3. 위험관리.

Presentation on theme: "3. 위험관리."— Presentation transcript:

1 3. 위험관리

2 위험이란? 위험(Risk) 위험이란 비정상적인 일이 발생할 수 있는 가능성
원하지 않는 사건이 발생하여 영향(손실)을 미칠 가능성 자산의 취약점을 통해 위협 요소가 증가함으로써 자산의 손실을 유발하여 피해를 발생시킴 위험의 구성요소 자산, 위협, 취약성의 함수 risk = f(asset, threat, vulnerability) 위협(Threat) : 조직에 피해를 끼칠 수 있는 잠재적인 원인 취약점(Vulnerability) : 위협이 가해질 수 있는 자산이 갖는 약점 자산(Asset) : 조직 내에 가치를 가지는 모든 것 위험의 특징 위험은 손실을 끼치는 사건발생 가능성과 발생손실의 정도에 비례한다 위험은 자산, 위협, 취약성의 함수로 정의된다 위험은 결코 제거될 수 없으므로 위험관리를 통해 통제되어야 한다. 위험의 크기 = 발생가능성 * 손실

3 위험관리의 정의 및 목적 위험관리(Risk Management)
위험을 평가하고 피해자가 수용할 수 있는 수준까지 위험 부담을 줄이기 위한 조치를 마련하여 위험을 용인할 수 있는 수준으로 유지하는 것 위험의 측정과 관리를 통하여 다양한 위협요소들로부터 피해를 최소화하거나 막지 위함 조직 문화와 정보자산에 적절한 위험관리 전략과 계획을 수립하기 위해 위험을 분석하고 평가하여 대응이 필요한 위험과 운선순위를 결정 조직이나 기관의 자산을 보호하기 위하여 이에 대한 위험을 분석하고 비용/효과 측면에서 적절한 보호대책을 마련하고 이들을 구현할 계획을 수립함으써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정 우선순위에 따른 효율적 투자 체계적인 위험분석과정 없이 보호대책을 수립할 경우 보호대책 수립에 불필요하거나 과도한 투자 발생 보호대책의 수립에도 불구하고 위협에 대처하지 못하는 경우 발생 즉 적절한 수준의 보호대책을 필요한 곳에 마련하기 위함

4 위험관리 위험의 정의 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성 위험 = 발생가능성 × 손실의 정도
- 위험의 유형과 규모를 확인하기 위해서는 위험에 관련된 모든 요소들과 그들이 어떻게 위험의 규모에 영향을 미치는 지를 분석해 가장 합리적인 대책 결정 위험관리(Risk Management) : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정 위험관리 과정 : 5단계로 구성 위험관리과정 : 전반적인과정 위험분석 : 위험을 식별하는 단계 위험평가 : 위험규모를 결정하는 단계 정보보호계획수립 : 새로이 필요한 대응책을 식별하는 단계 새로 취약성의 증가 위험관리 전략 및 계획수립 위험분석 위험평가 정보보호 대책수립 정보보호 계획수립 위험 공식 위험 = 발생가능성 × 손실의 정도 위험 = f (자산, 위협, 취약점) 함수 정의

5 위험관리의 구분 정보보호 정책을 바탕으로 각 조직에 적합한 전반적인 위험관리 전략의 결정
위험분석 활동의 결과 혹은 기본 통제에 따른 개별 IT 시스템에 대한 대책의 선택 보안 권고에 의거한 IT 시스템 보안 정책의 정형화, 조직의 정보보호 정책 승인된 IT시스템 보안 정책을 토대로 하여 대책을 구현하기 위한 IT 보안 계획의 수립

6 위험관리 위험관리의 필요성 정보시스템에 관련된 투자가 대형화되고 관련된 자산의 특성 및 취약점, 각종 위협의 형태와 대책들이 지속적으로 변화 위험관리 과정을 조직 관리 과정의 일부로 정착시키는 것이 더욱 중요해 지고 있음 불필요하거나 과도한 투자 발생 보호대책을 수립하였음에도 불구하고 위협에 대처하지 못하는 경우 발생 위험수준을 지속적으로 유지하기 위해서는 지속적이고 반복적인 위험관리 필요 새로 취약성의 증가 초기의 위험분석은 화재, 사고 등의 물리적 위협에 적용되어 위협의 발생 가능성에 따른 잠재적인 손실 계산 보험산업에서 이러한 분석 방법을 채택하여 위험의 개념을 정립하였고 이 개념이 정보처리 분야 적용 초창기 최근에는 이러한 위험분석이 각종의 분야에 적용되어 재무위험, 사업위험, 감사위험 등을 평가하는데 사용 현 재

7 위험관리 과정 위험분석 통제되거나 받아들여질 필요가 있는 위험을 확인하는 것 자산 가치평가, 위협, 취약성을 포함
모든 시스템에 대한 간단한 초기분석을 통해 불필요한 시간과 자원의 투자없이 실행할 수 있음 위험평가 위험평가의 목적은 적절하고 정당한 보안대책을 선정하고 식별하기 위하여 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한것 위험은 위험에 처한 자산, 잠재적이고 불리한 업무 충격을 유발하기 위해 발생하는 위협 가능성, 식별된 위협으로 인한 취약성의 용이한 사용 및 위험을 감소시키는 기존의 혹은 계획된 어떤 대책에 따른 새로운 위협 가능성 등을 포함 대책선정 허용가능한 수준으로 평가된 위험을 줄이기 위해 적절하고 정당한 대책을 식별 및 선정 대책을 위협을 방지하고 취약성을 감소시키고 원치않는 사고의 감지 및 충격을 제한하고 복구를 촉진하는 실행, 절차, 메커니즘임 일반적으로 효과적인 보안에는 자산에 대한 보안계층을 제공하는 다양한 대책의 조합이 요구됨

8 위험 위험의 구성요소 자산(Asset) : 조직이 보호해야 할 대상으로서 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련
인적, 물적 또는 유형 등의 무형자산 포함(정보자산, 인력자산, 물적자산, 소프트웨어 자산, 종이자산, 서비스자산, 이미지나 브랜드에 대한 평판 등으로 구분) 위험분석을 위해 자산에 관하여 파악할 것은 보안사고 발생시 나타나는 손실(Loss)-사고시 미칠수 있는 영향의 규모를 파악 취약성(Vulnerability) : 자산의 잠재적 속성으로서 위협의 이용 대상으로 정의하나, 또는 정보보호 대책의 미비로도 정의. 특정자산에 자산의 가치와 관련하여 어느 정도의 피해자가 발생할지를 취약성, 노출정도라는 값으로 표현 위협(Threats) : 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인(source)이나 행위자(agent)로서 자연재해나 장비고장의 환경적 요인에 의한 것과 인간에 의한 것으로 나눌 수 있고 인간에 의한 위협은 다시 의도적인 위협과 우연한 위협으로 구분 위협과 관련하여 파악해야 할 속성은 발생가능성(연간발생 가능횟수 또는 발생정도로 표현) 위험(Risk) : 자산의 취약한 부분에 위협요소가 발생하여 자산의 손실, 손상을 유발한 잠재성 정보보호대책(Safeguard, Countermeasure) : 위협에 대응하여 자산을 보호하기 위한 관리적,물리적, 기술적 대책으로 정의(방화벽 침입탐지, 디도스 등 제품과 절차, 정책, 교육 등의 모든 통제(control)가 포함) 잔여위험(Residual Risk) : 대책을 구현한 후 남아 있는 위험 새로 취약성의 증가

9 위험관리 위험관리 세부과정 위험관리 세부과정 위험관리 흐름 5.정보보호 계획수립 2.위험분석 3.위험평가 4.정보보호 대책수립
전략과 계획 수립 위험 구성요소 분석 위험 평가 정보보호대책 선정 구현계획 수립 위험관리 세부과정 >> 위험관리 흐름 1.위험관리 전략 및 계획수립 5.정보보호 계획수립 Risk Management 2.위험분석 3.위험평가 4.정보보호 대책수립

10 위험관리 전략 및 계획수립 관리적, 기술적, 물리적, 법적 분야 등 조직의 정보보호 전 영역에 대한 위험 식별 및 평가가 가능하도록 위험관리 방법을 선정하고 위험관리의 전문성을 보장할 수 있도록 수행인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험관리계획을 사전에 구축하여야 한다. 위험관리방법 기준선(베이스라인)접근법 비공식접근법(비정형접근법) 세부적접근법(상세위험분석) 복합접근법

11 위험관리 방법 기준선 접근법(Baseline Approach)
위험분석을 수행하지 않고 모든 시스템에 대하여 표준화된 보안대책을 구현한다. 체크리스트 형태로 제공되는 보안대책이 현재 구현되어 있는지를 조사하여 구현되지 않은 보안대책을 식별해내는 방법 보안관리를 수행하기 어려운 소규모 조직이나 대규모 조직에 중요하지 않은 일반자산에 대하여 사용하는 접근법 조직의 보안정책을 참조하여 세부통제사항을 작성한다. 공공기관의 경우 정부부처 및 공공기관에서 요구하는 보안요구사항을 참조하여 반영한다. ISO, KICS등 국내ㆍ외 표준을 참조하여 반영한다. 외국의 보안컨설팅 기관에서 작성한 기본통제를 참조한다. 정보감리 등을 통하여 얻은 결과를 반영한다. 장 점 위험분석을 위한 자원이 필요하지 않고 보호대책 선택에 들어가는 시간과 노력이 줄어든다. 단 점 조직의 자산변동이나 새로운 위협과 취약성의 발생 등 보안환경변화를 적절히 반영하지 못한다. 보안요구사항에 따른 우선순위보다는 구현 용이성에 따라 구현되는 경향이 있다. 기본적인 보호대책이 너무 높게 설정되었다면 어떤 시스템에 대해서는 비용이 너무 많이 들고, 너무 제한적이며, 만약 너무 낮게 설정되었다면 어떤 시스템에 대해서는 보안 결핍을 가져올 수 있다.

