본문 바로가기
정보보안/보안공부

위험관리 / 위험분석(정량적&정성적 방법) 총정리 - 빈칸문제

by 쭈로미 2021. 10. 16.

1. 개념 정리 (빈칸문제)

- 위험평가 : 조직이 필요로 하는 정보보호 요구사항들이 무엇인지를 분석하기 위해 정보나 정보처리기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정

위험관리 : 조직의 자산에 대한 위험을 감수할 있는 수준으로 유지하기 위해 자산의 위험을 분석하고, 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정

  . 단계 : 위험관리 전략/계획 수립  위험 분석  위험 평가  정보보호 대책 수립  정보보호 계획 수립 → 대책 설정

- 위험관리계획 : 선택된 통제의 목적과 통제방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것


2. 위험의 구 요소

- 자산 : 조직이 보호해야 할 대상, 유형 + 무형

- : 자산에 손실을 초래할 있는 원치 않는 사건의 잠재적 원인, 행위자

- 취약성 : 자산의 잠재적 속성, 위협의 이용 대상이 되는 것

  . 자산에 위협이 발생한다고 해서 반드시 손실/피해 발생은 아님

  . 자산이 해당 위협에 대한 취약성을 가지고 있을 때 손실/피해 발생

- 정보보호 대책 : 위협에 대응해 자산을 보호하기 위한 관리적, 기술적 대책으로 정의, 정보보호 솔루션만이 아니라 정책 등 모든 통제 포함


3. 위험 분석 방법/전략

- 베이스라인 접근법

  • 모든 시스템에 대해 보호의 기본 수준 정함, 표준화된 보안대책의 세트를 체크리스트 형태로 제공
  • 장점 : 분석 비용, 시간이 절약
  • 단점 : 과보호 또는 부족한 보호가 될 가능성 존재 (조직에 부적절한 체크리스트라면..)

- 비정형 접근법

  • 정형화된 방법을 사용하지 않고, 전문가 지식, 경험에 따라 위험을 분석
  • 특정 위험분석 모델과 기법을 선정하여 수행 X, 수행자 경험에 따라 중요 위험 중심으로 분석
  • 작은 규모의 조직에 적합할 수 있으나, 수행자의 경험이 부족한 위험영역을 놓칠 가능성 존재

- 상세 위험 분석

  • 정립된 모델에 기초해 자산 분석, 위협 분석, 취약성 분석의 단계를 수행하여 위험 평가
  • 장점 : 자산 및 보안 요구 사항을 구체적으로 분석 → 가장 적절한 대책을 수립할 수 있음
  • 단점 : 분석에 많은 시간과 노력 소요, 채택한 분석 모델을 잘 이해하는 고급 인적 자원 필요

- 복합 접근법

  • 고위험 영역을 식별 영역은 상세 위험분석, 다른 영역은 베이스라인 접근법
  • 장점 : 보안전략을 빠르게 구축, 시간과 노력을 효율적으로 활용 가능
  • 단점 : 적용대상을 명확히 설정하지 못할 경우 비용 낭비, 부적절한 대응

4. 상세 위험분석 절차

- 정량적 위험분석

  • 과거자료 분석법 : 과거의 자료를 통해 미래 사건의 위험 발생 가능성 예측
    과거자료가 많을수록 정확도가 높지만, 발생빈도 낮을경우 적용 어려움
  • 수학공식 접근법 : 과거 자료 획득이 어려울 위협의 발생빈도 식으로 계산
  • 확률 분포법 : 미지의 사건을 추정하는데 사용, 확률적 편차 이용해 위험 분석 예측, 정확도 떨어짐
  • 점수법 : 위험발생 요인에 가중치 두어 위험 추정, 분석은 빠르나 정확도 떨어짐

- 정성적 위험분석

  • 델파이법 : 분야의 전문가 그룹 구성 (위험 분석을 짧은 기간에 효율적 도출 / 위험 추정의 정확도 낮음)
  • 순위결정법 : 비교 우위 순위 결정표 통해 위협을 상호 비교하여 우선순위 도출
    위험분석에 소모되는 시간, 분석해야 하는 자원의 양이 적다는 장점 / 위험 추정의 정확도 낮음
  • 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실 근거하여 일정 조건하에서 위험에 대한 발생 가능한 결과들을 추정, 이론적인 추측에 불과해 정확도 낮음
  • 퍼지행렬법 : 자산 가치의 크고 적음을 화폐가치로 표현, 위협발생확률의 높고 낮음을 변수로 표현해 수학적 계산

 

 

댓글