위험분석 방법론

(출처 : KISA)

정보기술 보안 관리를 위한 국제 표준 지침인 ISO/IEC 13335-1에서는 위험분석 전략을 크게 4가지로 나눈다.

• 베이스라인 접근법(Baseline approach)
• 비정형 접근법(Informal approach)
• 상세 위험분석(Datailed risk analysis)
• 복합 접근법(Combined approach)

베이스라인 접근법은 모든 시스템에 대하여 표준화된 보호대책의 세트를 체크리스트 형태로 제공한다. 이 체크리스트에 있는 보호대책이 현재 구현되어 있는지를 조사하여, 구현되지 않은 보호대책을 식별한다.

이러한 방식은 분석의 비용과 시간이 대단히 절약된다는 장점은 있으나, 과보호 또는 부족한 보호가 될 가능성이 상존하게 된다. 즉, 그 조직에 적합한 체크리스트가 존재하는 경우가 아니라면 위험분석을 하지 않는 것과 유사한 상태가 된다. 또한 이런 방식은 조직의 자산 변동이나 새로운 위협/취약성의 발생 또는 위협 발생률의 변화 등 보안환경의 변화를 적절하게 반영하지 못한다는 점이 있다. 그리고 체크리스트 방식은 담당자로 하여금 보안 상태 자체보다 체크리스트를 통해 나타나는 점수에 집착하게끔 하여 보안요구사항에 따른 우선순위보다는 구현 용이성에 따라 정보보호대책을 구현하게 되는 경향이 나타나기 쉽다.

비정형 접근법(Informal approach)은 구조적인 방법론에 기반하지 않고, 경험자의 지식을 사용하여 위험분석을 수행하는 것이다. 이 방식은 다음에 설명할 상세 위험분석보다 빠르고 비용이 덜 든다. 특정 위험분석 방법론과 기법을 선정하여 수행하지 않고 수행자의 경험에 따라 중요 위험 중심으로 분석한다. 이러한 방식은 작은 규모의 조직에는 적합할 수 있으나 새로이 나타나거나 수행자의 경험분야가 적은 위험 영역을 놓칠 가능성이 있다. 논리적이고 검증된 방법론이 아닌, 검토자의 개인적 경험에 지나치게 의존하므로 사업 분야 및 보안에 전문성이 높은 인력이 참여하여 수행하지 않으면 실패할 위험이 있다.

상세 위험분석(Detailed risk analysis)은 자산분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 것이다. 방법론에 따라서는 취약성 분석과 별도로 설치된 정보보호대책에 대한 분석을 수행하기도 한다. 이러한 방식은 조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있으며, 자산, 위협, 취약성의 목록이 작성, 검토되었으므로 이후 변경이 발생하였을 때 해당 변경에 관련된 사항만을 추가, 조정, 삭제함으로써 보안 환경의 변화에 적절히 대처할 수 있다. 그러나 이런 방식은 분석에 시간과 노력이 많이 소요되며 채택한 위험분석 방법론을 잘 이해해야 하므로 비정형 접근법과 마찬가지로 고급의 인적 자원이 필요하다.

복합 접근방법(Combined approach)은 고위험(high risk) 영역을 식별하여 상세 위험분석을 수행하고, 그 외의 다른 영역은 베이스라인 접근법을 사용하는 방식이다. 이 방식은 비용과 자원을 효과적으로 사용할 수 있으며, 고위험 영역을 빠르게 식별하고 적절하게 처리할 수 있다는 장점이 있어 많이 사용된다. 그러나 고위험 영역을 잘못 식별하였을 경우 위험분석 비용이 낭비되거나, 부적절하게 대응될 수 있다.