정보보안기사 - 위험관리(Risk Management) 파트 암기 사항

1. 위험 관리 개념

- 정보 자산 혹은 자원에 대한 취약성 식별

- 정보 자원의 가치를 근거로 위험을 수용 가능한 수준으로 감소 시키기 위해 취해야 할 대책 혹은 통제

- 위험 = Value * Asset * Threat

- 위험평가 : 정보나 정보처리 기기에 대한 위협의 종류, 영향, 발생 가능성을 평가

- 위험관리계획 : 선택한 통제 목적, 방안이 무엇인지, 선택한 이유 등을 문서화

- 위험분석 : 자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별 분류하고, 잠재적 손실에 대한 영향 분석

- 위험대응 : 위협에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책

2. 위험 구성 요소

- 자산 : 조직이 보호해야할 대상

- 위협 : 자산에 위협을 줄 수 있는 사건, 행위

- 취약점 : 위협이 발생하기 위한 조건, 상황. 위협의 이용 대상

- 정보보호대책 : 자산 보호하기 위한 기술적, 물리적 대책

3. 위험분석 방법

위험분석 방법	장점	단점
베이스라인(기준선) 접근법	1. 비용 및 시간 절약 2. 동일시스템에 반복 적용 가능	환경 변화 미반영
상세위험분석	1. 자산 및 보안 요구 사항을 구체적 분석 2. 환경변화에 유연하게 대처 가능	1. 분석 방법에 대한 이해가 필요 2. 시간 등 자원 과다 소요
복합접근법	1. 비용과 자원 효과적 사용 2. 고위험 영역에 분석 빠름 3. 기준선 접근법 + 상세위험분석	1. 신규 위협에 대응 어려움 2. 분석 대상 불명확 시 자원 낭비

728x90

4. 위험관리(처리) 전략

전략	설명	예
회피(예방)	위험의 영향이 자산가치보다 큰 경우 계획을 변경하여, 발생가능성 자체를 없애 버리는 것	- 사업 포기
전가(공유)	제3자에게 위임하여 위험관리에 대한 부담을 감소시키는 것	- 보험, 아웃소싱
경감(완화)	위험을 감소시킬 수 있는 대책을 채택하여 구현, 많은 비용이 소요	- 정보보호대책 도입 등
수용(감수)	위험을 인지하였으나 별도 통제하지 않고 위험의 잠재 손실 비용을 감수	- 위험이 발생하면 그 시점에서 대책 마련
무시(거부)	위험 자체를 무시	- 비현실적 대응(실제 사례 없음)

5. 정량적 위험 분석

5.1 연간손실기대법 (정량적 위험 분석 기법 중 가장 중요)

- SLE : 특정한 위협이 발생하여 예상되는 1회 손실, AV(자산가치) * EF(1회 손실계수)

- ALE = 연간 예상 손실 = SLE * ARO(연간발생률)

- ROI = ALE – 보안분야 투자비용

기출 예) 상황 : 「5년에 1번씩 화재가 발생할 경우 전체 자산인 40억의 30%의 손해가 발생한다. 그래서 소방방재 시설을 설치하고, 화재보험에 가입했다.」 - 자산가치 : 40억 - 노출계수 : 30% - 단일손실 예상액(SLE) : 40 * 0.3 = 12억원 - 연간 발생율 : 5년에 1번 화재가 발생이므로 0.2 - 연간 예상손실액(ALE) : 12억 * 0.2 = 2.4억원 - 회사가 세운 대책 : 위험완화(소방방재 시설), 위험전이(화재보험)

5.2 기타 정량적 위험 분석

- 과거자료 분석법, 수학공식 접근법, 확률 분포법, 점수법

6. 정성적 위험 분석

- 델파이법 : 전문가 집단을 구성하여 분석평가, 짧은 기간에 도출 가능, 시간과 비용 절약 가능하지만 위험추정의 정확도가 낮다.

- 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건에서 위험 발생 가능성을 추정, 적은 정보를

가지고 추론

- 순위결정법 : 각각의 위협을 상호 비교하여 각종 위협요인의 우선순위를 도출, 투입되는 시간과 자원의 양이 적으나 정확도가 낮다.

7. 위험 구성 요소 간 관계

위험 구성 요소 간 관계

---

위험 관리 부분에 대해 대부분 이론으로 학습이 될 것이고,

따라서, 보안기사 시험 문제 출제로 안성맞춤인 주제이다.

적어도 위에 적힌 내용은 필수 암기해야 한다. 아마 다른 자료를 통해서 더 학습이 되겠지만,

위 내용을 요약본으로 생각하고 시험 전 되새기고 가면 좋을 듯 싶다.