KR20040104853A - 정보 자산의 위험 분석 시스템 - Google Patents
정보 자산의 위험 분석 시스템 Download PDFInfo
- Publication number
- KR20040104853A KR20040104853A KR1020030036112A KR20030036112A KR20040104853A KR 20040104853 A KR20040104853 A KR 20040104853A KR 1020030036112 A KR1020030036112 A KR 1020030036112A KR 20030036112 A KR20030036112 A KR 20030036112A KR 20040104853 A KR20040104853 A KR 20040104853A
- Authority
- KR
- South Korea
- Prior art keywords
- threat
- risk
- vulnerability
- analysis
- assets
- Prior art date
Links
Abstract
본 발명은 하드웨어, 소프트웨어 등을 포함하는 정보 자산에 대한 물리적, 인위적, 사회적인 위협들에 대한 위험도를 분석하는 정보 자산의 위험 분석 시스템에 관한 것이다.
본 발명에 따른 위험 분석 시스템은 자산에 영향을 미치는 위협을 선택하고 평가하는 위협분석부(100)와, 파악된 위협에 노출된 자산들을 목록화하고 개별자산에 대해 평가하는 자산분석부(200)와, 진단대상에 대해 물리적, 관리적, 기술적 취약성 진단을 실행하는 취약성 분석부(300)와, 위험분석부(400)는 위협도와 자산의 가치 및 취약도로부터 위험도를 산출하고, 각각의 위험별로 발생가능성을 평가하는 위험분석부(400)를 포함한다.
본 발명의 특징적인 양상에 따라 위험 분석은 위험 모델에 기초하여 이루어진다. 위험 분석 모델은 위협과 취약성과의 매핑 관계의 유무에 따라 , 추가적으로 위협과 단일 자산군과의 매핑 관계의 유무에 따라 정해진다.
Description
본 발명은 정보 분석 시스템에 관한 것이며, 특히 컴퓨터, 네트워크 장비, 스토리지 등의 하드웨어 자산과 데이터베이스, 응용 프로그램 등의 소프트웨어 자산을 포함하는 정보 자산에 대한 물리적, 인위적, 사회적인 위협들에 대한 위험도를 분석하는 정보 자산의 위험 분석 시스템에 관한 것이다.
위험 분석은 보안관리를 수행하기 위한 필수적인 과정으로 위험을 평가하고 비용효과적인 대응책을 제시하여 보안 정책과 대응책 구현의 계획을 수립하는 위험 관리의 핵심적인 과정이다. 정보 자산에 대한 위협은 물리적인 측면과 관리적인 측면, 그리고 기술적인 측면의 위협으로 나누어 볼 수 있다. 물리적인 측면의 우협은 최근들어 미국의 911 사태등을 통해 심각성이 제고된 재난, 재해에 의한 위협과 테러에 의한 파괴등의 물리적인 침입에 의한 위협을 들 수 있다. 관리적인 측면의 위협은 사람에 의한 도청/감청, 그리고 사회공학적인 위협을 들 수 있다. 기술적인 측면의 위협은 내부자 또는 외부자의 네트워크를 통한 위협을 들 수 있다.
위험 분석 과정은 일반적으로 자산평가 과정, 위협평가 과정, 취약성 평가과정, 그리고 위험 평가 과정으로 나눌 수 있다. 자산평가 과정은 보호해야할 자산을 식별하고 각 자산별 중요도를 파악하는 과정이다. 위협평가 과정은 정보 자산에 대한 다양한 위협요인을 파악하는 과정이다. 취약성 평가 과정은 파악된 위협요인에 대한 파악된 각 자산의 취약점을 파악하고 침해시 파급효과 정도를 파악하는 과정이다. 위험평가 과정은 전체 자산별 위험도 수준을 평가하고 보호대책 수립시 우선순위 근거를 마련하는 과정이다.
이 같은 과정을 거쳐 위험 분석은 경제적인 범위에서 위험을 최소화하는 통제 안을 작성하는데 필요한 정보를 제공하며, 효과적인 정보보호관리체계를 수립하는 것을 가능하게 한다.
종래 이 같은 상세 위험분석 툴로 CRAMM 등의 툴이 제공되고 있으나 경험이 부족한 인력으로는 사용이 난해하고 분석 기간이 장기간 소요된다는 단점이 있다.또한 기보적인 위험분석 툴로는 Gap Analysis 방법이 있으나 이는 단기간에 완성될 수는 있지만 기반시설 취약점을 분석하고 평가하는데는 수행의 어려움이 있어왔다.
최근들어 정보통신기반시설 프로젝트에서 위험 분석 요구가 증가되고 있는 상황이나 위험 분석 작업은 작업량이 방대하여 이를 체계적으로 지원할 수 있는 시스템의 요구가 높아지고 있다.
본 발명은 이 같은 상황에서 도출된 것으로, 주로 정보 자산에 대한 위험 분석 작업을 체계적으로 지원할 수 있는 위험 분석 시스템을 제공하는 것을 목적으로 한다.
더 나아가 본 발명은 비교적 단기간 동안의 작업을 통해 정보 자산에 대해 체계적인 보안 분석이 가능한 툴을 제공하는 것을 목적으로 한다.
도 1은 본 발명에 따른 위험 분석 시스템의 전체적인 구성을 개략적으로 도시한 도면이다.
도 2는 본 발명에 따른 위협의 분류 체계의 일 실시예를 도시한다.
도 3은 위협 평가 테이블의 일 실시예를 도시한다.
