위험분석

위험분석

------------------------------------사전 정의----​----------------------​--------------------

• 위험분석 [출처 : 네이버 지식백과]

•보안 위험을 확인하고 그것들의 중요도를 결정하며 보호 수단을 요하는 부분을 확인하는 과정. 정보 시스템과 관련 자산의 기밀성, 무결성, 가용성에 영향을 미칠 수 있는 다양한 위협에 대해 시스템이 취약함을 인식하고, 이로 인해서 예상되는 손실을 분석하며, 안전한 정보 시스템을 구현하고, 정보 자원에 대한 위험 요소를 식별, 평가하여 그러한 위험 요소를 적절하게 통제할 수 있는 수단을 체계적으로 구현하고 운영하는 전반적인 행위 및 절차이다. 위험 분석은 위험 관리의 일부분이다.

----------------------------------------​----------------------​----------------------------

위험분석 방법은 1970년대에 시작되었다. 초기의 위험분석은 화재, 사고 등의 물리적 위협에 적용되어 위협의 발생 가능성에 따른 잠재적인 손실을 계산하는 것이었다. 보험 산업에서 이러한분석 방법을 채택하여 위험의 개념을 정립하였고 이 개념이 정보처리 분야에도 적용되었다.[요즘 보이스 피싱 사기나 문자(ex돌잔치문자) 같은 사기들은 죄다 정보보안에 문제가 있어서 생긴일이라고 본다, 이 말은즉 위험분석을 재대로 못해서 발생한 것이 아닐까? 정보 홍수시대에 정보보호 분야는 중요도가 별 다섯개 라고 본다.] 최근에는 이러한 위험분석이 각종의 분야에 적용되어 재무 위험, 사업위험, 감사위험 등을 평가하는데 사용하고 있다.

위험분석 절차​

[ 출처 : 한국 정보통신기술협회 ]​

위험(risk)이란 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 말한다.위험의 유형과 규모를 확인하기 위해서는 위험에 관련된 모든 요소들과 그들이 어떻게 위험의 규모에 영향을 미치는 지를 분석해야 한다.

위험분석 기법은 조직이나 기관내에서 중요하게 파악되어야 할 자산을 밝혀낸 후 이에 대한 중요도 및 가치를 측정하고, 해

당 자산에 영향을 미치는 위협과 취약점 사이의 상호 연관성을 정량적 혹은 정성적으로 평가함으로써 위험 정도를 산정하는

데 유용한 방법이다.

But

특정 유형의 기술적 보안 취약점과 연관된 위험으로만 한정하거나, 관리적 보안 영역을 포괄적으로 접근함으로써 해당 조직

의 비즈니스 프로세스와 복잡하게 얽혀 있는 여러 위험요소를 제대로 규명하지 못하는 한계점이 존재한다.

최근의 피싱, 돌잔치 문자사기,등 이러한 사기들은 별 다섯개짜리 문제라고 상기했듯이 위험분석 기법에서 누락되거나 간과

될 수 있는 위험요소에 의해 많은 고객정보가 유출되거나 최신해킹 기법에 무방비 상태로 노출되고 있음을 보여주고 있다.

우리는 이에 대한 위험성을 적절하게 대응할 수 있도록 보다 효율적이고, 현실적인 위험분석 및 평가를 통한 대응책을 마련해야 한다.

위험 = f (자산, 위협, 취약성)

자산(Assets)은 조직이 보호해야 할 대상으로서 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등의

무형자산을 포함하기도 한다.

위험분석은 자산의 가치와 손실을 측정하여 위험을 평가하고 이를 조직이 수용할 수 있는수준으로 감소시키기 위하여 적절

한 보호대책을 우선순위에 따라 효율적으로 필요한 곳에 설치하도록 함으로써 과도하거나 과소의 투자를 예방한다.[가중치

를 적용하여 더가치있는 곳에 투자를함] 따라서 상기한 것처럼 스미싱, 문자사기 등을 피하기 위해서는 위험분석이

반드시 요구된다.

체계적인 위험분석 과정 없이 보호대책을 수립하게 되면 취약점과 위협에 대한 우선순위가 설정되지 못하여 불필요하거나

과도한 투자가 발생할 수 있다. 또 한편으로는 보호대책을 수립하였음에도 불구하고 위협에 대처하지 못하는 경우가 발생할

수 있다.

위험분석을 위해 자산에 관해 파악해야 할 것은 보안사고 발생 시 나타나게 될 손실이다.