12 위험관리 방법 세부적 접근법(상세위험분석Detailed Risk Analysis)
자산의 가치, 이 자산들에 대한 위협의 수준평가, 그리고 자산의 취약성 분석의 각 단계를 수행하여 위험을 분석한다. 조직의 자산 및 보안요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있는 방법 목록 작성 후 새로운 추가, 변경, 삭제 조치를 취함으로써 보안환경에 적절히 대처가 가능하다. 핵심자산에 대한 기술적 위험분석의 경우, 상세위험분석(자산, 중요도, 위협, 취약점)을 수행하는 것이 바람직하다. 장 점 각 시스템에 필요한 적절한 보안의 수준이 확인된다. 세부적인 위험 분석으로부터 얻은 추가적인 정보로 보안관련 변화의 관리는 이익을 얻는다 단 점 가시적인 결과를 얻기 위해 많은 시간, 노력, 그리고 전문성이 필요하다. 중요한 시스템의 보안 필요성이 너무 늦게 다루어질 가능성이 있다.

13 위험관리 방법 세부적 접근법(상세위험분석Detailed Risk Analysis) 절차
자산분석단계 : 주요자산을 유형별로 분류하고 목록화한다. 작성된 목록에 의해 자산의 가치를 평가한다. 그자산에 대한 기밀성, 무결성, 가용성의 요구 정도를 평가한다. 기밀성, 무결성, 가용성 요구사항이 달라지는 수준에서 그룹화하는 것이 좋다. 위협, 취약성 분석단계 : 발생가능한 위협을 목록화하고 발생 가능성을 예측한다. 또한 위협에 대한 취약성을 자산 별로 확인하여 그 정도를 결정한다. 가능한 위협을 누락하지 않아야 한다는 것이 중요한 사항이다. 정보보호대책평가 단계 : 자산에 대해 존재하는 위협 및 취약성에 대비하여 이미 조치한 정보보호대책에 대한 효과를 평가하는 단계이다. 자산분석 위협평가 취약성평가 정보보호대책 평가 잔여위험 평가

14 위험관리 방법 비정형 접근법(Informal Approach)
구조적인 방법에 의존하지 않고 경험자의 개인적인 지식과 경험을 이용한다. 내부보안전문가가 없다면 외부 계약자가 이 분석을 시행할 수 있다. 소규모조직에는 적합하나 수행자의 경험 분야가 적은 영역의 위험을 놓치기가 쉽다. 개인적인 경험에 의존하기 때문에 보안전문성이 높은 인력이 참여해야 하고 그렇지 않으면 실패할 위험이 높다. 장 점 비공식적 분석을 하기 위한 추가적인 기술 습득이 필요하지 않고 세부적인 위험분석보다 신속하게 수행된다. 비용 효과적이며 소규모 조직에 적합할 수 있다. 단 점 구조화되지 못해서 어떤 위험이 있는 관심지역을 잃어버릴 가능성이 증가한다. 비공식적인 특성때문에 검토자의 주관적 관점과 편견에 영향을 받을 수 있다. 보호대책 선택에 정당성이 부족하다. 따라서 보호대책에 들어가는 비용이 정당화되기 어렵다. 반복적인 재검토없이는 시간에 따른 보안관련 변화의 관리가 어려울 수 있다. 비공식 위험분석을 했던 사람이 조직을 떠나면 문제가 발생할 수 있다.

15 위험관리 방법 복합(혼합) 접근법(Combined Approach)
기준선 접근법과 상세위험분석에 설명된 기능들 중 최상의 핵심기능들의 조합이다. 상세위험분석을 수행하고 그외의 다른 영역은 기준선 접근법을 사용하는 방식 보안요소 식별에 소요되는 최소한의 시간과 노력의 좋은 균형을 제공한다. 대부분의 시스템에서 가장 비용 효율적인 접근을 제공하고, 대개의 조직에서 가장 권장되는 접근방법이다. 비용과 자원을 효과적으로 사용, 고위험 영역을 빠르게 식별하고 적절하게 처리 고위험 영역을 잘못 식별하였을 경우 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있다. 장 점 중요한 자원을 투입하기 전에 필요한 정보를 얻기 위한 간단한 고수준 접근법을 사용하는 것은 위험관리 프로그램에 적합하다. 조직적인 보안 프로그램의 신속한 전략 구상이 가능하고 좋은 계획보조도구로 사용될 수 있다. 자원과 비용은 가장 큰 이익이 있는 곳에 사용될 수 있고, 높은 위험은 미리 다루어질 수 있다. 단 점 만약 고수준분석이 부정확한 결과를 가지고 온다면 세부적인 분석이 필요한 어떤 시스템은 적절히 다루지 못할수도 있다. 만약 고수준분석이 적절하게 점검된다면 어떤 사건에 대해서는 그 시스템은 여전히 기준선 안전요소에 의해 보호된다.

16 위험관리 방법 및 장단점 비교 방법 분석방법 장점 단점 기준선접근법
정보자산을 개별적으로 분석하는 것이 아니라 어떤 보호대책(위험을 줄이는 실천 수단,절차,메커니즘)을 채택하여 모든 시스템에 적용하는 방법, 체트리스트 활용 보호대책 선택에 필요한 시간이나 노력이 적고 쉽다 일률적으로 적용함으로서 설정수준이 너무 높으면 비용이 많아지며, 너무 낮으면 불충분한 정보보호가 된다. 조직의 자산 변동이나 새로운 위협/취약성의 발생 또는 위협 발생률의 변화 등 정보보호 환경의 변화에 적절하게 반영하지 못한다. 비형식적 접근법 (전문가 판단법) 모든 정보자산에 기업 이외의 전문가 지식 및 경험을 활용하는 방법 비용대비 효과가 우수하여 소규모 조직에 적합하다 누락하는 경우가 발생하기 쉽다. 설정근거가 희박하며 검토자의 개인적인 경험에 지나치게 의존하므로 사업분야 및 정보보호에 전문성이 높은 인력이 참여하여 수행하자 않으면 실패할 위험이 있다. 상세위험분석 접근법 모든 정보자산에 대해 상세 위험 분석을 하는 방법 정보자산에 대해 정보가치, 위협, 취약성의 평가에 기초한 위험을 산정하므로 경영상 허용 수준까지 위험을 줄이는 근거를 명확하게 할 수 있다. 상당한 시간, 노력, 숙련이 필요하다 복합접근법 Baseline approach와 상세위험분석을 조합하여 분석하는 방법 전략적인 전체모습을 파악할 수 있다. 가장 유익한 부분에 자원을 배분할 수 있다. Baseline approach가 부정확한 경우 상세위험분석이 필요한 시스템이 누락된다.

17 위험관리 방법 접근방법론별 특징 선택의 요소 조직규모 정보자산 개별적인 수치화 적용 필요성 측정의 완전도 개별측정의 수치화
조직규모 적정 베이스라인 중간 없음 전체 비정형 하위 소규모 상세 분석 상위 가능 (정량적) 혼합 접근 중위 가능 (부분적)

18 위험관리계획 구축 위험관리 방법 및 절차에 따라 위험관리 대상, 위험관리 수행인력 등이 포함된 위험관리 계획을 매년 수립하고 이행하여야 한다. 위험관리를 수행할 조직을 지정하고 관련된 각 조직의 역할과 책임, 기본적인 절차 등을 문서화 해야 한다. 조직에는 전담조직 뿐만 아니라 관련 대상 부서의 책임자가 당연히 포함되어야 하며 필요한 경우 외부 전문가가 포함될 수 있다. 조직의 정보자산 변화 및 정보보호 환경의 변화에 따라 조직의 위험 수준이 변동될 수 있기 때문에 위험관리는 주기적으로 수행하는 것이 가장 효과적이다. 위험관리는 크게 위험분석, 위험 평가, 대책설정 3가지의 과정으로 구분된다. 위험분석 : 통제되거나 받아들여질 필요가 있는 위험을 확인하는 것으로 자산가치평가, 위협평가, 취약성 평가를 포함한다. 위험평가 : 적절하고 정당한 보안대책을 선정하고 식별하기 위하여 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한 것 대책설정 : 위협을 방지하고, 취약성을 감소시키고 원치 않는 사고의 충격을 제한하고 원치 않는 사고를 감지하고 복구를 촉진하는 실행, 절차, 메커니즘이다.