도 4는 자산 데이터베이스(252)에 저장된 자산들의 분류의 일 실시예를 도시한다.
도 5는 기밀성, 무결성, 가용성 평가기준에 따른 가치산정의 일 예를 도시하는 도표이다.
도 6은 본 발명의 바람직한 일 실시예에 따른 하나의 위협에 대한 위험분석모델분류부(320)의 처리 흐름을 도시한다.
도 7은 본 발명의 특징적인 양상에 따라 위험분석 모델별로 정해지는 체크리스트의 일반적인 구조를 도시한다.
도 8은 TAVC 모델에 대한 취약성 진단의 체크리스트를 예시한다.
도 9는 위험분포도의 일 예를 도식적으로 도시한다.
<도면의 주요부분에 대한 부호의 설명>
100 : 위협분석부 120 : 위협선택부
140 : 취약성 선택부 160 : 위협평가부
152 : 위협 데이터베이스 154 : 취약성 데이터베이스
156 : 취약성 진단항목 158 : 위협분석결과
200 : 자산분석부 220 : 자산파악부
240 : 자산평가부 260 : 취약성 최적화부
252 : 자산 데이터베이스 254 : 자산분석결과
300 : 취약성분석부 320 : 위험분석모델분류부
340 : 취약성 평가부 352 : 취약성 평가 템플릿
354 : 취약성 분석결과 400 : 위험분석부
420 : 위험평가부 440 : 감수산정부
460 : 보고서 출력부 452 : 위험평가 템플릿
454 : 위험 데이터베이스
상기 목적을 달성하기 위한 본 발명의 일 양상에 따른 위험 분석 시스템은 위협분석부, 자산분석부, 취약성분석부, 위험분석부로 구성된다. 위협분석부는 정보 자산별 위협을 식별하고 위협 시나리오를 작성한 후 각각의 위협을 평가한다. 자산분석부는 업무분석과 정보자산 환경분석을 통해 정보 자산을 파악하여 각각의 자산을 평가한다. 취약성분석부는 평가된 자산과 위협에 기초하여 진단 대상을 선정하고, 각각의 진단 대상별로 물리적 취약성, 관리적 취약성, 기술적 취약성을 진단한 후 전체적인 취약성을 평가한다. 위험분석부는 취약성 평가 결과에 기초하여 위험도를 산출하고 수용가능한 위험도를 선정한 후 통제 방안을 선정하는 작업을지원한다.
본 발명의 특징적인 양상에 따라 위험 분석은 위험 모델에 기초하여 이루어진다. 위험 분석 모델은 위협과 취약성과의 매핑 관계의 유무에 따라 , 추가적으로 위협과 단일 자산군과의 매핑 관계의 유무에 따라 정해진다.
이하에서는 전술한, 그리고 추가적인 본 발명의 양상들을 첨부된 도면을 참조하여 기술되는 바람직한 실시예들을 통하여 당업자가 용이하게 이해하고 재현할 수 있을 정도로 상세하게 설명한다.
본 발명에 따른 위험 분석 시스템은 컴퓨터로 구현된다. 물리적인 형태에 있어서, 본 발명에 따른 위험 분석 시스템은 입력장치로 키보드와 마우스, 저장장치로 대용량의 보조기억장치를 가지고 출력장치로 디스플레이와 프린터를 포함하는 통상적인 컴퓨터 시스템으로 구현된다. 사용자는 본 발명에 따른 위험 분석 시스템을 실행시키고 새로운 위험 분석을 개시하기 위해 프로젝트를 개설한다. 프로젝트의 개시에 따라 빈 데이터베이스들이 생성되며, 프로세스가 진행됨에 따라 데이터베이스들이 채워지고 보고서 생성툴에 의해 보고서가 생성되어 출력된다.
도 1은 본 발명에 따른 위험 분석 시스템의 전체적인 구성을 개략적으로 도시한 도면이다. 위험 분석 시스템은 자산에 영향을 미치는 위협을 선택하고 평가하는 위협분석부(100)와, 파악된 위협에 노출된 자산들을 목록화하고 개별자산에 대해 평가하는 자산분석부(200)와, 진단대상에 대해 물리적, 관리적, 기술적 취약성 진단을 실행하는 취약성 분석부(300)와, 위협도와 자산의 가치 및 취약도로부터 위험도를 산출하고, 각각의 위험별로 발생가능성을 평가하는 위험분석부(400)를 포함한다.
위협 분석부(100)는 자산에 영향을 미치는 위협을 선택하고 평가한다. 위협 분석의 결과는 위협 평가 보고서로 출력된다. 위협 분석부(100)는 다수의 가능한 위협 목록을 저장하고 있는 위협 데이터베이스(152)로부터 환경분석 결과를 통해 실제하는 것으로 파악된 위협을 선택하는 위협 선택부(120)와, 위협 선택부(120)에서 선택된 위협에 대한 평가를 실시하여 그 결과를 위협분석결과 데이터베이스(158)에 저장하는 위협 평가부(120)와, 위협 선택부(120)에서 선택된 위협에 대해 취약성 데이터베이스(154)로부터 추출된 취약성 진단항목을 자동으로 선택하여 취약성 진단항목 데이터베이스(156)에 저장하는 취약성 선택부(140)로 구성된다.
