취약점 분석.평가의 목적은 조직의 정보시스템과 정보시스템이 가진 위험을 조사 및 평가하고, 이 위험이 허용 가능한 수준인지 아닌지를 판단하여 효과적인 보호 대책을 제시함으로써, 각 조직이 정보시스템에 대한 보안 정책과 보안 대책 구현 계획을 보다 체계적으로 수립 할 수 있도록 하는 것
취약점 분석.평가는 크게 현황 분석, 자산 분석, 위협 분석, 취약성 분석, 위험 평가,보호 대책 권고로 구성되어 있으며, 이러한 일련의 진행 절차를 통해 조직이 직면하고 있는 위험을 효과적으로 분석하고,이에 대한 대책을 수립하여 실제 위험이 발생했을 때의 손실을 최소화하기 위해 수행됨
현황 분석
조직의 전반적인 업무 현황을 확인하고 현재의 정보 보호 수준 및 정보 보호 요구사항을 파악하는 프로세스로, 이 프로세스에서는 조직의 업무 현황 및 업무 수행에 따른 정보 보호 상태를 파악하고 정보 보호를 위해 필요한 사항들을 조사
자료 요청
업무 현황 파악
면담 및 설문
보안 수준 평가
보안 요구 명세 작성
자산 분석
조직의 자산을 파악하고 자산의 가치 및 중요도를 산출하여 IT 자산이 조직에 미치는 영향을 파악하는 작업으로,정확한 자산 분석은 대내.대외적 위험이 조직의 정보시스템에 미치는 영향을 파악하고 이에 대한 대책을 수립할 수 잇게 하며, 크게 자산 분류와 자산 평가 두 단계로 이루어짐
자산 분류
조직의 운영.경영에 중요한 영향을 미치는 다양한 IT자산을 식별하고 분류하는 작업으로, IT자산에 관한 적절한 관리는 조직의 자산을 적절하게 보호하는 데 필수적인 과정
자산 평가
자산의 중요도를 파악하고 위험이 발생할 경우 피해(영향)를 측정하기 위한 정보를 얻기 위해 대상 자산의 가치를 정량적 또는 정성적인 방법으로 평가하는 과정
자산 평가 방법
정량적 평가 : 평가 대상 자산의 화폐 가치 산정이 가능한 경우에 사용되며 자산 도입 비용기준, 자산 복구 비용 기준, 자산 교체 비용 기준을 적용
정성적 평가 : 평가 대상 자산의 화폐 가치 산정이 어려운 경우에 사용되며 기밀성, 무결성, 가용성 등의 관점에서 평가
위협 분석
자산에 피해를 줄 수 있는 잠재적인 요소인 위협을 파악하고 위협의 영향 및 발생 가능성 등을 분석하는 과정으로, 위험을 산출하는데 있어 중요한 단계
위협 식별
위협 목록 및 위협 시나리오 작성 : 위협 식별, 위협 조사, 위협에 의한 영향, 위협 발생 주기 등을 파악
위협 평가 기준 설정 : 위협의 발생 가능성 및 위협의 영향을 근거로 하여 위협 평가 기준을 수립하며, 위협 평가 기준표 및 위협 평가 매트릭스를 작성/활용
위협 평가
대상 조직의 자산에 대해 위협의 중요도를 평가하는 과정
위협의 중요도에 대해 담당자의 의견을 수렴하여 위협을 평가하는 방식으로, 정확도는 다소 떨어질 수 있으나 위협에 관한 과거의 자료가 매우 부족한 조직에서는 이와 같은 정성적인 방식에 의해 위협의 중요도를 정하는 것이 현실적인 방법
위협에 의한 영향과 위협 발생 주기를 함께 고려하여 작성한 위협 평가 기준표와 위협 평가 매트릭스에 의해 산출하는 방식을 이용
취약성 분석
자산 분석을 통해 도출된 자산의 속성과 중요도를 바탕으로 자산이 근본적으로 가지고 있는 약점인 취약성을 발굴하고, 취약성이 전체적인 위험에 미칠 수 있는 영향을 분석하는 과정으로, 크게 취약성 식별, 취약성 평가의 2과정으로 나눌 수 있음
취약성 식별
취약성은 조직, 절차, 인력, 관리, 하드웨어, 소프트웨어, 물리적 배치 또는 정보 관리 등의 약점을 의미하며, 위협이 발생할 경우 이러한 취약성으로 인해 자산의 손실이 발생
취약성 식별은 취약성 점검 도구 또는 체크 리스트 등을 이용해 자산의 취약성을 식별하고 학인하는 단계로, 먼저 취약성을 분류하고 이 분류를 구분함으로써 취약성을 점검
