사이버 보안 위험 평가를 올바른 방법으로 수행하는 방법
사이버 보안에 대한 대화에서 우리는 종종 사이버 위협과 공격으로부터 "스스로를 보호하는 방법"에 초점을 맞춥니다.
보안을 유지하기 위해 필요한 조치와 상황이 악화되었을 때 취해야 할 행동에 대해 생각합니다. 하지만 우리는 왜 공격 대상이 될 수 있으며, 공격을 받는다면 어떤 이유에서일까요? 또한 사이버 공격 후 조직을 정상으로 되돌리는 데는 얼마의 비용이 들까요?
사이버 보안 위험 평가는 이러한 모든 질문에 대한 답을 제공할 수 있으며, 사이버 보안 전략을 수립하는 데 핵심적인 역할을 합니다.
사이버 보안 위험 평가란 무엇일까요?
사이버 보안 위험 평가는 조직의 사이버 보안 계획을 비즈니스 목표 및 우선순위와 조화시키는 데 도움을 주는 과정입니다. 또한 목표를 명확히 하고, 현재 상황을 유지하는 데 필요한 자산을 파악하는 데도 기여합니다.
평가 보고서는 사이버 보안의 다양한 측면을 기술적으로 다루며, 조직의 사이버 회복력을 강화하는 데 중요한 역할을 합니다.
위협 요소부터 자산 가치, 보험 보장 범위까지, 이 모든 정보는 이해관계자와 경영진이 사이버 공격 위험에 직면했을 때 정보에 기반한 결정을 내리는 데 도움이 됩니다. 또한 공격 후 대응 방안을 마련하는 데도 필수적입니다.
사이버 보안에서 위험 평가의 중요성
위험 평가는 공격 가능성, 악의적인 행위자의 잠재적 목표, 발생할 수 있는 피해 등을 파악하여 위협 환경을 명확히 하는 데 도움을 줍니다.
조직에 가해질 수 있는 다양한 위협 유형과 그 영향력을 파악해야 합니다.
이를 통해 사이버 공격이 성공적으로 이루어졌을 때 조직이 직면할 수 있는 전체적인 그림을 얻을 수 있습니다.
결론적으로, 사이버 보안 위험 평가를 통해 사이버 공격과 관련된 위험 수준을 정확히 파악할 수 있습니다. 이는 조직, 이해관계자, 그리고 책임 있는 모든 구성원이 위험을 최소화하고, 포괄적인 계획을 세워 대응할 수 있도록 준비하는 데 중요한 역할을 합니다.
위험 평가의 다양한 유형
사이버 보안 위험 평가의 기본적인 단계는 일반적으로 동일하지만, 평가 유형은 조직의 특성에 따라 달라집니다.
평가 유형은 조직이 비즈니스의 보안 요구사항을 평가하기 위해 어떤 측면에 집중해야 하는지를 명확히 보여줍니다.
#1. 일반 평가
설문지 기반 평가는 보안 위험을 줄이기 위한 간단하면서도 효과적인 항목들을 다룹니다.
예를 들어, 비밀번호 정책의 상태, 적용된 방화벽 유형, 정기적인 보안 패치, 그리고 인증 및 암호화 정책 등이 있습니다.
이러한 평가는 간단하고 부담이 적을 수 있지만, 모든 조직에 적합한 것은 아닙니다. 특히 자산이 제한적이거나 민감하지 않은 데이터를 처리하는 조직에 적합할 수 있습니다.
#2. 정성적 위험 평가
정성적 위험 평가는 데이터 유출 및 재정적 위험과 같은 주제에 대해, 관련 배경을 검토하고 논의하는 사람(개인 또는 그룹)에 따라 결과가 달라질 수 있기 때문에 다소 주관적일 수 있습니다.
이는 특정 보고서를 작성하는 것이 아니라, 조직의 최고 책임자들이 모여 '브레인스토밍'을 하는 것에 더 가깝습니다.
#3. 정량적 위험 평가
정량적 평가를 수행할 때는 데이터와 분석을 바탕으로 위험을 수치화하여 계산합니다.
이러한 평가는 재정적 위험이 높고, 크고 가치 있는 데이터 자산을 보유한 대규모 조직에 적합하며, 광범위한 사항들을 다루는 데 도움이 됩니다.
