1. 보안관리 개념 및 원칙
1. (isc)2 Survey 보안이슈
1) 경영진의 지원이 없다면? ( 경영진의 지원과 의지)
- 자원은 할당되지 않을 것이며, 정책은 실행되지 않을 것이다.
- 정보보안 프로그램과 정책은 단지 ‘paper’에 불과하다
- 효과적인 정보보안 프로그램은 불가능하다.
- 조직의 지원과 예산을 배정할 수 없다.
2. Security Triad
1) 기밀성(Confidentiality) : 데이터, 객체, 혹은 리소스가 허가 받지 않은 주체에 의해서 노출되지 않는 높은 수준의 확신을 제공한다.
① 기밀성을 보장하기 위한 대책 : 암호화, 트래픽 패딩, 접근통제, 데이터 분류
② 연관 : 민감성, 분별, 중대성, 은닉, 비밀, 사적보호, 격리
2) 무결성(integrity) : 객체가 그것의 진실성을 유지하고 오직 권한부여 된 주체에 의해서만 의도적으로 수정되는 원칙
① 무결성을 보장하기 위한 대책 : 접근통제, 인증, IDS, 암호화, hash검증 등
② 연관 : 정확성, 진실성, 확실성, 유효성, 부인 봉쇄, 책임추궁성, 책임, 완전성
3) 가용성(Availability):권한부여된 주체가 객체에 대하여 시기적절하고 방해받지 않는 접근이 허가 되는 원칙
① 가용성을 보장하기 위한 대책 : 성능 및 네트워크 모니터링, FW, 백업 등
② 연관 : 유용성, 접근가능성, 시기 적절함
3. 보안 목표
|
|
위협요소 |
대응책 |
|
기밀성
Confidentiality |
스니핑, 도청
Shoulder surfing |
암호화
VPN |
|
무결성
Integrity |
중간자 공격
트로이 목마 |
접근통제/인증
직무분리 |
|
가용성
Availability |
도스 공격
버퍼 오버 플로우 |
백업
Fault Tolerant(이중화) |
|
책임추적성
Accountability |
로그 삭제 및 파괴
해커 |
감사증적
식별, 인증, 권한부여(접근통제) |
4. Accountability,Traceability
l 보안사고 발생시 누구에 의해 어떤방법으로 발생한 것인지 추측할 수 있어야 함
l 주체의 신원을 증명(인증)하고 그들의 활동을 추적(Trace)하는 능력에 의존
l 식별, 인증 권한부여, 접근통제, 감사의 개념 위에 세워진다.
l Auditability와 동일한의미
l 시스템 로그와 데이터베이스 저널(database journals), auditing에 의해 수행
1) Audit trail(trace) 거래 증빙 문서
5. 보안 목적 : “Inter-dependencies”(상호의존적) :
1) 기밀성과 무결성은 서로에게 의존 : 객체 무결성이 없다면, 기밀성은 유지 될 수 없다.
2) 가용성은 무결성과 기밀성 모두에게 의존한다.
6. Residual Risk
1) Total Risk = Vulnerability * Asset value * Threat
2) 잔여위험(Residual Risk) : 위험을 감소 하기 위해 노력 이후 남는 위험
- 위험 식별 후 감소 시킬 수는 있으나 완전히 없앨 수는 없다.
7. Reporting Model(보고체계 모델)
1) 보안에 대한 경영진의 관심을 유도해 낼 수 있으며, 적절한 예산과 자원을 확보할 수 있기 때문에 가능한 조직에서 높은 지위에게 보고를 해야한다.
2) 적절한 리포팅 관계는 부서간 이익의 충돌을 최소화 할 수 있으며, 전시 효과를 증가 시키고, 적절하게 펀딩을 할당하고, 소통을 효과적으로 할 수 있게 한다.
