[USG]위험 관리를 위한 일반적인 접근법 #4

[4주차] 위험 관리 프로세스 수행

학습목표

1. 위험 평가에 사용되는 프로세스 단계를 식별한다.
2. 위험 가능성과 영향의 개념을 정의한다.
3. 정보 자산의 식별, 인벤토리, 가치 평가 및 우선 순위 지정에 사용되는 단계를 설명한다.
4. 조직의 위협 환경의 맥락에 대해 논의한다.

[4-1] 준비 및 위험 식별: 자산 인벤토리

위험 관리 프로세스 팀이 소집될 때, 처음에는 프레임워크 팀의 대표자들에 의해 또는 거버넌스 그룹에 의해 보고된다. 이 그룹들은 위험 관리 프로세스 팀이 수행할 작업에 대한 경영진 지침을 제공하려고 한다. 그리고 팀의 노력이 위험 관리 정책과 위험 관리 계획에 문서화된 바와 같이 경영진의 의도와 일치하는지 확인하기 위해 노력한다. 그룹은 책임에 대해 보고를 받고 작업에 착수한다. 이때 계획을 검토하고 개별 과제가 주어진다. NIST에 따르면, 다음과 같은 작업을 수행하여 위험 프로세스에 대비할 것을 권장한다. 평가의 목적을 파악하고, 평가의 범위를 파악하며, 평가와 관련된 가정과 제약 조건을 파악하는 것이다. 또한, 평가의 입력으로 사용될 정보의 출처를 파악한다. 그리고 위험 모델과 분석적 접근법, 즉 평가 중에 사용될 평가와 분석적 접근법을 파악한다. 위험 관리 프로세스의 첫 번째 운영 단계는 위험의 파악이다. 위험 파악은 자기 점검의 프로세스로 시작된다. 이 단계에서 관리자는 조직의 정보 자산을 파악하고, 그 정보 자산을 분류하며, 유용한 그룹으로 분류하고, 조직에 대한 중요도에 따라 우선순위를 정해야 한다.

 

위험 식별 과정은 정보 자산의 식별 및 목록 작성에서 시작된다. 이를 위해서는 조직이 먼저 정보 자산이 무엇인지 정의해야 한다. 어떤 조직은 다른 조직보다 좀 더 자유로운 정의를 가지고 있다. 주의할 점은, 기술적으로는 정보가 의미가 없는 데이터일지라도 우리는 데이터와 정보를 상호 교환 가능한 것으로 취급할 것이라는 점이다.

일반적으로 두 가지 접근 방식이 있다. 첫 번째는 정보 자산을 정보를 저장, 처리 또는 전송하는 모든 사람, 프로세스 또는 기술로 정의하는 것이다. 그리고 데이터베이스와 기타 가치 있는 정보 컬렉션을 조직에 설정한다. 이것은 정보 자산에 대한 매우 광범위한 정의이며, 직원, 네트워크 스위치, 정보 서버, 파일 보관함에 이르기까지 모든 것을 포함한다. 보다 관리하기 쉬운 접근 방식은 정보 자산을 데이터 또는 정보의 집합, 데이터베이스 및 기타 컬렉션으로만 정의하고, 미디어라는 원래 정의의 나머지 부분을 무시하는 것이다. 미디어는 데이터 또는 정보를 저장, 처리 또는 전송하는 모든 사람, 프로세스 또는 기술이다. 많은 위험 관리 소프트웨어 공급업체에서 이러한 접근 방식을 취한다. 정보 자체에는 취약성이 없으므로 이는 단순한 정보에 불과하다. 취약성을 환경에 도입하고 손실 위험을 초래하는 것은 정보를 저장, 처리 및 전송하는 것이다. 따라서 자산을 식별하는 것부터 시작하여 해당 자산을 포함하는 미디어가 무엇인지 살펴봐야 한다. 일부 공급업체는 이 미디어를 설명하기 위해 컨테이너 또는 구성 요소라는 용어를 사용한다. 정보 자산 대 미디어 정의의 예외는 외부 데이터베이스를 사용하는 것과 정보를 내부에 저장하는 애플리케이션이다. 마이크로소프트 워드와 같은 프로그램이 정보를 별도의 파일로 저장하면 애플리케이션은 미디어가 되고 저장된 파일은 정보 자산이 되는 것이다. 캘린더 애플리케이션과 같은 프로그램이 데이터를 내부에 저장하고 해당 데이터에 도달하는 유일한 방법이 애플리케이션을 통해서라면, 애플리케이션은 정보 자산이 되는 것이고 말이다. 이는 다소 까다롭지만 여전히 원래 정의에 부합한다. 마찬가지로 조직이 애플리케이션을 맞춤형으로 구축한 경우 정보 자산으로 분류할 수 있으며, 기술적으로 조직에 가치 있는 정보를 수집한 것이다.

이제 기술 하드웨어 및 운영 체제 소프트웨어와 같이 교체하기 훨씬 쉬운 시스템을 경우에 따라 거의 대체할 수 없는 정보 자산에서 분리한다. 그런 후 위험 관리 작업은 훨씬 더 간단해진다. 결국, 해당 조직이 가장 관심을 갖는 것은 중요한 애플리케이션을 호스팅하는 데 사용되는 물리적 서버인가? 아니면 애플리케이션 소프트웨어와 데이터인가? 이 점을 따져야 하며, 미디어가  위험 관리 프로그램에 반드시 필수적인 것은 아니다.

