IT Solutions/Security

우리 회사의 보안은 언제쯤 완벽해질 수 있을까요? ( 上. 보안 위험분석을 위한 접근법 )

2015.06.09 09:55



'이제 말씀해 주신 것만 잘 이행하면 우리 회사 보안은 걱정할 필요 없는 거죠?'


이 질문은 보안컨설팅 종료 보고를 마무리할 때 고객에게 가장 많이 듣게 되는 말입니다. 그러나 매번 컨설턴트는 '보안에 100점은 없습니다. 앞으로 꾸준하게 관리하셔야 하고, 새로운 보안 취약점에 대해서도 늘 준비하셔야 한다'라고 대답할 수 밖에 없습니다. 그렇다면 저희는 왜 이렇게 밖에 대답하지 못하는 것일까요? 그 이유는 하루가 멀다 하고 새롭게 생겨나는 보안 위협들 때문입니다.

 

오늘 이 시간에는 보안컨설팅 과정에서 널리 사용되는 ‘보안 위험 분석 방법론의 장단점과 보안컨설팅의 향후 발전 방향’에 대해 설명드리겠습니다. 



보안 위험을 분석하고 평가하기 위해서는 다음과 같은 방법론이 사용될 수 있습니다. 지금부터는 각 방법론의 세부 내용을 함께 살펴보겠습니다. 


1) 베이스라인 접근법(Baseline approach)

모든 방법론이 체크리스트를 사용하지만 베이스라인 접근법은 그 시작과 끝이 체크리스트라고 할 정도로 체크리스트에 대한 의존도가 높습니다. 


이 방법론은 우선 컨설팅 대상 기업의 시스템 상황이나 대상 기업이 준수해야 할 법률 등이 모두 포함되어 있는 체크리스트를 작성하는 것으로 시작됩니다. 체크리스트 작성이 끝나면 컨설턴트들은 체크리스트 항목별로 보호 대책이 구현되어 있는지를 조사합니다. 그리고 보호 대책이 구현되어 있지 않은 항목을 정리하여 보고서를 작성합니다.  


베이스라인 접근법은 국제정보보호관리체계 (ISO27001, International Organization for Standardization), 정보보호관리체계 (ISMS, Information Security Management System,), 개인정보보호관리체계 (PIMS, Personal Information Management System) 등과 같은 인증 심사 때 많이 사용되는데요. 

기업이나 기관이 정해진 보안 기준을 만족하는지 조사하여 해당 기준을 만족할 때 인증서를 발급해 주는 것이 인증 심사의 기본적인 성격입니다. 인증 심사에서 심사위원들은 정해진 보안 기준을 체크리스트로 만들어 인증서 발급을 원하는 기업이나 기관이 해당 체크리스트 항목을 만족하고 있는지 조사하게 됩니다.  


이 방법론은 분석의 비용과 시간이 절약된다는 장점이 있습니다. 체크리스트 항목, 해당 항목 조사를 위한 방법, 조사 결과 판정 방법 등이 포함된 체크리스트가 제대로만 만들어진다면 말이죠. 이런 상황이라면 상대적으로 경험이 많지 않은 컨설턴트가 투입되더라도 짧은 시간 안에 품질이 보증된 컨설팅 결과를 만들어 낼 수 있습니다.  


그러나 이 방법론에도 단점이 존재합니다. 우선 현재 존재하고 앞으로 발생할 모든 보안 위협이 포함된 체크리스트를 작성하는 것 자체가 거의 불가능하다는 것입니다. 대부분의 체크리스트는 기존의 보안 위협들을 중심으로 만들어지며 앞으로 발생할 가능성이 있는 보안 위협들은 거의 포함되지 않기 때문이죠. 


그리고 기존에 존재하는 보안 위협들도 때에 따라서는 누락될 수 있는데요. 이렇게 되면 누락된 항목에 대해서는 위험 분석을 하지 못한 것이라고 할 수 있습니다. 


또 한 가지 단점은 대상 기업이나 기관의 보안 담당자에게 왜곡된 시선을 갖게 할 수 있다는 점입니다. 예를 들어 체크리스트 항목이 100개였을 때 기업이 90개를 충족하고 있는 경우, 그들은 그 정도면 충분하다고 생각하고 더 이상의 투자나 개선을 하지 않을 수도 있습니다. 충족하지 못한 10개의 항목이 보안상 더욱 중요할 수 있는데도 말입니다.  


