위험 관리 (Risk management)

정보보호 대책수립, 조직체계에 대해 알아보았으니 이제 위험관리에 대해 알아볼 차례이다.

위험관리 (Risk Management) 라는 뜻은 자산에 대한 위험을 수용할 수 있는 수준으로 유지키 위해 

위험을 분석하고 그에 대한 보호대책을 마련하는 것을 말한다.

 

위험 관리는 총 5가지 단계로 이루어진다.

1. 위험관리 전략 및 계획 수립

위험관리를 위해 전략과 계획 그리고 우선순위를 결정하는 과정이다.

 

2. 위험 분석

위험 분석은 말그대로 위험을 끼칠 수 있는 사고에 대해 분석하는 과정이다.

위험은 아래와 같은 공식으로 성립된다.

 

위험 = [발생가능성] * [손실의 정도]

위험 = f(자산, 위협, 취약성)

 

위험의 구성요소에는 4가지가 있다. 

- 자산 (assets) : 보호해야 할 대상. 

- 위협 (threats) : 자산에 손실을 초래할 수 있는 잠재적 원인, 의도적 위협과 우연한 위협으로 나뉨.

- 취약성 (Vulnerability) : 잠재적인 위협의 이용 대상.

- 정보보호대책 (Safeguard) : 위험에 대한 물리적, 기술적, 관리적 대응책을 말한다.

 

위 4가지는 위험과 아주 밀접한 상관관계를 갖고있다. (구성요소니까 당연한???)

이 위험분석 과정은 국제 표준 지침인 ISO/IEC 13335-1에서 크게 4가지 전략을 제안한다.

 

2-1. 위험분석 접근법

* 베이스라인 접근법 (Baseline Approach)

- 표준화된 보호대책 체크리스트를 가지고 점검하는 접근법. 

- 따로 위험분석을 실시하지 않고 이미 나와있는 체크리스트로 점검한다.

- 주로 소규모 조직에서 사용된다. 

 

* 비정형 접근법 (Informal Approach)

- 방법론에 의거하지 않고 경험자의 지식으로 위험분석

- 경험에 의존하기에, 초고수가 맡아야 한다.

 

* 상세위험분석 (Detailed Risk Analysis)

- 세부적인 단계를 밟아 위험분석 하는것. 가장 적절한 대처가 가능한 접근법

- 많은 시간과 노력이 들어가고, 여기 또한 고급 인력이 필요하다.

 

 

위와 같은 세부적인 과정을 통해 진행된다. 자세한 설명은 필요 없이 이름만 보면 알 수 있다. 

순서는 웬만하면 외워두는 것이 좋을 것 같다.

 

* 혼합접근법 (Combined Approach)

- 상세위험분석을 수행하고, 그 외 영역은 베이스라인으로 접근하는 방법.

- 비용과 자원을 효과적으로 사용할 수 있고, 식별 속도가 빨라 많이 사용된다.

 

그리고 다음은 위험분석 방법론에 대해서 알아보자.

 

2-2. 위험분석 방법론

* 정량적 분석방법

위험을 손실액과 같은 숫자값으로 표현함.

 

ALE(연간손실액) = SLE * ARO

SLE(단일예상 손실액) = AV(자산가치) * EF(노출계수)

 

예를 들어, 10년에 한번 태풍이 불어 회사 시설에 50%가 손상 된다고 치자.

회사 시설은 $200,000이다. 이때 연간 손실액을 구하면?

 

SLE = 200,000*0.5 = 100,000

ALE = 100,000*0.1 = 10,000

 

이러한 방식을 이용하여 예산계획에 활용이 가능하다. 하지만 분석에 너무 오버헤드가 크다.

정량적 분석방법은 3가지 방법들이 있다.

- 과거 자료 분석법 : 과거자료를 통해 위험 발생 가능성을 분석하는 방법. 표본이 많을수록 좋지만.. 과거는 과거일뿐

- 수학공식 접근법 : 과거자료 분석이 힘들 때 사용한다. 위험발생 빈도를 수학적 공식으로 계산하여 계량화 하는 것.

- 확률분포법 : 미지의 사건을 확률적 편차를 이용하여 최저, 보통, 최고 위험평가를 예측하는 방법. 정확성 낮다.

 

정량적 분석방법의 장/단점을 알아보자.

- 장점 : 객관적이고 수치로 표현되기 때문에 이해가 쉽다. 성능평가에 용이하다.

- 단점 : 계산이 복잡해서 시간, 노력, 비용이 많이 든다. 그리고 자동화 도구를 이용하여 신뢰도가 벤더에 의존됨.

 

* 정성적 분석방법

어떠한 위험에 대해 '매우높음', '높음', '보통', '낮음' 등으로 표현하는 것이다.

그냥 표에다가 높음 낮음 표시하는거다. 이것 또한 몇가지 방법이 있다.

 

- 델파이법 : 전문가 집단 의견을 추출하고 종합하기 위해 동일한 전문가 집단에게 설문조사하여 의견 정리하는 방법. 

비용/시간은 적게들지만 정확도가 낮다.

- 시나리오법 : 어떤 사실도 기대대로 되지 않는다는 가정하에 시나리오를 통하여 분석하는 방법. 정확도 낮다.

- 순위결정법 : 비교우위 순위 결정표에 위험 항목들의 순위를 결정하는 방법.

- 그 외 : 질문서법, 브레인스토밍, 스토리보딩

 

정성적 분석방법의 장단점을 알아보장

- 장점 : 계산에 대한 노력/비용이 적게들고, 수치로 표현된 값은 평가할 필요가 없다.

- 단점 : 주관적이라 신빙성이 떨어진다. 성능추적이 어렵고, 결과를 수치로 표현 불가능하다.

 

3. 위혐 평가

자 이제 다음 단계인 위험평가 단계에 대해 알아봅시다.

이 단계는 위험분석 한 결과를 바탕으로 기밀성, 무결성, 가용성에 따른 잠재적 손실규모를 평가하는 단계이다.

 

* 정량적 방식의 위험평가

자산의 가치는 금액, 위험은 연간 발생률, 취약성은 백분율로 평가하는 방법

 

연간예상손실액 = (자산가치) * (연간발생횟수) * (취약성%)

 

* 정성적 방식의 위험평가

자산, 위험, 취약성 3가지를 3점 척도로 평가하는 방법이 일반적이다.

 

3점 척도 평가 더하기 방식은 위 표와 같이 쓴다. 

 

* 목표 위험 수준 및 우선순위 결정

위험 평가가 끝나면 수용 가능한 위험수준 및 우선순위를 결정해야 한다.

수준이 높은 위험과 낮은 위험에 대한 대비책을 사전에 정의하지 않으면 일관성이 결여되니까

반드시 필요하다.

 

4. 위험처리 방법

자 이번에는 위험이 발생했는데, 수용가능한 범위를 넘어섰을 때, 위험을 어떻게 처리하는지 알아보자.

- 위험수용 : 위험의 잠재 손실 비용을 감수하는 것. 일정 수준이하로 감소시키고 사업을 계속 진행한다.

- 위험감소 : 위험을 감소시킬 대책을 마련하는 것. 비용이 많이 드니까 비용분석을 실시한다.

- 위험회피 : 위험이 존재하는 사업, 프로세스를 진행하지 않는 것을 말한다.

- 위험전가 : 보험이나 외주 등으로 잠재적 위험을 제3자에게 전가하는 방법이다.