위험 관리 프로세스에서 가장 어려운 과제 중 하나는 위험 관리의 목적을 위해 정보 자산을 정확하게 식별하는 것이다. 결론은 위험 관리 프로세스 팀이 위험 관리 노력의 목적을 위해 정보 자산을 구성하는 것이 정확히 무엇인지 결정하고 정의해야 한다는 것이다. 따라서 노력의 범위와 초점을 효과적이고 효율적으로 관리해야 한다. 조직은 자신의 모든 정보 자산이 직면한 위험에 대해 적절하게 식별, 평가 및 관리되는지 확인해야 할 것이다.

많은 조직이 자산 인벤토리 시스템을 사용하여 자신의 정보 자산을 추적한다. 여기서 수많은 패키지를 사용할 수 있다. 패키지형 인벤토리 시스템을 사용하지 않는 조직은 동등한 수동 또는 자동화 프로세스를 구축해야 한다. 각 항목의 항목 수와 데이터 양은 모든 수동 시스템을 순식간에 압도하고, 부실하게 설계된 자동화 인벤토리 시스템을 강조할 수 있다. 일부 자산을 위험 관리를 위해 동일한 것으로 취급할 수 있도록 분류하는 이유도 여기에 있다. 결국 위험 관리를 단순화하는 모든 것을 고려할 가치가 있다는 점이 여기서의 핵심이다.

정보 자산을 식별할 때 조직이 위험 평가를 수행하는 데 필요한 모든 정보를 수집하는 것이 중요하다. 이러한 특성에는 자산의 이름, 자산의 설명, 데이터 분류 수준 등이 포함될 수 있다. 예를 들어, 이 정보는 개인적으로 식별 가능한 정보인가? 건강 정보인가? PCI와 관련이 있는가? 고객 기밀 정보인가? 어떻게 분류되는가? 상대적으로 중요한 정보는 무엇인가? 데이터의 소유자, 작성자, 관리자는 누구인가? 그 데이터의 양은 얼마나 되는가? 바이트 단위인가, 아니면 다수의 레코드 또는 둘 다인가? 얼마나 많은 사용자가 이 데이터를 활용하고 있는가? 출처는 무엇인가? 어디로 이동하는가? 가상 위치는 무엇인가? 온라인인가, 오프라인인가? 온라인인 경우 조직 외부에서 액세스할 수 있는가? 물리적으로 어디에 있는가? 미디어 액세스 및 저장 방법은 무엇인가? 데스크톱을 통해 액세스하는 것인가? 노트북에서 액세스하는 것인가? 모바일인가? 사전 형식화되었는가? 백업 절차는 무엇인가? 백업은 어디에 저장되어 있는가? 이 정보 자산의 복구 시간 목표는 무엇인가? 이 정보 자산이 사고나 재해에 연루된 경우 얼마나 빨리 액세스를 재설정해야 하는가? 복구 시점 목표는 무엇인가? 조직이 처음부터 다시 생성하지 않고도 손실할 수 있는 데이터의 양은 어느 정도인가? 데이터의 사용자는 누구입인가? 어떤 사람, 프로세스 및 기술 저장소, 이 정보를 사용하거나 전송하는가? 이런 질문에는 정말 끝도 없다. 하지만, 끝도 없는 질문에 대한 답을 얻을 수록 우리에게는 큰 자산이 된다.

[4-2] 위험 식별: 정보자산 분류, 분류, 가치평가 및 우선순위 결정

자산 인벤토리에는 각 정보 자산에 할당된 민감도 및 보안 우선 순위도 포함되어야 한다. 이러한 정보 자산을 민감도 및 보안 요구 사항을 기반으로 분류하는 데이터 분류 체계가 이미 구축되어 있는 경우에는 개발되거나 검토되어야 한다. 대부분의 조직에서는 일반적으로 공개, 내부 및 기밀이라는 간단한 분류 체계로 충분하다. 연구 개발 프로젝트와 같이 매우 민감한 정보에 대해 더 높은 수준의 보안이 필요한 조직의 경우, 기밀 수준 이상으로 추가할 수 있을 것이다.

 