19 2. 위험관리 절차 자산평가 정보보호 주기적 재검토 정보보호대책 계획 정보보호대책 구현

20 정보보호대책(Safeguard, Countermeasure)
위험분석 위험관리 부분에서 가장 중요한 역할을 하는 위험을 분석하고 해석하는 과정 자산에 영향을 미칠수 있는 다양한 위협과 취약성에 대한 평가를 통해 위험 내용과 정도를 결정하여 수용가능한 위험수준을 설정하고 이로 인해서 발생할 예상손실과 대책비용을 추정 자산의 식별이 없으면 위험이 증가, 위협은 자산의 손실을 초래하는 발생가능성 있는 경우의 수이며 취약성은 위험을 증가 정보보호 대책은 100% 완벽한 것은 없으나 위험제거를 위한 관리비용과 비교 평가하여 대책을 수립하는 요소간의 상관관계 구성요소 위험 자산(Asset) 위협(Threats) 취약점(Vulnerability) 정보보호대책(Safeguard, Countermeasure) 사례 30년에 한번씩 지진이 발생한다는 통계자료가 있다면 위험에 대한 취약점이 존재한다고 볼 수 있다. 이 경우에 피해액이 약 30억이라 하고 이 위험이 연간으로 발생한다면 발생확률은 1/3이고 이때 피해액은 30억이므로 잠재적인 피해액은 연간 1억이다. 그렇다면 연간 1억의 범위내에서 지진에 대비해 어떻게 대응할 것인지를 결정한다. 19

21 위험분석 ※ 위협과 취약성의 차이 감기바이러스는 어디에나 존재하지만 감기에 걸리는 사람이 있고 안걸리는 사람이 있다. 그것은 그 사람의 건강상태에 의해서 결정된다. 마찬가지로 위협(감기 바이러스)은 어디에나 있지만 취약성(건강상태)여부 및 정도에 따라 위험(감기에 걸리는 상태)으로 바뀌어 지는지의 여부가 결정된다.

22 위험분석 위험 위험 구성요소들과의 관계 위협 자산 보안요구사항 가치 (사업영향) 보안대책 취약점
위협은 취약점을 공격하여 이용하게 되며 취약점은 자산을 노출시킴 자산은 가치를 보유하는데 이러한 위협, 취약점, 자산 가치는 모두 위험을 증가시킴 위험을 파악함으로써 보안 요구사항을 파악할 수 있고 보안 요구사항을 만족시키는 정보보호대책을 선정하여 구현함으로써 위협을 방어할 수 있음 정보보호대책은 위협을 방어함으로써 위험을 감소시킴 새로 취약성의 증가 위협 자산 보안요구사항 가치 (사업영향) 보안대책 취약점 위험 공격 노출 보유 충족 방어대상 감소 증가 현시

23 위험분석 위험식별 및 평가 자산식별 및 평가 자산평가 과정은 자산의 범위를 설정하고 자산목록표를 작성하여 자산을 식별하는 자산조사과정과 자산을 정량적 또는 정성적으로 산출하는 기준과 절차를 정의하는 가치산정 기준으로 나눌 수 있다. 자산식별을 통하여 조직의 자산을 파악하고 자산의 가치 및 중요도를 산출하며, 정보자산과 업무처리와의 관계도 알아낼 수 있다. 자산평가는 위험분석 결과의 정확도를 결정하는 매우 중요한 과정이다. 핵심업무도출 자산범위설정 범위설정기준 자산조사 소인수분해 자산목록작성 자산식별 소인수분해 가치산정기준 자산가치산정 정량산정 정성산정

24 위험분석 자산식별 - 위험분석을 하기 위해서는 먼저 무엇을 보호해야 할지 식별하는 단계인 자산목록 작성 단계가 필요하다. 정보자산 문서/시설 인력 데이터/DB 보안장비 서버 네트워크

25 위험분석 자산 식별 자산 평가 What Who How What Who How
정보자산 그리고 정보자산과 관련 있는 모든 자산 Data, 서버, 보안 장비, 네트워크 장비, PC, 문서, 물리적 환경 시설 등 Who 자산 보호의 궁극적인 책임이 있는 자산 소유자 정보자산 소유자, 시스템 관리자, 네트워크 운영자, 부대설비 관리자 등 How - 자산명, 자산설명(사용 용도), 자산 소유자/담당자/사용자, 설치/보관 위치 등에 대하여 파악 What 자산의 기밀성, 무결성, 가용성 측면에서의 중요도 Who 자산의 가치/중요도를 가장 잘 이해하는 자 정보자산 소유자, 시스템 관리자, 네트워크 운영자, 부대설비 관리자 How - 3등급, 5등급 또는 7등급... 정량적 기준은 자산도입비용, 자산복구비용, 자산교체비용이 기준 정성적인 기준은 업무처리에 대한 자산의 기여도, 자산이 영향을 미치는 조직과 작업의 수, 시간(복구시간), 기타(조직의 특성에 맞는 기타요소)가 기준이 된다.

26 위험분석 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인 자산분류표 발생 가능성(likelyhood)
연간 발생 횟수 발생 가능성 높음/중간/낮음 자산분류표 인위적 요인 시스템 환경적 요인 의도적(Deliberate) 사고(Accidental) 하드웨어 장애 소프트웨어 장애 네트워크 장애 등 악성 코드 지진 번개 홍수, 누수 화재 등 도청, 정보변조 시스템 해킹 절도 테러 등 실수 누락 우연한 파일삭제 자산유형 설 명 데이터 전산화된 문서파일, 데이터 파일, 데이터베이스 내의 데이터 등이 해당 문서 종이로된 정보로서 보고서, 계약서, 매뉴얼, 각종 대장 등이 해당 소프트웨어 패키지 소프트웨어, 시스템 소프트웨어, 응용 프로그램 등이 해당 서버 공용자원을 갖고 여러 사용자에게 서비스를 제공하는 컴퓨터 시스템

27 위험분석 자산 분류 예시 - 위의 분류에서 문서, 시설, 지원서비스, 인력, 매체의 경우 조직의 업무상 이들의 중요도가 낮아 보안상 큰 영향을 미치지 않거나 분석에 필요한 인력과 시간이 부족한 경우 혹은 위험분석을 IT 시스템 중심으로 수행하는 경우에는 세부 목록을 작성하지 않을 수 있다. 자산 유형 설명 데이터 전산화된 정보를 말한다. 문서파일, 데이터 파일, 데이터베이스 내의 데이터 등이 해당된다. 문서 종이로 된 정보를 말한다. 보고서, 계약서, 매뉴얼, 각종 대장 등이 해당 된다. 소프트웨어 패키지 소프트웨어, 시스템 소프트웨어, 응용 프로그램 등이 해당된다. 서버 공용 자원을 갖고 여러 사용자에게 서비스를 제공하는 컴퓨터 시스템을 말한다. PC 공용 자원을 갖지 않고 단일 사용자 기반으로 사용되는 PC 등의 컴퓨터 시스템을 말한다. 네트워크 네트워크 장비, 통신 회선 등을 말한다. 시설 건물, 사무실, 데이터 센터 등의 물리적 시설을 말한다. 지원서비스 전력 공급, 환기 시설, 방재 시설 등 정보시스템 운영을 지원하기 위한 시설을 말한다. 인력 소유자, 관리자, 사용자, 운영자, 개발자 등 정보시스템관린 인력들을 말한다. 매체 전산화된 정보를 저장하는 장치로서 이동 가능한 디스켓, 테이프, 디스크, USB 메모리 등의 매체를 말한다.

