보안 위험분석 방법과 종류 및 설명

 

 

 

보안 위험분석 방법에는 어떤 것들이 있을까요?

 

보안 위험분석 방법은 크게 네 가지로 구분됩니다. 기준 접근법(Baseline Approach), 비정형화된 접근법(Informal Approach), 상세한 위험 분석(Detailed risk analysis), 통합된 접근법(Combined Approach)입니다.

우선 기준 접근법에 대하여 설명하겠습니다. 기준 접근법은 기준이 되는 문서, 실무 규약 또는 업계 최선 실무(industry best practice)를 이용하여 시스템에 대한 가장 기본적이고 일반적인 수준에서 보안 통제 사항들을 구현합니다. 비정형화된 접근법은 경험자의 지식을 이용하여 위험분석을 하는 방식으로 분석을 수행하는 개개인들의 지식과 전문성을 활용하는 접근법입니다. 상세한 위험 분석은 정형화되고 구조화된 프로세스를 사용하여 조직의 it 시스템에 대하여 상세한 위험 평가를 수행합니다. 통합된 접근법은 고위험 영역은 따로 식별하여 이 영역은 상세한 위험 분석을 수행합니다. 나머지 영역은 기준 접근법을 사용합니다.

 

위험에 대한 대책

 

위험에 대한 대책은 네 가지가 있습니다. 위험 수용(Risk Acceptance)과 위험 감소(Risk reduction, mitigation), 위험 회피(Risk avoidance), 위험 전가 (Risk Transition, Transfer)입니다. 위험 수용은 현재 발생한 위험을 받아들이고 잠재적 손실 비용을 감수하는 것입니다. 위험 감소는 위험을 감소시킬 수 있는 대책을 채택한 후 구현하는 방법입니다. 위험 회피는 위험이 존재하는 프로세스 및 사업을 수행하지 않고 포기하는 방법입니다. 위험 전가는 보험이나 외주 등의 방법을 통하여 잠재적 비용을 제 3자에게 이전하거나 할당하는 방법입니다.

 

정량적 위험분석 종류 및 설명

 

정량적 위험분석은 객관적인 평가기준을 적용하여 정보의 가치를 논리적으로 평가하고 화폐로 표현하는 위험분석입니다. 위험관리 성능평가가 용이하며 위험 평가 결과를 백분율이나 확률, 금전적 가치 등 수치로 표현하기 때문에 이해하기 쉽습니다. 그러나 계산이 복잡하여 분석하는데 시간, 노력, 비용이 많이 들어갑니다. 수작업으로 진행하기엔 어려움이 있어 자동화 도구를 사용할 경우 신뢰도가 벤더에게 의존되는 단점도 있습니다. 

정성적 위험분석은 계산하기 수월하여 노력이 적게 들고 비용과 이익, 정보자산에 대한 가치를 평가할 필요가 없습니다. 그러나 위험평가 과정과 측정기준이 매우 주관적이어서 사람에 따라 분석 결과가 달라질 수 있습니다. 정량적 위험분석과 달리 측정결과를 화폐가치로 표현하기 어려우며, 위험관리 성능을 추적할 방법도 존재하지 않습니다. 문제에 대한 주관적인 지적만 있고 위험 완화 대책의 비용이나 이익 분석에 대한 근거가 제공되지 않습니다.

 

정량적 위험분석 방법 네 가지를 소개하겠습니다.

과거자료 분석법 : 과거 자료를 통해 미래 사건의 발생 가능성을 예측하는 방법으로 위험발생 가능성을 예측합니다. 위협에 관한 과거 자료가 다양할수록 분석 정확도가 높아집니다. 분석 과정에서 과거에 발생했던 사건이 미래에도 발생한다는 가정이 필요하며, 과거의 사전 중 발생빈도가 낮아 자료가 적을수록 정확한 예측이 어렵다는 단점이 있습니다.

수학 공식 접근법 : 위협의 발생 빈도를 계산하는 식을 사용하여 위험을 계량하는 방법입니다. 과거자료의 획득이 어려울 상황에 위협 발생 빈도를 추정하여 분석할 수 있습니다. 위험을 정량화하여 상당히 간결하게 나타낼 수 있지만, 기대 손실을 추정하는 자료의 양이 적다는 단점이 있습니다. 

확률 분포법 : 확률적 편차를 이용하여 미지의 사건을 추정하는 데 사용하는 방법입니다. 최고, 보통, 최저로 위험 평가를 예측할 수 있지만 정확성은 낮다는 단점이 있습니다.

점수법 : 위험 발생 요인에 따라 가중치를 주어 위험을 추정하는 방법입니다. 위험분석에 소요되는 시간이 적으며 분석해야 할 자원의 양도 적다는 장점이 있지만 정확도가 떨어집니다.