KR101623843B1 - 정보자산의 위험평가시스템 및 그 방법 - Google Patents

정보자산의 위험평가시스템 및 그 방법 Download PDF

Info

Publication number
KR101623843B1
KR101623843B1 KR1020140083787A KR20140083787A KR101623843B1 KR 101623843 B1 KR101623843 B1 KR 101623843B1 KR 1020140083787 A KR1020140083787 A KR 1020140083787A KR 20140083787 A KR20140083787 A KR 20140083787A KR 101623843 B1 KR101623843 B1 KR 101623843B1
Authority
KR
South Korea
Prior art keywords
value
vulnerability
asset
risk
threat
Prior art date
Application number
KR1020140083787A
Other languages
English (en)
Other versions
KR20160004791A (ko
Inventor
신대현
김영진
홍정우
Original Assignee
(주)비트러스트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)비트러스트 filed Critical (주)비트러스트
Priority to KR1020140083787A priority Critical patent/KR101623843B1/ko
Publication of KR20160004791A publication Critical patent/KR20160004791A/ko
Application granted granted Critical
Publication of KR101623843B1 publication Critical patent/KR101623843B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16ZINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS, NOT OTHERWISE PROVIDED FOR
    • G16Z99/00Subject matter not provided for in other main groups of this subclass

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

정보자산의 위험평가시스템 및 그 방법이 개시된다. 상기 위험평가시스템은, 자산별로 입력된 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 산출하는 자산가치산출부, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블을 이용하여 수치화하여 취약값을 산출하는 취약성산출부, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 위협등급을 위협등급테이블을 이용하여 수치화하여 위협값을 산출하는 위협성산출부 및 입력된 선택신호에 응답하여 상기 자산별로 설정된 취약점항목들 각각에 대한 적용비율을 선택하고, 상기 취약값에 상기 적용비율을 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 위험도값을 산출하는 위험도산출부를 구비할 수 있다.

