[보안맨] IT 위험 분석 및 평가

안녕하세요보안맨 입니다.

날씨가 많이 쌀쌀해졌네요감기/코로나 항상 조심하시고요.

 

이번에 제가 공유드리고 싶은 주제는 "IT 위험 분석 및 평가"입니다.

일반적으로 정보보안을 중요하게 생각하는 회사에서는 안전한 회사 업무 환경 운영을 위해 많은 시간과 비용을 투자하는데요대표적으로 정보보안 담당자 채용정보보호 및 개인정보보호 관리 체계 (이하 "ISMS-P") 인증 추진정보 보안 솔루션 구축 등 이 있습니다.

하지만어떤 기업에서는 예산 문제 등으로 정보 보안에 대한 투자가 미뤄지거나 투자 예산이 삭감되는 경우도 있는데요보안 담당자 입장에서 손 놓고 있으면 될까요아닙니다바로 적절한 IT 위험 분석과 평가가 필요합니다.

정보보호 관리체계 (K-ISMS, 2019인증 기준에서는 위험관리에 대해 아래와 같이 안내하고 있습니다.

 

조직의 대내외 환경 분석을 통해 유형별 위협 정보를 수집하고조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대한 연 1회 이상 위험을 평가하며수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

 

필자가 외국계 회사에서 여러 업무를 처리하면서 그중 제일 까다롭게 생각했던 부분이 "위험 분석/평가업무입니다앞서 말씀드린 것처럼 회사마다 위험 분석/평가 방법론이 상이할 수 있으므로 업무에 참고하는 수준으로 살펴봐 주시기 바랍니다.

아래와 같이 크게 4가지 단계로 살펴보겠습니다.

 

1) 어떤 위험 방법론을 적용해야 하는가?

필자의 경우비교적 규모가 큰 외국계 회사의 한국 지사에서 근무해 본사에서 제정한 "IT Risk Management Policy" 규정이 별도 존재했습니다해당 본사 규정은 NIST, COBIT, ISO27001, 현지법 등 을 고려해 수립되었던 것으로 기억합니다이때국내 지사에서는 현지 환경국내 규제/현실성 등 을 고려해 지침을 개정 했습니다.

앞서 서두가 길었습니다만규정 안에 있었던 핵심 방법론을 Keyword base로 정리하면 "IT compliance based risk assessment"입니다회사 내 규정국내 법령내부 감사 등에 따른 충족되지 않은 findings (결함) list-up 하고 이에 대한 적절한 보완대책을 수립했습니다.


IT Compliance based risk assessment는 크게 아래와 같은 형태로 이해하시면 좋을 것 같습니다.


조직 내부 이슈 수집/리스트영향도 1차 파악 등

위험 식별언제어디서어떻게왜 발생할 수 있는가 등

위험 분석취약점이 존재하는가발생 빈도는 어떠한가어느 정도 치명적인가?

위험 평가어떤 리스크부터 관리해야 하는가어떤 대응책을 수립해야 하는가위험을 감소하기 위해 누가언제까지 처리할 수 있는가어떤 위험 처리 전략을 수립할 것인가? (위험 감소위험 회피위험 전가위험 수용)


※ 위 4가지 위험 처리 전략에 대한 세부 내용(예시) KISA에서 발간한 "ISMS-P 인증기준 안내서" 1.2.4. 보호대책 선정 참고

 

2) 실무에서 주로 어떤 위험이 식별관리되는가? (구체적인 사례 제시)

필자 회사의 경우 크게 2가지 types의 위험이 식별/관리되었습니다첫 번째는 국내 전자금융 감독규정에 따라 필수적으로 수행해야 하는 "전자금융기반 시설 분석/평가결과에 따른 취약점(미흡사항)이었으며두 번째는 내부 IT 감사에 따른 findings (결함사항이었습니다.

위 방법론에 따른 한 가지 위험을 예를 들어 아래와 같이 표현해 보았습니다.


위험원 (출처): IT Audit 2019 결과

결함관리자 권한 관리 미흡장기 퇴사자 ID 계정이 DBMS에 미 삭제

요구 사항퇴사자 계정은 지체 없이 ( 1삭제되어야 함

보완대책단기적으로 현재 확인된 퇴사자 ID 계정 일괄 삭제장기적으로 SSO (Single-Sign-on) 형태 통합 계정 관리 시스템 도입 고려

위험도

위험전략위험 감소

그 외 (조치 완료일 등다수

 

IT Risk Treatment Mgmt.

Risk ID

위험원

요구사항

이슈 사항

위험도

위험 전략

보완 대책

위험 소유부서/책임자

상태

UX-001

IT Audit 2019

퇴사자 계정은 지체 없이 삭제 처리

장기 퇴사자 ID 계정이DB서버(hostname: vsdf0293) 내 다수 존재

위험 감소

a) 단기현재 확인된 퇴사자 ID 전수 조사 후일괄 삭제b) 장기퇴사자 식별 후, SSO 형태 통합 계정 관리 시스템 구축에 따른 자동 삭제 처리(batch)되도록 구현 / 관련 프로세스 수립

IT / 홍길동

In Progress

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Figure1.  IT compliance based risk assessment 결과(예시)

 

3) IT 위험 분석 및 평가에 대한 수행 절차는 어떻게 되는가?

사전에 "IT 위험 관리 지침" "정보보호 위원회 절차서각 규정간에 sync 및 위험평가 관련 내용을 상호 보완할 수 있도록 정책/지침을 개정했습니다이에 대한 사유는 아래 내용에서 자세히 설명 드리겠습니다.

이후 아래와 같은 단계를 고려했습니다.


.  정보보안 담당자는 월 1회 위험 현황 식별

.  식별된 위험을 바탕으로 위 "위험 관리 방법론"을 고려한 보안 대책 등 수립

      필요 시관련 실무진과 협의

정보보호 위원회 심의/의결

경영진 보고

본사 Chief Information Security Officer (이하 'CISO') 현황 공유

 

Figure2.  경영진 보고 결과(예시)

 

4) IT 위험 분석/평가 업무를 진행하면서 느낀 애로사항한계점은 무엇인가?

바로 위 정보보안 절차서/관리지침을 sync 한 사유이기도 한 "본사 IT 위험 관리 Policy"에 대한 실효성 이슈 때문이었습니다사실 본사에서 너무나 세세한 Risk Treatment Plans  BackData 를 요청했습니다. ROI (Return on Investment) 수치 등 정량적인 위험 평가 산식에 따른 결과 수치를 제공해야 했는데요.

본사에는 IT Risk 전담 부서가 별도 존재해 가능한 일이었겠지만국내 지사는 별도 담담 부서/담당자가 존재하지 않았고그 외 여러 여건 상 본사 요건을 충족할 수 없었습니다따라서절박한 excuses 를 통해결론적으로 위 위험평가에 준하는 수준인 "정보보호 위원회 심의/의결"을 따르는 것으로 정리 했었습니다.

 

위 내용이 IT 위험 분석/평가 업무를 수행하시면서 도움이 되셨으면 좋겠습니다.

궁금하신 사항은 댓글을 남겨 주세요.

감사합니다.

 

 

 

태그가 없습니다.

8개의 댓글이 있습니다.

2년 이상 전

위험분석평가 중요하죠
그러나 윗선들은 문제 없음 된거지
별 신경 안쓰죠
좋은 정보 감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

감사합니다!~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

잘읽었습니다. 좋은 정보 감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

1st 5stars

2년 이상 전

잘읽었습니다. 참고할께요.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

좋은정보 잘 보았습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

내용 잘 읽었습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2년 이상 전

좋은 정보 감사드립니다.!

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입