2. 데이터 등급 분류
1. 데이터 분류의 목적
1) 기밀성, 무결성, 가용성을 증진시키고 정보에 대한 위험을 최소화
2) Cost-to-benefit ratio의 수립
3) Maintain competitive edge
4) Classification의 기본적인 목적은 자산들을 그룹핑하여 적절한 Class로 할당하는 것임
2. Classification Criterial(분류기준):
1) 부여된 중요성과 민감성 Label에 기반하여 데이터를 보호하는 과정을 정형화 하고 계층화 하는 것
① 가치 및 유용성(value&Usefulness):데이터 등급 결정의 가장 중요한 요소
② Lifetime:classified된 데이터는 일정 기간이 지나면 자동으로 분류 해제
③ 데이터가 노출되었을 경우에 발생할 수 있는 피해의 수준
④ 데이터가 수정되거나 손상이 되었을 경우에 발생할 수 있는 피해의 수준
⑤ 데이터 보호에 관한 법, 규제, 혹은 책임
3. 자산의 가치 결정 이유
1) CBA(Cost Benefit Analysis) 수행
2) Safeguard selection 선택
3) 보험가입
4) “Due Care”를 만족시키기 위해서
l 데이터는 가능한 한 단순하게, 분류레벨도 최소화하여 분류
4. 자산 분류의 원칙
1) 자원을 분류하기 위해서 Risk-based approach를 고려
2) 가능한 단순하게 하고, 분류 레벨도 최소화
3) 데이터를 분류하는 이유는 “민감한 데이터를 더 잘 보호하기 위해서”
4) Label=Lever * Category
5. 데이터 분류 과정
1) 분류 수준(Classification Level)을 정의한다. ( 보안관리자 )
2) 데이터 분류의 결정 기준을 정의한다 ( 보안관리자 )
3) 데이터 소유자가 책임지고 데이터의 등급을 표시한다 (주관 부서장 주제, 등급 )
4) 분류된 수준에 따라 데이터를 책임지고 유지할 관리인(Custodian)을 지정 한다.
5) 각각의 분류 수준에 따르는 보안 통제, 보호 메커니즘을 결정한다.
6) 정보 분류 이슈들에 대한 모든 예외 사항들을 문서화 한다.
7) 보관 중인 정보를 다른 데이터 소유자에게 전송하는 방법에 대해 명시한다.
8) 주기적으로 데이터 분류와 소유권을 검토하는 절차를 만든다.
9) 데이터 declassify에 대한 절차를 명시한다.
10) 보안인식 프로그램에 통합하여 모든 직원들이 데이터를 다루는 방법을 이해 할 수 있게 한다.
l Classification Control
- 중요 데이터와 응용프로그램에 대한 강력하고 세분화된 접근 통제
- 데이터 저장 및 전송 중의 암호화
- 감사와 모니터링
- 직무 분리
- 주기적 검토
- 백업 및 복구 절차
- 변경통제 절차
6. 책임의 계층
1) End User : 회사직원, 고객 등
① 업무와 관련된 작업을 위해 데이터를 일상적으로 사용하는 개인
② 데이터의 기밀성, 무결성, 가용성을 보장하기 위한 운영적인 보안절차를 따름( 준수 책임 )
③ 조직의 일선에서의 눈과 귀의 역할을 하며 보안 사고를 보고
2) 정보보안 관리자
① 보안 위험에 대해 경영진과 Communication 수행
② 보안 표준, 절차, 가이드라인의 개발
③ 보안 인식 프로그램의 개발과 제공
④ 보안 컴플라이언스 프로그램의 개발
⑤ 내/외부 감사인 지원
⑥ 보안 사고 및 대응을 평가/측정
3) Biz/Data Owner
① 최고 경영진의 구성원으로서 데이터 보호와 사용에 궁극적인 책임
② 데이터 분류 결정, 데이터에 대한 관리(유지, 보안, 백업) 권한을 Custodian에게 위임
③ 자신이 책임지고 있는 데이터에 대한 보안사고에 대해서 처리할 책임
4) 경영진
① 정보자산 보호에 대한 궁극적인 책임