Description

정보자산의 위험평가시스템 및 그 방법{System and method for evaluating risk of information assets}
본 발명은 정보자산의 위험평가시스템 및 그 방법에 관한 것으로, 특히 사용자에게 위험도에 따른 관리대상의 우선순위를 제공할 수 있는 정보자산의 위험평가시스템 및 그 방법에 관한 것이다.
정보자산의 위험평가는 보안관리를 수행하기 위한 필수적인 과정으로 위험을 분석하고 비용효과적인 대응책을 제시하여 보안 정책과 대응책 구현의 계획을 수립하는 위험관리의 핵심적인 과정이다. 정보 자산에 대한 위협은 물리적인 측면과 관리적인 측면, 그리고 기술적인 측면의 위협으로 나누어 볼 수 있다. 물리적인 측면의 위협은 재난, 재해에 의한 위협이나 테러에 의한 파괴 등의 물리적인 침입에 의한 위협을 들 수 있다. 관리적인 측면의 위협은 사람에 의한 도청/감청, 그리고 사회공학적인 위협을 들 수 있다. 기술적인 측면의 위협은 내부자 또는 외부자의 네트워크를 통한 위협을 들 수 있다.
위험 분석 과정은 일반적으로 자산평가 과정, 위협평가 과정, 취약성 평가과정, 그리고 위험 평가 과정으로 나눌 수 있다. 자산평가 과정은 보호해야할 자산을 식별하고 각 자산별 중요도를 파악하는 과정이다. 위협평가 과정은 정보 자산에 대한 다양한 위협요인을 파악하는 과정이다. 취약성 평가 과정은 파악된 위협요인에 대하여 파악된 각 자산의 취약점을 파악하고 침해 시 파급효과 정도를 파악하는 과정이다. 위험평가 과정은 전체 자산별 위험도 수준을 평가하고 보호대책 수립 시 우선순위 근거를 마련하는 과정이다. 이와 같은 위험분석의 일 예는 대한민국 등록특허 제10-0524649호 등에 개시되어 있다.
그런데 이러한 위험평가에 있어 자산별 취약점항목들에 대하여 중요도를 판별하지 않고 동일한 중요도로 위험을 평가하게 되어 실제로 사용자가 위험평가결과를 보고 사용자의 상황에 맞는 관리 및 보호대책 수립의 우선순위를 명확하게 설정하기 어려운 문제가 있다.
본 발명이 해결하고자 하는 과제는 자산가치, 취약성 및 위협성을 분석하여 자산의 위험도를 산출함에 있어 자산별 취약점 항목들에 대하여 적용비율을 다르게 설정하여 산출된 위험도를 사용자에게 제공함으로써 사용자에게 위험도에 따른 관리대상의 우선순위를 제공할 수 있는 정보자산의 위험평가시스템을 제공하는데 있다.
본 발명이 해결하고자 하는 다른 과제는 상기 위험평가시스템을 이용하여 자산의 위험을 평가할 수 있는 위험평가방법을 제공하는데 있다.
상기 과제를 달성하기 위한 본 발명의 일 실시예에 따른 위험평가시스템은, 자산별로 입력된 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 산출하는 자산가치산출부, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블을 이용하여 수치화하여 취약값을 산출하는 취약성산출부, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 위협등급을 위협등급테이블을 이용하여 수치화하여 위협값을 산출하는 위협성산출부 및 입력된 선택신호에 응답하여 상기 자산별로 설정된 취약점항목들 각각에 대한 적용비율을 선택하고, 상기 취약값에 상기 적용비율을 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 위험도값을 산출하는 위험도산출부를 구비할 수 있다.
상기 자산등급은 상기 자산의 가용성, 무결성 및 기밀성 각각에 대하여 입력된 등급이고, 상기 자산등급테이블은 상기 자산별로 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계가 설정되어 있을 수 있다.
상기 취약등급은 상기 취약점항목별로 노출성 및 심각성 각각에 대하여 입력된 등급이고, 상기 취약등급테이블은 상기 취약점항목별로 상기 노출성 및 심각성의 등급과 상기 취약값의 관계가 설정되어 있을 수 있다.
상기 위협등급은 상기 취약점항목별 영향력에 대하여 입력된 등급이고, 상기 위협등급테이블은 상기 취약점항목별로 상기 영향력의 등급과 상기 위협값의 관계가 설정되어 있을 수 있다.
상기 위험평가시스템은 상기 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단하는 판단부를 더 구비할 수 있다.
상기 자산은 데이터, 문서, 소프트웨어, 서버, 네트워크, 정보보호시스템, PC 및 노트북, 기타매체, 부대설비 및 부대시설 중 하나 또는 그 세부항목일 수 있다.
상기 위험평가시스템은, 상기 자산별로 산출된 취약값들을 이용하여 취약점 점수를 산출하거나, 상기 자산별로 산출된 위험도값을 이용하여 위험도 점수를 산출하거나, 상기 자산들 전체에 대한 자산가치, 상기 취약점 점수 및 상기 위험도 점수를 이용하여 전체 위험도 점수를 산출하는 통계값산출부를 더 구비할 수 있다.
