[USG]위험 관리를 위한 사이버보안 기초 #5, 6

[5주차] 사이버 보안 위험과 위험 관리 이해

학습목표

1. 사이버 보안 위험 관리에서 공통적인 역할과 책임의 예를 제시한다.
2. 사이버 보안 영역에 적용되는 위험 관리를 정의한다.
3. 사이버 보안 위험의 개념을 설명한다.

[5-1] 사이버 보안 위험 이해

위험 관리를 진정으로 이해하기 위한 첫 번째 단계는 위험을 이해하는 것이다. 위험은 어디에나 있다. 사이버 보안에서 위험은 정보 자산의 기밀성, 무결성 및 가용성 손실에 초점이 맞춰져 있다. 사이버 보안에서 우리가 하는 모든 일은 손실 확률을 최소화하기 위해 위험을 줄이기 위해 설계되었다. 정보 자산이 손실될 확률로서 위험에 대해 이미 학습했다. 손실은 정보 자산의 도난, 손상 또는 사용 거부를 초래할 수 있다. 서로 다른 위협은 다른 유형의 손실을 초래할 수 있지만, 모든 위협은 조직이 필요할 때 자산을 사용할 수 없는 결과를 초래할 수 있다. 이러한 손실 위험은 조직의 임무, 기능, 이미지 또는 평판, 인력 및 다른 조직과의 관계를 포함한 조직 운영에 부정적인 영향을 미칠 가능성이 있다. 위험은 상황이나 사건에 의해 조직이 위협을 받는 정도로 평가되며, 일반적으로 부정적인 사건이 발생할 확률과 결과가 발생할 수 있는 결과의 조합이다. 우리는 이것을 가능도와 영향이라고 부른다. 위협과 정보 자산 사이의 원치 않는 연관성과 위협에 의해 악용될 수 있는 자산에 존재할 수 있는 모든 취약성을 나타낸다. 우리는 일반적으로 이 관계를 TVA 트리플이라고 부른다. 발생 확률이라고도 하는 이것은 조직의 정보 자산 내의 특정 취약성이 위협에 의해 공격을 받을 확률로 정의될 수 있다. 자산과 그 취약성에 대한 조사를 기반으로 한 분석이다. 이러한 취약성 중 많은 부분이 공통 취약성과 같은 위치에 알려져 있고 문서화되어 있으며, 음소거에 의해 유지 관리되는 악용 데이터베이스를 활용한다. 가능도는 다양한 방식으로 표현되고 계산될 수 있다. 그 중 하나는 조직이 각 정보 자산 취약성에 대한 발생 확률에 적용할 수 있는 이와 같은 척도를 사용하는 것이다. 여기서 가능도는 다음 해에 발생할 확률이나 미래에 발생할 것으로 예상되는 빈도에 따라 드물거나 거의 확실한 척도로 평가될 수 있다. 조직은 자체적으로 가능도 척도를 개발할 수도 있다. 결과라고도 하는 영향은 정보 자산에 대한 공격이 성공적으로 수행된 결과를 조사하는 것이다. 이러한 결과에는 정보의 무단 공개, 정보의 무단 수정, 정보의 무단 파괴 또는 정보 시스템 가용성의 손실이 포함될 수 있다. 영향은 조직의 사용자와 관리자를 넘어 고객, 공급자 또는 다른 이해 관계자까지 확대될 수 있다. 가능도와 마찬가지로 영향도 다양한 방식으로 계산되거나 평가될 수 있다. 여기서 영향을 받는 데이터 레코드 수, 생산성 손실 시간 또는 조직이나 다른 피해자에게 미치는 재정적 영향을 사용하여 공격 성공이 정보 자산에 미칠 수 있는 잠재적 영향을 평가하는 척도를 볼 수 있다. 그러나 모든 자산 또는 모든 취약성에 대해 모든 것을 알 수 있는 것은 아니다. 조직이 위험을 줄일 수 있는 정도도 추정 오류의 대상이 된다. 불확실성은 리스크 관리 팀이 판단과 경험을 바탕으로 만든 추정치로 항상 고려되어야 한다. NIST에 따르면, 미래가 과거와 유사해질 정도에 대한 제한, 위협에 대한 불완전하거나 불완전한 지식 등의 고려 사항으로 인해 위험 평가에 불확실성이 내재되어 있다. 예를 들어, 전술, 기술 및 절차를 포함한 적대자의 특성, 기술 또는 제품의 발견되지 않은 취약성, 예상치 못한 영향을 초래할 수 있는 인식되지 않은 종속성 등이 있다. 이러한 변수가 추정되면 조직은 이 변수를 사용하여 특정 TVA 트리플에 대한 위험을 계산할 수 있으며, 우리의 접근 방식을 사용하여 가능성 시간 영향은 위험과 같다. 그런 다음 불확실성 정도를 적용할 수 있다.