바람직한 일 실시예에 있어서, 위협 데이터베이스(152)는 위협을 인위적 위협과 비인위적 위협으로 구분된 12가지 세부 위협으로 나누고 있다. 도 2는 이들 위협의 분류 체계의 일 실시예를 도시한다. 도시된 바와 같이 정보자산에 대한 위협은 화재나 침수 등과 같이 재해적인 상황이 있는가 하면 네트워크를 통한 위협, 도청 등 인위적 위협도 존재한다. 사용자는 위험 분석의 사전 단계인 환경분석 단계에서 작업된 결과를 기초로 본 발명에 따른 위협 선택부(120)가 위협 데이터베이스(152)에서 추출하여 제시하는 위협들 중 현재 정보자산 환경에서 존재할 수 있는 가능한 위협을 선택한다. 선택된 결과는 위협 선택부(120)에 의해 임시로 저장되어 관리된다. 환경 분석은 업무분석과 정보자산 환경분석을 포함하며, 흔히 설문이나 실사를 통해 진행된다.
위협 평가부(160)는 위협선택부(120)에서 선택된 위협들에 대해 위협별로 자산에 미칠 영향을 고려하여 평가한다. 이때 고려할 사항은 위협의 발생 빈도 혹은 발생 가능성과, 위협의 강도, 즉 위협이 미치는 영향의 범위와 강도를 포함한다.
예를 들어 발생빈도가 높거나 발생 가능성이 높을 수록 높은 점수를 부여하고 또한 위협의 강도가 높을 수록 높은 점수를 부여한다. 위협의 강도는 위협이 업무 전반에 미치느냐, 국지적이고 제한적인 업무에만 미치느냐에 따라 결정된다. 도 3은 이 같은 위협 평가의 기준의 일 예를 도시한다. 위협 평가부(160)는 위협 선택부(120)에서 선택된 각각의 위협들을 사용자에게 제시하고 위협 강도와 발생빈도를 선택하게 한 후 그 결과로 도 3과 같은 위협 평가 테이블을 참조하여 각각의 위협들을 평가한다. 위협 평가의 과정은 그 일부 혹은 전부에 대해 위협 평가부(160)에 의해 자동으로 실행될 수도 있다. 즉, 또다른 실시예에 있어서 위협 평가부(160)는 몇 가지 설문을 사용자에게 제시하고 그 결과로부터 이 같은 위협 강도와 발생빈도를 판단하여 계량화할 수 있다. 또다른 실시예에 있어서, 각각의 위협에 대해 계량화된 평가지수가 미리 할당되어 위협의 선택과 동시에 평가가 즉시 완료될 수도 있다. 평가된 결과는 위협도 데이터로 위협분석결과 데이터베이스(158)에 저장된다.
취약성 선택부(140)는 위협 선택부(120)에서 선택된 각각의 위협들에 대해 취약성 데이터베이스(154)에 저장된 취약성 진단항목들을 자동으로 매핑하여 선택한다. 선택된 각각의 취약성 진단항목들은 취약성 진단항목 데이터베이스(156)에 저장한다.
취약성이란 각 정보자산의 특성, 본질 또는 후천적 결함으로 인하여 지니게 되는 특성으로 정보자산의 유형, 특성, 및 상세 내역에 따라 발현되는 특성이다. 이러한 취약성은 시스템의 안정화 및 위험 발생 가능성을 감소시키기 위해 연구되며 이에 관한 상세 정보는 다양한 경로를 통하여 공개되고 있으며, 해결 방안 또한 계속적으로 개발되고 있다. 취약성 진단 항목은 이러한 공개된 정보를 바탕으로 위험관리 대상의 정보자산과 특성별로 데이터베이스화되어 관리된다.
본 발명에 따른 위험분석방법론에서는 취약성을 크게 관리/운영적, 기술적 관점으로 나누고 있으며, 각각의 관점에서 정보자산 또는 관리체계(Management System)의 정보보호 요소인 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 침해할 수 있는 요소들을 취약성 진단항목으로 선정하고 있다.
위협은 정보자산 및 정보자산을 운용하는 관리체계(Management System)의 환경으로 부터 정보자산의 기밀성, 무결성, 가용성을 저해시키는 요소로 취약성과 연계하여 정보자산의 가치를 저해시킨다. 이를 위험이라 한다.
위협의 속성은 크게 논리적, 물리적 환경적 위협으로 나뉘게 되며, 각각의 세부적 위협과 취약성의 매핑은 정형화되어 있지 않으며, 정보자산의 환경에 따라 다양하게 매핑된다. 본 발명에 따른 위험분석방법론에서의 매핑 과정 또한 정해진 패턴(pattern)에 의해서가 아닌 위험 평가자에 의해 관리 운영적 취약성 및 기술적 취약성은 각 위협의 속성에 따라 복합적으로 매핑된다.
자산분석부(200)는 파악된 위협에 노출된 자산들을 목록화하고 개별자산에대해 평가한다. 평가 결과는 자산평가보고서의 형태로 출력된다. 자산분석부는 자산파악부(220)와 위협 매핑부(240) 및 취약성 최적화부(260)로 구성된다. 자산파악부(220)는 위협 분석부(100)에서 파악된 위협에 노출된 자산들을 목록화하고 이를 분류한다. 자산평가부(240)는 자산파악부(220)에서 파악된 자산들에 대해 위협평가부(160)에서의 파악되어 위협분석결과 데이터베이스(156)에 저장된 위협들과 매핑시키고 이들을 자산의 종류에 따라 정해지는 평가기준에 따라 평가하여 그 결과를 자산분석결과 데이터베이스에 저장한다. 위협과 자산의 매핑과정에서 추가적으로 취약성 최적화부(260)는 자산속성을 고려하여 취약성 진단항목 데이터베이스(156)에 저장된 취약성 진단결과 항목들을 최적화한다.