상기 다른 과제를 달성하기 위한 본 발명의 일 실시예에 따른 위험평가방법은, 자산별로 입력되는 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 설정하는 단계, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블을 이용하여 수치화하여 취약값을 설정하는 단계, 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력되는 위협등급을 위협등급테이블을 이용하여 수치화하여 위협값을 설정하는 단계, 입력된 선택신호에 응답하여 상기 자산별로 설정된 취약점항목들 각각에 대한 적용비율을 선택하는 단계 및 상기 취약값에 상기 적용비율을 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 위험도값을 산출하는 단계를 포함할 수 있다.
상기 자산가치를 설정하는 단계는 상기 자산의 가용성, 무결성 및 기밀성 각각에 대하여 입력된 등급과 상기 자산등급테이블을 이용하여 상기 자산가치를 설정하는 단계이고, 상기 취약값을 설정하는 단계는 상기 취약점항목별로 노출성 및 심각성 각각에 대하여 입력된 등급과 상기 취약등급테이블을 이용하여 상기 취약값을 설정하는 단계이며, 상기 위협값을 설정하는 단계는 상기 취약점항목별로 영향력에 대하여 입력된 등급과 상기 위협등급테이블을 이용하여 상기 위협값을 설정하는 단계이고, 상기 위험도값을 산출하는 단계는 상기 취약값, 상기 적용비율 및 상기 위협값을 곱한 후 상기 자산가치를 더한 값을 자연수로 나눈 값을 상기 위험도값으로 산출하는 단계일 수 있다.
상기 위험평가방법은 상기 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단하는 단계를 더 포함할 수 있다.
본 발명의 기술적 사상에 의한 일 실시예에 따른 정보자산의 위험평가시스템 및 그 방법은 자산가치, 취약성 및 위협성을 분석하여 자산의 위험도를 산출함에 있어 자산별 취약점 항목들에 대하여 적용비율을 다르게 설정하여 산출된 위험도를 사용자에게 제공함으로써 사용자에게 위험도에 따른 관리대상의 우선순위를 제공할 수 있는 장점이 있다. 즉, 본 발명의 기술적 사상에 의한 일 실시예에 따른 정보자산의 위험평가시스템 및 그 방법은 사용자에 따라 다르게 설정된 중요도에 따라 위험평가를 하고 그 결과가 수치로 제공되므로 사용자는 평가결과를 보고 관리할 자산별 취약점항목의 우선순위를 쉽게 결정할 수 있는 장점이 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 기술적 사상에 의한 일 실시예에 따른 위험평가시스템의 블록도이다.
도 2는 도 1의 위험평가시스템을 이용하여 위험을 평가하는 방법의 흐름도이다.
도 3a 및 도 3b는 도 1의 자산가치산출부의 동작을 설명하기 위한 도면이다.
도 4a 및 도 4b는 도 1의 취약성산출부의 동작을 설명하기 위한 도면이다.
도 5a 및 도 5b는 도 1의 위협성산출부의 동작을 설명하기 위한 도면이다.
도 6a 및 도 6b는 도 1의 위험도산출부의 동작을 설명하기 위한 도면이다.
도 7은 도 1의 위험도산출부에서 상기 위험도값을 산출하는 실시예를 설명하기 위한 도면이다.
도 8 및 도 9는 도 1의 통계값산출부의 동작을 설명하기 위한 도면이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 기술적 사상에 의한 일 실시예에 따른 위험평가시스템(100)의 블록도이고, 도 2는 도 1의 위험평가시스템(100)을 이용하여 위험을 평가하는 방법의 흐름도이다.
도 1 및 도 2를 참조하면, 위험평가시스템(100)은 자산가치산출부(110), 자산등급테이블(115), 취약성산출부(120), 취약등급테이블(125), 위협성산출부(130), 위협등급테이블(135) 및 위험도산출부(140)를 구비할 수 있다. 또한, 위험평가시스템(100)은 상기 구성요소들에 더하여 판단부(150) 및 통계값산출부(160)를 선택적으로 더 구비할 수도 있다.
자산가치산출부(110)는 자산별로 입력된 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 산출할 수 있다(S210). 상기 자산은 기술적 자산, 관리적 자산, 물리적 자산 등으로 나누어질 수 있고, 예를 들어, 데이터, 문서, 소프트웨어, 서버, 네트워크, 정보보호시스템, PC 및 노트북, 기타매체, 부대설비 및 부대시설 중 하나 또는 그 세부항목일 수 있다. 상기 세부항목은 상기 자산을 보다 구체적으로 세분화한 것으로, 예를 들어 소프트웨어의 세부항목은 패키지소프트, 응용소프트, 시스템소프트, 솔루션, OS, OA 등이 될 수 있고, 서버의 세부항목은 웹서버, 메일서버, FTP서버, DB서버, 기타서버 등이 될 수 있다. 다만, 본 발명의 자산이 이상의 경우에 한정되는 것은 아니며, 위험평가의 대상이 된다면 모두 상기 자산의 범위에 포함될 수 있다. 상기 자산등급은 키보드, 마우스, 터치패드 등의 입력수단을 통하여 입력된 등급일 수 있으며, 예를 들어, 상기 자산의 가용성의 등급, 무결성의 등급 및 기밀성의 등급일 수 있다. 상기 가용성은 상기 자산이 적절한 시간에 인가된 당사자에게 접근 가능한 정도를 의미하고, 상기 무결성은 상기 자산이 인가된 당사자에 의해서 인가된 방법으로 변경 가능한 정도를 의미하며, 상기 기밀성은 상기 자산이 인가된 당사자에 의해서만 접근하는 것을 보장하는 정도를 의미할 수 있다. 자산등급테이블(115)에는 상기 자산별로 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계가 설정되어 있다. 자산가치산출부(110)의 동작에 대하여는 도 3a 및 도 3b를 참조하여 보다 상세하게 설명한다.