이러한 각 분류 범주는 특정 정보 자산에 필요한 보호 수준을 지정한다. 쉽게 예상할 수 있듯, 특정 정부 기관을 포함하여 더 높은 수준의 보안이 필요한 조직은 매우 복잡한 데이터 분류 체계를 갖게 된다. 분류 범주는 포괄적으로 설계되고 상호 배타적이어야 한다. 포괄적이란, 모든 재고 자산이 하나의 범주에 들어맞는다는 것을 의미한다. 상호 배타적이란, 각 자산이 하나의 범주에서만 발견된다는 것을 의미한다. 초기 재고가 조립되면 재고에서 식별된 자산 범주가 조직의 위험 관리 프로그램에 의미가 있는지 여부를 결정해야 한다. 이러한 검토는 관리자가 재고에서 자산의 범주를 더 세분화하거나 위험 관리 프로그램의 요구에 더 잘 맞는 새로운 범주를 생성하도록 할 수 있다. 조직이 정보 자산을 더 많이 그룹화할 수 있을수록 위험 평가는 간단해진다. 조직이 동일한 서버에 저장되어 동일한 사용자가 사용하는 모든 정보 자산을 그룹화한 다음, 해당 그룹을 위험 평가에 사용하고자 한다면, 이는 검토 및 평가가 필요한 정보 자산의 수를 줄여준다. 그러나 주의할 점은 공통적으로 동일한 미디어를 가진 자산만 그룹화해야 한다는 것이다. 하나의 자산이 하나의 그룹에 포함되어 다른 미디어에 노출되면, 동일한 그룹의 다른 자산이 그렇지 못한 취약점을 가질 수 있기 때문이다. 각 정보 자산이 식별되고 분류됨에 따라 상대적 가치가 부여되어야 한다. 상대적 가치는 위험을 관리할 때 가장 가치 있는 정보 자산에 가장 높은 우선 순위를 부여하도록 하기 위한 비교 판단이다. 자산이 손상될 경우, 어떤 손실이 발생하는지를 절대적인 경제적 측면에서 사전에 아는 것이 불가능할 수 있다. 그러나 상대적 평가는 더 높은 가치의 자산을 우선적으로 보호하도록 하는 데 도움이 된다. 다음과 같은 기본적인 질문을 제시하면 앞서 설명한 가중 표 분석을 사용하여 정보 자산 평가 또는 영향 평가에 사용할 기준을 개발하는 데 도움이 될 수 있다. 해당 자산은 조직의 성공에 얼마나 중요한가? 각 정보 자산의 상대적 중요성을 결정할 때 조직의 미션 진술을 참조하는 것이 좋다. 이를 이용하여 조직의 목표를 달성하기 위해 필수적인 자산이 무엇이며, 어떤 자산은 목표 달성을 지원하고 기업의 존재에 부수적인 것에 불과한지를 결정할 수 있다. 그리고 정보 자산은 수익 창출에 얼마나 기여하는가? 정보 자산의 상대적 가치는 기업의 재무적 수익에 얼마나 기여하는지에 따라 달라질 수 있다. 일부 조직은 제공하는 제품군이나 서비스마다 다른 시스템을 갖추고 있다. 이러한 자산 중 어느 것이 수익 창출 또는 서비스 제공에 가장 큰 역할을 하는가? 정보 자산은 수익 창출에 얼마나 기여하는가? 경영자는 특정 자산에 얼마나 많은 이익이 의존하는지 평가해야 한다. 이때 수익과 이익의 구분에 주목해야 한다. 수익이 의존하는 일부 시스템은 이익이 없거나 희박한 마진에 따라 작동하며 수익을 창출하지 않는다.

대체하기 위한 정보 자산의 가격은 얼마인가? 때때로 정보 자산은 고유하거나 대체하기 어려운 구식 기술을 사용하기 때문에 특별한 가치를 획득한다. 다른 자산은 맞춤형으로 제작되어 고유할 수 있다. 조직은 이러한 고유한 자산의 손실 또는 손상 위험을 통제해야 한다. 어떤 정보를 보호하기에 가장 비용이 많이 드는가? 일부 자산은 본질적으로 보호하기가 어렵기 때문에 통제 장치를 식별하기 전까지는 통제 비용을 계산할 수 없기 때문에 위험 식별 단계가 완료될 때까지 이 질문에 답하는 것이 불가능할 수 있다. 그러나 각 자산에 대한 통제를 설정하는 데 상대적인 어려움을 사전 평가할 수 있다. 어떤 정보 자산, 손실 또는 타협이 가장 당황스럽거나 가장 큰 책임을 초래하는가? 거의 모든 조직은 대중의 눈에 보이는 정보 자산의 이미지를 인식하고 있다. 일부 자산의 손실 또는 노출은 특히 당혹스러운 것으로 드러날 것이다. 뉴스에는 정보를 잃었거나 법적 문제를 일으키는 사진, 비디오 또는 이메일을 포함하여 기업과 개인의 일일 보고서가 포함된다. 조직은 정보 자산의 가치를 평가할 때 특별한 범주를 염두에 두고 있다면 이 평가 프로세스에 자신의 질문을 추가하기를 원할 수 있다.

 

위험 식별 프로세스의 마지막 단계는 자산의 우선 순위를 정하거나 순위를 매기는 것이다. 이는 위험 관리 방법론을 비교할 때 사용하는 것과 같은 가중 표 분석을 사용하여 달성할 수 있다. 첫 번째 열에 정보 자산이 나열된 다음, 선택한 조직의 관련 기준이 맨 위 행에 나열된다. 각 기준에는 일반적으로 1, 10, 100 또는 기타 지표 값을 합산하는 가중치 또는 값이 할당된다. 그런 다음 각 자산에 대해 각 기준에 대해 평가하고 점수를 할당한다. 이 예시에서는 0-5의 단순 척도를 사용하고 있는데, 여기서 0은 적용할 수 없음, 1은 매우 중요하거나 중요하지 않거나 비싸지 않음, 5는 기준에 따라 매우 중요하거나 중요하거나 비싸지 않음을 의미한다.