28 위험분석 등급선정 기준 자산 기밀성 장애복구를위한 무결성 목표시간 침해사고발생시 가용성 피해규모 위험발생가능성
자산의 중요도 산정 및 보안등급부여 - 식별된 자산에 대해 침해사고 발생시의 영향을 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 측면에서 파악하여 자산의 가치를 평가한다. - 추가적으로 조직의 특성에 따라 비즈니스와 서비스에 영향(Impact)을 주는 정도를 고려한 추가적인 가치평가 항목을 포함한다. 자산 기밀성 장애복구를위한 목표시간 침해사고발생시 피해규모 무결성 가용성 위험발생가능성 등급선정 기준

29 위험분석 자산의 중요도 평가 기준 보안특성 중요도 설 명 기밀성 높음 중간 낮음 무결성 가용성
조직내부에서도 특별히 허가받은 사람들만이 볼 수 있어야 하며 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 치명적인 피해를 줄 수 있는 수준 중간 조직내부에서는 공개될 수 있으나 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 상당한 문제를 발생시킬 수 있는 수준 낮음 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 미치는 영향이 미미한 수준 무결성 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업진행에 치명적인 피해를 중 수 있는 수준 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업진행에 상당한 문제를 발생시킬 수 있는 수준 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업진행에 미미는 영향이 미미한 수준 가용성 서비스가 중단되는 경우 조직의 운영과 사업진행에 치명적인 피해를 줄 수 있는 수준 서비스가 중단되는 경우 조직의 운영과 사업진행에 상당한 문제를 발생시킬 수 있는 수준 서비스가 중단되는 경우 조직의 운영과 사업진행에 미치는 영향이 미미한 수준

30 위험분석 자산의 중요도 평가 기준 - 침해사고 발생 시 피해 규모에 따라 다음과 같이 분류할 수 있다. 중요도 설명 높음
핵심정보서비스 중단 및 개인정보의 상당한 노출, 경제적 손실이 매우 치명적인 수준 중간 핵심정보서비스 일부중단 및 개인정보의 노출, 경제적인 손실이 일부 치명적인 수준 낮음 핵심정보서비스가 미포함 되어 있으며 경제적인 손실이 경미한 수준 - 장애 복구를 위한 목표시간에 따라 다음과 같이 분류할 수 있다. 중요도 설명 높음 2시간 이내 중간 2시간 ~ 24시간 이내 낮음 24시간 이상 소요

31 위험분석 자산식별 및 자산 목록표 작성 시 유의사항
- 위험 관리의 자산분석 단계에서 작성하는 자산 목록을 통상적으로 조직의 자산을 관리하기 위한 자산목록과 별도로 구분할 필요는 없다.(단, 누락된 자산이 없도록 완전한 자산파악을 실시하여야함) - 자산목록에는 자산 유형, 자산 또는 자산 그룹을 식별하기 위한 식별번호, 자산 명, 자산의 설명, 소유자(책임자), 관리자, 중요도 산정(등급산정)등이 명시되어야 한다. - 분석이나 진단 시 활용하기 위한 추가 정보포함(예를 들면, 서버-응용프로그램, OS이름 등)

32 위험분석 위협 식별 및 평가 위협식별 : 장애일지, 사고대응일지를 통해 알려진 위협과 알려지지 않은 위협을 파악
위협평가 매트릭스 : 위협에 의한 영향, 위협 발생주기, 위협 등급을 산출 위협평가 기준표 : 위협에 의한 영향, 위협 발생주기를 기준으로 평가 위협평가 매트릭스 위협영향 L M H VH 발생주기 위협정도 2 3 4 5 6 7 8 위협등급 1

33 위험분석 위협 평가 기준표 평가 위협에 의한 영향 발생주기 또는 가능성 낮음(L) 위협으로 인한 손실이 매우 경미한 정도
자산의 life cycle동안 거의 발생하지 않음 중간(M) 위협으로 인한 손실이 있으나 업무에 심각하게 영향을 끼치지 않는 정도 시스템의 life cycle 동안 두세차례 손해를 입을 수 있는 상태(1년 이내) 높음(H) 위협으로 인한 손실이 크나 업무의 중단을 초래하지 않는 정도 시스템의 life cycle 동안 다섯번 이상 발생할 수 있는 상태(6개월 이내) 매우높음(VH) 손실이 매우 커서 업무가 장시간 중단되는 정도 시스템의 life cycle 동안 매우 자주 발생함(3개월 이내)

34 위험분석 취약점 식별 및 평가 관리적 관점에서의 취약점 점검 : 정보보호관리체계 보안통제 항목에 근거한다.
물리적 관점에서의 취약점 점검 : 문서검토 및 체크리스트 등을 통해 면담 및 실사를 통해 점검 실시한다. 기술적 관점에서의 취약점 점검 : 서버, 네트워크, 보안장비, 웹 취약점, PC보안점검을 실시한다.

35 위험분석 분류 상세분류 취약점 샘플 목록 관리적 운영적 취약성
업무 절차의 부재/미흡, IT및 보안 예산의 부족, 장비의 유지보수 미비, 시스템 운영 교육의 부재/미흡, 백업 자원과 시스템 및 서비스의 부재/미비, 업무 연속 계획의 부재, 자산 반출입 절차의 부재, 자산 분류 체계의 부재/미흡 정보보호 관리의 취약성 정보보호 조직/전담 인력의 부재, 정보보호 정책/지침의 부재, 사고 관리 절차의 미흡, 보안 감사의 부재, 보안 규정 위반에 따른 징계의 미비, 보안 책임 및 권한의 부적절한 부여, 정보 보호 교육의 부재/미흡, 아웃소싱 및 제 3자 계약 시의 정보보호 요구사항 미비 인적 관리의 취약성 직원의 부재, 부적절한 직원의 배치, 정규 직원 및 제 3자 직원의 감독 소홀, 정보보호 인식의 부재, 고용 절차의 부적절성 기술적 컴퓨터/통신관련 취약성 인증 매커니즘의 부재/미흡, 접근 통제의 부재/미흡, 감사 증적의 부재/미흡, 복잡한 사용자 인터페이스, 저장 매체의 부적절한 처분 및 재사용, 변경 통제의 부재/미흡, 패스워드 테이블의 보호대책 미흡, 소프트웨어 패치 관리의 미흡 정보보호 시스템관련 취약성 정보보호 시스템(백신, 방화벽, IDS, 암호제품 등)의 부재/미흡, 정보보호 시스템 업그레이드 등의 관리 미흡, 암호 키 관리의 부재/미흡 시스템 개발 관련 취약성 분리되지 않은 개발/테스트/운영 설비, 보안 요구사항의 불충분한 적용, 변경 관리/형상 관리의 미흡 물리적/ 환경적　 물리적 취약성 출입 통제 시스템/직원의 부재, 출입구/창문 등의 잠금 장치 미흡, 부적절한 장비의 위치 지정 환경적 취약성 항온 항습 장치의 부재/미흡, 화재 진압 장치의 부재/미흡, 침수에 취약한 위치 선정

36 위험분석 취약성 평가기준 평가 내용 매우 취약 (VH) 비교적 취약 (H) 보통 (M) 취약하지 않음 (L)
자산의 복구가 불가능하거나 피해규모가 아주 큰 경우 비교적 취약 (H) 최고경영자나 상급관리자의 정밀한 검색 및 승인을 필요로 하는 위험을 발생시킬 수 있는 경우, 자산의 복구는 가능하나 그 피해규모가 비교적 큰 경우 보통 (M) 취약성의 상급관리자의 검토 및 승인을 필요로 하는 정도의 위험을 발생시킬 수 있는 경우 취약하지 않음 (L) 취약성이 자산에 별다른 영향을 끼치지 않거나 자산에 약간의 영향은 끼치지만 그 영향이 미미해서 해당 자산이 하위관리자의 조치만으로 문제해결이 가능한 경우

37 위험분석 1. 기술적 취약점 점검 - 기술적 취약점 점검 절차

38 위험분석 기술적 취약점 점검 취약성은 각 자산의 위협에 노출되어 있는 부분을 찾는 것으로써 크게 관리적 취약점, 기술적 취약점, 물리적/환경적 취약점으로 나눌 수 있다. - 기술적 취약점 분류 취약점 샘플 목록 시스템 부문 인증 메커니즘의 부재/미흡, 접근통제의 부재/미흡, 감사 증적의 부재/미흡, 복잡한 사용자 인터페이스, 변경 통제의 부재/미흡 소프트웨어 패치 관리의 미흡, 서버 취약한 포트 현황, 백도어(login, telnet, .rhosts 등) 현황, 취약한 서비스 점검(FTP, Sendmail, 웹서버), 파일 접근권한(Permission), 소유자(Owner) 관계, 신뢰(System Trust)관계, 관리자 권한(Super User Access), 사용계정 및 패스워드, 보안패치, 시스템 환경(inet, crontab) 등. 네트워크 부분 네트워크 전체 구성 현황, 점검도구 및 체크리스트에 의한 내/외부 라우터/스위치 등 진단(default 설정, 불필요한 서비스, snmp취약점, 로그관리, 라우팅프로토콜, Telnet/ console/aux 제어, 보안 Access-List 설정 현황 및 환경설정파일 점검 정보보호 시스템 부문 정보보호 시스템(백신, 방화벽, IDS/IPS, 암호화 솔루션등)의 부재/미흡, 정보보호 시스템 업그레이드 등의 관리 미흡, 암호 키 관리의 부재/미흡, F/W 및 IDS에 대한 rule-set 점검/ 로그점검/ 구성상오류 보안정책 변경절차 응용프로그램 DNS, 웹서버 등에 대한 취약점 점검, 데이터베이스 등에 대한 취약점 점검(접근권한, 데이터관련 정책 점검, 자동점검등) PC 부문 PC 보안현황 분석(파일공유, 패스워드설정 등) 시스템 개발 분리되지 않은 개발/테스트/운영 설비, 보안 요구사항의 불충분한 적용, 변경 관리/형상관리의 미흡