② 조직이 받아들일 수 있는 위험 수준을 인지
5) Data Custodian
6) Librarian
① 메인 프레임 환경(실시간이 아닌 일괄 처리 환경)에서 수립된 직무로 시스템 어드민 또는 운영자의 직무 기능으로 통합
② Removable media(테이프, 디스크 등)을 다루는 책임
③ 백업 매체의 오프 사이트로 이동
④ 프로그램을 생산환경으로 이동 예)프로그램 백업 카피 준비( 개발자가 하면 안됨)
⑤ 소스코드 통제
7) IS감사인
① 보안 목적의 적절성에 대해 경영진에게 독립적인 보증을 제공
② 경영진에게 통제의 효과성에 대해 독립적인 견해를 제공
③ 외부감사인의 감사는 객관성을 제공
8) System Admin(운영자)
① 소프트웨어 배포 시스템 운영 예) 업데이트, 패치
② 주기적으로 취약점 분선 툴을 사용하여 취약점 fix를 위한 업그레이드 및 패치
9) IS 보안 운영 위원회
① 전술적, 전략적인 보안 이슈에 대한 결정을 책임
② CEO가 Head이며, CFO, CIO 부서 매니저, 감사인이 참여
③ 조직의 수용가능한 위험을 정의
④ 보안 목적과 전략을 개발
⑤ 이니셔티브의 우선권 결정
3. 보안 프로그램
1. 보안프로그램(보안 관리시스템)
l 보안정책,
l 표준/가이드라인,
l 절차/사고처리+(대책/솔루션),
l 보안인식교육
1) 프로그램의 계층적 구조
2) 정책 : 조직의 보안 필요에 대한 개요 혹은 일반화, 보안이 중요한 이유와 어떤 자산이 가치가 있는지를 명확하게 정의
3) 표준 : 하드웨어, 소프트웨어, 기술, 그리고 보안통제의 균일한 사용을 위한 강제적인 요구사항 정의
4) 절차 : 특정 보안 메커니즘, 통제 등을 구현하기 위해 필요한 정확한 실행을 설명하는 상세한, 단계별 how-to 문서이다.
5) 지침 : 표준과 기준이 구현되는 방법에 대한 권장 사항을 제공
2. 보안 프로그램(거버넌스)
1) Corporate Governance
- 기업이 지시되고 통제되는 시스템
- 전략적 방향을 제공하기 위해 조직 경영진이 사용하는 책임과 업무의 집합으로서, 이를 통해 조직 목표가 달성가능하고, 위험이 적절히 대응되며, 조직의 자원이 적절히 사용되도록 보장
2) Information Security Governance
- 보안에 거버넌스가 적용 될 경우 보안 목표와 기업의 목표를 연계하는 것을 도와준다.
- 책임 : 이사회와 경영진
3. 보안 프로그램(보안정책)
1) 보안 정책 개요
① 보안정책의 정의
- 반드시 충족 해야 할 특정 요구사항 또는 규칙에 대한 윤곽을 명시한 문서(포괄적)
- Senior management(고위경영진)에 의해 생성 된 high level statement
- Borad(포괄적),General(일반적),Overview(개괄적)
- 정책은 문서화되어야 하고 교육을 잘 시킨 상태라야 법적보호를 받게 된다.
i. 공식적으로 문서화 시켜 놓지 않는다면 법률상의 문제 발생시 법정에서 법적 인정을 받지 못함. (Due Care, Due Diligence 준수)
- 새로운 비즈니스 모델을 도입했거나 다른 회사와 합병했거나, 소유주가 변경 되는 등의 기업환경이 변화하면 반드시 수정되고 재검토 되어야한다.
② 보안정책 서술 기법
- 명료(clear)& 간략(concise)하고 포괄적인 용어로 작성 되야 함
③ 정책 수립 시 고려요소
- Meet Business objectives : 경영 목적 반영
④ 정보보호 정책 수립 시 중요성
- 정책은 조직 문화의 방향을 제시한다
- 무엇을 보호하고 왜 보호 해야하는 가가 기술 되어 있다.
- 정책은 무엇을 제일 우선적으로 보호해야 하며 비용은 얼마를 투자해야 하는가에 대한 우선순위를 정한다.