마지막으로 각 정보 자산의 판매 값에 기준 가중치를 곱한 다음 합산하여 해당 정보 자산에 대한 최종 가중 점수를 만들고, 가중치가 부여된 점수로 표를 정렬하면 정보 자산의 우선 순위가 지정된 목록이 된다. 이 경우 가장 중요한 자산이 목록의 맨 위에 나열된다. 이러한 표는 조직이 지정한 기준에 따라 다양한 자산의 순위를 매겨서 정보 자산의 가치를 평가하는 방법으로 사용될 수 있다. 이 방법은 다른 좀 더 모호한 평가에 기반한 원시 추정보다 훨씬 더 간단할 수 있다. 과정의 시작 부분에서 언급했듯, 위험 식별의 궁극적인 목표는 각 정보 자산의 상황과 설정을 평가하여 취약성을 드러내는 것이다. 적절하게 완성된 인벤토리를 통해 각 정보 자산 매체의 잠재적인 취약성을 평가할 수 있으며, 이를 통해 위협 에이전트가 악용할 수도 있다. 이 프로세스를 위협 평가라고 한다. 앞서 설명했듯이 모든 조직은 일반적으로 매우 다양한 위협에 직면해 있다. 모든 위협이 모든 정보 자산을 공격할 수 있고 공격할 것이라고 가정하면 위험 관리 작업은 불가능하게 복잡해진다. 프로세스를 다루기 쉽게 하기 위해 위협 식별 및 취약성 식별 프로세스의 각 단계를 개별적으로 관리한 다음 마지막에 조정할 수도 있다. 정보 자산에 대한 위협을 나열하고 분류하는 것에는 여러 가지 방법이 있다.

여기에서 알파벳 순으로 나열된 12가지 범주의 위협을 식별하는 조사 연구의 목록을 볼 수 있다. 이러한 각 위협은 정보 보안에 고유한 도전 과제를 나타내며 특정 위협과 위협 에이전트의 공격 전략을 직접적으로 다루는 특정 제어를 통해 처리해야 한다. 그러나 위험 식별 프로세스에서 위협을 평가하기 전에 각 위협을 추가로 검토하여 대상 정보 자산에 영향을 미칠 수 있는 위협의 가능성을 결정해야 한다. 일반적으로 이 프로세스를 위협 평가라고 한다. 물론 모든 위협이 모든 자산을 위험에 빠뜨리는 것은 아니며, 조직은 정보 자산에 대한 각 잠재적 위협을 고려하고 적용되지 않는 위협을 제거할 수 있다. 조직에서 전체 범주의 위협을 제거할 수 있는 가능성은 낮지만, 그렇게 하면 위협 평가 프로세스가 가속화된다. 위협에 의해 발생하는 위험의 양을 평가하기가 어려운 경우도 있다. 위협이 조직을 공격할 확률과 관련이 있으며, 여기서 위협이 발생할 수 있는 피해의 양 또는 공격이 발생할 수 있는 빈도를 반영할 수 있다.

 

모든 조직의 가장 공통되는 질문은 현재 환경에서 조직의 정보 자산에 가장 큰 위험을 나타내는 위협은 무엇인가일 것이다. 이 답변을 찾는 데 도움이 될 몇 가지 질문이 있다. 이러한 실제 위협은 정보 자산에 얼마나 큰 위험을 나타내는가? 이러한 위협이 내부 위협인가, 외부 위협인가? 일부 위협 환경은 다른 접근 방식을 요구하지만 일부 방어는 여러 환경의 위협을 해결한다. 또한, 위협의 잠재적인 근원을 이해하는 것이 우선순위를 정할 때 도움이 될 수 있다. 이 위협이 발생할 확률은 얼마인가? 위협으로부터 공격이 발생할 확률을 결정하는 것은 공격이 얼마나 널리 알려져 있는지, 얼마나 널리 퍼져 있는지, 얼마나 많은 위협 에이전트가 이러한 공격을 실행할 수 있는지를 이해하는 것을 포함한다. 이 위협 에이전트에 의한 공격이 성공할 확률은 얼마나 되는가? 성공 확률이 낮은 위협은 성공 확률이 높은 위협보다 관심사가 적다. 위협이 수행하는 공격 중 일부는 매우 복잡한 공격 악용이나 매우 정교한 공격 기술을 필요로 한다. 공격이 더 복잡하거나 공격이 발생하기 위해 공격자가 전문가여야 할수록 조직은 이에 대해 덜 걱정해야 한다. 이 위협이 우리의 정보 자산을 공격하는 데 성공할 경우 손실이 얼마나 심각한가? 마찬가지로 우려되는 것은 위협에 의한 공격이 성공하면 어떤 손상을 입힐 수 있는지를 이해하는 것이다. 작은 손상만 일으킬 성공 확률이 높은 위협은 성공 확률이 낮은 위협보다 덜 우려되지만 훨씬 더 큰 손실을 초래한다. 조직은 이 위협을 처리할 준비가 얼마나 되어 있는가? 조직이 특정 위협으로부터 오는 공격을 처리할 준비가 잘 되어 있지 않다면 우리가 이해하고 있는 범위 내에 있고 준비 및 계획 활동 중인 위협에 우선순위를 두어야 한다. 이러한 위협으로부터 보호하는 비용은 얼마나 되는가? 특정 스레드에 의해 제기되는 위험에 영향을 미치는 또 다른 요인은 해당 위협으로부터 보호하는 데 드는 비용이다. 일부 위협은 그 위협으로부터 보호하기 위해 명목상의 비용을 수반하지만, 다른 위협은 매우 비싸다. 특히 중소기업의 경우 예산이 조직이 구현하고자 하는 모든 방어 전략을 감당하기에 충분하지 않을 수 있다. 결과적으로, 일부 위협 우선 순위는 자금의 단순한 가용성으로 귀결될 수 있다. 이러한 위협으로부터 성공적인 공격을 복구하는 데 얼마나 비용이 많이 들까? 기업이 통제에 대한 지출을 안내하는 계산 중 하나는 공격이 발생하고 공격이 성공했을 경우의 복구 작업 비용이다. 이제 이러한 질문이 위험 평가에 영향을 미치는 모든 것을 다루지는 않을 수 있다. 그래도 조직은 자신의 경험을 바탕으로 식별할 수 있는 모든 공백을 메우고, 자신이 사용할 수 있는 포괄적인 목록을 개발해야 한다. 정보 자산에서 그랬듯이, 조직은 이러한 위협에 대해 가중치를 부여한 표 분석을 수행해야 한다. 조직은 직면한 위협의 범주를 나열한 다음, 앞서 설명한 관심사 질문에 해당하는 범주를 선택해야 한다.