반대로 체크리스트 항목 중 10개만 충족하는 경우, 보안 담당자는 체크리스트 항목에 대한 중요도를 생각하지 않고 충족하지 못한 항목 중 쉬운 것부터 개선해서 충족률을 높이려는 경우가 많습니다. 이렇게 되면 보안상 더 먼저 이행되어야 할 항목이 나중에 이행될 위험이 존재할 수 있습니다. 


이러한 단점을 보완하기 위하여, 체크리스트 항목에 중요도(가중치)를 부여하기도 하는데요. 그럼에도 불구하고 모든 단점이 사라지지는 않습니다. 


2) 비정형 접근법(Informal approach)

방법론을 사용하면 구조적 체계를 갖고 해당 방법론을 사용하는 컨설턴트들이 동일하거나 비슷한 결과를 만들어 낼 수 있습니다. 반면에 비정형 접근법은 구조적인 체계 없이 컨설턴트의 경험과 지식을 이용하여 위험 분석을 하는 접근법입니다. 따라서 비정형 접근법은 방법론이라고 부르기 힘들 수도 있습니다. 


그래서 비정형 접근법은 짧은 기간 동안 특정 영역에 한정하여 보안컨설팅을 진행할 경우 이용되는데요. 개인정보에 대한 생성 주기 분석, 기업 내 중요 정보의 유출 경로 분석 등에서도 적용되고 있습니다. 

경험이 많고 유능한 컨설턴트가 이 방법론을 사용하면 짧은 기간 동안 적은 비용으로 위험 분석을 할 수 있다는 장점이 있는데요. 반면 경험과 지식이 적은 컨설턴트가 사용할 경우 제대로 된 위험 분석이 이루어지지 않을 수도 있습니다.  


또한 다양한 서비스를 가지고 있고, 많은 기술과 시스템을 사용하는 기업과 기관에서는 아무리 경험과 지식이 많은 컨설턴트라 할지라도 이 방법론을 적용하여 온전한 위험 분석을 진행하는 것은 무리가 있습니다.  


3) 상세 위험 분석(Detailed risk analysis)

상세 위험 분석은 보안 위험 분석 방법론 중에서 가장 많이 사용됩니다. 거의 모든 보안컨설팅 업체의 컨설팅 방법론은 이를 기초로 하여 만들어졌다고 해도 과언이 아닌데요. 한국인터넷진흥원과 같은 기관에서 공공 기관에게 제시하는 위험 분석 가이드에도 이 방법론이 사용되고 있습니다. 


그렇다면 이 방법론이 가장 많이 사용되는 이유는 무엇일까요? 우선 여러 방법론들 중에서 가장 정량적으로 위험을 분석하고 측정하는 방법을 제시해 주기 때문인데요. 이 방법론은 기업이나 기관이 가지고 있는 위험 요소를 정량적으로 평가하여 객관적인 수치에 따라 위험에 대응한다는 기본적인 개념을 가지고 있다고 볼 수 있습니다. 

널리 쓰이는 방법론인 만큼 다음 편에서 별도로 상세하게 살펴보도록 하겠습니다. 


4) 복합 접근 방법(Combined approach)

복합 접근 방법은 이름 그대로 여러 방법론을 동시에 사용하는 것입니다. 예를 들어 어떤 기업이 위험 분석을 수행하고자 할 때, 그 회사에서 최근 보안 사고가 발생했던 사업 영역에 대해서는 상세 위험 분석을 적용하는 것이죠. 그리고 그 이외의 사업 영역에 대해서는 베이스라인 접근법을 적용하는 방식으로 수행하는 것입니다.  

이와 같은 방식으로 위험 분석을 수행하면 위험이 높은 영역에 대해 비용과 자원을 집중할 수 있게 되어 전체적인 위험 분석 효율을 높일 수 있습니다. 그러나, 최근 보안 사고가 발생하지 않아서 베이스라인 접근법을 적용한 사업 영역에 잠재적인 보안 위험 요인이 있고, 그 위험 요소가 베이스라인 접근법의 체크리스트에 포함되지 않을 경우가 있는데요. 이때는 해당 위험 요소에 대응할 수 없다는 단점이 있습니다.   


지금까지 보안 위험 분석을 위해 사용되는 몇 가지 방법론을 살펴보았습니다. 각각의 방법론은 장점도 있지만 약점과 한계점도 함께 지니고 있는데요. 오늘 언급하지 않은 다른 방법론들 역시 마찬가지 경우라고 생각하시면 될 것 같습니다. 


그러나 베이스라인 접근법에서 체크리스트 항목에 가중치를 부여하거나, 상세 위험 분석 방법론에서 Concern(우려사항)이라는 개념을 적용하는 등 각 방법론은 자신이 가지고 있는 약점과 한계를 극복하기 위해 발전해 나가고 있습니다. 