- 보안 정책을 마련하는 것은 사용자의 네트워크를 보호하고 지키기 위한 필수적인 첫번째 단계이다. 보안정책은 자신의 회사와 네트워크 내에서 허용되는 행위로 적합한 행위가 무엇인지 정의하는 기준이 된다. 보안정책 수립은 가장 기본적인 단계이며, 다른 모든 것을 판단하는 ‘법률의 규칙’이 된다.
⑤ 정책 선언문에 포함 되어야 할 사항
- 조직의 보안목표
- 책임은 누구에게 있는가
- 보안에 대한 기관의 실행의지
⑥ 보안 정책 “MUST”
- Be based on Risk and Cost (기본적인 위험과 가격 감안)
- Are Enforceable (현실성, 처벌규정)
- Communicate Policy
- Track Exceptions (예외 사항)
2) 보안 정책의 종류
① Acceptable Use Policy(허가된 사용에 대한 정책): 회사자원의 적절한 사용
- 회사 컴퓨팅 자원의 적절한 사용을 정의
- 조직 자원의 사용에 대해 acceptable/unacceptable에 대한 정의
- 많은 회사들이 첫 번째 고용 시 계정을 부여하기 전에 읽고 사인 요구
② Unacceptable Use(금지된 사용에 대한 정책)
- 해적판 소프트웨어,라이선스를 가지지 않은 소프트웨어를 설치하거나 배포하는 등, 지적재산권 침해행위
- 다른사람에게 자신의 계정과 패스워드를 알려주거나 다른 사람이 자신의 계정을 사용하도록 허락하는 행위 (책임추적성 손상)
- 회사 보안팀이 사전에 공지하지 않은 포트 스캐닝이나, 네트워크에 대한 감시를 하는 모든 행위
③ User Account(계정정책)
- 시스템이 사용자들을 식별 하기 위해서 필요(개인별 계정부여)
- 사용자들이 비인가 된 자원의 접근을 얻기 위한 시도가 허가되지 않아야 한다.
④ Remote Account(원격 접속에 대한 정책)(내부 직원)
- 회사직원, 계약자, 벤더에게 모두 적용
- Dial-in modems, frame relay, ISDN, DSL, VPN,.SSH and cable modems, etc
⑤ 엑스트라넷 연결정책 (외부 업체)
- 자신의 조직과 관련 없는(외부 업체) 사람들이 네트워크에 있는 자원에 연결하거나 접근 하려 할 때 이를 “처리하는 방법”과 “요구사항들”을 다룬다.
- 요청하는 사람들 : 회사와 합법적으로 일하려 하는 계약자, 사업 파트너, 특별한 주의를 요하는 큰 규모의 고객 집단
3) Security Policy Type
① Organizational /program Security Policy(조직 전반적인 정책)
- Senior level management(고위경영진 선언문)
- 개괄적, 별로 수정을 요하지 않음
- 보안을 위한 조직의 전략적 방향을 제시하고 그 이행을 위한 자원할당
- 조직 내 프로그램의 목적과 그 범위를 규정, 프로그램 이행을 위한 책임을 할당, 직원들이 준수해야 될 사항들을 설명
② Issue-Specific Security Policies(ISSP)(사안별 보안 정책)
- 그때그때 상황에 맞는 적절성과 조직의 관심사항 등에 초점, 잦은 개정(업데이트)이 요구 됨.
