.gif)
보안 우선순위 정할 때 FAIR 등 데이터 기반의 정량적 보안 위험 평가 모델 적용 필요
[보안뉴스=곽규복 정보관리기술사/LG CNS 보안 전문위원] 요즘처럼 바쁜 일상 속에서 우리는 종종 할 일이 너무 많아 아무것도 제대로 하지 못하는 상황을 겪는다. 게다가 이런 일들이 동시에 일어난다면 어떤 것부터 해결할 것인가? 예를 들어 아이가 울기 시작하고, 전화기가 울리며, 초인종이 울리는데 목욕물이 넘치는 소리가 들린다. 선택하는 답에 따라 사랑, 일, 친구, 돈을 인생에서 가장 중요하다고 판단한다는, 재미삼아 보는 심리테스트다. 자신이 “중요하다고 생각하는 일”부터 처리하는 심리를 이용한 테스트다.
[자료: gettyimagesbank]
기업의 보안관리도 이와 다르지 않다. 최근에는 언론에서 하루가 멀다 하고 이동통신사, 쇼핑몰, IT서비스 기업, 채용사이트 등 영역을 가리지 않고 끊임없이 보안 사고가 발생하고 있다.
보안 커뮤니티에서는 위험도가 높은 새로운 보안 취약점들이 쏟아져 나오고 있고, 국내외 컴플라이언스 기준들도 새롭게 생기거나 강화되고 있다. 한국인터넷진흥원(KISA)은 2024년 국내 사이버 침해사고 신고 건수가 23년 대비 48%나 증가했다고 발표했다.
이처럼 여러 일이 동시에 터지고 있을 때, 우선순위를 정하는 기준이 있다면 혼란 속에서도 효율적으로 대응할 수 있다. 최근 수많은 보안 위협과 취약점들이 동시다발적으로 발생하면서 보안 담당자들은 모든 문제를 동시에 해결하려다 오히려 리소스만 낭비하고, 가장 중요한 위협에는 제대로 대응하지 못하는 일이 빈번하게 발생하고 있다. 이럴 때 필요한 것이 바로 ‘우선순위 기반 대응 전략’이다.
소중한 것을 먼저 하라 – 보안의 우선순위 정하기
스티븐 코비의 저서 ‘소중한 것을 먼저 하라(First Things First)’에서는 단순히 “시간을 잘 관리하라”는 것을 넘어서, ‘긴급성보다 중요성’을 기준으로 일을 구분하고, ‘중요한 일을 우선순위에 따라 실천하는 삶’을 강조한다. 이 개념은 기업 보안 관리에도 그대로 적용될 수 있다. 우선 스티븐 코비의 핵심 주장을 살펴보자.
1. 긴급한 일보다 중요한 일을 먼저 하라.
→ 대부분 사람들은 ‘긴급한 일’에 끌려다니지만, 진정한 효과성은 ‘중요한 일’에 집중할 때 나온다.
2. 우선순위는 시간이나 일정이 아니라 가치에 따라 결정되어야 한다.
→ ‘해야 하는 일’이 아니라, ‘가장 의미 있는 일’에 자원을 먼저 배분해야 한다.
3. 리더십은 우선순위를 설정하고 실천하는 것이다.
→ 방향을 잘못 잡으면 아무리 열심히 해도 헛된 결과를 초래한다.
스티븐 코비의 핵심 주장을 원리 중심으로 보안 위험 관리에 적용하면 다음과 같이 요약할 수 있다.
[자료: 곽규복 기술사]
기업의 보안관리 체계는 무수한 위협 속에서 자원의 한계를 고려하여 가장 중요한 위험부터 대응해야 한다. 즉, 단순히 뉴스에 자주 등장하거나 눈에 띄는 위협이 아니라 기업의 보안 목표와 자산에 치명적인 영향을 미칠 수 있는 위험을 우선 파악하고 대응하는 것이 핵심이다. 그러기 위해서는 막연한 판단이 아닌 객관적이고 정량적인 위험 측정 방법이 필요하다.
FAIR 모델을 활용한 정량적 보안 위험 평가
다양한 보안 위험 평가 방법론이 존재하지만 좀 더 데이터에 기반한 정량적 보안 위험 평가 모델을 소개하고자 한다. 우리나라에서 주로 사용하는 위험 평가 방법은 정성적 평가 방법이다. 자산의 중요도, 위협 수준, 취약성 수준을 상, 중, 하로 수치화해 계산하고 있지만 이는 정성적인 평가를 수치화했을 뿐이다.
이러한 위험 평가 방식은 “이 취약점은 위험하다”는 식의 주관적 판단에 의존하는 경향이 있다. 반면 FAIR(Factor Analysis of Information Risk) 모델은 정보보안 위험을 금전적 손실 가능성이라는 기준으로 수치화해 비교할 수 있게 해준다.