[5-2] 위험 관리 이해

조직에서 위험을 관리하기 위한 여러 접근 방식이 있다. 어떤 사람들은 위험을 측정하려고 하지 않고 NIST 및 ISO와 같은 표준 조직의 모범 사례와 권장 사항을 사용한다. 그들은 그저 권장하는 대로 하고 있으면 괜찮을 것이라고 생각한다. 이 접근 방식은 지침을 얼마나 잘 따르는지에 따라 작동할 수도 있고 작동하지 않을 수도 있다. 그러나 문제는 어느 조직에서나 사용할 수 있는 표준이 모든 조직의 요구 사항을 충족시키지 못할 수도 있다는 것이다.위험을 0으로 줄이는 것은 불가능하다. 특히 컴퓨터 기반 정보를 사용하여 모든 손실을 방지할 수는 없다. 컴퓨터를 인터넷에서 분리하더라도 하드웨어 또는 소프트웨어 오류로 인한 위험이 여전히 발생한다. 그렇다고 위험을 완전히 제거하면 가용성도 제거된다. 그렇다면 해결책은 무엇일까?

 

조직이 신중하게 위험을 측정하고 자산에 대한 위협을 이해하지 않는 한, 언제 위험을 허용 가능한 수준으로 줄였는지 알 수 없다. 바로 여기에서 위험 관리가 필요하다. 위험을 찾고 측정하고 줄이려고 노력하고, 다시 측정하고 만족할 때까지 계속 반복해야 한다. 조직은 그들이 보호하고 있는 정보 자산, 해당 자산과 그 취약성을 저장, 처리 및 전송하는 시스템을 알아야 한다. 그리고 팀은 해당 시스템이 직면한 위협인 적을 알아야 한다. 위험 관리의 핵심은 위험을 식별하고 측정한 다음, 허용 가능한 수준으로 낮추려고 노력하는 것이다. 허용 가능한 수준, 위험 선호를 정하는 것이다. 이는 보안과 접근성 사이의 균형을 평가할 때 조직이 기꺼이 수용하려는 위험의 양과 성격으로 정의할 수 있다. 분명히 접근 가능한 정보가 많을수록 위험에 노출되기 마련이다. 그러나 액세스할 수 없는 경우에는 사용할 수 없으며, 조직은 사용할 수 없는 정보 자산을 허용하지 않는다. 과제는 조직의 위험 선호를 정의하는 것이다. 조직이 일반적으로 1-2년마다 수행하는 위험 관리 주기를 시작할 때 위험 선호도 진술서 초안을 작성하는 것이 중요하다. 이는 조직이 개발한 공식 문서로, 정보 자산에 대한 위험을 수용하려는 전반적인 의지를 설명한다. 여기서 위험 허용 오차를 알아야 하는데, 위험 허용 오차는 특정 정보 자산에 대해 조직이 기꺼이 수용할 수 있는 위험의 양을 평가하는 것이다. 조직이 보유한 정보 자산의 수와 다양성을 고려해야 한다. 조직은 자산별로 또는 자산의 범주별로 어느 정도의 위험을 허용할지에 대해 다른 선호도를 가질 수 있다. 웹 콘텐츠와 같은 공개 정보에 대해 얼마나 많은 위험을 허용할 것인가? 아마도 많을 것이다. 내부 전화번호부와 같은 비공개 자산의 경우, 그보다는 적을 것이다. 클라이언트 데이터베이스나 연구 개발 전략과 같은 기밀 정보의 경우, 아마 많지 않을 것이다. 위험을 이 허용 수준으로 줄이고 남은 것을 잔여 위험이라고 한다. 앞서 언급했듯이 잔여 위험은 결코 0이 아니지만, 조직이 감당할 수 있는 양이어야 한다. 위험 수준이 위험 임계값을 초과하는 경우, 그것을 상당한 위험이라고 하며, 위험 임계값 미만이 될 때까지 검토하고 조정해야 한다. 자세한 내용은 모델마다 다를 수 있지만, 대부분의 위험 관리 접근 방식에는 공통적인 기본 구성 요소가 있다. 