- 새로운 기술과 새로운 위협이 새로이 생성 될 때 개별 쟁점 정책 필요
- 관련 토픽 : APT(Advanced Persistent Threat), 사용자의 보안의식, 건전한 습관( 주기적 백업, PW교체 등)
③ System-Specific Policy(SysSP) (시스템 별 정책)
- 접근통제 목록을 작성 하거나 사용자들에게 허용되는 행위 등에 대한 교육을 실시할 때 필요한 일반적인 정보나 방침을 제공
- 개별 시스템(컴퓨터, 네트워크)에 대한 보안 목적을 정의
4) 보안 프로그램(보안 표준, 가이드라인, 절차, 베이스라인)
① Standard(필수)
- 조직 내의 의무적 사항으로 특정한 기술/ 파라미터, 절차의 공통된 사용을 규정
- 여러 당사자들 사이에 동일하고 효과적인 운영을 위해 합의된 협정들
- 정책을 준수하는 Uniform, Consistent Method 도달해야 할 기대 수준
② Guideline(필수)
- 조직 내에서의 의무적인 사항이 아니라 제안적인(suggestive)사항
- System-specific standard procedures를 개발하는 데 도움을 줌
- 특정 표준이 적용되지 않는 사람들에 대한 권고 행위와 운영적인 사항
③ Procedure(선택)
- 특정 task를 달성하기 위해 상세히 설계
- 특정 업무를 수행하기 위한 사용자나 시스템 운영자가 적용되고 있는 보안정책, 표준, 가이드라인을 수행하는데 필요한 자세한 단계를 기술
- 보안정책, 표준, 지침을 잘 적용 할 수 있도록 도와준다
- Step-by-Step Procedure(단계별)
④ Baseline(선택)
- 필요한 최소 보호 수준을 정의
⑤ 표준, 지침, 베이스라인은 각자 개별화 하고 모듈화 해야 한다.
5) 보안 프로그램(보안 관리 계획)
l 보안 관리 계획은 장기-> 중기-> 단기 순으로 Top Down방식
6) 보안 프로그램(보안 인식교육)
① 보안인식교육의 목적 및 이점
- 보안 인식은 IT보안의 핵심적인 요소
- 행동의 변화와 좋은 보안정책의 실행을 강화
- 좋은 정보보호 습관을 강화하기 위한 것
- Top-down(tone from the top)방식으로 유도되어야 함
- Fraud 및 비 인가된 행동 감소, 회사자원의 개인적 사용감소
② 보안인식을 전달하는 기술
- WBT(Web-Base Training), CBT(Computer-Base Training)
- 원격 컨퍼런스 기반 세션, Webinar(Web+Seminar)
- 보상프로그램 및 컴퓨터 정보보호의 날
③ 보안인식 교육 주제(Topic)
- 보안정책
- 패스워드 정책
- 악성코드
- 사회공학
④ 보안인식교육의 효과적인 방법은 개인화/맞춤화 해야한다.
⑤ 보안 교육의 종류
|
|
인식 |
훈련 |
교육 |
|
특성 |
무엇을 |
어떻게 |
왜 |
|
단계 |
정보 |
지식 |
통찰력 |
|
목적 |
태도/인지(습관변화) |
기술 |
이해 |
|
교육 방법 |
매체 |
실질적인 교육 |
이론적인 교육 |
|
비디오 |
강의 |
토론 세미나 |
|
뉴스레터 |
사례연구 워크샵 |
배경지식 일기 |
|
포스트 등등 |
실습 |
|
|
평가 척도 |
참/거짓 |
문제 해결 |
단편의 글 |
|
사지선다형 문제 |
배운 것의 응용 |
배운 내용 기술 |
|
배운 내용 확인 |
|
|
|
영향을 미치는
기간 |
단기간 |
중간 |
장기간 |
⑥ Education
- Awareness : 태도/ 인식/ 습관
- Training : 기술/실무
- Education : 이해/이론/지식/통찰력
⑦ 보안인식 교육이 효과적이고 기억에 오래 남게 하는 법
- Role Play : Piggyback(Tailgating), pw reset
- Analogies 사용 : 복잡한 상황을 비유하여 설명
- 명백하고 이해하기 쉬운 형태로 토픽의 중요성(취지나 동기) 설명
⑧ 보안인식 교육의 효과 측정법
- 보안 위반 신고 건수 증가, 보안 위반 건수 감소
- 보안 관련 헬프 데스크 문의 건수
- 직접 질문, 설문지 배포
⑨ 보안인식 프로그램의 필수 요소
- 단순하고 직설적으로.