취약성산출부(120)는 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블(125)을 이용하여 수치화하여 취약값을 산출할 수 있다(S220). 상기 취약점항목들은 물리적, 관리적 또는 기술적으로 상기 자산에 대하여 취약성을 점검할 사항들에 관한 것으로, 상기 취약점항목들은 사용자가 입력한 사항일 수도 있고 또는 상기 자산별로 설정되어 있는 사항일 수도 있다. 상기 취약등급은 상기 자산등급과 마찬가지로 키보드, 마우스, 터치패드 등의 입력수단을 통하여 입력된 등급일 수 있으며, 예를 들어, 상기 취약점항목의 노출성의 등급 및 심각성의 등급일 수 있다. 상기 노출성은 상기 취약점항목의 외부 노출 가능성의 정도를 의미하고, 상기 심각성은 상기 취약점항목으로 인한 사고 발생 시 피해의 정도를 의미할 수 있다. 취약등급테이블(125)에는 상기 취약점항목별로 상기 노출성 및 심각성의 등급과 상기 취약값의 관계가 설정되어 있다. 취약성산출부(120)의 동작에 대하여는 도 4a 및 도 4b를 참조하여 보다 상세하게 설명한다.
위협성산출부(130)는 상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 위협등급을 위협등급테이블(135)을 이용하여 수치화하여 위협값을 산출할 수 있다(S230). 상기 취약점항목들은 앞서 설명한 것과 같이 물리적, 관리적 또는 기술적으로 취약성을 점검할 사항들에 관한 것으로, 상기 취약점항목들은 사용자가 입력한 사항일 수도 있고 또는 상기 자산별로 설정되어 있는 사항일 수도 있다. 상기 위협등급은 키보드, 마우스, 터치패드 등의 입력수단을 통하여 입력된 등급일 수 있으며, 예를 들어, 상기 취약점항목의 영향력의 등급일 수 있다. 상기 영향력은 사고 발생 시 파급 효과의 정도를 의미할 수 있다. 위협등급테이블(135)에는 상기 취약점항목별로 상기 영향력의 등급과 상기 위협값의 관계가 설정되어 있다. 위협성산출부(130)의 동작에 대하여는 도 5a 및 도 5b를 참조하여 보다 상세하게 설명한다.
위험도산출부(140)에서는 입력된 선택신호에 응답하여 취약점항목들 각각의 적용비율을 선택할 수 있으며(S240), 이상에서와 같이 자산가치산출부(110)에서 산출된 자산가치, 취약성산출부(120)에서 산출된 취약값, 위협성산출부(130)에서 산출된 위협값과 상기 적용비율을 이용하여 위험도값을 산출할 수 있다(S250). 상기 선택신호는 키보드, 마우스, 터치패드 등의 입력수단을 통하여 입력된 신호일 수 있으며, 대응하는 취약점항목에 중요도에 따라 적용비율을 다르게 선택할 수 있는 신호일 수 있다. 위험도산출부(140)는 상기 선택신호에 응답하여 선택된 적용비율을 상기 취약값에 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 상기 위험도값을 산출할 수 있다. 상기 적용비율을 선택하는 방법과 상기 위험도값을 산출하는 방법에 대하여는 도 6a 내지 도 7을 참조하여 보다 상세하게 설명한다.
판단부(150)는 위험도산출부(140)에서 산출된 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단할 수 있다(S260). 상기 기준값은 미리 설정되어 있는 값일 수도 있고 상기 입력수단을 통하여 입력된 값일 수도 있으며, 상기 취약점항목이 관리대상이 될 것인지에 대한 기준이 되는 값일 수 있다.
통계값산출부(160)는 상기 자산별로 상기 취약값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 취약값들을 모두 합한 값의 비율을 이용하여 상기 취약점 점수를 산출할 수 있다. 또는, 통계값산출부(160)는 상기 자산별로 상기 위험도값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 위험도값들을 모두 합한 값의 비율을 이용하여 상기 위험도 점수를 산출할 수 있다. 통계값산출부(160)는 통계적인 값을 사용자에게 제공할 수 있도록 동작하며, 통계값산출부(160)의 동작에 대하여는 도 8 및 도 9를 참조하여 보다 상세하게 설명한다.
도 3a 및 도 3b는 도 1의 자산가치산출부(110)의 동작을 설명하기 위한 도면이다.
