2014년 정보보호 실태조사 결과에 따르면, 약 97%의 기업이 정보보호 예산을 IT 예산의 5%미만으로 편성하고 있다고 합니다. 이렇듯 국내에서 정보보안의 예산에 대해 이야기 할 때는 IT 예산의 일부로써, 혹은 IT예산에 견주어 설명 할 때가 많습니다. 그러나 엄밀히 따지면 정보보호예산은 IT(정보기술)의 비용이 아닌 위험관리를 위한 투자비용으로 보는 것이 맞습니다. 정보보안은 위험관리의 일환이기 때문입니다.
정보보호/보안은 고객의 정보자산의 취약성을 노리고 접근 하는 내/외부의 위협으로부터 기업의 정보자산을 안전하게 지키고자 하는 행위입니다. 위험관리 또한 자산, 취약성, 위협의 3요소를 명확히 이해하여 조직의 위험을 허용 가능한 범위 내로 끌어내리는 비즈니스 관리입니다. 이렇게 이야기하면 정보보안이 ‘정보 기술’의 범주가 아닌 ‘위험 관리’ 범주임이 명확해 보입니다.
그렇기 때문에 정보보안에 비용을 투자하기 위해서는 반드시 위험관리가 기준이 되어야 합니다. 만일 정보보호를 단순한 IT(정보기술) 비용의 연장선으로 보아 자산, 위협, 취약성을 고려하지 않고 IT의 기준에서만 접근하게 된다면 많은 관리 허점에 노출되어 정보보호대책의 의미가 유명무실하게 되어 버릴 지도 모릅니다. 그렇기에 정보보안 또한 위험관리의 접근법을 기준으로 예산을 산출하고 투자해야 안전하게 조직의 비즈니스에 기여할 수 있습니다.
보안위험을 평가하는 지표, 위험분석 방법론
1) 베이스라인 접근법
2) 비정형 접근법
3) 상세 위험분석
4) 복합 접근법
널리 알려진 위험분석의 방법론에는 위의 4가지가 있습니다. 그 중에서도 보편적으로 널리 이용되는 상세 위험 분석에 대해 설명 드리도록 하겠습니다.
상세 위험분석(Detailed risk analysis)은 자산분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 것입니다. 이 분석을 통해 조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있습니다. 초기 분석 시에는 고급 인적자원의 시간과 노력이 많이 소모되고, 채택한 위험분석 방법론을 잘 이해해야 한다는 부담이 있습니다. 그러나 이후 변경 발생하더라도 초기에 자산, 위협, 취약성의 목록이 작성, 검토되었으므로 해당 변경에 관련된 사항만을 추가, 조정, 삭제함으로써 보안 환경의 변화에 적절히 대처할 수 있습니다. 즉 PDCA(Plan , Do , Check , Act )를 통해 지속적으로 기업에 사용 가능한 분석 방법 중 하나입니다.
상세 위험분석은 다음과 같이 진행됩니다.
- 정보자산의 가치 평가
상세위험분석을 하기 위해서는 우선 정보자산의 식별 및 중요도를 통해 정보자산의 가치를 평가 해야 합니다.
1) 식별
– 정보 자산 목록 작성 및 관리, 가능한 모든 정보자산을 식별하여 목록으로 관리
– 자산 목록의 필요 정보: 자산의 유형 (서버, 네트워크 장비, 정보시스템, 보안시스템, DB, PC, 문서 등) 자산식별 코드, 자산명, 책임자/관리자, 기밀성, 가용성, 무결성에 따른 보안 요구사항 등
2) 중요도 평가
자산의 기밀성(confidentiality), 무결성(Integrity), 가용성(Availability)이 침해 당했을 경우, 조직의 비즈니스에 미치는 영향(Business Impact)과, 그 영향으로 인해 자산이 유지해야 할 보안성(C, I, A)의 수준을 고려하여 자산의 중요도 평가
- 위협분석
평가한 정보자산의 가치에 따라 위협분석이 필요합니다. 위험에 노출될 확률이 가치에 비례하지 않을 수 있기 때문입니다. 예를 들어 가치가 40인 정보자산A와, 가치가 20인 정보자산B가 있을 경우, 정보자산A의 위협률이 10이고, 정보자산의 B위협률이 50이라면 보안투자 중요도는 가치가 높은 A가 아닌 B가 될 것 이기 때문입니다.
- 취약성 분석
이와 같이 위협분석이 진행 되었다면 현재 정보자산이 가진 취약성을 분석해야 합니다. 예를 들어 위의 정보자산A가 취약성이 80이고, 정보자산 B의 취약성이 10 이라면 다시 보안투자 중요도는 정보자산 A의 비중이 높아지기 때문입니다.
각 단계별 분석결과를 기준으로 정보자산의 보안 요구 사항을 구체적으로 분석하여 최적의 대책 수립이 가능하며, 그에 맞게 비용도 최적으로 투자가 가능합니다.
그 외의 접근법
베이스라인 접근법은 표준화된 보호대책에 대해 구현/미구현의 단순한 체크리스트 구조로 진행이 되어 분석비용과 시간을 절약할 수 있습니다. 그러나 여기에는 과보호 혹은 부족한 보호가 될 수 있는 위험이 내재되어있습니다. 보호 상태보다 체크리스트 점수에 집착하게 되어 요구사항에 따른 보안이 아닌 구현용이성이나, 저비용의 솔루션을 채택하여 효과적인 구현대책을 마련하지 못할 가능성이 있기 때문입니다.
비정형 접근법(Informal approach)은 구조적인 방법론에 기반하지 않고, 경험자의 지식을 사용하여 위험분석을 수행합니다. 이 방식은 상세 위험분석보다 빠르고 비용이 저렴하지만 특정 위험분석 방법론과 기법을 선정하여 수행하지 않고 수행자의 경험에 따라 중요 위험 중심으로 분석합니다. 따라서 작은 규모의 조직에는 적합할 수 있으나 경험자의 분야가 아니거나 새롭게 등장한 위험 영역을 놓치게 될 가능성이 높습니다. 즉, 검증된 방법론이 아닌 검토자의 개인적 경험에 의존하므로 사업 분야 및 보안에 전문성이 매우 높은 인력이 다수 참여하여야 실패할 확률이 낮습니다.