자산파악부(220)는 위협에 노출된 자산들을 자산 데이터베이스(252)에 분류되어 저장된 자산목록으로부터 추출하여 목록화하고 분류한다. 사용자는 자산 데이터베이스(252)에 분류되어 저장되고 본 발명에 따른 시스템에 의해 추출되어 제시되는 각각의 자산들 중 현재 파악된 위협에 대하여 영향권에 있는 자산들을 선택하며, 본 발명에 따른 시스템은 그 결과를 목록화한다. 위협에 대하여 영향을 받는 자산을 빠짐없이 고려하기 위해 위협분석결과 데이터베이스(156)에 저장된 위협들에 대해 사용자는 별도로 위협 시나리오를 작성하여 해당 위협과 관련된 자산을 빠짐없이 매핑하는데 도움을 받을 수 있다. 예를 들어 외부자에 의한 네트워크를 통한 위협의 경우 라우터, 스위치, 서버, 업무 컴퓨터 등 네트워크 구성을 파악함으로써 필요한 자산들을 목록화할 수 있다. 도 4는 자산 데이터베이스(252)에 저장된 자산들의 분류의 일 실시예를 도시한다. 도시된 바와 같이 자산들은 대분류에서 유형자산과 무형자산으로 나뉘며, 중분류에서 유형자산은 정보시스템, 네트워크 장비, 정보출력장비, 미디어, 문서, OA용 통신설비 등으로 나뉘고 무형자산은 정보시스템과 네트워크 장비로 나뉜다. 각각의 중분류 항목들은 소분류 항목에서 좀 더 상세하게 나뉜다.
자산평가부(240)는 각각의 자산의 성격에 따라 상이하게 정해지는 평가기준들에 의해 각각의 자산을 평가한다. 본 발명의 일 양상에 따라 자산들을 평가하는 제 1 기준은 기밀성, 무결성, 가용성에 의한 평가이다. 본 발명의 일 양상에 따라 자산들을 평가하는 제 2 기준은 손실비용과 가용성이다.
도 5는 기밀성, 무결성, 가용성 평가기준에 따른 가치산정의 일 예를 도시하는 도표이다. 도시된 바와 같이 각각의 자산은 기밀성 측면,무결성 측면, 가용성 측면에서 위협의 영향에 대해 평가되며, 이들은 도 5의 하단에 도시된 3차원 표에 의해 계량화되어 평가된다. 자산의 또다른 평가기준인 손실비용 기준은 손실비용을 금액기준으로 몇 개의 레벨로 구분한 후 위 도 5와 유사한 평가기준 테이블에 의해 계량화되어 평가된다. 파악된 모든 자산에 대해 이 같이 계량화된 평가가 완료되고 그 결과는 자산분석 결과 데이터베이스(254)에 저장된다.
한편, 취약성 최적화부(260)는 취약성 선택부(140)에서 선택되어 저장된 취약성 진단항목들을 자산파악부(220) 및 자산평가부(240)의 결과를 반영하여 최적화한다. 즉, 자산평가부(240)의 평가결과 위협에 대해 가치가 매우 낮은 자산의 경우 분석의 효율을 높이기 위해 위험분석 대상에서 제외한다. 또한 동일한 구성을 갖는 자산들이 복수개 존재하는 경우 분석의 효율을 높이기 위해 대표성을 띠는 자산으로 샘플링하여 분석 대상을 제한한다. 이 같은 과정을 통해 위험분석 대상이 되는 자산과 취약성 진단항목이 적절히 제한된다.
취약성 분석부(300)는 진단대상에 대해 물리적, 관리적, 기술적 취약성 진단을 실행한다. 취약성 분석의 결과는 취약성 평가 보고서의 형태로 출력된다. 본 발명의 특징적인 양상에 따라 취약성 분석부(300)는 위협 분석부(100)에서 분석된 취약성 진단항목(156)과, 위협분석결과(158) 및 자산분석부(200)에서 분석된 자산분석 결과(254)를 토대로, 각각이 관련 자산과 매핑된 위협들에 대해 소정의 위험분석 모델 중 하나로 분류하는 위험분석모델분류부(320)와, 상기 분류된 위험분석모델별로 취약성 평가를 처리하는 취약성 평가부(340)를 포함한다.
본 발명의 특징적인 양상에 따라 위험분석 모델은 크게 TAVC 모델, TVC 모델, VC 모델의 3 가지로 분류된다. TAVC 는 T (threat, 위협), A(Asset, 자산), V(vulnerability, 취약성), C(control, countermeasure, 통제방안)을 의미한다.
TAVC 모델은 위협과 취약성과의 매핑이 존재하고 위협과 단일자산군과의 매핑이 존재하는 경우로 네트워크를 통한 논리적인 위협에 해당한다. 도 2에서 TAVC 모델에 해당하는 위협들을 도시하였다. 즉, TAVC 모델은 위협에 관련된 자산이 명확하게 매핑되는 경우로 이러한 위협에 대해서는 기술적 취약성 및 기술적 관리 부문에 대해 진단이 실시된다.
TVC 모델은 위협과 취약성과의 매핑이 존재하지만 위협에 대해 광범위한 자산이 매핑되는 경우로 대부분의 물리적인 취약성 부문이 이에 해당한다. 도 2에서 TVC 모델에 해당하는 위협들을 도시하였다. 이러한 위협에 대해서는 물리적인 취약성에 대한 진단이 실시된다.