- Top-Down 접근법( 최고 경영진의 지원과 모범)
4. 위험 관리
1. 위험관리 개요
1) 목적
① 위험을 수용 가능 한 수준으로 감소 시키는 것
② 조직의 정보에 대하여 더 나은 보안을 제공, 지출을 위한 최고경영자 설득 시 데이터 제공과 위험관리를 통해 나온 결과를 기반으로 관리자가 IT시스템에 대하여 최종 운용을 허가하도록 지원 해 줌
2) 성공적인 위험관리의 핵심
① 경영진의 지원
② 지속적인 위험평가와 위험관리
③ 모든 종사원들의 Awreness 및 협력
2. Risk Mitigation(위험완화) : 위험 분석을 통한 Risk에 대하여 Cost-benefit analysis(CBA)를 통하여 가장 효율적인 보안 대책이나 대응방안을 수립 하는 것
1) Risk Mitigation option
3. 비용대비 투자효과 분석
1) 기본용어
① Single Loss Expectancy(단일 손실 예상액)
- 1회 손실액(SLE) = 자산가치(AV) X 노출계수(EF)
② Annualized Rate of Occurrence(년간 위협 발생 빈도수)
- 특정 위협이 1년에 발생할 예상 빈도
③ Annualized Loss Expectancy(년간 손실 예상액)
- ALE = SLE * ARO = 자산가치(AV)*노출계수(EF)*위협주기(ARO)
2) ROSI(Return on Security Investment)
① ROSI의 필요성
- 보안통제가 없다면 재정적 피해를 얼마나 받을 수 있는지 알기 위해서
② Soft Return On Investment(SORI) : 주관적
- 많은 보안관리자들은 여기에 의존
③ Hard Return On Investment(HROI)
- 보안사용을 정당화하는데 도움을 주는 정량적인 답을 제공
- ALE=SLE*ARO
EX ) 네트워크를 통합 불법적 접근으로 인한 ALE는 10억원. 특정 방화벽 제품을 도입하면 불법접근의 80%를 예방 가능 이 제품의 연간 비용 3억 이 방화벽의 가치는? 5억원
3) CBA-Cost Benefit Analysis
① TCO
- 가용기간 전체에 걸쳐 소요되는 총비용(라이프사이클 비용)
- 도입부터 폐기까지 들어가는 총 비용
- 비용 사례
i. 하드웨어/프로그램 : 도입비, 설치비, 업그레이드 비용
ii. 운영비 : 테스트 비용, 전기, 보안 비용, 백업비용 ,감사, 보험비용
iii. 장기적인 비용 : 교체비, 폐기 비용 등
- Life Cycle: 계획 -> 구축 -> 유지관리 -> 변경/개선 -> 폐기
4. 위험 관리(위험분석)
1) 위험분석(Risk Analysis) 개요
l 보안관리를 수행하기 위해서 시스템의 위험을 평가하고, 비용 효과적인 대응책을 제시하여 시스템 보안 정책과 보안 대응책 구현 계획을 수립하는 위험관리의 핵심이 되는 역할을 담당
l 어떤 위험이 완화되고 전가되어야 하는지, 수용되어야 하는지를 결정하기 위해 필요한 내역을 경영진에게 제공
l 성공적인 수행을 위해 top management의 직접적인 지원 필요
① 위험분석의 주요 목표
- IT자산에 대한 위험을 측정
- 잠재적 위협의 영향을 질량화(quantify)
- 비용/이익 비교를 제공
② 위험분석의 결과(output)
- 중요한 자산에 대한 가치화(평가)
- Safeguard나 countermeasure에 대한 추천
③ 위험분석 시기(1년에 1번씩)
- 지속적 프로세스
- 조직의 사이즈와 activity 변경 시 (인수합병)
- 복잡하고 큰 컴퓨터 시스템 도입 시
- 조직 내 외부에 위협이 되는 것이 생겼을 때
④ 위험분석에는 다음과 같은 것이 포함된다.
