앞서 보안 위험 분석을 위한 접근법에 대해서 알아보았는데요. 그 중 가장 많이 사용하는 ‘상세 보안 위험 분석’에 대해서 자세하게 설명해 드리도록 하겠습니다.
● 우리 회사의 보안은 언제쯤 완벽해질 수 있을까요? ( 上. 보안 위험분석을 위한 접근법) : http://blog.lgcns.com/812
상세 위험 분석은 대개 아래와 같은 절차에 따라 위험을 평가하게 됩니다.
전체 과정을 보면 위험 분석 이후에도 수용 가능 위험수준(Degree of Assurance, DoA) 설정, 개선 방안 도출 등의 과정이 더 존재합니다. 하지만 여기에서는 위험 분석 방법론에만 집중해서 설명하기 위해서 후속 과정에 대해서는 언급하지 않도록 하겠습니다.
자산 평가
기업 또는 기관이 보안 위협에 대응하기 위해 가장 먼저 하는 일은 보호해야 할 자산이 어떤 것이고, 얼마나 중요한 것인지 알아보는 것입니다. 이 때 자산에는 서버, 네트워크 장비, 애플리케이션, 데이터뿐만 아니라 건물, 사람 등도 포함될 수 있는데요. 최근에는 이러한 여러 유형의 자산들 중에서 데이터의 중요성이 점점 강조되고 있는 상황입니다.
자산 평가 과정은 모든 위험 분석 과정 중에서 가장 중요하지만 어떻게 보면 가장 어려운 과정이기도 한데요. 위험에 대한 대응이라는 관점에서 어떤 자산이 얼마나 중요한지 정확히 알아야 효과적인 대응 방안을 수립할 수 있고, 또한 컨설팅 프로젝트를 진행하는 관점에서도 자산의 범위에 따라 전체 프로젝트 일정 계획을 수립할 수 있기 때문입니다.
보호해야 할 자산이 어떤 것들이 있는지 알아보는 것을 ‘자산 식별’, 그 자산들이 얼마나 중요한지 평가하는 것을 ‘자산 민감도 평가’라고 하는데요. 자산 평가는 이 두 가지 평가로 진행됩니다. 사실 자산 평가는 다른 방법론에서도 이루어지는 과정입니다. 다만 이 방법론은 전체적으로 정량적인 특징이 있는 만큼 자산 평가 과정도 정량적인 수치를 도출하기 위하여 진행되는 것입니다.
자산 평가 과정에서 정량적인 분석은 자산의 민감도를 평가하는 과정에서 이루어지는데요. 약간씩 차이가 있기는 하지만 대개 다음과 같은 표를 이용하여 민감도 평가를 합니다.
위의 표를 살펴보면 민감도 평가 지표는 기밀성, 무결성, 가용성의 합으로 되어 있습니다. 그리고 평가 지표와 평가 산술식은 보안컨설팅 회사마다 달라질 수 있지만 위의 표와 크게 다르지는 않습니다. 이처럼 각 자산의 민감도(중요도)를 정량적으로 산출하는데요. 이 수치는 각 자산의 전체 위험도를 산출하는 중요한 지표로 활용됩니다.
그렇다면 자산의 민감도를 결정하는 기밀성, 무결성, 가용성에 대한 평가는 어떻게 이루어질까요?
컨설턴트 단독으로 이를 평가하는 것은 가능하지도 않고 바람직하지도 않다고 볼 수 있습니다. 아무리 경험이 많은 컨설턴트라고 할지라도 해당 자산이 전체 서비스에 미치는 영향이나 목적 등을 정확히 알고 민감도를 평가하는 것은 쉽지 않기 때문입니다. 그래서 대부분 자산 담당자와의 협의를 통해 민감도를 결정하게 됩니다.
그런데 바로 이 부분에서 이 방법론이 지닌 첫 번째 한계가 나타납니다. 이 방법론은 모든 것이 정량적으로 평가되는 특징이 있다고 반복해서 말씀드렸는데요. 그 첫 단추인 자산 평가 과정에서 이런 정량적인 특징이 깨질 가능성이 있기 때문입니다.
대부분의 자산 담당자들은 자산의 기밀성, 무결성, 가용성을 평가하는 과정에서 자의적으로 수치를 결정하는 경우가 많습니다. 더욱이 기업이나 기관에서 여러 명의 담당자가 서로 다른 자산을 관리하는 경우에는 각 담당자별로 평가하는 기준이 달라지게 되죠.