*FAIR(Factor Analysis of Information Risk)는 정보보안 위험을 수치화해 기업이 제한된 자원을 가장 위협적인 위험에 집중할 수 있도록 돕는 정량적 위험 평가 모델이다. FAIR는 위험을 구성하는 요인(Factor)들을 체계적으로 분해한 계층적 구조를 가지며, 이를 분석하여 이들이 어떻게 조합되어 손실로 이어지는지를 구조화한 분석 체계이다. 위험 평가에서는 각 요소를 단일 값으로 고정하는 것보다 범위로 추정하는 것이 현실적이다. 예를 들어 “손실 규모는 3천만 원에서 10억 원 사이”와 같이 불확실성이 나타난다. 이때 사용하는 것이 몬테카를로 시뮬레이션이며, 수천~수만 번의 시뮬레이션을 통해 각 위험 요소에 대해 확률 분포 기반의 예측 결과를 도출한다. 각 시뮬레이션에서는 입력값이 무작위로 선택되고, 결과값(ALE)이 계산된다. 이는 경영진 보고 시 정량적 판단 근거를 제공할 수 있어 효과적이다. 참고로 FAIR 방법론은 직접 사용하면 무료이지만 이를 이용하여 이득을 취하는 경우 별로 라이선스를 구매해야 한다.
FAIR 모델은 다음과 같은 구성요소를 기반으로 위험을 계산한다.
- 연간 위협 발생 가능성: 위협 시도 발생 빈도(예: 연간 몇 번 해커가 접근하는가)
- 취약점 악용 가능성: 위협이 성공할 가능성(해커가 실제 침투에 성공할 확률)
- 손실 사건 빈도: 실제 손실 사건 발생 빈도(앞 2개의 요소에 비례)
- 평균 손실 규모: 손실이 발생했을 때 예상 금전적 피해 규모
- 예상 연간 손실(ALE): 연간 기대 손실
실제 FAIR 모델은 위의 요소들을 더욱 세분화해 정량화를 최소 단위로 할 수 있다. 이렇게 정량적인 Expected Loss(예상 손실)을 도출할 수 있고, 이를 통해 여러 보안 이슈 중 기업에 가장 큰 영향을 줄 수 있는 위험을 도출할 수 있다.
예를 들어, A 시스템의 취약점은 자주 악용될 수 있지만, 해당 시스템에 민감한 데이터가 없다면 피해 규모는 적다. 반면, B 시스템은 취약점의 악용 가능성은 낮지만, 침해되면 수십억 원의 피해를 유발할 수 있다면, FAIR 모델은 B 시스템의 위험도를 더 높게 평가한다. 방금 예시를 조금 상세하게 들여다보자.
[자료: 곽규복 기술사]
이러한 방식으로 각 위협의 위험 수준을 수치로 비교하면, 기업은 제한된 인력과 자원을 가장 효과적으로 배분할 수 있다.
더 이상 보안은 ‘느낌’이나 ‘경험’에만 의존해서는 안된다. 수치 기반의 분석, 그리고 기업의 핵심 목표에 따른 리스크 기반 의사결정이야말로 혼란한 위협 환경에서 중심을 잡는 방법이다.
FAIR 모델은 모든 기업이 반드시 도입해야 할 방식은 아니지만, 보안 리스크의 ‘비즈니스 영향’을 명확히 하고, 효율적인 자원 배분을 가능하게 한다는 점에서 현대 보안 관리의 방향성을 제시하고 있다. 물론 이러한 정량적 위험평가 방법 역시 정확하지 않다는 의견도 많다. 하지만 정확한 것과 정밀한 것은 다른 것이며, 상대적으로 우선순위를 설정하고, 피해 규모를 수치화한다는 점에서는 의의가 있을 것이다.
‘소중한 것을 먼저 하라’는 원칙은 보안에서도 유효하다. 보안 위협이 많을수록 우리는 더 냉정한 판단 기준이 필요하다. 일의 긴급성과 중요성을 구분하고, 기업의 보안 목표에 따라 가장 큰 피해를 줄 수 있는 위협부터 대응하는 것. 이것이 지금의 복잡하고 빠르게 변화하는 보안 환경에서 효율적이고 지속 가능한 보안 관리체계를 운영하는 핵심 원칙일 것이다.
[글_곽규복 정보관리기술사/ LG CNS 보안 전문위원]
필자 소개_
보안 솔루션 개발자로 시작해서 모의해킹, 보안 컨설팅, 보안 아키텍처 설계 및 분석까지 약 20년 넘게 보안 외길을 걸어왔다. 요즘은 더 안전한 세상을 만들기 위해 본인이 기여할 수 있는 일이 무엇일까를 고민하며 지내고 있다.