#4. 현장별 위험 평가
현장별 위험 평가는 특정 사용 사례에만 집중합니다. 조직의 특정 부서 또는 특정 위치에 국한될 수 있으며, 이러한 유형의 평가는 해당 틈새 시장에 따라 다릅니다.
특정 네트워크, 기술, 그리고 유사한 고정 요소만을 평가합니다. 따라서 이러한 평가 결과가 조직 전체에 적용될 것이라고 기대하기는 어렵습니다.
#5. 동적 위험 평가
동적 위험 평가는 실시간으로 변화하는 위험에 대처합니다.
이러한 평가가 효과적이려면 조직은 위협/공격이 발생하는 즉시 이를 감시하고 해결해야 합니다.
사이버 보안 위험 평가 수행 단계
평가를 수행하는 단계는 평가에 필요한 조직의 규모와 자원에 따라 달라집니다.
기본적인 단계는 거의 동일하지만, 조직에 따라 약간의 조정이 있을 수 있습니다. 예를 들어 단계의 수와 각 단계를 분류하고 우선순위를 지정하는 방법 등이 있습니다.
여기서는 사이버 보안 위험 평가를 올바르게 수행하는 데 필요한 핵심 세부 사항을 다루는 9단계에 대해 설명합니다.
#1. 자산 식별
조직의 자산을 식별하는 것은 가장 중요하며, 최우선적으로 고려되어야 합니다.
자산에는 하드웨어(노트북, 스마트폰, USB 드라이브), 소프트웨어(무료 또는 라이선스), 파일, PDF 문서, 전기 인프라, 종이 문서와 같은 항목이 포함될 수 있습니다.
또한 조직의 운영에 직간접적으로 영향을 미치는 온라인 서비스도 자산으로 간주해야 할 수 있습니다.
예를 들어, 문서를 저장하는 데 사용되는 클라우드 스토리지 서비스가 여기에 해당합니다.
#2. 위협 식별
자산을 파악한 후에는 해당 자산과 관련된 잠재적 위협을 식별할 수 있습니다.
그렇다면 어떻게 해야 할까요? 가장 쉬운 방법은 사이버 위협 동향과 뉴스를 꾸준히 확인하는 것입니다. 이렇게 하면 조직은 현재 발생하고 있는 위협에 대해 인지할 수 있습니다.
다음으로, 위협 라이브러리, 지식 기반, 그리고 정부 또는 보안 기관에서 제공하는 자료를 활용하여 다양한 유형의 사이버 위협에 대해 학습할 수 있습니다.
궁극적으로는 사이버 킬 체인과 같은 프레임워크를 사용하여 이러한 위협으로부터 자산을 보호하기 위한 단계를 평가할 수도 있습니다.
#3. 취약점 평가
이제 자산과 잠재적인 위협을 파악했으니, 공격자가 어떻게 접근할 수 있는지 생각해 봐야 합니다.
만약 장치, 네트워크 또는 자산에 취약점이 있다면, 악의적인 행위자는 이를 악용하여 무단 접근을 시도할 수 있습니다.
취약점은 랩톱, 스마트폰, 회사 포털 웹사이트, 또는 온라인 계정의 운영 체제에 있을 수 있습니다. 간단히 해독할 수 있는 비밀번호도 취약점으로 간주됩니다.
더 자세한 내용은 정부에서 악용한 취약점 카탈로그를 참고하십시오.
전반적으로, 취약점은 시스템 내부 또는 외부에 존재할 수 있습니다. 따라서 일반적으로 알려진 취약점을 제거하기 위한 조치를 취하는 것이 도움이 될 것입니다.
#4. 위험 계산
위험은 자산의 위협, 취약성, 그리고 가치에 따라 계산됩니다.
위험 = 위협 x 취약성 x 가치
위험을 평가할 때는 조직에 영향을 미칠 수 있는 위협의 가능성을 고려해야 합니다.
확률이 높을수록 위험이 높다는 것은 자명합니다. 하지만 위협 환경은 끊임없이 변화하기 때문에 정확한 예측이 어렵습니다.
따라서, 위험이 현실화되었을 때 얼마나 큰 영향을 미칠지를 나타내는 위험 수준을 계산해야 합니다. 어떤 자산이 더 가치 있는지, 그리고 해당 자산이 손상되거나 도난당할 경우 조직에 어떤 영향을 미칠지 논의하여 위험 수준을 결정할 수 있습니다.