 

조직이 자사의 정보 자산과 해당 자산이 직면한 위협을 모두 확인하고 우선순위를 정하면 된다. 조직은 정보 자산을 위협에 비교하기 시작할 수 있다. 이 검토를 통해 조직에 잠재적인 위험으로 남아 있는 취약성 목록을 작성할 수 있다. 이러한 취약성은 무엇일까? 이러한 취약성은 위협 담당자가 정보 자산을 공격하기 위해 활용할 수 있는 구체적인 방법이다. 다시 말해, 이러한 취약성은 자산 방어구에 있는 흠집인 것이다. 정보 자산의 결함 또는 약점, 보안 절차, 설계의 일부 요소 또는 통제 기능으로 인해 실수로 또는 고의로 보안을 침해할 수 있다. 위험 식별 프로세스의 마지막에 조직이 갖추어야 할 우선 순위가 지정된 자산 목록과 해당 자산이 직면한 위협의 우선 순위가 지정된 목록 2개다. 조직은 또한 각 위협과 각 자산 사이에 존재하는 취약성에 대한 실무 지식을 갖추고 있어야 한다. 이러한 목록은 위험 관리 프로세스의 다음 단계를 위한 출발점이 된다. 위험 평가 자산과 위협의 우선 순위가 지정된 위험은 위협 취약성 자산 또는 TVA 워크시트로 결합될 수 있다.

 한 축을 따라 가장 중요한 자산이 왼쪽 상단에 있는 우선 순위가 지정된 자산 집합이 있고, 가장 중요하거나 가장 위험한 위협이 왼쪽 상단에 나열된 다른 축을 따라 우선 순위가 지정된 위협 목록이 배치된다. 결과적으로 생성된 그리드는 자산의 노출을 조사하는 편리한 방법을 제공하므로 취약성 평가가 더 간단해진다.