VC 모델은 순수관리적 측면의 취약성 부문에 해당하는 것으로, 위협이 불분명하고 취약성이 조직 전체에 영향을 미치는 경우이다. 이러한 위협에 대해서는 관리적 취약성 진단을 실시한다.
위험분석 모델분류부(320)는 위협분석결과(158)에 저장된 각각의 위협들에 대해 이러한 3 가지 모델 중의 하나로 분류한다. 도 6은 본 발명의 바람직한 일 실시예에 따른 위험분석모델분류부(320)의 하나의 위협에 대한 처리 흐름을 도시한다. 먼저 위협분석결과(158), 자산분석결과(254), 취약성진단항목 데이터베이스(156)를 로딩하여(단계 S100) 각각의 위협들과 자산간의 매핑관계를 조사함에 의해 각각의 위협들에 대해 위험분석 모델을 분류한다(단계 S120). 이후에 해당 위협이 TAVC 모델에 해당하는 경우에는 위협과 해당 자산 및 관련 취약성 진단항목을 매핑시켜(단계 S131), TAVC 위험평가 템플릿을 생성하여(단계 S141) 탬플릿 데이터베이스(352)에 저장한다(단계 S150). 해당 위협이 TVC 모델에 해당하는 경우에는 위협과 해당 취약성 진단항목을 매핑시켜(단계 S132), TVC 위험평가 템플릿을 생성하여(단계 S142) 탬플릿 데이터베이스(352)에 저장한다(단계 S150). 해당 위협이 VC 모델에 해당하는 경우에는 위협과 TAVC/TVC모델 이외의 취약성 진단항목을 선정하고(단계 S132), VC 위험평가 템플릿을 생성하여(단계 S142) 탬플릿 데이터베이스(352)에 저장한다(단계 S150).
다음으로 취약성 평가부(340)는 취약성 평가 템플릿을 로딩하여 위험분석 모델별로 취약성 진단과 평가를 실시한다. 바람직한 일 실시예에 있어서, 취약성 평가부(340)는 체크리스트의 형태로 평가항목을 사용자에게 제시하고, 사용자의 체크 결과를 평가한다. 사용자는 해당 체크리스트 항목을 체크하기 위하여 설문조사, 인터뷰, 문서확인, 기술적 실사, 관리적 실시를 포함한 다양한 방법을 통해 확인한 후 체크리스트를 입력한다. 기술적 취약성의 경우 시스템이나 네트워크의 체크리스트 항목으로 구성된다. 정책/지침/절차의 항목에 대해서는 정책/지침/절차의 통제사항과 관련된 항목의 규정화를 확인하며, 이는 문서화가 부족한 부분, 도는 문서에 필요한 요건들의 완전성을 점검한다. 조직 항목과 관련하여서는 정보보호실행에 필요한 인력이나 조직이 확보되어 있는지를 점검한다. 교육 항목과 관련하여서는 보안교육을 실시하고 있는지, 교육내용의 적절성 등을 파악한다. 감사 항목과 관련하여서는 각종 보안기록 관리, 감독 및 감사가 이행되고 있는지 등을 점검한다.
체크리스트 구조는 위험분석 모델별로 상이하다. 도 7은 본 발명의 특징적인 양상에 따라 위험부넉 모델별로 정해지는 체크리스트의 일반적인 구조를 도시한다. 도시된 바와 같이 TAVC 모델에 있어서는 위협과 매핑되는 자산에 대해 세부통제사항을 체크리스트로 제시한다. 각각의 세부통제사항들은 기술적 취약성, 정책/지침/절차, 조직, 교육, 감사 등 모든 면의 통제사항에 대한 점검을 포함한다. TVC 모델에 있어서, 위협은 광범위한 자산과 관련되므로 각각의 위협들에 대해 직접 세부통제사항을 체크리스트로 설정한다. 각각의 세부통제사항들은 기술적 취약성을 제외한 정책/지침/절차, 조직, 교육, 감사 등 의 통제사항에 대한 점검을 포함한다. VC 모델에 있어서 순수한 관리적 측면의 취약성으로 위협과 관련없이 세부통제사항이 체크리스트로 설정된다. 각각의 세부통제사항들은 기술적 취약성을 제외한 정책/지침/절차, 조직, 교육, 감사 등 의 통제사항에 대한 점검을 포함한다.
도 8은 TAVC 모델에 대한 취약성 진단의 체크리스트를 예시한다. 나머지 모델에 대한 취약성은 TAVC 모델이 모든 통제사항들을 포괄하므로 예시를 생략한다.
취약성 평가부(340)는 각각의 취약성에 대해 분류된 모델별로 템플릿을 불러 체크리스트를 작성하고 이를 사용자에게 제시하여 입력받는다. 입력된 데이터는 각각의 모델별로 평가되어 정량화된다. TAVC 모델의 경우 개별 자산에 대한 기술적 취약성 및 기술적인 관리에 대한 진단 결과에 대해 전체 진단 항목에 대한 평균값을 중심으로 점수화된다. TVC 모델의 경우 각 개별 위협에 대한 취약성 진단 결과를 바탕으로 전체 진단 항목에 대한 평균값을 중심으로 점수화된다. VC 모델의 경우 순수 관리적인 취약성 진단 결과를 바탕으로 전체 진단 항목에 대한 평균값을 중심으로 점수화된다. 예를 들어 평균값을 중심으로 정규분포를 가정하였을 때 80%, 60%, 40%, 20% 등의 값을 기준으로 하여 각각의 구간에 속한 취약성 항목들에 대해 취약도 데이터로 계량화하는 것이 가능하다. 예를 들어 80% 이상은 5점, 60% 이상 80% 미만의 구간에 속하는 취약도는 4점 등으로 평가될 수 있다.
