위험평가와 취약점 진단
작성자 - 보안왕 김보안작성자 - 보안왕 김보안
지난달에 IT 인프라 보안에 대해 설명하며, 인프라 취약점 진단에 대해 포스팅하였습니다.
지난달 포스팅에서 잠깐 언급되었던 위험평가에 대해 설명하고 스스로 정리해보려합니다.
들어가며
IT 인프라의 보안을 유지하기 위해 취약점 진단을 수행합니다.
컨설턴트가 되어 진단 업무를 수행하다 보면 진단과 이행점검에 너무 치중한 나머지 위험평가의 중요성을 잊게되곤 합니다.
조직에서 보안을 유지하고 발전시키기 위해선 조직이 직면한 보안 위험(Risk)를 체계적으로 분석하는 과정이 필수적입니다.
위험 평가는 조직의 자산이 직면한 위협과 취약점을 평가하고, 그에 따른 영향을 분석하여 적절한 대응 전략을 수립하는 과정입니다.
보안 사고가 발생하면 조직의 금전적 손실뿐 아니라 조직의 평판에 영향을 미치며, 법적 문제로까지 이어질 수 있습니다. 따라서 조직은 선제적인 위험 평가를 수행하여 잠재젹인 위협을 식별하고, 적절한 대응책을 사전에 준비해두어야 합니다.
위험평가란?
위험평가 (Risk Assessment)
위험평가는 조직의 자산이 직명한 위협(Threat)과 취약점(Vulnerability)을 분석하여 보안 사고 발생 가능성과 그 영향을 평가하는 프로세스입니다.
위혐평가를 통해 조직은 자산을 보호하고, 보안 위험을 최소화하는 전략을 수립할 수 있습니다.
위험평가의 목적
- 정보 자산 보호: 중요 데이터 및 시스템을 보호하여 비인가 접근 및 정보 유출 및 변조를 방지하기 위한 대책을 마련하기 위함입니다.
- 비즈니스 연속성 보장: 보안 사고로 인한 운영 중단을 예방하고 신속한 복구 계획을 수립하기 위함입니다.
- 컴플라이언스 준수: 국내외 법률, 규제 등 조직의 준법 감시 활동을 위함입니다.
- 비용 절감: 보안 사고에 대한 예방적 조치를 통해 보안 사고 대응 및 복구 비용 절감을 위함입니다.
위험평가의 주요 단계
위험 평가는 일반적으로 다음과 같은 단계로 진행됩니다.
1. 자산 식별
조직 내 보호해야할 정보 자산(서버, 네트워크 장비, 데이터베이스, 보안장비, 애플리케이션 등)을 식별하고, 각 자산의 중요도를 평가합니다.
2. 위협 분석
자산에 영향을 미칠 수 있는 잠재적인 위협을 식별합니다.
위협은 내부자 위협(내부 직원의 실수, 악의적인 행위)과 외부자 위협(공격자) 등 다양한 요인이 존재합니다.
일반적으로 컴플라이언스 활동은 이미 Checklist가 존재하기 때문에 해당 Checklist가 잠재적의 위협의 목록이라고 볼 수 있습니다.
3. 취약점 평가
자산이 보유한 취약점을 식별하고 분석합니다.
취약점 진단을 수행한다면, 취약점 진단을 이 단계의 일환으로 볼 수 있습니다. 따라서 위험평가에 앞서 수행하는 취약점 진단 활동이 위험평가 과정에서 실질적인 평가 활동이라고 볼 수 있습니다.
취약점 진단과 관련한 내용은 지난달 포스팅을 참고해주세요.
컨설팅 관점의 IT 인프라 보안
들어가며지난 1년간 인프라 취약점 진단 업무를 맡으며 경험으로 얻은 이론적, 실무적 지식을 글로 정리해보려 합니다.아래에서 설명할 내용들은 주관적인 경험과 이해가 많이 포함된 관계로
mokpo.tistory.com
4. 위험 계산
위협과 취약점이 결합괼 경우 발생할 수 있는 보안 사고의 가능성과 영향을 평가합니다.
일반적으로 아래와 같은 수식을 따라 정량적으로 평가합니다.