[4-3] 위험 분석 - 가능성 및 영향

각 취약성에 대한 상대적 위험 평가는 위험 분석이라는 프로세스를 통해 이루어진다. 위험 분석은 각 특정 취약성에 대해 위험 등급이나 점수를 부여한다. 이 프로세스는 절대적인 의미는 없지만, 각 취약성 정보 자산과 관련된 위험를 비교하고 우선순위를 정할 수 있다. 위험를 추정하는 것은 정확한 과학이 아니다. 어떤 조직은 위험 추정을 위해 계산된 값을 사용하지만, 다른 조직은 더 광범위한 추정 방법에 의존한다. 위험를 평가하는 한 가지 방법은 정보의 자산 취약성에 대한 공격 가능성을 단순하게 추정하는 것과 성공적인 공격의 추정된 영향을 결합하는 것이다. 조직은 결과 값을 구성하기 위해 어느 정도의 불확실성을 추가하고자 할 수 있다. 조직은 이 모델을 사용하여 기존 통제와 위협 이벤트의 가능성 및 영향을 기반으로 각 취약성에 대한 상대적 위험를 계산할 수 있다. 기존 통제가 취약점을 완전히 관리하는 경우, 취약점을 제외할 수도 있다. 부분적으로 통제하는 경우, 가능성 및 영향을 기반으로 취약점이 몇 퍼센트 통제되었는지 추정할 수 있다. 확률은 특정 취약점이 악용되거나 공격을 받을 확률을 정의한 척도로 전체적인 등급을 매기는 것이다. 이러한 시도를 일반적으로 위협 이벤트라고 한다. NIST에 따르면, 발생 가능성은 주어진 위협이 주어진 취약점 또는 일련의 취약점을 이용할 수 있는 가능성을 분석한 결과에 기반한 가중된 위험 요소다. 가능성 위험 요소는 위협 이벤트가 시작될 가능성에 대한 추정치와 그 영향에 대한 추정치를 결합한다. 예를 들어, 위협 이벤트가 발생 가능성에 대한 평가보다 적대적 위협에 대한 부정적인 영향을 초래할 가능성은 일반적으로 첫 번째 적대자 의도, 다음으로 적대자 능력, 마지막으로 적대자 타깃팅에 기초한다. 적대적 위협 이벤트가 아닌 경우 발생 가능성은 과거의 증거, 경험적 데이터 또는 기타 요소를 사용하여 추정된다. 위험 가능성을 평가하는 간단한 방법은 등급 척도로 이벤트에 점수를 매기는 것이다. 이 척도를 사용하면 시스템이 누수로 인해 손상될 가능성이 1로 평가되고, 다음 해에 바이러스 또는 웜이 포함된 이메일을 하나 이상 받을 가능성이 5로 평가된다. 조직은 프로세스에 따라 필요한 세분화 정도에 따라 1-10 또는 1-100과 같은 다른 숫자 척도를 사용할 수 있다. 가능성을 할당하는 데 어떤 등급 시스템을 사용하든 간에, 이는 건전한 접근 방식을 기반으로 일관되게 사용되어야 한다. 많은 자산 취약성 조합의 경우 보험 회사와 같은 기존 소스에서 이미 그러한 가능성을 결정했을 수 있다. 위협에 의한 공격 가능성이 평가되면 조직은 일반적으로 성공적인 공격으로 인해 발생할 수 있는 영향 또는 결과를 파악한다. 가장 우려되는 결과는 자산의 가치를 완전히 상실하는 것이다. 공격의 영향은 조직이 보호 노력을 집중하는 위치를 결정하는 데 있어 중요한 요소 중 하나이므로 신중하게 할당해야 한다. 위험 식별에 사용되는 가중치 테이블은 성공적인 위반의 크기를 조직이 더 잘 이해하도록 도와준다. 다른 조직에서 성공적인 공격에 대해 보고하는 대중적인 미디어 사이트도 좋은 정보원이다. NIST에 따르면, 위협 이벤트의 영향 수준은 정보의 무단 공개, 정보의 무단 수정, 정보의 무단 파괴 또는 정보 시스템 가용성 상실의 결과로 예상할 수 있는 피해의 크기다. 이러한 해악은 기관장, 임무 및 비즈니스 소유자, 정보 소유자 및 관리자, 임무 및 비즈니스 프로세스 소유자, 정보 시스템 소유자 또는 공공 또는 민간 부문의 개인 또는 집단을 포함한 다양한 조직 및 비조직 이해관계자가 조직에 의존하여 경험할 수 있다. 본질적으로 조직의 운영, 자산 또는 개인에 기득권을 가진 사람은 누구나 조직 또는 국가 전체와 협력하여 다른 조직을 포함한다. 일반적으로 조직은 성공적인 공격의 잠재적인 영향을 더 잘 이해하기 위해 여러 시나리오를 작성한다. 물론 가장 가능성이 높은 결과 접근 방식을 사용하는 것이 일반적이다. 이 접근 방식에서 조직은 조직의 현재 보호 메커니즘을 고려할 때 특정 위협에 의한 성공적인 공격의 최악의 결과를 추측하는 것부터 시작한다. 조직이 이러한 최악의 시나리오를 구성하면 다음 단계로 넘어가서 가장 가능성이 높은 결과를 결정한다. 조직은 대부분의 계획 및 평가 활동에서 이 접근 방식을 사용한다.

 

앞서 언급한 바와 같이, 위험 관리 프로세스가 조직을 압도하기 시작하면 위험 관리 팀은 자산 또는 위협의 그룹과 그와 관련된 위험를 보다 일반적인 범주로 병합하거나 집계하기 시작할 수 있다. 이를 위험 집계라고 하며, 조직이 위험를 평가하려는 정보 자산의 수를 관리하는 데 도움이 된다. NIST에 따르면, 조직은 위험 집계를 사용하여 여러 이산적이거나 낮은 수준의 위험를 보다 일반적이거나 높은 수준의 위험로 롤업할 수 있다. 조직은 또한 위험 집계를 사용하여 여러 정보 시스템, 해당 시스템 및 프로세스 간에 지정된 관계와 종속성을 가진 여러 미션 또는 비즈니스 프로세스를 포함하는 위험 평가의 범위와 규모를 효율적으로 관리할 수도 있다. 일반적으로, 잘 정의된 비즈니스 프로세스를 지원하는 단일 정보 시스템과 관련된 위험의 경우, 최악의 경우 영향은 조직 운영, 자산 및 개인에 대한 전체 위험의 상한을 설정한다. 가능성과 영향이 알려지면, 조직은 특정 위험 요소를 정량화하려는 공식을 사용하여 위험 결정을 수행할 수 있다.

 

이 공식에서 위험은 위협, 사건 또는 공격의 가능성에 해당 공격의 영향 또는 결과를 곱하거나 불확실성 요소를 뺀 값과 같다. 예를 들어, 위협에 직면한 정보 자산은 이 경우 두 가지 일반적인 취약점이 위험에 노출된다. A1V1T1의 위험 등급은 가능성을 나타내는 4개의 가능성 등급과 주요 영향을 나타내는 4개의 영향 등급을 갖는다. A1V2T1의 위험 등급은 보통의 가능성 등급을 나타내는 3개의 가능성 등급과 경미한 영향 등급을 나타내는 2개의 가능성 등급을 갖는다. 여기 있는 데이터는 20% 불확실하다고 추정한다. 따라서 위협 2에 대한 자산 2의 취약성에 대한 위험 등급은 16 +- 3.2이며, 이는 12.8~19.2의 활성 범위를 제공한다. 이 숫자들은 서로 비교하는 데 사용된다. 자산 2의 위험 등급은 6 +- 1.2이므로 4.8~7.2의 범위를 제공한다. 대부분의 조직은 단순히 불확실성 요인을 받아들이고 단순한 영향력 공식을 사용한다. 이 경우 위험 등급은 1-25 사이의 범위를 갖는다.