자산의 파괴, 기밀성, 무결성, 가용성의 손상 또는 조직의 이미지 실추와 같은 것들이 이에 포함된다. 이러한 손실을

양적으로 측정할 수 있다면, 보안사고로 인한 손실과 손실을 완화하는 보호대책의 비용 간에 균형을 맞출 수 있다.

위협(Threats)은 자산에 손실을 초래할 수 있는, 원치 않는 사건의 잠재적 원인(source)이나 행위자(agent)로 정의된다.

수많은 위협이 존재하기 때문에 일반적으로 많이 발생하는 위협을 중심으로 담당자 및 책임자가 특히 우려하는 위협을 추가

적으로 고려하는 것이 좋다.

위협에 관련하여 파악해야 할 속성은 발생가능성(likelyhood, frequency)이다. 이것은 연간 발생 횟수 또는 발생 정도로 표현

된다. 그러나 위협이 발생했다고 해서 반드시 피해가 발생하는 것은 아니다. 자산이 그 위협에 취약한지, 그리고 그 취약성

을 보호할 대책이 있는지에 따라 결과는 달라진다.

취약성(Vulnerability)이란 자산의 잠재적 속성으로서 위협의 이용 대상으로 정의하나, 때로는 정보보호대책의 미비로 정의되

기도 한다. 자산에 취약성이 없다면 위협이 발생해도 손실이 나타나지 않는다는 점에서, 취약성은 자산과 위협 사이의 관계

를 맺어 주는 특성으로 파악할 수 있다.

위험구성 요소들 간의 관계

형상관리를 조사하며 학습한 베이스라인 방식과 위험분석 방법을 결합한 위험관리 방안은 이러한 문제들에 대해서 위험분석을 수행하고 필요한 대책을 선정할 수 있다.

위험분석 전략

ISO/IEC 에서는 위험분석 전략을 크게 4가지로 나눈다.

(베이스라인 접근법, 비정형 접근법, 상세 위험분석, 복합 접근법)

베이스라인 접근법

베이스라인 접근법은 모든 시스템에 대하여 표준화된 보호대책의 세트를 체크리스트 형태로 제공한다. 이 체크리스트에 있는 보호대책이 현재 구현되어 있는지를 조사하여, 구현되지 않은 보호대책을 식별한다.

이러한 방식은 분석의 비용과 시간이 대단히 절약된다는 장점은 있으나, 과보호 또는 부족한 보호가 될 가능성이 상존하게 된다.

비정형 접근법

비정형 접근법(Informal approach)은 구조적인 방법론에 기반하지 않고, 경험자의 지식을 사용하여 위험분석을 수행하는 것

이다.

특정 위험분석 방법론과 기법을 선정하여 수행하지 않고 수행자의 경험에 따라 중요 위험 중심으로 분석한다.

이러한 방식은 작은 규모의 조직에는 적합할 수 있으나 새로이 나타나거나 수행자의 경험분야가 적은 위험 영역을 놓칠 가

능성이 있다.

논리적이고 검증된 방법론이 아닌, 검토자의 개인적 경험에 지나치게 의존하므로 사업 분야 및 보안에 전문성이 높은 인력

이 참여하여 수행하지 않으면 실패할 위험이 있다.

•상세 위험분석

상세 위험분석(Detailed risk analysis)은 자산분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 것이다.

이러한 방식은 조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있으며, 자산, 위협, 취

약성의 목록이 작성, 검토되었으므로 이후 변경이 발생하였을 때 해당 변경에 관련된 사항만을 추가, 조정, 삭제함으로써 보

안 환경의 변화에 적절히 대처할 수 있다.

그러나 이런 방식은 분석에 시간과 노력이 많이 소요되며 채택한 위험분석 방법론을 잘 이해해야 하므로 비정형 접근법과

마찬가지로 고급의 인적 자원이 필요하다.

•복합 접근법

복합 접근방법(Combined approach)은 고위험(high risk) 영역을 식별하여 상세 위험분석을 수행하고, 그 외의 다른 영역은

베이스라인 접근법을 사용하는 방식이다. 이 방식은 비용과 자원을 효과적으로 사용할 수 있으며, 고위험 영역을 빠르게 식

별하고 적절하게 처리할 수 있다는 장점이 있어 많이 사용된다. 그러나 고위험 영역을 잘못 식별하였을 경우 위험분석 비용

이 낭비되거나, 부적절하게 대응될 수 있다.

위험분석에서는 자산의 가치를 평가하고 자산에 대한 위협, 취약성을 분석.