39 위험분석 기술적 취약점 점검 - 기술적 취약점(PC 부문)

40 위험분석 기술적 취약점 점검 - 기술적 취약점(Windows 서버 부문)

41 위험분석 기술적 취약점 점검 - 기술적 취약점(UNIX 서버 부문)

42 위험분석 기술적 취약점 점검 - 기술적 취약점(네트워크 장비 부문)

43 기술적 취약점 점검 - 기술적 취약점(네트워크 장비 점검 절차)

44 위험분석 - 기술적 취약점(웹어플리케이션 모의진단 점검 절차)

45 위험분석 공통 관리 취약점 점검시 점검항목 구분 검토 기준 정보보호 조직의 구성, 운영 정보보호 계획등의 수립 및 관리
정보보호조직 구성의 적절성, 정보보호책임자의 지정여부 및 업무권한 정보보호 계획등의 수립 및 관리 정보보호 규정 및 계획의 수립, 이행 여부확인, 정보보호계획에 대한 경영층 승인 여부, 정보보호 실무지침의 마련, 준수, 정보보호 실무지침의 주기적인 검토, 보완여부 인원 보안 내부인력/외부인력/외주용역 보안, 외부인력 활용시 보안서약서 작성 여부, 직무기술서 정의 문서화 여부, 정보보호 교육 및 훈련 실시, 보안인식 향상을 위한 정보보호 정보제공 여부 문서보안 기술자료 보안관리, 비밀의 생산/분류/보관/파기 등 비밀관리, 중요 프로젝트 수행 시 보안관리 정보자산 관리 모든 정보자산을 파악하고 중요성 판단 여부, 정보자산 분류, 목록 현황 관리 여부 보안점검 정보보호조치의 자체 보안점검 여부, 자체 보안점검 결과에 따른 이행계획 수립 및 이행 여부 침해사고 대응 침해사고 대응계획의 수립, 이행여부, 침해사고 대응, 복구에 대한 방법 및 절차수립, 이행여부

46 위험분석 공통 관리 취약점 점검 상세 내용 공통적으로 적용되는 관리적 취약점 점검시 사용될 수 있는 정보보호관리체계 통제항목은 다음과 같다. - 정보보호조직 구성의 적절성 ☞ 정보보호책임자, 정보보호관리자, 정보보호담당자로 구성된 정보보호조직이 운영되고 있는가? - 정보보호책임자의 지정여부 및 업무권한 ☞ 주요시설 및 주요 정보자산의 보안운영 실무를 담당하는 정보보호담당자가 지정되어 있는가? - 정보보호 규정 및 계획의 수립, 이행 여부확인 ☞ 정보보호의 목적, 범위, 책임 등을 포함한 정보보호 규정 및 계획이 수립되어 있는가? ☞ 정보보호규정은 국가나 관련 산업에서 정하는 정보보호의 법이나 규제사항을 만족하고 있는가? - 정보보호계획에 대한 경영층 승인 여부 ☞ 정보보호규정 등을 토대로 예산, 일정 등을 포함한 당해 연도의 정보보호실행계획을 수립하고 있는가? - 정보보호 실무지침의 마련, 준수 ☞ 정보보호 규정 및 정보보호실행계획을 구체적으로 수행하기 위한 정보보호활동의 세부적인 방법 및 절차를 구체화시킨 정보보호 실무지침들이 마련되어 있는가? ☞ 정보보호 실무지침들은 관리적, 기술적, 물리적 보호조치에 합당한 내용을 포함하고 있는가? - 정보보호 실무지침의 주기적인 검토, 보완여부 ☞ 각 정보보호 실무지침들은 수시. 주기적으로 검토되어 변경되고 있는가?

47 위험분석 공통 관리 취약점 점검 상세 내용 - 내부인력/외부인력/외주용역 보안
☞ 직원의 전보 또는 퇴직 시 해당자의 계정 등에 대한 접근권한을 제거 하고 있는가? ☞ 민감한 정보를 취급하는 직원들에 대한 비밀유지서약이 이루어지고 있는가? ☞ 계약직 및 임시직원 채용 시 신원, 업무능력, 교육정도, 경력 등에 대한 적격심사가 이루어지고 있는가? ☞ 전산업무를 외부업체에서 업무할 경우, 계약서 또는 서비스수준협약 내에 정보보호에 대한 위탁업체의 책임범위가 반영되어 있는가? ☞ 전산업무를 외부업체에 위탁하는 경우, 업무중단에 따른 비상대책이 마련되어 있는가? - 외부인력 활용 시 보안서약서 작성 여부 ☞ 외부인력, 위탁운영 시 보안서약서를 작성하고 있는가? - 직무기술서 정의 문서화 여부 ☞ 정보보호 조직의 역할 및 업무에 관련 하여 정의된 문서화가 있는가? - 정보보호 교육 및 훈련 실시 ☞ 모든 직원을 대상으로 보안인식교육 계획 및 훈련을 실시하고 있는가? ☞ 각 업무별로 교육계획 및 훈련을 실시하고 있는가? - 보안인식 향상을 위한 정보보호 정보제공 여부 ☞ 직원에게 개인정보보호정책, 정보보호 규정 등을 제공하여 인지하도록 하고 있는가?

48 위험분석 공통 관리 취약점 점검 상세 내용 - 기술자료 보안관리
☞ 정보통신 현황(네트워크 구성도), 중요 시설정보 보유 등 자료의 보안대책 기준이 마련되어 있는가? - 비밀의 생산/분류/보관/파기 등 비밀관리 ☞ 비밀 및 대외비로 분류된 보안자료 보관/파기 등 보안관리 기준이 마련되어 있는가? - 중요 프로젝트 수행 시 보안관리 ☞ 프로젝트 수행 시 생성되는 산출물의 보안관리 방안이 마련되어 있는가? - 모든 정보자산을 파악하고 중요성 판단 여부 ☞ 서버, 네트워크, 보안장비, 정보 등 모든 정보자산을 파악하고 정보자산 중요도(등급)를 결정하고 있는가? - 정보자산 분류, 목록 현황 관리 여부 ☞ 정보자산 중요도(등급)에 따라 분류하는 기준이 마련되어 있고, 그 기준에 따라 분류하여 목록 현황을 관리하고 있는가? - 정보보호조치의 자체 보안점검 여부 ☞ 보안점검에 대한 계획을 수립하여 점검을 정기적으로 수행하고 있는가?

49 위험분석 공통 관리 취약점 점검 상세 내용 - 자체 보안점검 결과에 따른 이행계획 수립 및 이행 여부
☞ 보안점검 결과에 따른 지적사항이 이행되도록 사후관리가 이루어지고 있는가? - 침해사고 대응계획의 수립, 이행여부 ☞ 보안사고 대응계획이 수립되어 있는가? ☞ 보안 사고를 모니터링하고 대응할 수 있도록 중앙 집중적인 대응체계가 구축되어 있는가? ☞ 보안사고 대응방법 및 절차에 관한 적절한 교육계획이 존재하고, 이에 따라 정기적으로 교육을 실시하고 있는가? - 침해사고 대응, 복구에 대한 방법 및 절차수립, 이행여부 ☞ 보안사고의 징후 또는 보안사고 발생을 인지한 경우, 정의된 보안사고보고 절차에 의해 신속하게 보고가 이루어지고 있는가? ☞ 보안사고 보고에 관해 관제기관의 법률이나 규정 등이 존재하는 경우, 보고되어야 할 내부의 보안사고 나 관제기관 등에 적절히 보고되고 있는가? ☞ 보안사고 분석을 통해 얻어진 정보를 활용하여 유사사고가 반복되지 않도록 하는 재발방지 대책이 수립되었는가?

50 위험분석 공통관리 취약점 점검 절차(관리적/기술적 종합)
취약점 점검은 H/W 자산의 취약점과 조직의 관리적, 제도적 취약점 점검을 모두 실시하는데 이는 취약점을 통해 위험요소들을 도출해내기 위해서이다. 이를 위해서는 먼저 조직의 정보보호 현황을 분석하고 정보보호 수준을 측정하는 준비단계를 거친 후 각 자산에 대한 영역별 취약성 분석(각 자산별 점검 관점)과 접근 경로별 취약점 분석(전체적인 네트워크 관점)을 실시하게 된다.