이 분석 결과는 여기에 표시된 것처럼 위험 평가 워크시트로 요약될 수 있다. 이 문서는 이전에 논의된 TVA 스프레드시트의 확장으로, 자산 및 관련 취약성만 표시된다. 이 워크시트를 검토하면 이전에 논의된 가중 요인 분석 워크시트와 유사성이 나타난다.

이 사례들은 가치를 추정하기 위해 몇 가지 수준을 사용하는 정성적 접근법이라고 불리는 것을 사용한다. 일부 조직은 이러한 정성적 접근법에 만족하지 않고 오히려 더 정성적인 접근법을 원한다. 사용되는 가장 큰 문제는 위험을 측정하기 위한 좀 더 복잡한 정량적 접근법인데, 이러한 개별 가치를 계산하기 위해 발생해야 하는 엄청난 양의 추측이다. 예를 들어 정보 자산의 가치를 평가할 때 자산을 매우 가치 있는 것으로 평가하는 것이 더 유용한가, 아니면 가치가 15만 달러로 평가하는 것이 더 유용한가? 하는 것이다.  비즈니스 마인드를 가진 조직이라면 후자를 선호하겠지만, 이 정도 수준의 순수한 정량적 수치를 기반으로 계산할 때는 언제든지 결과의 가치를 의심하게 되는데, 이는 계산에 사용되는 수치 자체가 추정치일 가능성이 높기 때문이다. 그 결과 점점 더 많은 조직이 여기에 나와 있는 것처럼 정성적 평가 또는 반정량적 평가로 눈을 돌리고 있다.

[4-3] 위험 평가

모든 TVA 트리플에 대해 위험 등급이 계산되면, 조직은 분석된 위험 수준을 가지고 살 수 있는지 여부를 결정해야 한다. 즉, 조직은 자신의 위험 선호도를 결정해야 하는데, 이것이 위험 평가 단계다. 위험 평가는 정보 자산의 위험 등급을 조직의 위험 선호도 또는 위험 임계값의 수치 표현과 비교하여 위험 치료가 필요한지 여부를 결정하는 과정이다. 특정 TVA 트리플의 위험 점수가 최대 25점 중 16점이라는 것을 아는 것이 시작이다. 그런데 그것이 좋은 것일까, 나쁜 것일까? 조직은 위험 관리 프레임워크 팀이 개발한 일반적인 진술서를 위험 선호도를 수치로 변환해야 하며, 물론 거버넌스 그룹의 지침을 기반으로 분석된 각 위험 요소와 비교할 수 있다. 조직은 위험 선호도 진술서를 기반으로 기본 위험 임계값을 설정해야 한다.

 

예를 들어, 조직은 공개로 분류된 정보 자산의 경우 이 레벨을 15로 설정한다. 내부 정보 자산으로 분류된 경우에는 10으로 설정하고, 기밀 정보 자산의 경우에는 8로 설정할 수 있다. 자체적인 위험 임계값을 설정해야 하는 다른 전문 범주가 있을 수 있다. 그런 다음 이 값을 사용하여 값을 초과하지 않는 TVA를 걸러내어 프로세스 팀이 임계값을 초과하지 않는 TVA에 집중할 수 있다. 따라서 위험 임계값 설정보다 낮은 순위에 있는 취약성을 가진 자산은 위험 치료 화면에 표시되지 않으므로 조직에서 이를 해결할 필요가 없다. 전체 위험 평가에서 이는 사소한 단계로 보일 수 있지만 매우 중요하다. 자산 그룹에 비해 너무 높은 값을 선택하여 결과적으로 너무 많은 위험을 처리하지 않으면 조직에 심각한 결과가 초래될 수 있다. 위험 관리 프로세스의 처음 몇 번의 반복에서 조직은 해당 값을 더 낮은 수준으로 설정하도록 선택할 수 있으며, 따라서 기본값이 허용되거나 더 높은 수준의 위험 임계값이 선택된 경우, 무시할 수 있는 자산의 위험 등급을 팀이 해결하도록 요구할 수 있다. 팀이 프로세스에 대한 전문 지식을 얻은 후에는 이 값을 쉽게 조정할 수 있으며, 전체 주기에 걸쳐 검토할 TVA 수가 적은 프로세스를 간소화할 수 있다. 정보 자산이 위험 관리 프로세스에서 검토할 일반 취약성이 50개 이상인 경우는 그리 드문 일이 아니다. 따라서 팀이 검토해야 하는 TVA 수가 적을수록 현재 제어 수준이 충분하지 않다고 평가되는 취약성을 더 빨리 해결할 수 있다. 일반적인 취약성이 해결되면 조직은 국가 취약성 데이터베이스 등에서 사용할 수 있는 하드웨어 및 운영 체제별 취약성 목록을 다시 검토할 수 있다. 그런 다음 이러한 일반적인 위험이 포함되면 조직은 위험 관리 프로세스 팀이 개발한 이전의 위험 등급을 평가하여 NIST와 같은 기관이 게시한 일반 목록에서 자신에게 알려지지 않았을 수도 있는 취약성을 해결할 수 있다. 위험를 포괄적인 목록으로 정리하는 노력을 통해 조직은 최상의 이용 가능한 정보를 바탕으로 정보에 입각한 선택을 할 수 있으며, 결과를 재사용 가능한 형태로 문서화하는 것도 향후 프로세스 반복을 위한 가치라 할 수 있다. 위험을 집계하고 평가하기 위한 이러한 노력이 완료되면, 이러한 단계의 결과는 정보 자산에 대한 정보를 수집하는 정보 자산 및 분류 워크시트, 조직에 대한 민감도 수준, 가치 등과 같은 산출물 목록을 현재와 미래에 사용할 수 있도록 문서화된다. 정보 자산 가치 가중 테이블 분석은 조직이 개발한 기준에 따라 각 정보 자산의 순위를 매기는 것이다. 위협 심각도 가중 테이블 분석은 조직이 개발한 기준에 따라 조직의 정보 자산에 대한 각 위협의 순위를 매기는 것이다. TVA는 정보 자산 식별 및 우선 순위 결정의 출력과 삼중의 잠재적 취약성을 식별하고 범위 및 계획된 제어를 통합하는 위협 식별 및 우선 순위 결정을 결합하는 워크시트를 제어한다. 그런 다음 위험 순위 워크시트는 각 TVA 삼중에 가능성, 영향 및 불확실성 측정치를 통합하여 위험 등급 순위 값을 할당한다. 조직이 추가 산출물을 요구할 수 있지만, 표에는 향후 반복 작업에 대한 연속성을 제공하기 위해 위험 관리 프로세스 팀의 운영을 완전히 문서화하는 데 필요한 최소값이 나열되어 있다.