[보안뉴스=곽규복 정보관리기술사/LG CNS 보안 전문위원] 요즘처럼 바쁜 일상 속에서 우리는 종종 할 일이 너무 많아 아무것도 제대로 하지 못하는 상황을 겪는다. 게다가 이런 일들이 동시에 일어난다면 어떤 것부터 해결할 것인가? 예를 들어 아이가 울기 시작하고, 전화기가 울리며, 초인종이 울리는데 목욕물이 넘치는 소리가 들린다. 선택하는 답에 따라 사랑, 일, 친구, 돈을 인생에서 가장 중요하다고 판단한다는, 재미삼아 보는 심리테스트다. 자신이 “중요하다고 생각하는 일”부터 처리하는 심리를 이용한 테스트다.
[자료: gettyimagesbank]
기업의 보안관리도 이와 다르지 않다. 최근에는 언론에서 하루가 멀다 하고 이동통신사, 쇼핑몰, IT서비스 기업, 채용사이트 등 영역을 가리지 않고 끊임없이 보안 사고가 발생하고 있다.
보안 커뮤니티에서는 위험도가 높은 새로운 보안 취약점들이 쏟아져 나오고 있고, 국내외 컴플라이언스 기준들도 새롭게 생기거나 강화되고 있다. 한국인터넷진흥원(KISA)은 2024년 국내 사이버 침해사고 신고 건수가 23년 대비 48%나 증가했다고 발표했다.
이처럼 여러 일이 동시에 터지고 있을 때, 우선순위를 정하는 기준이 있다면 혼란 속에서도 효율적으로 대응할 수 있다. 최근 수많은 보안 위협과 취약점들이 동시다발적으로 발생하면서 보안 담당자들은 모든 문제를 동시에 해결하려다 오히려 리소스만 낭비하고, 가장 중요한 위협에는 제대로 대응하지 못하는 일이 빈번하게 발생하고 있다. 이럴 때 필요한 것이 바로 ‘우선순위 기반 대응 전략’이다.
소중한 것을 먼저 하라 – 보안의 우선순위 정하기
스티븐 코비의 저서 ‘소중한 것을 먼저 하라(First Things First)’에서는 단순히 “시간을 잘 관리하라”는 것을 넘어서, ‘긴급성보다 중요성’을 기준으로 일을 구분하고, ‘중요한 일을 우선순위에 따라 실천하는 삶’을 강조한다. 이 개념은 기업 보안 관리에도 그대로 적용될 수 있다. 우선 스티븐 코비의 핵심 주장을 살펴보자.
1. 긴급한 일보다 중요한 일을 먼저 하라.
→ 대부분 사람들은 ‘긴급한 일’에 끌려다니지만, 진정한 효과성은 ‘중요한 일’에 집중할 때 나온다.
2. 우선순위는 시간이나 일정이 아니라 가치에 따라 결정되어야 한다.
→ ‘해야 하는 일’이 아니라, ‘가장 의미 있는 일’에 자원을 먼저 배분해야 한다.
3. 리더십은 우선순위를 설정하고 실천하는 것이다.
→ 방향을 잘못 잡으면 아무리 열심히 해도 헛된 결과를 초래한다.
스티븐 코비의 핵심 주장을 원리 중심으로 보안 위험 관리에 적용하면 다음과 같이 요약할 수 있다.
[자료: 곽규복 기술사]
기업의 보안관리 체계는 무수한 위협 속에서 자원의 한계를 고려하여 가장 중요한 위험부터 대응해야 한다. 즉, 단순히 뉴스에 자주 등장하거나 눈에 띄는 위협이 아니라 기업의 보안 목표와 자산에 치명적인 영향을 미칠 수 있는 위험을 우선 파악하고 대응하는 것이 핵심이다. 그러기 위해서는 막연한 판단이 아닌 객관적이고 정량적인 위험 측정 방법이 필요하다.
FAIR 모델을 활용한 정량적 보안 위험 평가
다양한 보안 위험 평가 방법론이 존재하지만 좀 더 데이터에 기반한 정량적 보안 위험 평가 모델을 소개하고자 한다. 우리나라에서 주로 사용하는 위험 평가 방법은 정성적 평가 방법이다. 자산의 중요도, 위협 수준, 취약성 수준을 상, 중, 하로 수치화해 계산하고 있지만 이는 정성적인 평가를 수치화했을 뿐이다.
이러한 위험 평가 방식은 “이 취약점은 위험하다”는 식의 주관적 판단에 의존하는 경향이 있다. 반면 FAIR(Factor Analysis of Information Risk) 모델은 정보보안 위험을 금전적 손실 가능성이라는 기준으로 수치화해 비교할 수 있게 해준다.