그렇다면 지금보다 더욱 정교하고 의미 있는 분석을 위해 방법론들을 어떻게 발전시켜 나가야 할까요? 앞으로도 보안 상황과 목적에 따라 다양한 방법론들을 적용할 것입니다. 그러나 지금까지 그랬던 것처럼 '상세 위험 분석' 방법론은 정량적으로 위험을 평가할 수 있다는 장점 때문에 지속적으로 사용될 것입니다. 다만 컨설턴트의 자의적 판단에 의해 정량적인 특성이 훼손될 위험이 있어 이 약점을 보완하는 방향으로 발전이 이루어질 것입니다.  


우선 자산 평가 과정에서 자산의 민감도를 결정할 때 단순히 자산의 비밀성, 무결성, 가용성을 기준으로 해당 자산의 운영자가 민감도를 결정하기 보다는 해당 기업이나 기관의 업무 특성을 고려하여, 자산의 성격과 해당 자산이 가진 정보의 양 등 더 세부적인 기준을 수립해서 민감도를 결정해야 할 것입니다.  


실제로 최근 개인정보 보호 영역의 컨설팅의 경우 자산들이 보유하고 있는 개인정보 항목과 수량에 의해 자산의 중요도를 평가하기도 하는데요. 이렇듯 정량적 기준들을 사용하게 되면 보안 컨설턴트의 자의적 판단이 개입될 소지가 줄어들게 된다는 장점이 있습니다. 


또한 위협과 취약점의 도출 과정에서 Concern value(우려도)를 결정할 때 자의적 판단의 개입을 보완하기 위해서는 최신의 위협과 취약점을 포함한 Concern의 객관적인 발생 가능성을 고려하는 것이 가장 중요합니다.  



그러나 대부분의 회사/기업은 보안 사고의 발생 사실을 외부에 공표하기 꺼려합니다. 어떤 보안 사고가 어떤 취약점 때문에 얼마나 자주 발생하는지 정확히 알아야 객관적인 Concern value를 결정할 수 있는데 말이죠.   


Concern value 결정에 있어서 자의적인 판단이 개입될 소지를 최소화하기 위해서는 객관적인 수치를 얻어야 하는데요. 이를 위해 향후 빅데이터(Big Data) 분석 기법이 적용될 수도 있습니다.  


최근 일부 기업이나 기관에서 방화벽, IPS(Intrusion Prevention System, 침입방지시스템)와 같은 보안 장비의 로그뿐만 아니라 서버, 네트워크 장비, DBMS(Data Base Management System)에서 발생하는 보안 관련 로그들도 하나의 대용량 스토리지(Storage)에 집중시키고, 빅데이터 솔루션을 이용하여 집중된 로그를 분석해서 잠재된 위험을 식별하려는 시도를 하고 있습니다. 


이렇게 데이터가 축적된 기업에서는 분석된 정보를 통해 해당 기업에서 실제로 일어나고 있는 침입 시도들, 내재된 위험, 위협의 빈도를 정량적으로 산출하여 이를 토대로 Concern value를 결정할 수 있을 것입니다. 이렇게 된다면 해당 기업이 가지고 있는 위험들을 정량적으로 분석할 수 있는 최적화된 Concern 목록과 Concern value를 얻어낼 수 있습니다. 


지금까지 보안 위험 분석 방법론의 장단점과 앞으로의 발전 방향에 대해 함께 알아보았는데요. 이어서 다음 편에서 상세위험분석 방법에 대해서 별도로 더 자세하게 설명 드리도록 하겠습니다. 


글 ㅣ LG CNS 보안컨설팅팀 



['보안컨설팅 A to Z' 연재 현황 및 향후 계획] 


● 1편 출입카드 복제 위험 : http://blog.lgcns.com/737
● 2편 통합보안 관리 솔루션 구축 시 고려사항 : http://blog.lgcns.com/751
● 3편 의료분야 개인정보보호 위반사례 및 대응방안 : http://blog.lgcns.com/779
● 4편 보안 위험 분석 방법론의 한계와 발전방향 : 
● 5편 물리보안 동향 : http://blog.lgcns.com/856
● 6편 보안관리체계 도입하기 : http://blog.lgcns.com/869
● 7편 IoT 보안 취약점 및 대응방안 : http://blog.lgcns.com/896
● 8편 금융권 망분리 가이드라인 : http://blog.lgcns.com/922
● 9편 전자문서 보안 : http://blog.lgcns.com/945  
● 10편 공공기관 모바일 보안 



Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로