위험이 확인되고 정보 자산의 가치에 대한 상대적인 심각도가 평가되면 조직은 현재의 위험 수준이 수용 가능한지, 아니면 위험를 추가로 줄이기 위해 해야 할 일이 있는지를 결정해야 한다. 위험 관리 프로세스 팀이 분석을 완료하고 그 결과를 프레임워크 팀 또는 거버넌스 그룹과 공유하면, 경영진은 결과에 대한 결론을 내려줄 것이다. 그런 다음 프로세스는 모니터링 및 검토 기능으로 이동하게 된다.

여기서 조직은 자산, 위협 환경 및 알려진 취약성 목록을 주시하여 위험 관리 프로세스를 다시 시작하도록 트리거한다. 의사결정자가 그 위험을 감수할 수 없다고 표시하면 조직은 현재 수준의 위험에 대해 불편함을 느끼게 된다. 대부분의 조직에서 이는 단순한 결정이 아니다. 대신에 권장 사항 및 비용 추정치와 함께 위험 관리 프로세스 팀의 광범위한 입력이 필요하다. 이 의사결정 프로세스는 일반적으로 현재 수준의 위험을 수용할 수 없는 경우 위험 관리 프로세스 팀이 여러 옵션을 제공하는 공식 프레젠테이션을 요구한다.

이 프로세스를 더욱 어렵게 만드는 또 다른 요인은 하나의 정보 자산에 대한 솔루션이 다른 정보 자산의 위험 수준에 긍정적 또는 부정적으로 영향을 미칠 수 있다는 점이다. 중요 자산을 보호하기 위한 간단한 솔루션이 조직의 방화벽을 업그레이드하거나 방화벽 관리자를 추가로 고용하는 것이라면, 이러한 결정은 상당한 비용이 들 수 있지만, 다른 많은 정보 자산에 매우 긍정적인 영향을 미칠 수 있다. 반면에 위협 환경에서 정보 자산을 제거하거나 제어 기능을 다운그레이드하는 것이 권장되는 경우, 예를 들어 지나치게 복잡한 방화벽 구현을 관리하기 쉬운 간단한 대안으로 대체하는 것이 권장되는 경우, 다른 정보 자산에 부정적인 영향을 미칠 수 있다. 결론적으로, 위험이 알려지면, 결정을 내리기 전에 광범위한 검토와 이해가 반드시 수반되어야 한다.

위험 평가 중에 수행되는 또 다른 단계는 위험 관리 프로세스의 다음 단계에서 발생하는 위험 처리를 위한 노력의 우선순위를 정하는 것이다. 조직은 프로세스 초기에 수행한 자산 가중치 표 분석을 사용하여 이러한 우선순위를 정할 수 있다. 또는 다양한 처리 옵션의 예상 비용과 편익을 더 잘 파악할 때까지 순위를 늦출 수 있다. 많은 조직이 두 가지 접근 방식을 선택하는데, 처리 우선순위 목록 초안을 작성한 다음, 예상 비용과 편익이 파악되면 해당 목록을 확인하거나 조정한다. 또한 조직이 잔여 위험와 특정 정보 자산의 치료 여부를 결정하기에 충분한 정보를 가지고 있지 않다고 생각하고 추가 정보를 요청할 수도 있다. 위험 관리 프로세스 팀, 프레임워크 팀 또는 거버넌스 그룹이 이러한 결정을 내린 경우, 추가 조사를 수행하는 것은 위험 평가 단계에 해당한다.