위험분석부(400)는 위협도와 자산의 가치 및 취약도로부터 위험도를 산출하고, 각각의 위험별로 발생가능성을 평가하는 위험평가부(420)를 포함한다. 바람직한 일 실시예에 있어서, 위험도 데이터는 위협도, 자산의 가치 및 취약도 데이터의 합으로 구한다. 위협도는 위협분석부(100)의 위협 평가부(160)에서 산출된 데이터로 위협분석결과 데이터베이스(158)에 저장된 것이다. 자산의 가치 데이터는자산분석부(200)의 자산평가부(240)에서 평가된 데이터로 자산분석결과 데이터베이스(254)에 저장된 것이다. 취약도 데이터는 취약성분석부(300)의 취약성 평가부(340)에서 산출된 것으로, 취약성 분석결과 데이터베이스(354)에 저장된 것이다. 위험분석부(400)는 각각의 취약성 항목들에 대해 위험분석 모델별로 상이한 데이터에 기초하여 위험도를 산출하게 된다. TAVC 모델의 취약성 항목들에 대해서는 위협도, 자산의 가치 및 취약도의 합 또는 곱으로 위험도가 산출된다. TVC 모델의 취약성 항목들에 대해서는 위협도, 취약도의 합 또는 곱으로 위험도가 산출된다. VC 모델의 취약성 항목들에 대해서는 취약도 값으로 위험도가 산출된다.
각각의 모델별로 위험도가 산출된 후 각각의 위험별로 발생 가능성이 평가된다. 발생 가능성은 통계적인 발생량에 기초해 정해지는 구분값들을 기준으로 정량화된다.
본 발명의 보조적인 양상에 따라 위험분석부(400)는 감수산정부(440)를 포함한다. 감수산정부는 위험발생시의 영향과 발생 가능성에따라 위험측정의 우선순위를 정한다. 즉, 감수산정부(440)는 위험 발생시 영향과 위험 발생빈도에 따라 위험을 분류하고 통제방안을 제시하지 않아도 되는 위험 발생의 기준값과 발생빈도의 기준값에 따라 위험을 분류한다. 이는 위험분포도의 형태로 제공되는데 위험도와 발생가능성의 이차원 평면에서 각각의 위험들이 분포하게 된다. 이들 평면을 위험도와 발생가능성 각각의 적절한 기준값들을 중심으로 구획하면 4개의 영역으로 구분할 수 있다. 도 9는 이 같은 위험분포도를 도식적으로 도시한다. 영역 Ⅳ에 속한 위험들은 빈번하게 발생하고 파장이 큰 위험들로 원천적으로 방지해야 하는 위험들이다. 영역 Ⅲ에 속한 위험들은 위험의 발생빈도는 낮지만 영향이 큰 위험들로 조사/수정/관찰이 필요한 위험들이다. 영역 Ⅱ에 속한 위험들은 위험의 발생빈도는 높지만 파장이 적은 위험들로 관찰이 필요한 것들이다. 영역 Ⅰ에 속하는 발생빈도도 적고 영향도 적은 위험들로 추가통제하지 않고 감수할 수 있는 위험들이다. 일 실시예에 있어서, 감수산정부(440)는 사용자로부터 추가통제가 불필요한 위험들을 선택하기 위해 감수할 위험의 최대치, 즉 위험발생시 영향과 위험 발생빈도에 대해 허용가능한 최대치를 입력받아 이 범위를 결정한다. 감수산정부에서 구분된 위험들은 위험 데이터베이스(354)에 저장된다.
본 발명의 일 양상에 따라 위험분석부(400)는 보고서 출력부(460)를 포함한다. 보고서 출력부(460)는 위험 데이터베이스(354)에 저장된 개별 위험에 대해 위험 모델별로 통제 방안을 선정한다. 각각의 통제방안들은 취약성 체크리스트 항목과 1:1로 대응되어 저장되어 있다. 보고서 출력부(460)는 선정된 통제방안으로부터 보고서를 생성하여 출력한다.
이상에서 상세히 기술한 바와 같이, 본 발명에 따른 위험 분석 시스템은 정보자산에 대해 가능한 위험들을 정량적으로 분석하고 그 결과에 따른 통제방안을 제시하는 체계적인 접근을 가능하게 한다.
나아가 본 발명에 따른 위험 분석 시스템은 정보자산의 위험에대해 단기간 동안의 작업으로도 상세한 위험 분석이 가능하고, 취약점을 진단하여 평가할 수 있도록 지원하며, 관리분야와 기술분야의 취약점 진단의 통합방안을 제시하는 것이가능하다.
더 나아가 본 발명에 따른 위험 분석 시스템은 각각의 위험모델에 따라 위협과 자산을 매핑시켜 분석하므로 체계적이고 신속한 위험 분석이 가능하다.
본 발명은 첨부된 도면을 참조하여 기술되는 실시예들을 중심으로 설명되었으나 이에 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어남이 없이 자명하게 도출되는 다양한 실시예를 포괄하도록 작성된 특허청구범위에 의하여 해석되어진다.
