정보보안기사 실기 / 2. 정보보호 위험 평가 - 정보보안 관리 및 법규

정보보안기사 실기 / 2. 정보보호 위험 평가 - 정보보안 관리 및 법규

 

위험관리 구성

1) 자산(Asset) : 조직에 가치가 있는 자원들입니다. 

2) 위험(Risk) : 위협, 취약점을 이용하여 조직의 자산에 손실, 피해를 가져올 가능성입니다. 

3) 위협(Threat) : 조직, 기업의 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위입니다. 

4) 취약점(Vulnerability) : 위협이 발생하기 위한 조건 및 상황입니다. 

 

5) 위험관리 : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정입니다.

6) 위험분석 : 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별 분석해야 합니다.

7) 험대응 : 위헙에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책을 말합니다.

 

위험분석 기법

1) 기준선 접근법(Base Line Approach)

국내외 표준이나 법령, 가이드 등을 기준으로 최소한의 기준 수준을 정합니다. 조직에서 공통적으로 필요한 보호 대책을 정할 수 있어 시간 및 비용이 절약되지만 조직의 특성이 미반영되어 적정 보안 수준 초과 또는 미달될 가능성도 있습니다.

 

2) 전문가 판단(Informal Approach) 또는 비정형 접근법

구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행합니다.

 

3) 상세위험분석(Detailed Risk Analysis)

정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험을 평가합니다.

 

4) 복합적 접근법(Combined Approach)

비용과 자원을 효율적으로 사용할 수 있음. 고위험 영역을 빠르게 식별이 가능하지만, 고위험 영역이 잘못 식별되었을 경우, 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있는 단점이 있습니다.

 

정량적 위험분석 / 정성적 위험분석

1) 정성적 위험분석 방법: 델파이법, 시나리오법, 순위결정법

2) 정량적 위험분석 방법: 몬테카를로 시뮬레이션, 의사결정 나무 분석, 과거자료 분석, 수학공식 접근, 확률분포법

 

3) 확률분포법 :미지의 사건을 추정하는 데 사용되는 방법입니다. 확률적 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있습니다. 

 

4) 시나리오법 : 델파이 기법과 마찬가지로 미랜드 연구소에서 1950년 허만 칸(Herman Kahn)을 중심으로 무기발전과 군사전략 간의 관계를 분석하기 위해 개발되었습니다. 어떠한 사건도 예상대로 실행되지 않는다는 사실에 근거하여 위험을 추정하고 이에 대비하기 위한 방법이다. 먼 미래의 위험까지 예측할 수 있지만 정량적인 분석 방법들에 비해 정확도는 낮습니다.

 

5) 델파이법 : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법입니다.

 

위험에 따른 손실액 분석

1) ARO(Annualized Rate of Occurrence, 연간발생률) : 매년 특정한 위협이 발생할 가능성에 대한 빈도수 혹은 특정 위협이 1년에 발생할 예상 빈도수입니다. 

 

2) SLE(Single Loss Expectancy, 단일손실예상) : 특정한 위협이 발생하여 예상되는 1회 손실액입니다. 

SLE = AV(Asset Value, 자산가치) × EF(Exposure Factor, 노출 계수)

 

3) ALE(Annualized Loss Expectancy, 연간 예상 손실) : 정량적인 위협분석의 대표적인 방법으로 특정 자산에 대하여 실현된 위협의 모든 경우에 대해서 가능한 연간 비용입니다.

ALE(연간 예상 손실액) = SLE(단일 예상 손실액) × ARO(연간 발생률)

위험 대응 전략

1) 위험 수용 : 위험을 인지하였으나 별도의 통제를 수행하지 않고 위험을 받아들이고 진행하는 위험관리 기법입니다.

2) 위험 감소 : 위험을 감소시킬 수 있는 대책을 채택하여 구현합니다.

3) 위험 회피 : 위험이 존재하는 프로세스나 사업을 포기합니다.

4) 위험 전가 : 자산에 대해 보험을 들어 손실에 대비하거나 위험 부담이 큰 일에 대해 아웃소싱을 통해 책임 계약 체결하는 방법이 있습니다.

 

관련문제

13회 다음에서 설명하는 정성적 위험분석 방법을 적으시오.
델파이 기법과 마찬가지로 미랜드 연구소에서 1950년 허만 칸(Herman Kahn)을 중심으로 무기발전과 군사전략 간의 관계를 분석하기 위해 개발되었다.  어떠한 사건도 예상대로 실행되지 않는다는 사실에 근거하여 위험을 추정하고 이에 대비하기 위한 방법이다. 먼 미래의 위험까지 예측할 수 있지만 정량적인 분석 방법들에 비해 정확도는 낮다.

답 : 시나리오법

 

13회 다음에서 설명하는 위험 관리 방법은?
ㅇ 자산에 대해 보험을 들어 손실에 대비
ㅇ 위험 부담이 큰 일에 대해 아웃소싱을 통해 책임 계약 체결

답 : 위험 전가

 

13회 다음에서 설명하는 위험분석 접근법은 무엇인가?
이 방법은 국내외 표준이나 법령, 가이드 등을 기준으로 최소한의 기준 수준을 정한다. 조직에서 공통적으로 필요한 보호 대책을 정할 수 있어 시간 및 비용이 절약되지만 조직의 특성이 미반영되어 적정 보안 수준 초과 또는 미달될 가능성도 있다.