도 1 내지 도 3b를 참조하면, 상기 자산별로 자산등급(310)이 입력될 수 있고, 도 3a의 310은 왼쪽부터 순서대로 가용성, 무결성 및 기밀성에 대하여 입력된 등급일 수 있다. 이와 같이 자산등급(310)이 입력된 경우 자산가치산출부(110)는 입력된 자산등급(310)과 도 3b와 같은 자산등급테이블(115)을 이용하여 수치화된 자산가치를 산출할 수 있다. 예를 들어, 도 3a와 같이 가용성, 무결성 및 기밀성의 등급이 모두 'High'로 입력된 경우 도 3b의 자산등급테이블(115)을 이용하면, 자산가치산출부(110)는 자산등급테이블(115)에서 가용성, 무결성 및 기밀성의 등급이 모두 'High'인 지점의 자산가치인 3점을 상기 자산의 자산가치로 설정할 수 있다. 그리고 도 3b의 좌측에 있는 등급을 참조하면, 상기 자산가치의 등급(320)은 'High'로 설정될 수 있다. 도 3a 및 도 3b는 본 발명 중 자산가치산출부(110)를 설명하기 위한 일 실시예에 불과하며, 자산등급테이블(115)에는 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계가 다른 형태로 설정되어 있을 수도 있다. 자산등급테이블(115)의 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계는 외부에서 입력된 정보를 이용하여 설정될 수도 있고 자산별로 미리 설정되어 있을 수도 있다. 이와 같은 방법으로 자산가치산출부(110)는 상기 자산들 전체에 대하여 각각 자산가치를 설정할 수 있다.
도 4a 및 도 4b는 도 1의 취약성산출부(120)의 동작을 설명하기 위한 도면이다.
도 1 내지 도 4b를 참조하면, 상기 자산별로 설정된 취약점항목들 각각에 대하여 취약등급(410)이 입력될 수 있고, 도 4a의 410은 왼쪽부터 순서대로 심각성 및 노출성에 대하여 입력된 등급일 수 있다. 이와 같이 취약등급(410)이 입력된 경우 취약성산출부(120)는 입력된 취약등급(410)과 도 4b와 같은 취약등급테이블(125)을 이용하여 수치화된 취약값을 산출할 수 있다. 예를 들어, 도 4a와 같이 심각성의 등급이 'Low'이고 노출성의 등급이 'Middle'로 입력된 경우 도 4b의 취약등급테이블(125)을 이용하면, 취약성산출부(120)는 취약등급테이블(125)에서 심각성의 등급이 'Low'이고 노출성의 등급이 'Middle'인 지점의 취약성값인 2점을 상기 취약점항목의 취약값으로 설정할 수 있다. 그리고 도 4b의 좌측에 있는 등급을 참조하면, 상기 취약값의 등급(320)은 'Low'로 설정될 수 있다. 도 4a 및 도 4b는 본 발명 중 취약성산출부(120)를 설명하기 위한 일 실시예에 불과하며, 취약등급테이블(125)은 상기 심각성 및 노출성의 등급과 상기 취약값의 관계가 다른 형태로 설정되어 있을 수도 있다. 취약성등급테이블(125)의 상기 심각성 및 노출성의 등급과 상기 취약값의 관계는 외부에서 입력된 정보를 이용하여 설정될 수도 있고 취약점항목별로 미리 설정되어 있을 수도 있다. 이와 같은 방법으로 취약성산출부(120)는 상기 자산별 취약점항목들 전체에 대하여 각각 취약값을 설정할 수 있다.
도 5a 및 도 5b는 도 1의 위협성산출부(130)의 동작을 설명하기 위한 도면이다.
도 1 내지 도 5b를 참조하면, 상기 자산별로 설정된 취약점항목들 각각에 대하여 위협등급(510)이 입력될 수 있고, 도 5a의 510은 영향력에 대하여 입력된 등급일 수 있다. 이와 같이 영향력등급(510)이 입력된 경우 위협성산출부(130)는 입력된 영향력등급(510)과 도 5b의 위협등급테이블(135)을 이용하여 수치화된 위협값을 산출할 수 있다. 예를 들어, 도 5a와 같이 영향력의 등급이 'Middle'로 입력된 경우 도 5b와 같은 위협등급테이블(135)을 이용하면, 위협성산출부(130)는 위협등급테이블(135)에서 영향력의 등급이 'Middle'인 지점의 위협값인 5점을 상기 취약점항목의 위협값으로 설정할 수 있다. 그리고 도 4b의 좌측에 있는 등급을 참조하면, 상기 위협값의 등급(520)은 'Middle'로 설정될 수 있다. 도 5a 및 도 5b는 본 발명 중 위협성산출부(130)를 설명하기 위한 일 실시예에 불과하며, 위협등급테이블(135)은 상기 영향력의 등급과 상기 위협값의 관계가 다른 형태로 설정되어 있을 수도 있다. 위협등급테이블(135)의 상기 영향력의 등급과 상기 위협값의 관계는 외부에서 입력된 정보를 이용하여 설정될 수도 있고 취약점항목별로 미리 설정되어 있을 수도 있다. 이와 같은 방법으로 위협성산출부(130)는 상기 자산별 취약점항목들 전체에 대하여 각각 위협값을 설정할 수 있다.
도 6a 및 도 6b는 도 1의 위험도산출부(140)의 동작을 설명하기 위한 도면이고, 도 7은 도 1의 위험도산출부(140)에서 상기 위험도값을 산출하는 실시예를 설명하기 위한 도면이다.
도 1 내지 도 7을 참조하면, 위험도산출부(140)는 앞서 설명한 것과 같이 자산가치산출부(110), 취약성산출부(120) 및 위협성산출부(130)에서 산출한 상기 자산가치, 상기 취약값 및 상기 위협값을 이용하여 위험도값을 산출할 수 있다. 도 6a에서 610은 상기 취약점항목들 각각에 대하여 취약성산출부(120)에서 산출된 취약값의 일 실시예이고, 620은 상기 취약점항목들 각각에 대하여 위협성산출부(130)에서 산출된 위협값의 일 실시예이다. 그리고, 도 6a에 도시된 취약점항목들은 하나의 자산에 대한 취약점항목들이므로, 도 6a의 취약점항목들과 관련하여 자산가치산출부(110)에서 산출한 자산가치는 모두 동일한 값을 가질 수 있다.