 

준비 단계는 직원을 구성하고 위험 관리 주기를 계획하는 단계다. 위험 확인 단계는 현재 위험 수준이 어느 정도인지 결정하는 단계다. 위험 분석 단계는 현재 위험 수준이 어느 정도인지 결정하는 단계다. 위험 평가 단계는 현재 위험 수준이 얼마나 허용 가능한지 결정하는 단계다. 이 세 가지 위험 단계를 위험 평가라고 한다. 그런 다음 위험을 허용 수준으로 끌어올리기 위해 무엇을 해야 하는지 결정하는 위험 치료 단계가 있다. 조직은 이미 시행 중인 보안 통제를 수정하거나, 새로운 통제를 추가하거나, 위험의 일부 또는 전부를 제3자에게 이전하거나, 정보 자산의 사용을 중단하거나, 단지 정보 자산과 함께 살도록 선택할 수 있다. 위험 관리에서 가장 큰 과제 중 하나는 선택한 위험 처리 방법을 따르는 것이다. 조직은 리스크 관리를 수행하기 위해 시간, 비용, 노력을 들인 후 리스크 욕구에 맞게 현재의 리스크 수준을 끌어올리기 위해 개선해야 할 개선 사항 목록을 작성하게 되지만, 다음 단계는 비용을 지출하는 것이다. 불가피하게 일부 구매는 연기되거나 축소되거나 취소될 것이다. 따라서 고위 경영진은 리스크 관리 프로세스에서 권장하는 대부분의 변경 사항 또는 모든 변경 사항을 이행하는지 확인하는 것이 중요하다. 이러한 변경 사항이 발생하는지 확인하는 것은 프로세스에 참여한 고위 경영진의 책임이다. 또 다른 과제는 리스크 관리 프로세스를 지속적인 개선 노력으로 만드는 것이다. 즉, 첫 번째 리스크 관리 노력이 완료되면 조직은 리스크 관리 노력 자체의 수행을 개선하려고 한다. 여기에는 리스크 관리 프로세스를 계획하고, 첫 번째 리스크 관리 노력의 성공과 단점을 충족하고, 프레임워크와 프로세스를 개선하기 위한 권장 사항을 만들고, 그 개선 권장 사항이 이행되도록 하는 역할을 하는 리스크 관리 프레임워크 팀이 포함된다. 미래의 리스크 관리 노력을 예상할 때 조직은 첫 번째 노력을 미래의 노력과 비교할 수 있는 기준으로 고려해야 하며, 이를 통해 진전과 개선이 이루어지고 있는지 확인해야 한다. 지속적인 개선 프로그램의 일환으로 조직은 리스크 관리 프로그램과 관련된 성과 측정치를 수집하고자 할 수도 있다. 성과 관리는 전체 리스크 관리 프로그램의 효과를 결정하기 위해 특정 측정치를 설계, 실행 및 관리하는 과정이다. 이는 우리가 가치 있는 것을 측정하고, 측정한 것을 가치 있게 여기는 철학에 기초한다. 성과 측정치는 조직에서 구현된 보안 프로그램의 효과를 나타낼 수 있는 데이터 또는 데이터의 추세다. 이를 성과 측정치라고도 한다.