51 위험분석 정성적 분석 정량적 분석 위험분석 방법론 위협
- 위험분석 및 평가 방법론은 과학적이고 정형적(Structured)인 과정으로 위험을 알아내고 측정하려는 노력을 정리한 것이다. - 방법론 자체는 전 세계적으로 수백여 가지가 존재 하지만 실제로 분석 및 평가를 수행하고자 할 경우, 대상 조직 및 특징, 요구사항, 수행기간 등에 따라 다양한 방법론을 적용할 수 있다. - 방법론을 특정 조직에 적용시 상황과 여건을 고려하여 가장 적절한 방법을 선택하는 것이 중요하다. 정성적 분석 정량적 분석 위협

52 위험분석 방법론 3. 위험분석 정성적 방법 : 분석가의 경험과 지식에 기초한 방법으로 손실이나 위험을 개략적인 크기로 비교
델파이법 시나리오법 순위결정법 정량적 방법 : 손실이나 위험의 크기를 금액으로 표시(주로 미국에서 사용) ALE(연간예상손실) 계산법 과거자료 분석법 수학공식 접근법 확률분포법

53 위험분석 방법론(정량적 분석방법) ALE(년간예상손실) 계산법 측정요소
EF(손실율) : 자산에 대한 손실율(%) SLE(단일예상손실)=자산가치x손실율(EF) ARO(년간 발생빈도) : 1년을 기준으로한 년간 발생빈도 ALE(년간 예상손실)= SLExARO=자산가치x손실율xARO 이러한 방식은 비용/가치 분석이 수행될 수 있고 예산계획에 활용할 수 있다. 하지만 분석에 필요한 시간과 노력에 대한 비용이 커져서 실제 자산의 가치를 정확하게 반영할 수 없다는 것이 단점이다. 예 : 태풍 볼라벤에 의해 통신센터 시설의 50%가 손실을 입었다. 시설의 가치는 200,000,000원이고, 태풍 발생 확률은 10년에 한번이다. SLE, ALE를 구하시오. SLE=200,000,000x0.5=100,000,000원 ALE=SLExARO=100,000,000x0.1=10,000,000원

54 위험분석 방법론(정량적 분석방법) 위협 가능성 상실비용 위험(피해액) 고객데이터베이스 붕괴 0.005 24,000,000
120,000 경쟁사의 비인가된 접근 0.003 35,000,000 105,000 네트워크 구성요소의 태업 0.001 18,000,000 18,000 빌링시스템 붕괴 0.002 8,000,000 16,000 웜/바이러스 공격 0.05 90,000 4,500 총계 263,500

55 위험분석 방법론(정량적 분석방법) 과거자료 분석법 수학공식 접근법 확률분포법
과거의 자료를 통하여 위험 발생 가능성을 예측하는 방법 과거에 대한 자료가 많을수록 분석의 정확도가 높아지는데 반해 과거의 사건이 미래에 발생이 낮아질 수 있는 환경에 대해서는 적용이 어렵다 수학공식 접근법 과거자료 분석이 어려울 경우 사용되는 방법 위협, 발생빈도를 계산하는 식을 이용하여 위험을 계량화하는 것 기대손실을 추정하는 자료의 양이 적다는 것이 단점 확률분포법 미지의 사건을 확률적으로 편차를 이용하여 최저, 보통, 최고 위험평가를 예측하는 방법 추정하는 것이라 정확성이 낮다.

56 위험분석 방법론(정성적 분석방법) 델파이법 시나리오법 순위결정법
전문가 집단의 의견과 판단을 추출하고 종합하기 위하여 동일한 전문가 집단에게 설문조사를 실시하여 의견을 정리하는 분석방법 짧은 시간에 도출할 수 있기 때문에 시간과 비용이 절약되지만 전문가의 추정이라 정확도가 낮다. 시나리오법 어떤 사실도 기대대로 발생하지 않는다는 조건하에서 특정 시나리오를 통하여 발생 가능한 위협의 경과를 우선순위로 도출해내는 방법 적은 정보를 가지고 전반적인 가능성을 추론할 수 있지만 발생가능성의 이론적 추측에 불과하여 정확성이 낮다. 순위결정법 비교우위 순위 결정표에 위험항목들의 서술적 순위를 결정하는 방식 위험의 추정 정확도가 낮다는 단점이 있다.

57 위험분석 방법론(정성적 분석방법) 어떠한 위험 상황에 대한 부분을 ‘매우높음’, ‘높음’, ‘중간’, ‘낮음’등으로 표현
5점 척도나 10점척도로 표현하기도 하지만 표현이 주관적이고 사람에 따라 그 이해가 달라질 수 있다는 단점이 있다. 피해의 크기 발생가능성 낮음 중간 높음 매우높음 위협(a) 영향(자산)가치 위협발생가능성 위협의 측정 위협의 서열 위협A 5 2 10 위협B 4 8 3 위협C 15 1 위협D 위협E

58 위험분석 방법론 구분 정량적 기법 정성적 기법 특징 손실크기를 화폐 단위로 측정이가능할 때 사용함
ALE계산법, 과거자료 접근법, 수학공식 접근법, 확률분포 추정법 손실크기를 측정할 수 없어서 위험을 구간 및 기술변수(예: H:3, M:2, L:1)로 표현함. 분석자의 경험 및 지식에 기초한 위험분석 방법 델파이법, 시나리오법, 순위결정법 장점 정량화된 자료의 사용으로 비용- 효과 분석 및 예산 계획이 용이함 수리적 방법의 사용으로 계산이 논리적임. 객관적이 평가기준이 적용됨 위험관리 성능평가가 용이 위험평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해가 쉬움 정량화하기 어려운 정보의 평가에 용이함 계산에 대한 노력이 적다 용어의 이해가 쉬움 분석의 소요시간이 짧음 비용/이익을 평가할 필요가 없다. 정보자산에 대한 가치를 평가할 필요 없다 단점 정확한 정량화 수치를 구하기가 어려움 수리계산에 많은 시간과 노력이 필요함 수작업의 어려움으로 자동화도구 사용시 신뢰도가 벤더에 의존한다. 주관적 판단의 남용 여지가 있음 비용-효과 분석이 어려움 위험관리 성능을 추적할 수 없다 측정결과를 화폐가치로 표현하기 어렵다 위험완화 대책의 비용/이익 분석의 근거는 제공되지 않고 문제에 대한 주관적 지적만 있다.

59 위험평가 위험분석단계에서는 자산의 가치를 평가하고 자산에 대한 위협, 취약성을 분석
위험평가는 정보자산에 가치의 위협과 취약성에 따라 기밀성, 무결성, 가용성에 따른 잠재적 손실규모를 평가하는 단계 위험분석 결과와 위험도 산정 매트릭스, 관리자의 의견을 종합하여 위험도를 결정하고 위험도 구간에 따라 위험처리 전략을 결정하기 위하여 “수용가능 위험 수준(DoA:Degree of Assurance)”을 결정한다. 정량적방식에서는 자산의 가치는 금액으로 위협은 연간 발생률 횟수로 취약성은 백분율로 평가 연간 예상손실(A,T)=자산A의 가치(원)x위협 T의 연간 발생횟수xT에대한A의 취약성(%) A = 자산 T = 위협 % = 취약성

60 위험평가 정성적 방법에서는 자산, 위협, 취약성이 3점 척도로 평가되는 것이 일반적
방법론에 따라 차이는 있지만 더하거나 곱해서 위험값을 산출 3점 척도에서 더하기 방식을 쓴 예시 <3단계 정성적 위험분석> 위협 1 2 3 취약성 자 산 4 5 6 7 8 9

61 위험평가 목표 위험 수준 및 우선순위 결정 위험평가가 이루어지면 수용가능한 위험수준과 우선순위를 결정하는 것이 중요
이는 사전에 정의해야 하고 그렇지 않을 경우 높은 위험은 수용하지만 낮은 위험은 대책을 구현하는 등 일관성이 결여 목표 위험 순준의 설정에 대한 책임은 조직의 책임자가 결정 조직의 책임자가 현재 조직의 위험수준과 목표위험 수준을 알아야 하고 어느 정도 투자를 통하여 수용가능한 목표수준까지 관리할 것인지에 대한 결정을 내려야만 하기 때문 DoA 이상의 위험은 줄여야 하는 수준으로 판단하고 위험감소를 위해 적용이 요구되는 각 위험별 정보보호 관리체계 통제항목을 정한다 위험별 정보보보관리체계 통제항목의 통제를 실현하기 위하여 해당 부서별 구체적인 정보보호 대책과 이의 추진시기 등을 포함하는 정보보호 계획을 취합한다.

62 수용가능 위험수준 결정 수용 가능한 위험 수준의 결정
- 수용 가능한 위험 수준(이하 ‘보장수준’이라 한다)을 결정하고 그에 따라 관리되어야할 위험에 대한 통제 방안을 마련하는 단계 - 각 정보자산별 위험분석결과가 도출되면 정보보호실무협의회를 운영하여 보장수준을 결정하는 절차를 수행한다. - 보장수준을 결정하는 좋은 방법은 표준화되어 있는 방법론이 없기 때문에 조직 내 정보보호를 협의하고 의결하는 최고 기구를 통하여 최대한 객관적인 판단을 유도하고 최종 보장수준을 결정하는 것이 좋다. - 보장수준에 따라 관리되어야 할 위험과 잔여위험에 대한 통제방안을 마련한다.