Claims (6)
- 정보 자산의 위험 분석 시스템에 있어서,자산에 영향을 미치는 위협을 선택받아 평가하는 위협분석부(100)와,파악된 위협에 노출된 자산들을 목록화하고 개별자산에 대해 평가하는 자산분석부(200)와,진단대상에 대해 물리적, 관리적, 기술적 취약성 진단을 처리하는 취약성 분석부(300)와,위협도와 자산의 가치 및 취약도로부터 위험도를 산출하고, 각각의 위험별로 발생가능성을 평가하는 위험분석부(400)를 포함하는 것을 특징으로 하는 위험 분석 시스템.
- 제 1 항에 있어서, 상기 위협분석부(100)가 :다수의 가능한 위협 목록을 저장하고 있는 위협 데이터베이스(152)로부터 환경분석 결과를 통해 실제하는 것으로 파악된 위협을 선택하는 위협 선택부(120)와,위협 선택부(120)에서 선택된 위협에 대한 평가를 실시하여 그 결과를 위협분석결과 데이터베이스(158)에 저장하는 위협 평가부(120)와,위협 선택부(120)에서 선택된 위협에 대해 취약성 데이터베이스(154)로부터 추출된 취약성 진단항목을 자동으로 선택하여 취약성 진단항목 데이터베이스(156)에 저장하는 취약성 선택부(140)를 포함하는 것을 특징으로 하는 위험 분석 시스템.
- 제 2 항에 있어서, 상기 자산분석부(200)는 :위협 분석부(100)에서 파악된 위협에 노출된 자산들을 목록화하고 이를 분류하는 자산파악부(220)와,자산파악부(220)에서 파악된 자산들에 대해 위협평가부(160)에서의 파악되어 위협분석결과 데이터베이스(156)에 저장된 위협들과 매핑시키고 이들을 자산의 종류에 따라 정해지는 평가기준에 따라 평가하여 그 결과를 자산분석결과 데이터베이스에 저장하는 자산평가부(240)와,위협과 자산의 매핑과정에서 추가적으로 자산속성을 고려하여 취약성 진단항목 데이터베이스(156)에 저장된 취약성 진단결과 항목들을 최적화하는 취약성 최적화부(260)를 포함하는 것을 특징으로 하는 위험 분석 시스템.
- 제 3 항에 있어서, 상기 취약성 분석부(300)는 :위협 분석부(100)에서 분석된 취약성 진단항목(156)과 위협분석결과(158) 및 자산분석부(200)에서 분석된 자산분석 결과(254)를 기초로 각각이 관련 자산과 매핑된 위협들에 대해 소정의 위험분석 모델 중 하나로 분류하는 위험분석모델분류부(320)와,상기 분류된 위험분석모델별로 취약성 평가를 처리하는 취약성 평가부(340)를 포함하는 것을 특징으로 하는 위험 분석 시스템.
- 제 4 항에 있어서, 상기 위험분석 모델이 위협과 취약성과의 매핑의 존재여부와, 위협과 단일 자산군과의 매핑 존재 여부에 따라 분류된 것을 특징으로 하는 위험 분석 시스템.
- 제 4 항에 있어서, 상기 위험분석부(400)는 :위협도와 자산의 가치 및 취약도로부터 위험도를 산출하고, 각각의 위험별로 발생가능성을 평가하는 위험평가부(420)와,위험 발생시 영향과 위험 발생빈도에 따라 위험을 분류하고, 통제방안을 제시하지 않아도 되는 위험 발생의 기준값과 발생빈도의 기준값에 따라 위험을 분류하는 감수산정부(440)를 포함하는 것을 특징으로 하는 위험 분석 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2003-0036112A KR100524649B1 (ko) | 2003-06-04 | 2003-06-04 | 정보 자산의 위험 분석 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2003-0036112A KR100524649B1 (ko) | 2003-06-04 | 2003-06-04 | 정보 자산의 위험 분석 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20040104853A true KR20040104853A (ko) | 2004-12-13 |
| KR100524649B1 KR100524649B1 (ko) | 2005-10-31 |
Family
ID=37380096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR10-2003-0036112A KR100524649B1 (ko) | 2003-06-04 | 2003-06-04 | 정보 자산의 위험 분석 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100524649B1 (ko) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007073063A1 (en) * | 2005-12-22 | 2007-06-28 | Kibo Technology Fund | Method of technology valuation |
| KR100798755B1 (ko) * | 2006-05-17 | 2008-01-29 | 주식회사 제이컴정보 | 위협 관리 시스템 및 그 방법 |
| KR100891345B1 (ko) * | 2008-10-27 | 2009-03-31 | 주식회사 이글루시큐리티 | 상이한 정보보호수준지표의 상호매핑을 지원하는 정보보호운영관리시스템 및 방법 |
| KR100923407B1 (ko) * | 2007-07-25 | 2009-10-23 | 삼성에스디에스 주식회사 | 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법 |
| KR100955282B1 (ko) * | 2007-10-12 | 2010-04-30 | 한국정보보호진흥원 | 정보 계층 구조를 이용한 네트워크 위험 분석 방법 |
| KR100955281B1 (ko) * | 2007-10-18 | 2010-04-30 | 한국정보보호진흥원 | 위협 관리를 위한 보안 위험도 평가 방법 |
| KR101013077B1 (ko) * | 2007-07-30 | 2011-02-14 | 채문창 | 정량적 안전지수 산출에 근거한 it 위험 관리 방법 및시스템 |
| CN104965972A (zh) * | 2015-06-09 | 2015-10-07 | 南京联成科技发展有限公司 | 一种基于人工智能的信息系统安全风险评估与防护方法 |
| KR20160046767A (ko) | 2013-09-09 | 2016-04-29 | 에스2정보 주식회사 | 개인정보보호 측정 시스템 |
| KR20200001453A (ko) * | 2019-01-31 | 2020-01-06 | 김종현 | 정보 보안 위험 관리 시스템 |
| KR102230442B1 (ko) * | 2020-12-14 | 2021-03-22 | 주식회사 이글루시큐리티 | 진단 대상 서버의 설정파일 수집 및 설정파일에 대한 취약점 진단의 주체가 이원화된 취약점 진단 장치 및 방법 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220308841A1 (en) * | 2021-03-25 | 2022-09-29 | Clearwater Analytics, Llc | Enabling custom software development by domain experts |
-
2003
- 2003-06-04 KR KR10-2003-0036112A patent/KR100524649B1/ko active IP Right Grant