도 6b는 도 6a에서 적용비율(630)이 선택되고 취약값(610)에 적용비율을 반영한 값(640)을 산출되며 위험도값(650)이 산출된 경우를 도시한 도면이다. 즉, 위험도산출부(140)는 입력된 선택신호에 응답하여 상기 취약점항목들 각각의 적용비율(630)을 선택할 수 있는데, 도 6b에서는 상기 선택신호가 'O', 'X', 'P'의 3가지 중 하나인 경우에 대하여 도시하고 있다. 도 6b에서는 상기 선택신호가 'O'인 경우 상기 적용비율은 100%, 상기 선택신호가 'X'인 경우 상기 적용비율은 0%, 상기 선택신호가 'P'인 경우 상기 적용비율은 50%인 경우를 가정하고 있으나, 본 발명이 반드시 이 경우에 한정되는 것은 아니며 필요에 따른 다른 적용비율을 선택할 수 있도록 상기 선택신호를 설정할 수도 있다. 위험도산출부(140)는 선택된 적용비율(630)을 상기 취약점항목별 취약값(610)에 반영하여 640과 같이 값을 얻을 수 있다. 이와 같은 방법에 의하여 사용자는 취약점항목들 각각의 중요도에 따라 취약값에 다른 가중치를 설정할 수 있게 되어 사용자에게 위험도에 따른 관리대상의 우선순위를 제공할 수 있다.
위험도산출부(140)는 이상에서와 같이 산출된 값들, 즉 취약값(610)에 적용비율(630)을 반영한 값(640), 위협값(620) 및 상기 자산가치를 연산하여 상기 취약점항목별로 위험도값(650)을 산출하고 등급을 설정할 수 있다. 위험도산출부(140)에서 위험도값(650)을 산출하는 일 실시예는 도 7에 도시된 것과 같다. 예를 들어, 위험도산출부(140)는 상기 취약점항목별로 취약값(610)과 적용비율(630)과 위협값(620)을 곱한 값에 상기 자산가치를 더한 값을 자연수로 나눈 값일 수 있으며, 상기 자연수는 도 7에서는 '4'인 경우로 가정하고 있으나 본 발명이 반드시 이 경우에 한정되는 것은 아니다. 또한, 도 7과 같이 반드시 상기 취약값과 적용비율과 위협값을 곱한 값에 상기 자산가치를 더하여야 하는 것은 아니며, 필요에 따른 다른 연산을 통해 위험도값을 산출할 수도 있다.
도 7에서 'DoA'라고 표시된 부분은 상기 기준값에 해당하며, 위험도산출부(140)는 상기 위험도값과 상기 기준값을 비교하여 상기 취약점항목이 관리대상인지 판단할 수 있다. 예를 들어, 도 7과 같이 상기 기준값이 '5'인 경우, 도 6b의 실시예에서 위험도산출부(140)는 위험도값(650)이 기준값인 '5' 이상인 취약점항목들(No. 1, 4, 6, 10)을 관리대상으로 판단할 수 있고, 상기 위험도값이 높을수록 우선적으로 관리해야 할 대상으로 판단할 수 있다.
도 8 및 도 9는 도 1의 통계값산출부(160)의 동작을 설명하기 위한 도면이다.
도 1 내지 도 9를 참조하면, 통계값산출부(160)는 상기 자산별로 산출된 취약값들을 이용하여 취약점 점수(810)를 산출하거나, 상기 자산별로 산출된 위험도값을 이용하여 위험도 점수(820)를 산출하거나, 상기 자산들 전체에 대한 자산가치, 상기 취약점 점수 및 상기 위험도 점수를 이용하여 전체 위험도 점수(910)를 산출할 수 있다.
예를 들어, 통계값산출부(160)는 상기 자산별로 상기 취약값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 취약값들을 모두 합한 값의 비율을 이용하여 상기 취약점 점수를 산출할 수 있다. 도 8의 경우, 통계값산출부(160)는 상기 자산별로 상기 취약값들이 가질 수 있는 최대값들을 모두 합한 값(811)을 분모로 하고 811 값에서 상기 자산별로 상기 산출된 취약값들을 모두 합한 값(815)을 뺀 값을 분자로 하여 백분율로 환산함으로써 취약성 점수(810)를 산출할 수 있다. 그리고, 통계값산출부(160)는 상기 자산별로 위험도값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 위험도값들을 모두 합한 값의 비율을 이용하여 상기 위험도 점수를 산출할 수 있다. 도 8의 경우, 통계값산출부(160)는 상기 자산별로 위험도값들이 가질 수 있는 최대값들을 모두 합한 값(821)을 분모로 하고 821 값에서 상기 자산별로 상기 산출된 위험도값들을 모두 합한 값(825)을 뺀 값을 분자로 하여 백분율로 환산하여 위험도 점수(820)를 산출할 수 있다. 또한, 통계값산출부(160)는 도 9와 같이 상기 자산들 전체에 대한 자산가치, 상기 취약점 점수 및 상기 위험도 점수를 이용하여 전체 위험도 점수(910)를 산출할 수 있다.
통계값산출부(160)의 동작 및 통계값산출부(160)에 의하여 산출된 값들과 관련하여 이상에서 설명한 것은 본 발명의 일 실시예에 불과하며, 본 발명의 통계값산출부(160)가 반드시 이상과 같은 동작을 하여야 하는 것은 아니고 필요에 따라 다른 통계방식을 이용하여 통계값을 산출할 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (13)