이것은 조직마다 다를 수 있습니다. 예를 들어, 특정 회사의 PDF 파일은 공개적으로 사용할 수 있는 정보일 수 있지만, 다른 회사의 경우에는 매우 기밀일 수 있습니다.
#5. 위험 우선 순위 지정
위험 수준을 측정한 후에는 우선순위를 쉽게 지정할 수 있습니다.
무엇을 가장 먼저 보호해야 할까요? 발생 가능성이 가장 높은 공격 유형과 가장 큰 피해를 줄 수 있는 공격 유형일 것입니다.
물론 이것은 주관적일 수 있지만, 위험을 분류할 수 있다면 우선순위를 지정할 수 있습니다.
우선순위를 지정하는 방법은 다음과 같습니다.
- 관련된 자산의 가치를 기준으로 위험의 우선순위를 지정합니다.
- 하드웨어, 소프트웨어, 공급업체, 배송 서비스 등과 같은 외부 요인을 기반으로 위험을 필터링합니다.
- 특정 위험이 현실화되었을 경우, 앞으로 취해야 할 조치를 예측하여 위험을 필터링합니다.
세 가지 주요 사항을 명확히 하겠습니다.
만약 하나의 위험 가치가 100만 달러이고, 다른 위험 가치가 10억 달러라면, 당연히 후자에 더 큰 우선순위를 두어야 합니다.
다음으로, 비즈니스 목표가 외부 요인이 아닌 하드웨어에 더 의존하는 경우 해당 위험에 더 높은 우선순위를 부여해야 합니다.
마찬가지로, 특정 위험을 해결하는 데 상당한 노력이 필요하다면, 그 위험에 더 높은 우선순위를 부여해야 합니다.
#6. 제어 구현
제어 구현에 대해 이야기할 때, 이는 위험을 관리하는 데 도움이 되는 보안 조치를 의미합니다.
제어는 위험을 줄이고, 때로는 제거하는 데 도움이 됩니다.
접근 제어 시행, 엄격한 비밀번호 정책, 또는 방화벽과 같은 모든 조치는 위험을 관리하는 데 기여합니다.
#7. 모니터링 및 개선
모든 자산, 취약점 패치, 그리고 잠재적인 위험을 지속적으로 모니터링하여 개선의 여지를 찾아야 합니다.
사이버 보안 위협은 끊임없이 진화하며, 견고한 보안 전략도 무력화시킬 수 있습니다. 따라서 모든 준비 상태를 정기적으로 점검해야 합니다.
보안 감사는 도움이 될 수 있지만, 감사에서 좋은 결과를 얻었다고 해서 모니터링을 중단해서는 안 됩니다.
모니터링을 소홀히 하면 사이버 위협에 대한 경계가 낮아질 수 있습니다.
#8. 규정 준수 및 법률
사이버 보안 평가를 완료하면 조직은 자연스럽게 특정 표준 및 법률을 준수하게 됩니다. 그러나 이러한 준수 여부를 재확인하고 싶을 수도 있습니다.
평가를 규정 준수 요건에 맞춰서 수행해서는 안 됩니다. 오히려 먼저 평가를 수행한 다음, 법률이나 표준을 위반하지 않고 운영할 수 있도록 규정 준수 요건을 충족하도록 조정해야 합니다.
예를 들어, 조직이 미국에서 의료 정보를 다루는 경우 HIPAA 준수가 필요합니다.
비즈니스/조직의 지리적 위치에서 요구하는 규정을 확인한 후, 이에 맞춰 평가를 진행해야 합니다.
#9. 지속적인 개선
아무리 우수한 조치, 제어, 그리고 위협 연구를 수행하더라도, 지속적인 개선 노력으로 귀결됩니다.
조직이 문제를 수정/강화하기 위해 재검토, 개선, 또는 약간의 변경을 원하지 않는다면, 사이버 보안 전략은 예상보다 빨리 실패할 수 있습니다.
사이버 보안 위험 평가는 필수입니다
사이버 보안 위험 평가는 모든 종류의 조직에 매우 중요합니다.
규모가 크든 작든, 온라인 서비스에 대한 의존도가 높든 낮든 관계없이, 이 평가는 필수적입니다. 이 평가는 조직과 관련된 관리자, 이해관계자 또는 벤더가 자산을 안전하게 유지하고 사이버 공격 후 피해를 최소화하는 데 필요한 리소스를 파악하는 데 도움을 줍니다.
중소기업을 위한 사이버 보안 체크리스트도 참고해 볼 수 있습니다.