- 위험의 원천에 대한 철저한 조사
- 위험의 긍정적 및 부정적 결과
- 이러한 결과의 발생 가능성과 여기에 영향을 미치는 요인
2) 자산에 대하여 가치를 부여할 때 고려요소
l 기꺼이 비용을 지불할 만한 가치
l 투자된 초기 구매, 개발, 지원 및 보호 비용(역사적 원가)
l 지적 자산과 시장에서 형성된 가치(처분 가치)
l 분실 시 대처 비용을 포함 한 자산 불용 시 운용이나 생산성에 끼치는 영향, 그리고 그 자산의 피해로 인한 조직의 생산활동과 향후 기업 활동에 끼치는 영향 = 대체비용 + 기타 손실비용
① 자산가치 산정 시 정량적, 정성적 방법을 적용할 때 기준
|
정량적 기준 |
정성적 기준 |
|
자산 도입 비용 기준 |
업무 처리에 대한 자산의 기여도 |
|
자산 복구 비용 기준 |
자산이 영향을 미치는 조직과 작업의 수 |
|
자산교체 비용 기준 |
복구시간 |
|
기타 |
기타(조직의 특성에 맞는 요소들) |
② 자산 복구 비용 기준의 예(Time Factor를 이용)
- 시스템 관리자 : 시스템 관리자(직급) 수당/hr X 복구 시간(hr) = Value
- 데이터 : 복구 시간(hr) X 복구 인력 수당 / hr = 데이터(중요도) Value
- 장비 : 장비대수 X 장비 당 평균 복구 시간(hr) X 시간당 복구 비용
3) 정량적 위험 분석
① 정량적(Quantitative)위험 분석
- 자산가치, 위협 빈도, 취약의 심각성 등의 항목이 수량화 되어 전체적 위험과 잔여 위험을 결정하기 위해 방정식(숫자값)에 입력 된다.
- Numeric value로 표현하는 분석 방법 예)ALE
- Hard dollars, Straightforward approach
- 공식적인 cost/Benefit Analysis 제공
② 정량적 분석 – 장정
- 의미 있는 통계적 분석이 지원
- 정보의 가치가 이해가 쉽게 표현
- 경영진을 설득시키기에 용이(객관성 있는 데이터 제공)
③ 정량적 분석 – 단점
- 계산이 복잡
- 환경에 대한 자세한 정보의 수집이 필요
- 자동화 툴이 없으면 작업량이 너무 많다.
4) 정성적 위험 분석
① 정성적(Qualitative)위험 분석
- 위험의 구성요소와 손실에 대하여 정확한 숫자나 화폐적 가치를 부여하지 않고, 위험가능성의 시나리오에 자산의 중요성, 위협, 취약성의 심각성을 등급 또는 순위에 의해 상대적으로 비교하는 방법
- 자산의 가치를 나타내기 위해 high, medium, low 등의 rate로 표현 하며, 판단, 직관, 경험을 포함한다.
- Very Subjective in nature (매우 주관적이다)
- 계산이 단순하다
② Methods
- Delphi Technique : 위협과 취약점에 대해 다양한 관련 전문가들이 토론하여 우선 순위를 결정하는 방법 비용을 절감 할 수 있다는 장점
5) 정량적 위험 분석 vs 정성적 위험 분석
|
특징 |
정성적 |
정량적 |
|
Cost/benefit analysis |
X |
O |
|
추측작업 요구 |
O |
X |
|
자동화 지원 |
X |
O |
|
객관적 |
X |
O |
|
많은 시간과 노력을 요구 |
X |
O |
5. 인사 보안
1. 인적 관리의 개요
l 모든 직원들, 외주직원, 퇴직자들은 직무상 알게 된 비밀을 지킬 의무가 있음을 주지 시키고 서약서에 서명하도록 함
l 작업 마무리 시 기업의 소유물을 반환해야 함
l 내부자의 실수나 무지에 의한 보안사고는 보안인식프로그램을 통해 예방, 고의에 의한 부정과 사기를 예방하기 위해선 직원의 채용, 고용 및 퇴사 과정을 통제
2. 고용 실무
1) 직위 정의 : 직무분리, 최소권한 원칙
2) 직위의 보안체크를 통한 민감도 결정
3) Security Check
① Identity Check(신원확인)
② Education & Credential Check(교육이력 확인)