위험(Risk)=위협(Threat) * 취약점(Vulnerability) * 영향도(Impact)
위험을 계산하는 수식은 조직에 따라 다를 수 있으며, 자산의 중요도나 기타 요인에 따라 가중치를 부여하기도 합니다. 이는 조직의 규정 또는 지침을 따릅니다.
5. 위험 관리 전략 수립
위험 평가 결과를 바탕으로 적절한 보안 조치를 마련합니다.
위험을 줄이기 위한 조치는 다음과 같이 분류될 수 있습니다.
4가지 위험 관리 전략
- 위험 수용
위험에 특별한 조치를 취하지 않고, 위험을 그대로 방치하는 전략입니다. 위험이 실현됐을 때 입는 손실이 위험에 통제 적용하는 비용보다 적을 때 위험을 수용합니다.- 위험 감소
위험이 실현되었을 때의 피해를 최소화하는 전략입니다. 취약점을 제거하거나, 모니터링, 솔루션의 도입과 같은 적극적인 보안 활동을 요구합니다.- 위험 전가
위험이 실현되었을 때 손실을 제 3자에게 전가하는 전략입니다. 일종의 보험과 같습니다. 그러나 위험에 대한 책임이 전가되진 않으므로 주의가 필요합니다.- 위험 회피
위험 발생 요인을 완전히 제거하는 전략입니다. 위험이 발생할 수 있는 자산을 완전히 폐기하는 등 위협 요인 자체를 제거하는 행위입니다.
위험평가와 취약점 진단의 차이점
위험평가와 취약점 진단은 서로 밀접한 관계를 가지지만, 목적과 접근 방식에서 차이가 존재합니다.
| 구분 | 위험 평가 (Risk Assessment) | 취약점 진단 (Vulnerability Assessment) |
| 목적 | 조직의 전반적인 보안 위험을 평가하고 대응 전략을 수립 | 시스템 및 네트워크의 보안 취약점을 식별 |
| 평가 대상 | 자산, 위협, 취약점, 영향 등을 종합적으로 분석 | 특정 시스템, 애플리케이션, 네트워크의 취약점 중심 분석 |
| 접근 방식 | 정량적/정성적 분석, 리스크 매트릭스 활용 | 자동화된 취약점 스캐너 및 수동 테스트 활용 |
| 결과물 | 위험 수준 평가, 보안 정책 및 대응 전략 제안 | 발견된 취약점 목록 및 조치가이드 |
조직에서의 활용
취약점 진단은 개별적인 보안 취약점을 식별하고 해결하는 데에 중점을 두는 반면, 위험평가는 조직 전체의 보안 리스크를 체계적으로 분석하여 우선 순위를 설정하는 데에 초점을 둡니다. 따라서 취약점 진단은 위험평가의 일부로 활용되며, 두가지를 병행하는 것이 조직의 보안을 고도화하는데에 효과적입니다.
결론
위험평가는 조직의 정보보안을 효과적으로 관리하기 위한 핵심 프로세스이며, 단순한 취약점 진단을 넘어 전체적인 보안 위험을 분석하는 것이 중요합니다. 자산 식별부터 위험 계산, 위험 관리 전략 수립까지 일련의 프로세스를 통해, 보안 사고를 예방하고, 비즈니스 연속성을 확보하며, 만일의 사고가 일어났을 때 조직의 피해를 최소화할 수 있습니다.
컨설턴트는 위험평가와 취약점 진단을 주기적으로 수행하는 조직의 조력자 역할입니다.
마치며
컨설팅 업무를 하다보면 위험평가에 비해 취약점 진단 업무가 양이 많습니다.
그러나 진단원이 아니라 컨설턴트는 IT 인프라 뿐만 아니라 조직의 전사적인 IT 업무 흐름을 파악하고 조직에 맞는 양질의 결과물과 조언을 제공할 수 있어야합니다.
진단 업무에 치중된 나머지 위험평가의 중요성을 잊을 때가 자주 있습니다.
오늘 다시 위험평가의 중요성을 상기시키고 앞으로의 프로젝트를 위해 글로 다시 한번 정리하는 포스팅이었습니다.
지적은 언제나 환영입니다. 감사합니다.
'Security Compliance' 카테고리의 다른 글
| 컨설팅 관점의 IT 인프라 보안 (0) | 2025.01.01 |
|---|