답 : 베이스라인 접근법

 

12회 아래의 식을 참고하여 위험의 구성요소 3가지를 적으시오.
위험 = (  A  ) × (  B  ) × (  C  ) - 정보보호대책

답 : A: 자산(Asset), B: 취약점(Vulnerability), C: 위협(Threat)

 

11회 정량적 위험지표와 관련하여 다음 빈칸에 들어갈 말을 쓰시오.
ㅇ SLE(단일 예상 손실액) = AV(자산가치) × ( A )
ㅇ ALE(연간 예상 손실액) = SLE(단일 예상 손실액) × ( B )

답 : A: EF(손실계수) ,B: ARO(연간 발생률)

 

10회 위험관리 방법과 관련하여 아래 빈칸에 들어갈 말을 적으시오.
위험관리 방법에는 위험감소, 위험수용, 위험회피, 위험(  괄호  )가 있다. 위험 (  괄호  )를 위해 보험에 들거나 아웃소싱을 하는 방법이 있다.

답 : 전가

 

10회 위험관리에 대해 아래 빈칸에 들어갈 말을 적으시오.

답 : A: 취약성, B: 감소, C: 보유

 

9회 다음은 정성적 위험분석 방법 중 하나에 대한 설명이다. 어떤 방법인가?

시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법

답 : 델파이법

 

9회 위험은 비정상적인 일이 발생할 수 있는 가능성을 말하며, 위험분석은 위험을 분석하고 해석하는 과정이다. 위험을 구성하는 4가지 기본요소를 쓰시오

답 : 자산(Asset) × 취약점(Vulnerability) × 위협(Threat) - 정보보호대책(Safeguard)

 

7회 다음은 위협 통제 시점에 따른 분류이다. 알맞은 용어를 넣으시오

1) 발생가능한 잠재적인 문제들을 식별하여 사전에 대응하기 위한 통제

2) 1번 통제를 우회하여 발생하는 위협을 찾아내기 위한 통제

3) 2번 통제에 따라 발견한 위협에 대처하거나 줄이는 통제

답 : 1) 예방통제, 2) 탐지통제, 3) 교정통제

 

7회 정량적 위험 분석과 관련하여 아래 질문에 답하시오.

1) SLE이란 무엇인가?

2) SLE를 구하는 식을 적으시오.

3) ALE를 구할때 SLE를 제외하고 필요한 것은 무엇인가?

4) 연수익이 5천만원인 사이트 위험을 완전히 제거하는 비용이 연간 1억원이라고 할 때 이 사이트의 ROI는?

답 : 

1) SLE(Single Loss Expetancy, 단일손실예상) :특정한 위협이 발생하여 예상되는 1회 손실액
2) SLE = AV(Asset Value, 자산가치) × EF(Exposure Factor, 노출 계수)
3) ARO(Annual Rate of Occurrence, 연간발생률): 어떤 위협이 1년에 발생할 가능성(0~1)
4) ROI = ( 수익 / 투자금 ) * 100
ROI = ( 5천만 / 1억원 ) * 100 = 50%

 

6회 위험 관리와 관련하여 보기에서 설명하는 용어를 쓰시오.

1) 조직이 보호해야 할 대상으로 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등 무형의 것도 포함

2) 보호 대상에 대한 잠재적 속성이나 처한 환경으로, 관리적·기술적·물리적 약점

3) 보호 대상에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인이나 행위자

답 : 

1) 자산(Asset)
2) 취약점(Vulnerability)
3) 위협(Threat)

 

6회 위험 분석 방법 중 정성적 방법과 정량적 방법을 각각 2가지씩 쓰시오.

답 : 

1) 정성적 위험분석 방법: 델파이법, 시나리오법, 순위결정법 중 2개
2) 정량적 위험분석 방법: 몬테카를로 시뮬레이션, 의사결정 나무 분석, 과거자료 분석, 수학공식 접근, 확률분포법 중 2개

 

6회 위험분석 방법 중 복합적 접근 방법의 장점과 단점을 설명하시오.

답 : 

1) 장점 : 비용과 자원을 효율적으로 사용할 수 있음. 고위험 영역을 빠르게 식별이 가능
2) 단점 : 고위험 영역이 잘못 식별되었을 경우, 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있음

 

5회 (A), (B), (C)에 알맞은 용어를 작성하시오.

정보자산에 대한 잠재적 및 알려진 ( A )과 ( B )으로 나타날 수 있는 조직의 피해와 현재 구현된 통제의 실패 가능성 및 영향을 평가 시 ( C ) (DOA)을 포함하여야 한다. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 정보보호대책 선택 및 우선순위의 확보를 지원하여야 한다.

답 : A: 취약점, B: 위협, C: 수용 가능 위험수준(Degree of Assurance)

 

5회 위험관리 기법 중에서 위험을 인지하였으나 별도의 통제를 수행하지 않고 위험을 받아들이고 진행하는 위험관리 기법을 ( )이라 한다.

답 : 위험 수용

 

4회 다음 위험분석 및 위험평가 관련 내용 중 빈칸 (A), (B), (C), (D) 각각에 알맞은 용어를 기재하시오.

( A ) : 국내외 표준, 기존에 마련되어 있는 법령, 가이드 등으로 기준을 정하여 위험을 관리

( B ) : 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행하는 것이다.

( C ) : 정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험을 평가하는 것이다.

( D ) : 위 세 가지 방법을 혼합하여 접근하는 방식을 말한다.

답 :

(A): 베이스라인 접근법
(B): 비정형 접근법
(C): 상세위험분석
(D): 복합접근법

 

4회 다음 빈칸에 알맞은 단어를 적으시오.

( A ) : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정

( B ) : 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별 분석해야 한다.

( C ) : 위헙에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책을 말한다.

답 : ( A ) : 위험관리, ( B ) : 위험분석, ( C ) : 위험대응