③ Criminal Court History(범죄경력)
④ Previous Employment Verification(이전 직장에서의 평가)
⑤ Motor Vehicle Records(음주사고)
⑥ Drug History(불법약물 사용여부, 소변검사)
⑦ Polygraph(거짓말 탐지기)
3. 인사 통제
1) 직무분리(예방)
① Split Knowledge(찢어진 지식 = 직무분리)
② 중요 업무를 한 직원이 수행하지 않고, 2인 이상의 직원이 나누어서 수행
③ 의도적인 시스템과 자원의 남용위험을 감소시킴
2) 직무순환(예방)
① 부정 적발
② 동료 간 감시 기능 : 유사직위를 가진 직원들 사이의 상호 감사 중요 업무를 한 직원이 수행하지 않고, 2인 이상의 직원이 나누어서 수행
3) 강제휴가(적발)
① 1~2주 정도 직원의 업무와 특권을 감사
② 횡령 예방 효과
③ 이 기간 동안에 해당직원의 직무 수행결과를 검토하여 부정을 발견
4. 퇴사(Termination)
l 조직의 시스템에 대한 접근 권한을 disable
l 비자발적 퇴사 시 회사 밖까지 Escort
l 기밀 유지 동의서(NDA)의 검토
n 직원이 어떤 상황에서든 불만을 가지고 있거나 강제적으로 퇴직을 당했다면, 해당사용자의 계정을 반드시 곧바로 사용할 수 없게 해야 하고 모든 시스템의 패스워드를 변경
5. 퇴직 면담
l 퇴직 직원의 매니저와 간단히 인터뷰 : 퇴직 직원이 개인 파일, 실적 검토 등
l 회사의 자산과 물건들이 반환되었는지 검토
6. 사회공학
1. Social Engineering?
l 사람을 속여서 민감한 정보를 유출하게 하는 기술
2. 사회공학의 도구
l Shoulder surfing(어깨너머 훔쳐보기)
l Dumpster Diving(쓰레기통 뒤지기)
l Blackmail(협박)
l 도청 등
3. Reverse Social Engineering(RSE)
l Advanced method of social engineering
l 공격자가 공격대상이 모르게 미리 특정한 문제를 유발시킨 후 공격 대상이 자발적으로 공격자에게 도움을 요청하도록 만드는 기법
4. Phishing(Email)
1) Phishing : 신뢰할 수 있는 객체로 가장하여 민감한 정보를 얻기 위해 시도
① 불특정인 대상
② 기법 : 사회 공학, 링크 조작, 가짜 웹사이트
2) Spear Phishing:특정 회사나 조직에 침투하기 위해 그 일부의 사람들에 대한 정밀한 공격
① EX) IRS라는 명칭이 시험에 나오면 미국국세청을 지칭함
5. Pharming
l 희생자 컴퓨터의 있는 호스트 파일을 변경하거나 DNS서버 S/W의 취약점 악용
l DNS의 무결성을 깨려고 시도하는 피싱 공격자들이 종종 사용하는 공격 유형
l 전자 상거래를 호스팅하는 비즈니스와 온라인 뱅킹 웹사이트의 주요 관심사
l 백신과 스파이웨어 제거 소프트웨어로 방어 불가
(1) 새로운 직원 고용 시
A. NDA서명, 신원조회, 이전 직장 평가, 도핑 테스트, 거짓말 탐지기, 음주 운전, 교육이력확인
(2) 임무 분할
A. 민감한 업무가 한 사람에 의해 처리되지 않도록 하기 위함. 한 사람에 의해 처리 되는 경우 기업 자산에 대한 부정사용, 보안 메커니즘 훼손 우려
(3) 최소 권한의 원칙
A. 한 사람이 어떤 업무를 처리, 완료함에 있어 최소한의 권한 만을 주는 것
(4) 직무순환과 강제 휴가가 필요한 이유?
A. 직무순환 : 한 사람이 유착되는 경우 부정부패가 증가 할 수 있다, 상호 감사 목적
B. 강제휴가 : 강제 휴가를 보낸 뒤 감사(남용, 사기, 태만)
(5) 퇴직 절차 시
A. 퇴직 한 뒤 모든 권한을 disable 시킬 것, 출입구 밖까지 동행, NDA(비밀유지서약서), 기업 내 자산 반환
(6) 보안 역할
A. 감사인, 시스템관리자, 최종사용자, 경영진, 상위 관리층, 보안전문가, 데이터소유자,데이터 관리자