  1. 자산별로 입력된 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 산출하는 자산가치산출부;
    상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블을 이용하여 수치화하여 취약값을 산출하는 취약성산출부;
    상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 위협등급을 위협등급테이블을 이용하여 수치화하여 위협값을 산출하는 위협성산출부;
    입력된 선택신호에 응답하여 상기 자산별로 설정된 취약점항목들 각각에 대한 적용비율을 선택하고, 상기 취약값에 상기 적용비율을 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 위험도값을 산출하는 위험도산출부; 및
    상기 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단하는 판단부를 구비하는 것을 특징으로 하는 위험평가시스템.
  2. 제1항에 있어서, 상기 자산등급은,
    상기 자산의 가용성, 무결성 및 기밀성 각각에 대하여 입력된 등급이고,
    상기 자산등급테이블은,
    상기 자산별로 상기 가용성, 무결성 및 기밀성의 등급과 상기 자산가치의 관계가 설정되어 있는 것을 특징으로 하는 위험평가시스템.
  3. 제1항에 있어서, 상기 취약등급은,
    상기 취약점항목별로 노출성 및 심각성 각각에 대하여 입력된 등급이고,
    상기 취약등급테이블은,
    상기 취약점항목별로 상기 노출성 및 심각성의 등급과 상기 취약값의 관계가 설정되어 있는 것을 특징으로 하는 위험평가시스템.
  4. 제1항에 있어서, 상기 위협등급은,
    상기 취약점항목별 영향력에 대하여 입력된 등급이고,
    상기 위협등급테이블은,
    상기 취약점항목별로 상기 영향력의 등급과 상기 위협값의 관계가 설정되어 있는 것을 특징으로 하는 위험평가시스템.
  5. 제1항에 있어서, 상기 위험도산출부는,
    상기 취약값과 상기 적용비율과 상기 위협값을 곱한 값에 상기 자산가치를 더한 값을 자연수로 나눈 값을 상기 위험도값으로 산출하는 것을 특징으로 하는 위험평가시스템.
  6. 제1항에 있어서, 상기 위험도산출부는,
    상기 선택신호에 응답하여 100%, 50%, 0% 중 하나의 적용비율을 선택하는 것을 특징으로 하는 위험평가시스템.
  7. 삭제
  8. 제1항에 있어서, 상기 자산은,
    데이터, 문서, 소프트웨어, 서버, 네트워크, 정보보호시스템, PC 및 노트북, 기타매체, 부대설비 및 부대시설 중 하나 또는 그 세부항목인 것을 특징으로 하는 위험평가시스템.
  9. 제1항에 있어서, 상기 위험평가시스템은,
    상기 자산별로 산출된 취약값들을 이용하여 취약점 점수를 산출하거나, 상기 자산별로 산출된 위험도값을 이용하여 위험도 점수를 산출하거나, 상기 자산들 전체에 대한 자산가치, 상기 취약점 점수 및 상기 위험도 점수를 이용하여 전체 위험도 점수를 산출하는 통계값산출부를 더 구비하는 것을 특징으로 하는 위험평가시스템.
  10. 제9항에 있어서, 상기 통계값산출부는,
    상기 자산별로 상기 취약값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 취약값들을 모두 합한 값의 비율을 이용하여 상기 취약점 점수를 산출하거나, 상기 자산별로 상기 위험도값들이 가질 수 있는 최대값들을 모두 합한 값과 상기 자산별로 상기 산출된 위험도값들을 모두 합한 값의 비율을 이용하여 상기 위험도 점수를 산출하는 것을 특징으로 하는 위험평가시스템.
  11. 자산별로 입력되는 자산등급을 자산등급테이블을 이용하여 수치화하여 자산가치를 설정하는 단계;
    상기 자산별로 설정된 취약점항목들 각각에 대하여 입력된 취약등급을 취약등급테이블을 이용하여 수치화하여 취약값을 설정하는 단계;
    상기 자산별로 설정된 취약점항목들 각각에 대하여 입력되는 위협등급을 위협등급테이블을 이용하여 수치화하여 위협값을 설정하는 단계;
    입력된 선택신호에 응답하여 상기 자산별로 설정된 취약점항목들 각각에 대한 적용비율을 선택하는 단계;
    상기 취약값에 상기 적용비율을 반영한 값과 상기 위협값과 상기 자산가치를 연산하여 위험도값을 산출하는 단계; 및
    상기 위험도값과 기준값을 비교하여 상기 위험도값이 상기 기준값 이상인 경우 대응하는 취약점항목이 관리대상인 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 위험평가방법.
  12. 제11항에 있어서, 상기 자산가치를 설정하는 단계는,
    상기 자산의 가용성, 무결성 및 기밀성 각각에 대하여 입력된 등급과 상기 자산등급테이블을 이용하여 상기 자산가치를 설정하는 단계이고,
    상기 취약값을 설정하는 단계는,
    상기 취약점항목별로 노출성 및 심각성 각각에 대하여 입력된 등급과 상기 취약등급테이블을 이용하여 상기 취약값을 설정하는 단계이며,
    상기 위협값을 설정하는 단계는,
    상기 취약점항목별로 영향력에 대하여 입력된 등급과 상기 위협등급테이블을 이용하여 상기 위협값을 설정하는 단계이고,
    상기 위험도값을 산출하는 단계는,
    상기 취약값, 상기 적용비율 및 상기 위협값을 곱한 후 상기 자산가치를 더한 값을 자연수로 나눈 값을 상기 위험도값으로 산출하는 단계인 것을 특징으로 하는 위험평가방법.
  13. 삭제
KR1020140083787A 2014-07-04 2014-07-04 정보자산의 위험평가시스템 및 그 방법 KR101623843B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140083787A KR101623843B1 (ko) 2014-07-04 2014-07-04 정보자산의 위험평가시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140083787A KR101623843B1 (ko) 2014-07-04 2014-07-04 정보자산의 위험평가시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20160004791A KR20160004791A (ko) 2016-01-13
KR101623843B1 true KR101623843B1 (ko) 2016-05-24