63 위험처리 방법 조직이 수용가능한 위험을 넘어선다면 그 위험을 어떤 식으로 처리할 것인지 결정해야 한다. 그 방법에는 위험수용, 위험감소, 위험회피, 위험전가의 4가지 방법이 있다. - 위험 수용(Acceptance): 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말한다. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로, 일정수준 이하의 위험은 감수하고 사업을 진행하는 것이다. 위험감소(Mitigation): 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것을 말한다. 직접적인 피해가 발생할 수 있는 중대한 위험을 잠재하고 있어 정보보호대책을 선택하여 구현하는 것이다. 이는 많은 비용이 소요되기 때문에 실제 감소되는 위험의 크기와 비교하여 비용분석을 실시한다. - 위험회피(Avoidance): 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것이다. - 위험 전가(Transfer): 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당하는 것이다. 위험식별 위험도 ≤목표위험수준 Y 위험수용 N 비용효과적 대책존재 Y 위험감소 N 적절한 보험 or 전가대상 존재 Y 위험전가 N 위험회피

64 수용가능 위험수준 결정 ※ 위험처리 전략의 예시
- 어떤 조직이 인터넷을 이용하여 고액의 전자거래 시스템을 운영하고자 위험분석을 수행하였다. 위험분석의 결과는 고액의 온라인 전송에 따른 거래 금액 노출, 변조, 거래사실 부인의 위험이 매우 높았다. - 이 위험을 처리하기 위해서는 위험 감소의 방안으로 전자서명, 암호화, 송신자 부인방지를 위한 공중 시스템과 같은 대책을 도입할 수 있다.(위험감소) - 그러나 이러한 대책은 고가이며 공중 시스템의 운영 사례가 많지 않으므로 도입을 주저할 수 있다. 그렇다면 다른 대책으로 이 시스템 운영을 포기하고 기존 오프라인 방식으로 거래하는 방법을 고려 할 수 있다.(위험회피) - 이미 이러한 거래 시스템을 안전하게 운영하고 있는 다른 업체에 위탁하거나, 문제가 발생한 경우 배상해 주는 보험이 있다면 그 보험에 가입 할 수도 있다.(위험전가) - 위험 수용의 방안으로 여러 가지 이유로 일정 기간 위험을 감수하고 시스템을 운영하기로 결정할 수도 있다. ※ 어떠한 방식을 선택할 것인지는 평가된 위험수준과 조직이 수용하기로한 위험수준(보장수준), 그리고 각 대응 방식의 비용에 따라 달라진다.

65 위험분석 흐름도 N Y 수용 가능한 목표 위험 수준 Y N 자산분석 인증심사 기준 통제 확인 위협 및 취약성 분석 위험평가
수용가능? N 위험도 매우 높음? 수용 가능한 목표 위험 수준 Y Y 필수 통제사항 선정 N 상세 위험분석 자산별 통제 선정 위험도별 통제 선정 전문가의 도움 요청 대책 명세서 작성

66 정보보호대책 선정 및 계획서 작성 위험을 수용가능한 수준으로 감소시키기 위해 정보보호대책을 선정하고 그 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행계획을 구축하여 경영진의 승인을 받아야 한다. 정보자산 식별 및 그룹핑 정보보호대책 선택 위험 분석 수용가능한 위험수준의 결정` 위험수용: 위험을 받아들여 손실 감수 위험감소: 정보보호대책 마련 - 위험관리: 모니터링

67 정보보호대책 선정 및 계획서 작성 식별된 위험을 수용가능한 위험 수준으로 감소시키기 위하여 조직과 보안환경에 따라 정보보호관리체계의 통제항목과의 연계성을 고려하여 정보보호 대책을 선정 대책 선정을 위한 위험처리 전략은 위험감소를 목표로 수립하는게 일반적이며 위험회피, 위험전가, 위험 수용등으로 고려할 수 있다. DoA를 초과하지 않은 위험 중 기업 및 외부 환경에 따라 위험 수준이 상승할 가능성이 높거나 조직이 중요하다고 판단되는 부분에 대해서는 필요시 보호대책 수립을 고려할 수 있다. 즉시 교정가능한 취약점을 제거하는 시스템이나 장비에 환경설정 및 각종 기본적인 설정값을 다시 점검하여 제거할 수 있는 취약점은 즉시 제거-절차와 규정을 반드시 준수 위험수용 전략의 선택은 경영진, 정보보호관리체계 인증 심사팀 등 조직 외부에서 객관적으로 인정하는 경우에 가능하다. 정보보호대책은 법적 요구사항수준과 동일하거나 높은 수준으로 마련하여야 한다. 통제사항은 비용, 효과적인 측면에서 정당화 되어야 하고 통제구현과 유지에 들어가는 비용이 해당 위험 감소량보다 적어야 한다. 문서화된 보안정책과 목적, 정보보호 조직 및 책임 정의서, 위험평가 및 분석서, 정보보호 계획서 등 문서로 계획서를 작성한다.

68 정보보호대책 선정 및 계획서 작성 1.1 위험대응 전략 수립 보장수준에 따라 각 위험에 대하여 대처 방법결정
- 위험감소: 위험을 감소시킬 수 있는 대응책을 마련하여 구현한다. => [선택기준] 보호대책의 비용 < 손실발생확률*손실 - 위험회피: 위험이 존재하는 프로세스를 실행하지 않는다. - 위험이전: 잠재적으로 발생 가능한 비용을 보험 등에 의해 제3자에게 이전시키는 방법으로 실질적인 보호대책수립 외 보완대책으로 사용가능 - 위험수용: 위험을 받아들여서 발생으로 인한 손실 감수 => [선택기준] 보호대책의 비용 > 손실발생확률*손실 1.2 정보보호대책 도출 - 현재 분석된 결과(위험분석 결과)를 바탕으로 가상의 시나리오를 적용하고 그 결과를 관찰하여 가장 적합한 보호대책을 도출한다. - 단기적용 대책, 중․장기 적용대책을 구분하여 보호대책을 수립하고 중․장기 적용대책은 정보보호계획서 혹은 보안 마스터플랜 등을 통하여 계획을 수립한다.

69 정보보호대책 선정 및 계획서 작성 1.2 정보보호대책 도출 - 보호대책은 다음과 같은 속성을 지닌다.
가. 보호대책은 자산을 현존하는 위협으로부터 보호한다.(자산과 위협과의 관계) 나. 보호대책이 증가할수록 취약성은 감소하지만, 대응책 자체도 취약성을 가지고 있으므로, 취약성은 결코 ‘0’이 될 수 없다.(취약성과의 관계) 다. 보호대책은 위협의 발생으로 인한 피해를 감소시키고, 유형에 따라 위협의 주기도 감소시킨다. (위협과의 관계) 1.3 보호대책 선정 시 고려사항 - 시간적 제약: 관리를 위하여 허용하는 기간 내에 이루어질 수 있도록 수립하고, 주요자산이 위험에 노출되도록 남겨 둘 수 있는 허용기간 내에 수립해야 한다. - 재정적 제약(비용): 예산을 고려하되 보호대책을 수립, 구현, 유지하는 비용이 보호되는 자산의 가치보다 높으면 안 된다. - 기술적 제약: 프로그램 및 H/W의 호환성, 기술구현 용이성과 같은 기술적인 문제를 고려해야 한다. 사회적 제약: 조직의 목표, 업무특성 등 조직의 사회적 환경을 고려해야 한다.(직원들의 이해 필요) 환경적 제약: 지리공간이나 기후 등에 대한 환경문제 - 법적 제약: 관련 법규를 반영해야 한다.

70 정보보호대책 선정 및 계획서 작성 1.4 기대효과 분석 - 대응책들의 수행여부를 비용적인 측면에서 고려하여 판단할 수 있다.
- 예산의 제약 등을 고려하여 제한된 비용으로 최적의 효과를 얻을 수 있도록 경영진의 의사결정을 지원한다. 1.5 기대효과 분석 - 위험요소를 제거하거나 최소화할 수 있는 대처방안을 마련한다. - 위험요소 해결을 위해 유사사례에 대한 벤치마킹 등을 수행한다. - 담당자(정보보호 담당자, 보안 담당자 등)들이 취약 사항을 시정하기 위해 취해야 할 조치사항과 책임사항을 마련한다. - 위험요소 점검 및 개선을 위한 총괄 계획표를 마련한다. 1.6 정보보호대책명세서 작성 방법 - 정보보호대책 명세서는 137개의 통제 항목에 대해 현재 운영현황을 구체적으로 명시하고 15개 분야별 120개 통제사항 중 선택하지 않은 통제사항이 있다면 그 이유 또한 명확하게 기술한다. - 정보보호 대책 명세서의 목적은 통제항목을 통해 전반적인 정보보호대책 현황을 파악하는데 필요하고 장기적으로 타 조직과의 협정 등에 사용될 수 있다.