취약성 점검에는 자동화 도구를 이용한 점검과 체크 리스트 또는 로그 분석을 통한 점검이 있는데, 이러한 점검 방법으로 취약성을 점검하고 모의 해킹을 통해 자산에 대한 취약성을 최종 확인
취약성의 특징
취약성은 모든 자산이 잠재적으로 지니고 있음
취약성은 그 자체만으로는 어떠한 위협도 초래하지 않고 위협에 의해 이용될 때만 위협을 발생시킴
취약성은 대응책이 늘어날수록 감소
대응책 자체도 잠재적으로 취약성을 가지므로 취약성은 결코 0(zero)이 될 수 없음
취약성 평가
식별된 취약성에 대해 취약성 정도를 파악하기 위하여 취약성 평가 기준을 설정하고, 이에 따라 각 자산의 취약성 수준을 평가
취약성 평가는 취약성 평가 기준 설정, 취약성 수준 평가,기존의 보호 대책 분석 과정을 통해서 이루어짐
위험 평가
자산 분석, 위협 분석, 취약성 분석을 통해 데이터와 분석 결과를 바탕으로 위험을 측정하고 평가하는 단계로서, 이 단계에서는 자산-위협-취약성을 매핑하여 자산별, 프로세스별 위험도를 측정하고 허용 수준 이상인 위험에 대하여 위험 평가를 수행
위험 산정
자산에 대한 위험도를 산정하기 위해 자산의 중요도, 위협 정도, 취약성 정도를 매핑하여 자산의 위험도가 얼마나 높은지에 대해 위험도를 산정
위험 산정은 위험 시나리오(자산-위협-취약성 매핑) 작성, 위험도 산정 기준 설정(위험도 산정 기준 매트릭스 작성), 자산별 위험도 산정, 프로세스별 위험도 산정 과정을 통해서 이루어짐
위험 평가
위험도 및 자산과 관련된 정보에 따라 자산을 그룹화하여 위험 평가를 실시
위험 평가 시에는 이전에 실시한 자산 평가, 위협 평가, 취약성 평가 자료와 위험도 산정 기준 매트릭스를 이용
보호 대책 권고
자산에 대한 위험 수준을 허용이 가능한 범위 내로 감소시키기 위해 비용 및 효과를 고려하여 보호 대책을 식별하고 선정
보호 대책 권고안 작성
보호 대책 선정
대상 조직에서 현재 수행하고 있는 각종 보호 대책과 각 자산에 필요한 보호 대책을 분석하여 최선의 대책을 선정하는 단계로, 자산별 위험에 대한 보로 대책을 조사하여 목록을 작성
보호 대책 도출
보호 대책 방법 선정
위험에 대한 대책 방법으로 위험 감소(Risk Reduction, 보호 대책의 비용 < 손실 발생 확률 * 손실), 위험 회피(Risk Avoidance, 위험이 존재하는 프로세스를 실행하지 않음), 위험 이전(Risk Transfer, 보험 등), 위험 수용(Risk Acceptance, 보호 대책의 비용 > 손실 발생 확률 * 손실)이 있을 수 있음
보호 대책 선정 시 제약 사항
시간적 제약, 재정적 제약, 기술적 제약,사회적 제약, 법적 제약 등
잔류 위험
조직의 보안 필요성에 적절한 수준의 보호 대책을 수립하고 그 이상의 잔류 위험을 인식하고 있어야 하며, 이러한 잔류 위험의 충격을 허용할 수 없을 경우에 이에 대한 고비용의 대응책이 수립되어야 함
보호 대책 도출
자산 분석, 위협 분석, 취약성 분석에서 도출된 위험에 대해 관리적, 물리적, 기술적 측면으로 구분하여 이에 대한 보호 대책을 도출
기대 효과 분석
위험을 감소시키기 위해 필요한 대응책들의 수행 여부를 비용적인 측면에서 고려하여 판단하는 분석 과정으로, 이러한 과정을 통해 위험 분석 결과를 가장 효과적으로 활용할 수 있으며, 예산의 제약 등을 고려하여 제한된 비용으로 최적의 효과를 얻을 수 있도록 최고 경영진의 의사 결정을 지원
관리적/물리적/기술적 부문 대책 권고 작성
개선 보안 모델
개선 보안 모델 설계는 위험 평가를 통해 나온 결과를 토대로 현행 시스템을 분석 및 개선하여 중.장기적으로 안정적인 보안 모델을 설계하는 작업
우선 순위 및 현재 조직의 여건을 고려하여 중.단기 모델과 장기 모델로 구분하여 개선 보안 모델을 설계