*FAIR(Factor Analysis of Information Risk)는 정보보안 위험을 수치화해 기업이 제한된 자원을 가장 위협적인 위험에 집중할 수 있도록 돕는 정량적 위험 평가 모델이다. FAIR는 위험을 구성하는 요인(Factor)들을 체계적으로 분해한 계층적 구조를 가지며, 이를 분석하여 이들이 어떻게 조합되어 손실로 이어지는지를 구조화한 분석 체계이다. 위험 평가에서는 각 요소를 단일 값으로 고정하는 것보다 범위로 추정하는 것이 현실적이다. 예를 들어 “손실 규모는 3천만 원에서 10억 원 사이”와 같이 불확실성이 나타난다. 이때 사용하는 것이 몬테카를로 시뮬레이션이며, 수천~수만 번의 시뮬레이션을 통해 각 위험 요소에 대해 확률 분포 기반의 예측 결과를 도출한다. 각 시뮬레이션에서는 입력값이 무작위로 선택되고, 결과값(ALE)이 계산된다. 이는 경영진 보고 시 정량적 판단 근거를 제공할 수 있어 효과적이다. 참고로 FAIR 방법론은 직접 사용하면 무료이지만 이를 이용하여 이득을 취하는 경우 별로 라이선스를 구매해야 한다.
FAIR 모델은 다음과 같은 구성요소를 기반으로 위험을 계산한다.
- 연간 위협 발생 가능성: 위협 시도 발생 빈도(예: 연간 몇 번 해커가 접근하는가)
- 취약점 악용 가능성: 위협이 성공할 가능성(해커가 실제 침투에 성공할 확률)
- 손실 사건 빈도: 실제 손실 사건 발생 빈도(앞 2개의 요소에 비례)
- 평균 손실 규모: 손실이 발생했을 때 예상 금전적 피해 규모
- 예상 연간 손실(ALE): 연간 기대 손실
실제 FAIR 모델은 위의 요소들을 더욱 세분화해 정량화를 최소 단위로 할 수 있다. 이렇게 정량적인 Expected Loss(예상 손실)을 도출할 수 있고, 이를 통해 여러 보안 이슈 중 기업에 가장 큰 영향을 줄 수 있는 위험을 도출할 수 있다.
예를 들어, A 시스템의 취약점은 자주 악용될 수 있지만, 해당 시스템에 민감한 데이터가 없다면 피해 규모는 적다. 반면, B 시스템은 취약점의 악용 가능성은 낮지만, 침해되면 수십억 원의 피해를 유발할 수 있다면, FAIR 모델은 B 시스템의 위험도를 더 높게 평가한다. 방금 예시를 조금 상세하게 들여다보자.
[자료: 곽규복 기술사]
이러한 방식으로 각 위협의 위험 수준을 수치로 비교하면, 기업은 제한된 인력과 자원을 가장 효과적으로 배분할 수 있다.
더 이상 보안은 ‘느낌’이나 ‘경험’에만 의존해서는 안된다. 수치 기반의 분석, 그리고 기업의 핵심 목표에 따른 리스크 기반 의사결정이야말로 혼란한 위협 환경에서 중심을 잡는 방법이다.
FAIR 모델은 모든 기업이 반드시 도입해야 할 방식은 아니지만, 보안 리스크의 ‘비즈니스 영향’을 명확히 하고, 효율적인 자원 배분을 가능하게 한다는 점에서 현대 보안 관리의 방향성을 제시하고 있다. 물론 이러한 정량적 위험평가 방법 역시 정확하지 않다는 의견도 많다. 하지만 정확한 것과 정밀한 것은 다른 것이며, 상대적으로 우선순위를 설정하고, 피해 규모를 수치화한다는 점에서는 의의가 있을 것이다.
‘소중한 것을 먼저 하라’는 원칙은 보안에서도 유효하다. 보안 위협이 많을수록 우리는 더 냉정한 판단 기준이 필요하다. 일의 긴급성과 중요성을 구분하고, 기업의 보안 목표에 따라 가장 큰 피해를 줄 수 있는 위협부터 대응하는 것. 이것이 지금의 복잡하고 빠르게 변화하는 보안 환경에서 효율적이고 지속 가능한 보안 관리체계를 운영하는 핵심 원칙일 것이다.
[글_곽규복 정보관리기술사/ LG CNS 보안 전문위원]
필자 소개_
보안 솔루션 개발자로 시작해서 모의해킹, 보안 컨설팅, 보안 아키텍처 설계 및 분석까지 약 20년 넘게 보안 외길을 걸어왔다. 요즘은 더 안전한 세상을 만들기 위해 본인이 기여할 수 있는 일이 무엇일까를 고민하며 지내고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)