자산 분석, 위협 분석, 취약성 분석의 각 단계를수행하여 위험을 분석하는 것을 말한다.-
① 베이스 라인 접근법
-
② 비정형 접근법
-
③ 상세 위험 분석
-
④ 혼합 접근법
위험분석 접근법
정보기술 보안 관리를 위한 국제 표준 지침인 ISO/IEC 1335-1 에서는 위험분석 전략을 크게 4 가지로 나눈다. 이들은 베이스라인 접근법, 비정형 접근법, 상세 위험분석, 복합 접근법이다.
▶ 베이스라인 접근법(Baseline approach)
베이스라인 접근법은 모든 시스템에 대하여 표준화된 보안대책의 세트를 체크리스트 형태로 제공한다. 이 체크리스트에 있는 보안대책이 현재 구현되어 있는지를 판단하여 없는 것을 구현하는 방식을 취한다. 이러한 방식은 분석의 비용과 시간이 대단히 절약된다는 장점은 있으나 과보호 또는 부족한 보호가 될 가능성이 상존하게 된다. 즉, 그 조직에 적합한 체크리스트가 존재하는 경우가 아니라면 위험분석을 하지 않는 것과 유사한 상태가 된다. 또한 이런 방식은 조직의 자산 변동이나 새로운 위협/취약성의 발생 또는 위협 발생률의 변화 등 보안 환경의 변화를 적절하게 반영하지 못한다는 점이 있다. 또한 체크리스트 방식은 담당자로 하여금 보안 상태 자체보다 체크리스트를 통해 나타나는 점수에 집착하게끔 하여 보안 필요에 따른 우선순위보다는 구현 용이성에 따라 정보보호대책을 구현하게 되는 경향이 나타나기 쉽다.
▶ 비정형 접근법(Informal approach)
비정형 접근법 은 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행하는 것이다. 이 방식은 다음에 설명할 상세 위험분석 보다 빠르고 비용이 덜 든다. 특정 위험분석 모델과 기법을 선정하여 수행하지 않고 수행자의 경험에 따라 중요 위험 중심으로 분석한다. 이러한 방식은 작은 규모의 조직에는 적합할 수 있으나 새로이 나타나거나 수행자의 경험 분야가 적은 위험 영역을 놓칠 가능성이 있다. 논리적이고 검증된 방법론이 아닌 검토자의 개인적 경험에 지나치게 의존하므로 사업 분야 및 보안에 전문성이 높은 인력이 참여하여 수행하지 않으면 실패할 위험이 있다.
▶ 상세 위험 분석(Detailed risk analysis)
상세 위험 분석 은 잘 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 것이다. 방법론에 따라서는 취약성 분석과 별도로 설치된 정보보호 대책 분석을 수행하기도 한다. 이러한 방식은 조직의 자산 및 보안 요구 사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있으며, 자산, 위협, 취약성의 목록이 작성 검토되었으므로 이후 변경이 발생하였을 때 해당 변경에 관련된 사항만을 추가, 조정, 삭제함으로써 보안 환경의 변화에 적절히 대처할 수 있다. 그러나 이런 방식은 분석에 시간과 노력이 많이 소요되며 채택한 위험 분석 방법론과 모델을 잘 이해하여야 하므로 비정형 접근법과 마찬가지로 고급의 인적 자원이 필요하다.
'정보보안 > 정보보안기사 필기' 카테고리의 다른 글
| 정보통신기반 시설 보호 지원 [D-8](43/49) (0) | 2025.03.08 |
|---|---|
| 정보통신망법[D-7](42/42) (0) | 2025.02.28 |
| 개인정보보호법 대리인 권한 행사 나이 [D-7](40/42) (0) | 2025.02.28 |
| 정보보호 사전점검 [D-7](39/42) (3) | 2025.02.28 |
| 개인정보 유출시 [D-7](38/42) (0) | 2025.02.28 |