71 정보보호대책 선정 및 계획서 작성 다단계 보안대책(통제) 적용 시점에 따른 보안대책 관리적 대책 기술적 대책 물리적 대책
조직의 구성원들이 준수해야 할 책임과 역할 등의 관리통제 정책, 표준, 지침, 절차, 보안인식교육, 훈련, 인적관리 등 기술적 대책 조직의 시스템 및 데이터를 보호하기 위한 기술 통제 암호화, 패스워드, 스마트카드, 방화벅, IDS등 물리적 대책 조직 내 시스템을 보호하기 위한 시설 및 환경통제 울타리, 자물쇠, 맨트랩, ID카드, CCTV, 센서 등 통제유형 설명 통제 예 예방(Preventive) 바람직하지 못한 사건이 발생하는 것을 제지하고 피하기 위해 사용되는 통제 보안정책, 직무분리, 직무순환, 암호화, 백신, 방화벽, 자물쇠, 보안경비병 등 탐지(Detective) 발생된 바람직하지 못한 사건을 적발하기 위해 사용되는 통제 보안감사, 감사로그, 침입탐지, 경보, CCTV등 교정(Corrective) 발생된 바람직하지 못한 사건을 교정하기 위해 사용되는 통제 백신, 재해복구계획, 데이터백업 절차

72 업무연속성계획에 대해 정기적인 교육 및 훈련을 실시하고 지속적인 검토와 평가 및 변경관리를 수행해야 한다.
정보보호대책 선정 및 계획서 작성 1.6 정보보호대책명세서 작성 방법 - 정보보호 대책 명세서에는 다음과 같은 사항을 포함해야 한다. 가. 선정된 정보호호대책의 명세 나. 구현 확인 근거 다. 선정되지 않은 정보보호대책 목록 라. 선정되지 않은 근거 - 정보호호대책명세서 예시 ※ 120개 통제 중 선택한 통제 ___개, 선택하지 않은 통제 ___개 번호 통제사항 통제내용 선정 여부 운영내용 (미선택 시 사유) 관련문서 1.1.1 정책의 승인 문서화된 정보보호정책은 최고경영자의 승인을 받아야 한다. Y 최고경영자의 승인을 받은 증적이 있음 정보보호 정책서 ... .... 11.1.5 외부 운영 설비의 관리 외부계약자가 정보시스 템 및 장비를 관리하는 경우 데이터의 손상, 손 실 등의 상황을 고려하 여 통제방안을 수립하고 계약서에 반영해야 한다. N 사외에서 운영하는 설비가 없음 15.3.1 업무연속성계획 유지관리 업무연속성계획에 대해 정기적인 교육 및 훈련을 실시하고 지속적인 검토와 평가 및 변경관리를 수행해야 한다. 연 1회 업무연속성계획 교육 훈련 및 검토 예정

73 정보보호대책 선정 및 계획서 작성 1.7 정보보호 대책 선택 예시
- Acceptable Risk와 Unacceptable Risk를 식별하기 위한 DoA를 결정한 후 결정된 DoA에 의해 관리되어야 할 Risk를 도출한다. - 각 자산 혹은 조직의 전체적인 관점에서 도출된 위험은 각 위험도에 따라서 적용 우선순위가 달라진다. 중요도가 높고 위협 및 취약성이 높을수록 위험도는 높아지게 되므로 위 그림에서 빨간 색 칸이 많고 숫자의 합이 높은 위험위주로 보호대책이 선 적용되어 져야 한다. - 위험분석 보고서에는 자산 중요도, 위협 및 취약성(위협과 취약성을 통합하여 우려사항으로 도출하여도 무관함), 위험도, 보호대책이 모두 도출되어야 하며 결정권을 가지고 있는 경영진을 설득하기 위한 보고서이기도 하므로 이해하기 쉽게 만들어져야 한다.

74 정보보호대책 이행계획 수립 정보보호대책 이행을 위한 계획을 수립하고 정보보호 최고책임자 등 경영진의 승인을 받아야 한다.
선정한 정보보호대책은 위험처리의 시급성, 예산할당, 구현에 요구되는 기간에 따라 우선순위를 정하고 계획을 수립하여 지속적으로 관리하여야 한다, 정보보호 최고책임자 등 경영진은 정보보호대책의 효과적인 이행을 위하여 이행계획을 승인하고 년 1회 이상 이행여부를 확인하여야 한다.

75 정보보호대책 이행계획 수립 [수립절차] [정보보호대책 수립 예]

76 정보보호대책 이행계획 수립 정보보호 계획서 작성 방법(방안 예시)
- 관리적 부문에 대한 체계적인 수립을 위하여 아래의 항목들에 대한 방안을 제시할 수 있다. 가. 정보보호 조직 구성, 운영방안(정보보안팀, 침해사고대응팀, 보안담당자 등) 나. 정보보호 표준 수립(정책, 지침, 절차서 등 설계안 제시) ※ 관련지침: 정보보호정책서, 네트워크보안지침서, 서버보안지침서, 응용시스템보안지침서, 데이터베이스보안지침서,PC보안지침서, 보안감사지침서, 사업연속성계획지침서 등 다. 정보자산 분류체계: 자산의 속성별 분류, 자산 중요도별 등급부여(일반정보, 대외비, 기밀정보), 등급별 관리방안 라. 정보보호 교육 체계 마. 업무연속성 관리체계 : 비상계획의 적절성, 업무연속성 확보절차 적정성 등에 대한 대책 바. 정보보호시스템 운영 및 보안 감사 방안 - 물리적 부문에 대한 체계 수립을 위하여 아래의 항목들에 대한 방안을 제시 할 수 있다. 가. 물리적 보호 정책 및 지침 수립 나. 주요 정보보호 구역에 대한 출입통제 방안 수립 다. 주요 전산자원에 대한 물리적 보호 대책 수립

77 정보보호 대책 이행계획 수립 정보보호 계획서 작성 방법(방안 예시)
- 기술적 정보보호체계 수립을 위하여 아래의 항목들에 대한 방안을 제시 할 수 있다. 가. 취약점 보호대책 제시 - 서버 : OS 취약점 등에 대한 보호대책, 패스워드 관리, 로그관리, 백업 방안 - 네트워크 : 네트워크 구성, 접근통제 방안, 대외망 연결시 통제 방안, 비상대응 방안 - PC : 바이러스 통제 방안, 주요자료 보호방안 나. 보안 솔루션 및 아키텍처 설계 - 바이러스 차단시스템, PC보안(PC방화벽, 바이러스 백신) - 침입탐지시스템, 침입차단시스템, VPN(고려사항 및 최적화방안, 적용대상) - 사용자 인증(ID/PW 인증, OTP(One time Password), 공인인증서 등) - 암호화(암호화 적용 보안수준, 대상범위, 암호화 시스템 구현방안) - 로그관리시스템, ESM(Enterprise Security Management) 등 고위층 승인 획득 - 정보보호계획 수립 과정에서는 실제 프로젝트를 수행하고 이에 영향을 받게 될 부서들의 책임자 및 실무자가 반드시 참여해야 한다. - 영향을 받게 되는 부서의 책임자 및 실무자들이 인력 및 자금 인력, 책임의 수용, 구현 일정의 타당성 및 실행 가능성 등을 검토하거나 피드백을 제공해야만 실제 구현 가능한 계획이 작성될 수 있다. - 즉, 관련부서의 관리자가 포함된 정보보호 위원회에서 검토되는 것이 좋다.

78 위험관리과정 요구사항 위험관리 상세내용 세부과정 위험관리
위험관리 전략 및 계획수립 조직의 목표 및 정책, 법적 요구사항 등을 고려하여 조직, 역할, 책임, 주요과정을 포함한 위험관리 전략 및 계획을 수립하고 조직에 적합한 위험관리 방법을 선택하고 문서화하여야 한다. 이 위험분석 방법은 조직과 정보보호 환경변화에 대응할 수 있도록 지속적으로 검토하여야 한다. 위험분석 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여, 잠재적 손실에 대한 영향을 식별/분석하여야 한다. 위험평가 정보자산에 대한 잠재적 및 알려진 위협과 취약성으로 나타날 수 있는 조직의 피해와 현재 구현된 정보보호대책의 실패 가능성 및 영향을 평가하고 수용 가능한 위험수준을 포함하여야 한다. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 정보보호대책 선택 및 우선순위의 확보를 지원하여야 한다. 정보보호 대책선택 조직의 정보보호정책과 목적에 부합하도록 위험을 수용가능한 수준으로 감소시키기 위해 위험분석 및 평가에 의거하여 위험처리, 위험수용, 위험회피, 위험전가 등의 전략을 설정하고 정보보호대책의 선택은 비용/효과 분석에 의해 정당화될 필요가 있다. 계획수립 정보보호대책의 선택 이후 구현할 정보보호대책 및 구현의 우선순위, 일정계획, 예산, 책임, 운영계획 등을 포함한 정보보호계획을 수립하고 각 위험에 대한 정보보호대책 및 선택하게 된 근거를 정보보호대책 명세서로 문서화하여야 한다.

79 ISMS관리과정 1.정보보호 정책 수립 및 범위설정 2.경영진 책임 및 조직 구성 5.사후 관리 ISMS 수립 프로세스
3.위험 관리 4.정보보호대책 구현 5.사후 관리 ISMS 수립 프로세스

80