[5-3] 위험 관리팀의 역할과 책임

위험 관리 노력은 효과적이기 위해 매우 다양한 기술을 수반할 것이다. 대부분은 본질적으로 관리자 역할을 할 것이다. 일부는 전통적인 IT 프로젝트 관리 역할 및 책임과 유사할 것이다. 또한, 사이버 보안 분석가가 현재의 사이버 보안 통제 및 보호 조치를 검토하고 개선을 위한 권장 사항을 만들기 위해 수행하는 것과 유사한 역할도 있을 것이다. 위험 관리 노력을 진전시키기 전에, 그 노력이 공식적으로 인정되고, 지원되고, 완료되도록 보장하는 전체 위험 관리 프로그램의 책임자가 있어야 한다. 그 책임자는 모든 하위 관리자가 프로그램을 위태롭게 할 수 있는 내분 및 기타 정치적 게임 없이 그 노력을 지원하도록 보장할 수 있는 고위급 임원이다. 모든 위험 관리 노력에 관여할 두 개의 기본 팀이 있다. 첫 번째는 위험 관리 계획 팀이라고도 알려진 위험 관리 프레임워크 팀이다. 이 개인 그룹은 전체 위험 관리 노력을 설계한다. 그들은 사이버 보안, IT 및 비즈니스 운영을 포함한 조직의 모든 측면에서 온다. 이 그룹은 위험 관리 방법론을 선택 또는 개발하고, 프레임워크를 수립하고, 정책 및 계획을 개발하며, 위험 관리 노력을 관리하기 위해 프로젝트 관리자와 함께 일한다. 그런 다음 그들은 다음 팀인 위험 관리 프로세스 팀, 즉 위험 관리 평가 팀을 설계하고 직원을 배치한다. 이 그룹은 실제로 위험 관리 평가를 수행하고 단점이 발견된 경우 개선 사항을 권장하는 개인 그룹이다. 작업의 연속성을 제공하고 두 그룹이 동일한 계획에서 동일한 목표를 향해 노력하고 있는지 확인하기 위해 두 팀 모두에서 일하는 사람이 있을 수 있다. 

 

하지만 프레임워크 팀은 일반적으로 더 많은 관리자를 포함하고 프로세스 팀은 더 많은 사이버 보안 분석가를 포함하는 경향이 있다. 그래서 리스크 관리 작업에 효과적인 프로젝트 관리 인력이 참여하는지 확인하고자 한다. 여기에는 계획 및 프레임워크 팀의 프로젝트 관리자 역할을 수행하고 작업의 스케줄링 및 리소스 관리 측면을 주시할 사람이 포함된다. 리스크 관리 프레임워크 팀과 리스크 관리 프로세스 팀에는 프로젝트 관리 도구를 사용하여 진행 상황을 추적하고 보고서를 그래픽으로 생성하는 데 능숙한 한 명 이상의 개인이 포함되어야 하며, 이를 통해 리스크 관리 팀의 진행 상황과 효율성에 대해 상위 관리자에게 설명하는 데 사용된다. 프로세스 팀에는 앞서 설명한 팀원 외에도 리스크 관리 전문가로 활동하기 위해 리스크 관리 및 IT 교육을 받은 여러 명의 직원이 필요하다. 이들은 IT 및 사이버 보안 직원과 협력하여 정보 자산을 인벤토리하고 조직에 대한 가치를 결정하며, 해당 자산의 취약성을 파악하고, 정보 자산을 보호하기 위해 사용되는 다양한 정책, 교육 및 인식 프로그램 및 기술을 포함하여 자산을 보호하기 위해 현재 시행 중인 보안 통제를 점검한다. 그들은 또한 이러한 정보 자산에 액세스, 저장, 처리 및 전송하는 데 사용되는 시스템을 검토한다. 위험 관리 프로세스 팀은 또한 취약성 평가 전문가를 포함하거나 정보 자산이 의심되는 취약성을 가지고 있는지 여부를 결정할 때 최소한 이러한 전문가를 참여시킬 수 있다. 취약성 평가에는 알려진 취약성 및 정보 자산 또는 이를 수용하는 시스템을 식별, 조사 및 문서화하기 위한 다양한 도구를 사용하는 것이 포함된다. 또한 위험 관리 프로세스 팀은 위협 인텔리전스라고도 하는 위협 평가 전문가를 포함하거나 참여시킬 수 있다. 이러한 개인은 현재 위협, 해당 위협의 특성 및 위험 수준에 대한 다양한 출처의 정보를 검토하는 데 초점을 맞추고 이러한 위협이 조직의 정보 자산에 위험을 초래하는지 여부를 결정하는 데 도움을 준다. 여기서 두 팀 모두 조직의 위험 관리 목표와 목표가 충족되도록 보장하는 책임이 있음을 아는 것이 중요하다. 여기에는 조직에서 위험을 효과적으로 식별, 평가 및 치료하기 위해 공식적이고 엄격하며 인정된 프로그램이 구현되어 해당 조직이 수용할 수 있는 수준으로 감소하는지 확인하는 것이 포함된다.

[6주차] 총 테스트

 

한 3 개를 까먹어서 찍는 바람에 그만.. 10개나 틀려버렸다..