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007073063A1 (en) * | 2005-12-22 | 2007-06-28 | Kibo Technology Fund | Method of technology valuation |
| KR100798755B1 (ko) * | 2006-05-17 | 2008-01-29 | 주식회사 제이컴정보 | 위협 관리 시스템 및 그 방법 |
| KR100923407B1 (ko) * | 2007-07-25 | 2009-10-23 | 삼성에스디에스 주식회사 | 정보화 사업에서의 위험 관리 및 평가 시스템과 그 방법 |
| KR101013077B1 (ko) * | 2007-07-30 | 2011-02-14 | 채문창 | 정량적 안전지수 산출에 근거한 it 위험 관리 방법 및시스템 |
| KR100955282B1 (ko) * | 2007-10-12 | 2010-04-30 | 한국정보보호진흥원 | 정보 계층 구조를 이용한 네트워크 위험 분석 방법 |
| KR100955281B1 (ko) * | 2007-10-18 | 2010-04-30 | 한국정보보호진흥원 | 위협 관리를 위한 보안 위험도 평가 방법 |
| KR100891345B1 (ko) * | 2008-10-27 | 2009-03-31 | 주식회사 이글루시큐리티 | 상이한 정보보호수준지표의 상호매핑을 지원하는 정보보호운영관리시스템 및 방법 |
| KR20160046767A (ko) | 2013-09-09 | 2016-04-29 | 에스2정보 주식회사 | 개인정보보호 측정 시스템 |
| CN104965972A (zh) * | 2015-06-09 | 2015-10-07 | 南京联成科技发展有限公司 | 一种基于人工智能的信息系统安全风险评估与防护方法 |
| KR20200001453A (ko) * | 2019-01-31 | 2020-01-06 | 김종현 | 정보 보안 위험 관리 시스템 |
| KR102230442B1 (ko) * | 2020-12-14 | 2021-03-22 | 주식회사 이글루시큐리티 | 진단 대상 서버의 설정파일 수집 및 설정파일에 대한 취약점 진단의 주체가 이원화된 취약점 진단 장치 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100524649B1 (ko) | 2005-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ak et al. | AHP–TOPSIS integration extended with Pythagorean fuzzy sets for information security risk analysis | |
| KR100755000B1 (ko) | 보안 위험 관리 시스템 및 방법 | |
| KR100752677B1 (ko) | 정보기술 위험관리시스템 및 그 방법 | |
| CN111444514B (zh) | 信息安全风险评估方法及装置、设备、存储介质 | |
| US20160210631A1 (en) | Systems and methods for flagging potential fraudulent activities in an organization | |
| Greitzer et al. | Positioning your organization to respond to insider threats | |
| US20050033761A1 (en) | System and method for generating and using a pooled knowledge base | |
| KR100524649B1 (ko) | 정보 자산의 위험 분석 시스템 | |
| US11507674B2 (en) | Quantifying privacy impact | |
| EP3286660A2 (en) | Command and control system for optimal risk management | |
| CN115225336A (zh) | 一种面向网络环境的漏洞可利用性的计算方法及装置 | |
| García et al. | Personal data protection maturity model for the micro financial sector in Peru | |
| KR100891345B1 (ko) | 상이한 정보보호수준지표의 상호매핑을 지원하는 정보보호운영관리시스템 및 방법 | |
| Viktoriia et al. | An intelligent model to assess information systems security level | |
| JP2007287132A (ja) | 情報技術危険管理システム及びその方法 | |
| You et al. | Review on cybersecurity risk assessment and evaluation and their approaches on maritime transportation | |
| Kelemen | Systematic review on process mining and security | |
| Singh et al. | Toward grading cybersecurity & resilience posture for cyber physical systems | |
| Heidenreich | How to design a method for measuring IT security in micro enterprises for IT security level measuring? A literature analysis | |
| US20200389482A1 (en) | Software application for continually assessing, processing, and remediating cyber-risk in real time | |
| KR20050093196A (ko) | 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템 | |
| Gulzira et al. | The audit method of enterprise's Information security | |
| Derakhshandeh et al. | New framework for comparing information security risk assessment methodologies | |
| KR102538688B1 (ko) | 리스크 평가 기반 사고 예측 안전관리 장치 및 방법 | |
| KR20040062735A (ko) | 정보시스템 진단방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20121018 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20131021 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20141015 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20161017 Year of fee payment: 12 |
|
| FPAY | Annual fee payment |
Payment date: 20180831 Year of fee payment: 14 |
|
| FPAY | Annual fee payment |
Payment date: 20191015 Year of fee payment: 15 |