Family

ID=55172681

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140083787A KR101623843B1 (ko) 2014-07-04 2014-07-04 정보자산의 위험평가시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101623843B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102088310B1 (ko) 2018-11-15 2020-03-16 주식회사 이글루시큐리티 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법
KR20220083500A (ko) 2020-12-11 2022-06-20 (주)시큐리티캠프 위험대응 판단 지원 방법

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102095492B1 (ko) * 2018-03-23 2020-03-31 한전케이디엔주식회사 단일 윈도우 서버 취약점 점검 시스템 및 이를 이용한 보안 약점 중요도 정량평가 방법
CN110991906B (zh) * 2019-12-06 2023-11-17 国家电网有限公司客户服务中心 云系统信息安全风险评估方法
CN112132388A (zh) * 2020-08-12 2020-12-25 辽宁省交通高等专科学校 基于改进octave方法的意识形态安全风险评估模型及方法
CN113553583A (zh) * 2021-07-28 2021-10-26 中国南方电网有限责任公司 信息系统资产安全风险评估方法与装置
CN116389171B (zh) * 2023-06-05 2023-08-11 汉兴同衡科技集团有限公司 一种信息安全评估检测方法、系统、装置及介质
CN116471131B (zh) * 2023-06-20 2023-09-08 北京门石信息技术有限公司 逻辑链信息资产的处理方法及处理装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005135239A (ja) 2003-10-31 2005-05-26 Fujitsu Social Science Laboratory Ltd 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法
JP2005293267A (ja) 2004-03-31 2005-10-20 Ricoh Co Ltd 情報セキュリティマネジメント支援システム及びプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005135239A (ja) 2003-10-31 2005-05-26 Fujitsu Social Science Laboratory Ltd 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法
JP2005293267A (ja) 2004-03-31 2005-10-20 Ricoh Co Ltd 情報セキュリティマネジメント支援システム及びプログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102088310B1 (ko) 2018-11-15 2020-03-16 주식회사 이글루시큐리티 공격빈도, 자산중요도 및 취약정도에 따른 위험지수 보정시스템 및 그 방법
KR20220083500A (ko) 2020-12-11 2022-06-20 (주)시큐리티캠프 위험대응 판단 지원 방법

Also Published As

Publication number Publication date
KR20160004791A (ko) 2016-01-13

Similar Documents

Publication Publication Date Title
KR101623843B1 (ko) 정보자산의 위험평가시스템 및 그 방법
de Gusmão et al. Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory
Yeboah-Ofori et al. Cyber threat predictive analytics for improving cyber supply chain security
US10757127B2 (en) Probabilistic model for cyber risk forecasting
CN108108624B (zh) 基于产品和服务的信息安全质量评估方法及装置
TWI482047B (zh) 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體
WO2008004498A1 (fr) Système, dispositif, procédé et programme de gestion des risques de sécurité
Ur-Rehman et al. Vulnerability modelling for hybrid IT systems
Wilbanks Whats your IT risk approach?
Maksimova “Smart decisions” in development of a model for protecting information of a subject of critical information infrastructure
KR102240514B1 (ko) 이벤트 룰셋 및 쓰렛 인텔리전스(Threat Intelligence)를 참조로 하여 이벤트 위험도를 계산함으로써 시스템에 발생한 이벤트들의 위험도를 분석할 수 있도록 지원하는 방법 및 이를 이용한 장치
Onyshchenko et al. Business Information Security
He et al. Healthcare Security Incident Response Strategy‐A Proactive Incident Response (IR) Procedure
Sakrutina et al. Towards the issue of the cybersecurity analysis of a significant object of critical information infrastructure
KR101081875B1 (ko) 정보시스템 위험에 대한 예비경보 시스템 및 그 방법
Maghrabi et al. Designing utility functions for game-theoretic cloud security assessment: a case for using the common vulnerability scoring system
Park et al. Security requirements prioritization based on threat modeling and valuation graph
Das et al. i-HOPE framework for predicting cyber breaches: a logit approach
Singh et al. Toward grading cybersecurity & resilience posture for cyber physical systems
Redelinghuys et al. Cybersecurity considerations for industrie 4.0
Alodhiani Financial Technology (Fintech) and Cybersecurity: A Systematic Literature Review.
JP2022537124A (ja) サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション
Pournouri et al. Improving cyber situational awareness through data mining and predictive analytic techniques
Bouke et al. SMRD: A Novel Cyber Warfare Modeling Framework for Social Engineering, Malware, Ransomware, and Distributed Denial-of-Service Based on a System of Nonlinear Differential Equations
Petrescu et al. The international experience in security risk analysis methods

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 4