[정보보호] 위험 분석 접근법 및 방법론
위험 분석 접근법과 방법론에 대해 정리해 봅니다.
위험 분석 접근법
- 기준선 접근법(Baseline approach)
- 체크 리스트 형식의 표준화된 보호 대책을 이용하여 모든 자산(시스템)에 대한 보호의 기본 수준을 정하고 위험 분석을 수행하는 접근법
- (장단점) 시간과 비용이 많이 들지 않고 모든 조직에서 기본적으로 필요한 보호 대책 선택이 가능하지만, 조직의 특성을 고려하지 않기 때문에 과보호 또는 부족한 보호가 될 수 있고, 체크 리스트를 지속적으로 업데이트하지 않으면 보안 환경의 변화를 적절하게 반영하기 어렵다.
- 비정형 접근법
- 정형화된(구조화된) 위험 분석 방법론을 사용하지 않고 경험자의 지식을 기반으로 위험 분석을 수행하는 접근법
- (장단점) 작은 규모의 조직에는 비용 대비 효과적이지만, 수행자의 경험이 부족한 위험 영역을 놓칠 가능성이 있다.
- 상세 위험 분석
- 정형화되고 구조화된 분석 방법론에 따라 자산 분석, 위협 분석, 취약점 분석, 기존 대책 분석 등의 각 단계를 통해 조직의 중요한 위험들을 모두 상세하게 분석하는 접근법
- (장단점) 조직에 가장 적합한 보호 대책을 수립할 수 있지만, 구체적인 결과를 얻기 위해 전문적인 지식 및 많은 시간과 노력이 필요하다.
- 복합적 접근법
- 고위험 영역을 식별하여 상세 위험 분석을 수행하고, 그 외의 영역은 기준선 접근법을 사용하는 접근법
- (장단점) 위험 분석 비용과 자원을 효과적으로 사용할 수 있으며 고위험 영역을 빠르게 식별하고 적절하게 처리할 수 있지만, 고위험 영역이 잘못 식별되었을 경우 비용과 자원이 낭비되거나 부적절한 대응이 될 수 있다.
정성적 위험 분석 방법론
- 델파이법
- 각 분야의 전문적인 지식을 갖춘 전문가 집단을 구성하고 토론(또는 설문조사)를 통해 위험 분석 및 평가를 수행하는 방법
- 위험 분석을 짧은 시간에 도출할 수 있어 시간과 비용을 절약할 수 있으나, 위험 추정의 정확도가 낮다.
- 시나리오법
- 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건에서 위협에 대한 발생 가능한 결과들을 추정하는 방법
- 적은 정보를 가지고 전반적인 가능성을 추론할 있으나, 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용 기술의 수준 등이 낮다.
- 순위결정법
- 비교 우위 순위결정표에 의해 위험 항목들의 서술적 순위를 결정하는 결정하는 방법으로 각각의 위협을 상호 비교하여 최종 위협 요인의 우선순위를 도출하는 방법
- 위험 분석에 소모되는 시간과 분석해야 하는 자원의 양은 적으나, 위험 추정의 정확도가 낮다.
- 퍼지행렬법
- 자산, 위험, 보안체계 증 위험 분석 요소들을 정성적인 언어로 표현된 값을 사용하여 기대 손실을 평가하는 방법
정량적 위험 분석 방법론
- 연간 예상 손실 계산법
- 단일 예상 손실액(Single Loss Expectancy, SLE) = 자산가치 X 노출계수(%)
- 연간 예상 손실액(Annualized Loss Expectancy, ALE) = SLE X 연간위험발생률(%)
- 과거자료 분석법
- 과거의 자료를 통해 위험 발생 가능성을 예측
- 수학공식 접근법
- 과거 자료의 획득이 어려울 경우 위험의 발생빈도를 계산하는 식을 이용
- 확률분포 추정법
- 미지의 사건을 추정하는데 사용되는 방법으로, 확률적 편차를 이용하여 최저/보통/최고의 위험분석을 예측
- 점수법
- 위험 발생 요인에 가중치를 두어 위험을 추정하는 방식으로, 시간과 분석량이 적다는 장점이 있지만 정확도가 낮음
