[배은]보안 위험관리 및 위험분석

IT 인프라가 확산되고 인터넷을 통해 많은 업무를 처리하게 되면서 시스템 중단, 네트워크 마비, 해킹 등 기업내 정보 자산을 위협하는 사고 또한 빈번하게 발생하고 있다.

이같은 사고들은 오랜 기간동안 쌓아온 기업 이미지를 한 순간에 무너뜨릴 수도 있다. 기업 입장에서 보면 적지 않은 위험인 셈이다.

이 때문에 기업들은 이같은 위험요소들은 관리를 해줄 필요가 있다. 기업들이 어떠한 방법으로 위험을 관리할 수 있는지 살펴보자.

◆ 다양한 위험과 위험관리

위험은 악의적인 해킹 때문만은 아니다. 사람의 실수, 자연재해, 시스템 고장에 의해서도 수시로 나타날 수 있다.

위험관리는 위험에 의한 피해를 최소화하기 위해 보안정책을 수립하고 이에 기반한 보안통제를 통해 기업 보안 수준을 일정 수준 이상으로 유지할 수 있도록 하는 것이 목표다.

다시 말하면 위험관리는 정보보안 서비스인 기밀성, 무결성, 가용성 등에 영향을 미치는 요소를 위협으로 선별, 적절한 통제대책을 세우는 것을 의미한다.

효과적인 위험관리를 위해서는 사전에 충분한 위험분석이 선행돼야 한다.

위험 분석이란 정보자산이 갖고 있는 취약성에 따라 사고가 발생할 수 있는 가능성과 피해 수준을 예측하는 것이다. 이를 통해 혹시나 발생할 수 있는 위험의 정도를 평가하고 이를 감소시킬 수 있는 통제 방법을 도출하는 것이다.

정확한 위험분석을 위해서는 방법론을 수립하고 위험 분석을 위한 객관성 담보를 위해 중요 자료도 충분히 수집해야 한다. 객관성에 대한 입증없이 위험 분석을 수행한다면 목적 자체를 위배하는 결과를 가져올 수 있다.

위험분석 결과에 대한 해석 과정도 거쳐야 한다. 해석에 따라 위험 대응방안이 달라지기 때문에 정확한 해석은 조직 내 전반적인 위험관리에 영향을 미치는 중요한 요소가 된다.

◆위험분석의 3가지 요소

위험분석의 3가지 요소는 자산, 위협, 취약성이다.

기업 보안관리자는 먼저 하드웨어, 소프트웨어, 데이터, 사용자 등 각종 자산에 영향을 미치는 위험에 대비하기 위해 보호해야 할 자산에 대해 평가를 해야 한다. 자산 가치에 따라 보호 수준이 다르기 때문이다.

이때 자산 중요도는 정보 보안 서비스인 기밀성, 무결성, 가용성 측면에서 접근하게 된다. 이용이 제한되는 민감한 정보의 경우 기밀성에 대한 위험관리 방안이 필요하다.

보안 관리자는 정보 자산에 해를 줄 수 있는 위협에 대해 주의를 기울여야 한다. 위협은 위험의 원천이며 특히 네트워크 파괴나 타인의 권한 도용 등과 같은 의도적인 위협의 경우 대응 방안이 사전에 정립돼 있어야 한다.

또 조직, 절차, 하드웨어, 소프트웨어 등 정보자산이 갖고 있는 취약성에 대한 정보도 갖추고 있어야 한다. 취약성은 관리적 취약성, 기술적 취약성, 물리적 취약성으로 구분되며 자산에 손해를 끼치는 원인이 된다.

정보자산에는 수없이 많은 위험이 존재하기 마련이다. 100% 제거하는 것은 불가능하다.

이에 따라 보안 관리자는 각각의 정보 자산마다 취약성을 파악하고 위험발생 가능성을 측정, 위험 보장 수준을 설정해 줘야 한다. 다시 말하면 어떤 수준의 위험까지 관리 할 것인지에 대한 기준을 마련해 놓자는 것이다. 공공기관이나 연구소라면 위험보장 수준을 높게 잡고, 모든 정보자산에 대한 보안을 강화할 필요가 있을 것이다.

위험 관리를 위한 보안 통제를 도입하려는 기업의 경우 위험관리 비용과 피해 규모의 예측 비교를 통해 우선적으로 보호해야 할 정보자산을 선정할 수 있다.

기업의 경영의지에 따라 보안 통제를 강화하는 데 적극적일 수 있을 것이다. 이를 기반으로 위험 관리를 위한 조직적인 체계를 갖춰 나갈 수 있을 것이다.

결국 위험관리의 핵심은 조직이나 기업 성격에 맞는 적절한 위험관리 방법론과 보안통제 방안을 도입하는 것이라 하겠다.