이는 전체 자산의 민감도를 평가하는데 있어 그 수치에 대한 일관성을 떨어지게 합니다. 이렇게 되면 자의적으로 결정된 자산의 민감도가 전체 위험도에 영향을 미치게 되고, 정량적으로 위험을 평가하자는 애초의 취지가 퇴색될 수 있습니다. 따라서 이를 극복하기 위해 각 지표를 평가하는 객관적 기준을 마련하고 이를 기반으로 담당자들이 평가하도록 하지만, 그 한계는 존재할 수밖에 없습니다.
위협/취약점 도출
자산의 민감도가 결정되면 각 자산에 대한 위협과 취약점을 도출하게 되는데요. ‘위협’은 자산의 기밀성, 무결성, 가용성을 위태롭게 할 수 있는 상황을, ‘취약점’은 위협이 실제로 자산에 손실을 끼치게 될 수 있는 상황을 의미합니다.
예를 들어 아기 돼지 삼형제 동화에서 돼지 삼형제의 집을 차례로 무너뜨리는 늑대의 입김은 위협이 됩니다. 그리고 첫째와 둘째의 지푸라기 집과 나무 집은 늑대의 입김이라는 위협에 취약점을 가지고 있지만 셋째의 벽돌집은 해당 위협에 취약점을 가지고 있지 않은 것입니다.
예전에는 이 위협과 취약점을 별로도 구분하여 산출했습니다. 그러나 최근에는 위협과 취약점을 연계하여 하나의 시나리오로 구성하고 ‘Concern(우려사항)’이라는 지표로 이용하는 경우가 많은데요. 위협과 취약점을 도출하는 과정에서 함께 사용되는 또 하나의 지표는 ‘Concern value(우려도)’입니다.
‘Concern value’는 ‘Concern’이라는 시나리오가 현실에서 실제로 발생할 가능성을 얘기합니다. 일반적으로 3, 2, 1 정도의 척도로 3은 발생 가능성 높음, 2는 발생 가능성 있음, 1은 가능성 희박함 정도로 평가하게 되는데요. 말씀드린 지표들을 이용한 실제 위협/취약점 도출은 아래 표와 같이 이루어집니다.
위의 표에서 Concern 목록은 새로운 위협과 취약점의 발견, 기존 취약점의 해소와 같은 이유로 끊임없이 업데이트되어야 합니다. 새로운 위협, 취약점이 제대로 반영되지 않은 Concern 목록을 이용하여 위험 분석이 이루어질 경우, 그 분석은 새롭게 발견된 위협과 취약점에는 대응하지 못하는 분석이 될 수 밖에 없기 때문이죠.
또한 자산 평가 과정과 마찬가지로 이 단계에서도 정량적 특성은 훼손될 수 있습니다. 앞서 Concern value에 대한 평가가 Concern의 발생 가능성에 따라 가능성 높음, 발생 가능함, 가능성 희박이라는 기준으로 이루어진다고 했는데요. 이 기준 자체가 모호하기 때문에 평가자의 자의적 판단이 개입될 여지가 있기 때문입니다.
따라서 자산 평가와 마찬가지로 Concern value에 자의적 판단이 개입하게 되면 이 방법론의 정량적인 특성이 훼손될 수 있고, 이에 따라 객관적인 수치에 따른 위험 분석이라는 장점이 퇴색될 수 있습니다.
위험 분석
위의 표는 최종적인 위험 분석을 한 사례입니다. 각 자산의 민감도와 Concern value를 합산하여 Risk Value(위험도)를 도출하고 있죠.
위의 사례에서는 ‘Risk value = 자산 민감도 + (Concern value x 2)’ 라는 공식을 통해 최종 Risk value를 산정하고 있는데요. 최종 Risk Value를 도출하는 공식은 컨설팅 회사와 방법론마다 상이할 수 있으니 참고하시기 바랍니다. 이런 식으로 Risk Value가 결정되면 수용가능 위험수준(DoA)을 결정하고 그에 따른 위험 회피 전략을 선택하여 적용하게 되는 것입니다.
지금까지 보안 위험 분석 방법론 중 ‘상세 위험 분석’ 방법론에 대해서 자세하게 살펴보았습니다. 보안 위험 분석에 대해 이해하는데 많은 도움이 되셨나요?
이어서 다음 5편에서는 ‘항공 보안의 이해 및 트렌드’에 대해 알아보겠습니다.
글 ㅣ LG CNS 보안컨설팅팀
