험분석을 수행하였다.

위험 분서 결과, 고액의 온라인 전송에 따른 거래 금액 노출, 변조, 거래 사실 부인의 위험이 매우 높았다고 가정한다.

이 위험을 처리하기 위해서 암호화 등의 대책을 도입할 수 있지만, 이러한 대책이 고가이라면...

다음과 같은 방법을 내세울 수 있다.

  (1) 이 시스템 운영을 포기하고 오프라인 방식으로만 거래하는 방법을 고려할 수도 있고

  (2) 이미 이러한 거래 시스템을 안전하게 운영하고 있는 다른 업체에 위탁하거나,

  (3) 문제가 발생한 경우 배상해 주는 보험이 있다면 해당 보험에 가입할 수 있다

  (4) 혹은 여러가지 이유로 일정 기간 위험을 감수하고 시스템을 운영하기로 결정할 수도 있다

 

여기에서 다른 업체에 위탁(2번)하거나 보험에 가입(3번)하는 경우가 위험 전가라고 할 수 있다.

다만, 위탁하는 경우 관련된 추가적인 다른 문제가 발생할 수 있으므로 반드시 정확한 검토를 수행한 후 진행하여야 한다.

 

 

이러한 위험처리 전략과 방식은 평가된 위험 수준과 조직이 수용하기로 한 위험 수준, 각 대응 방식의 비용에 따라 달라진다.

전략을 결정하는 데에는 안전 우선, 비용 최소화 등 조직의 위험에 대한 기본적인 태도가 큰 영향을 미친다.

이 외에도 기술 적용 가능성, 재정, 적용되는 법.제도, 시간, 조직 문화 등 여러가지 제약 조건이 고려되어야 한다.

 

위험의 처리 : 정보보호대책의 선정

대책 수립을 통한 위험 감소 방안을 선택하게 된다면, 통제사항과 대책을 선정하게 된다.

일반적으로 정보보호관리체계 인증심사기준에서 통제사항과 대책을 포함하고 있지만,

제시된 통제사항의 내용 중에서도 더 세부적이고 강력한 대책이 필요할 경우가 있다.

 

  * 정보보호관리체계 인증(ISMS)을 염두하고 있다면 이런 경우에 관련된 통제사항 범주를 선택하고

    구체적인 대책을 명시하여야 한다.

 

선택된 통제사항은 다른 기존 통제사항과 함께 계획, 구현, 사후 관리의 관리과정 요구사항의 적용을 받아야 한다.

→ 그리고 선택된 각 통제사항은 통제의 구현과 유지에 들어가는 비용이 해당 위험의 감소량보다 적어야 한다.

     위험의 등급 감소를 비용으로 환산하기 어렵기 때문이다.

 

위험의 처리 : 정보보호 계획 수립

1. 프로젝트의 구성

높은 수준의 위험을 수용할 수 있는 수준으로 감소시킬 수 있는 대책이 마련된 후에는...

(1) 유사한 대책들을 효과적으로 구현할 수 있는 프로젝트들로 통합한다

(2) 그리고 이들에 대한 우선순위를 설정하고

(3) 이에 따라 일정계획을 수립하여야 한다

 

"유사한 대책들"은 다음과 같이 통합, 분류될 수 있다.

  - 즉시 교정 가능한 취약점 제거

  - 정책 및 절차 수립

  - 분야별 정보보호 시스템 도입 및 관련 교육 수행

  - 모니터링 및 감사 관련 사항

  - 기타 등등

 

말이 어려운데 쉽게 정리하자면...

이 단계에서는 "위험을 감소시킬 수 있는 대책을 마련하고 → 이 대책들을 모아서 프로젝트로 구성을 하여 → 각 프로젝트의 우선순위를 결정"하는 것 같다.

 

2. 구현 계획 수립

이 단계에서는 프로젝트 별로 예산, 구현 일정, 프로젝트의 세부 내용, 해당 프로젝트 수행에 관한 책임 등이 포함된 정보보호 계획을 수립한다.

자세한 구현 방법은 위험관리 가이드 29페이지를 읽어보면 좋을 것 같다.

 

3. 정보보호 대책 명세서 작성

대책을 선택한 후에는 모든 통제사항에 대해 선택한 내용과 선택하지 않은 이유를 명시한 정보보호 대책 명세서를 작성한다.

정보보호 대책 명세서에는 다음과 같은 사항이 포함되어야 한다.

  - 선정된 정보보호대책의 명세

  - 구현 확인 근거

  - 선정되지 않은 정보보호대책 목록

  - 선정되지 않은 근거

 

---

여기까지 위험관리 가이드에서 나온 위험관리 과정을 간단하게 정리해보았다.

이 뒤로는 ISMS 인증심사 기준에 기초한 기본 위험관리 방안들을 사례로 설명해주는 것 같다.

위험관리가 어렵고 생소하게 느껴진다면, 가이드를 직접 읽고 한번 정리해보는 것이 좋은 방법일 수도...