1. 개념 정리 (빈칸문제)
- 위험평가 : 조직이 필요로 하는 정보보호 요구사항들이 무엇인지를 분석하기 위해 정보나 정보처리기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정
- 위험관리 : 조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위해 자산의 위험을 분석하고, 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정
. 단계 : 위험관리 전략/계획 수립 → 위험 분석 → 위험 평가 → 정보보호 대책 수립 → 정보보호 계획 수립 → 대책 설정
- 위험관리계획 : 선택된 통제의 목적과 통제방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것
2. 위험의 구성 요소
- 자산 : 조직이 보호해야 할 대상, 유형 + 무형
- 위협 : 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인, 행위자
- 취약성 : 자산의 잠재적 속성, 위협의 이용 대상이 되는 것
. 자산에 위협이 발생한다고 해서 반드시 손실/피해 발생은 아님
. 자산이 해당 위협에 대한 취약성을 가지고 있을 때 손실/피해 발생
- 정보보호 대책 : 위협에 대응해 자산을 보호하기 위한 관리적, 기술적 대책으로 정의, 정보보호 솔루션만이 아니라 정책 등 모든 통제 포함
3. 위험 분석 방법/전략
- 베이스라인 접근법
- 모든 시스템에 대해 보호의 기본 수준을 정함, 표준화된 보안대책의 세트를 체크리스트 형태로 제공
- 장점 : 분석 비용, 시간이 절약
- 단점 : 과보호 또는 부족한 보호가 될 가능성 존재 (조직에 부적절한 체크리스트라면..)
- 비정형 접근법
- 정형화된 방법을 사용하지 않고, 전문가 지식, 경험에 따라 위험을 분석
- 특정 위험분석 모델과 기법을 선정하여 수행 X, 수행자 경험에 따라 중요 위험 중심으로 분석
- 작은 규모의 조직에 적합할 수 있으나, 수행자의 경험이 부족한 위험영역을 놓칠 가능성 존재
- 상세 위험 분석
- 잘 정립된 모델에 기초해 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험 평가
- 장점 : 자산 및 보안 요구 사항을 구체적으로 분석 → 가장 적절한 대책을 수립할 수 있음
- 단점 : 분석에 많은 시간과 노력 소요, 채택한 분석 모델을 잘 이해하는 고급 인적 자원 필요
- 복합 접근법
- 고위험 영역을 식별해 이 영역은 상세 위험분석, 다른 영역은 베이스라인 접근법
- 장점 : 보안전략을 빠르게 구축, 시간과 노력을 효율적으로 활용 가능
- 단점 : 적용대상을 명확히 설정하지 못할 경우 비용 낭비, 부적절한 대응
4. 상세 위험분석 절차
- 정량적 위험분석
- 과거자료 분석법 : 과거의 자료를 통해 미래 사건의 위험 발생 가능성 예측
과거자료가 많을수록 정확도가 높지만, 발생빈도 낮을경우 적용 어려움 - 수학공식 접근법 : 과거 자료 획득이 어려울 때 위협의 발생빈도를 식으로 계산
- 확률 분포법 : 미지의 사건을 추정하는데 사용, 확률적 편차를 이용해 위험 분석 예측, 정확도 떨어짐
- 점수법 : 위험발생 요인에 가중치를 두어 위험 추정, 분석은 빠르나 정확도 떨어짐
- 정성적 위험분석
- 델파이법 : 각 분야의 전문가 그룹 구성 (위험 분석을 짧은 기간에 효율적 도출 / 위험 추정의 정확도 낮음)
- 순위결정법 : 비교 우위 순위 결정표를 통해 각 위협을 상호 비교하여 우선순위 도출
위험분석에 소모되는 시간, 분석해야 하는 자원의 양이 적다는 장점 / 위험 추정의 정확도 낮음 - 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생 가능한 결과들을 추정, 이론적인 추측에 불과해 정확도 낮음
- 퍼지행렬법 : 자산 가치의 크고 적음을 화폐가치로 표현, 위협발생확률의 높고 낮음을 변수로 표현해 수학적 계산
'정보보안 > 보안공부' 카테고리의 다른 글
18회 정보보안기사 실기 시험 문제 복기 (1) | 2021.10.30 |
---|---|
OECD 프라이버시 보호 8원칙 (0) | 2021.10.25 |
OWASP TOP10 2021 (한글) - 빈칸문제 드래그 (0) | 2021.10.24 |
파일리스(Fileless) 공격 개념/LoL이란/프로세스 인젝션 (0) | 2021.10.20 |
MITRE ATT&CK 프레임워크 정리 (정보보안기사 기출) (0) | 2021.10.15 |
댓글