그 동안 ‘월간 안’을 통해 정보보호 컴플라이언스에 관한 내용을 여러 차례 다룬 바 있다. 이번에는 보안 활동의 핵심이라 할 수 있는 ‘위험관리’에 대해 알아보고자 한다. ‘위험관리’는 정보보호 법령과도 밀접한 관계가 있다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’(이하 정통망법)에서 요구하는 정보보호관리체계인증의 핵심적인 단계가 바로 위험관리이기 때문이다.
정통망법 제47조(정보보호관리체계의 인증)는 일정 기준(정보통신서비스 부문 전년도 매출액이 100억 원 이상이거나 전년도 말 기준, 직전 3개월 간의 일일 평균 이용자 수가 100만 명 이상인 경우)에 해당하는 기업은 정보보호관리체계인증(이하 ISMS)을 의무적으로 취득해야 한다고 명시하고 있다.

[그림 1] 정보보호관리체계 5단계 관리 과정 (*출처: 한국인터넷진흥원)
위험관리의 단계는 크게 ‘자산 식별-위험 분석-위험 평가-대책 결정’으로 나누어 볼 수 있다. 위험 분석을 위한 방법론에는 베이스라인 접근법, 비정형 접근법, 상세 위험 분석, 복합 접근법 등 여러 기법이 있다.
이 글에서는 일반인, 즉 보안 전문지식이 높지 않은 사람이 위험관리의 개념을 이해하고 현실에서 적용할 수 있도록 위험 분석을 예를 들어 쉽고 간략하게 설명하겠다. 각 단계별로 사례를 통해 설명하기 위해 가상의 실습자를 설정하였는데, 한 사람은 기업 인사팀 직원이고 다른 사람은 한 아이의 아버지이다. 기업 담당자가 아닌 일반인을 예로 든 까닭은 위험관리가 비즈니스에서만 쓰는 것이 아니라 일상에서도 활용할 수 있는 유용한 지식이기 때문이다.

1단계: 나에게 소중한 대상은 무엇인가 – 자산 식별
위험관리에서 자산을 식별하는 것은 가장 먼저 하는 일이자 핵심이 되는 일이다. 자산(Asset)이란 ‘가치 있는 대상’을 뜻한다. 기업의 자산이라면 경제적 가치를 중심으로 하겠지만 개인에게 있어서는 어떤 의미로든 가치가 있다면 그 대상을 자산으로 보면 된다. 자산이 중요한 이유는 그것이 보안의 목적이자 활동 근거이기 때문이다.
보안(保安)은 ‘안전하게(安) 지킨다(保)’는 뜻이다. 안전하게 지키기 위해서는 지키고자 하는 대상이 있어야 하고, 그 대상은 지킬 가치가 있는 것이라야 할 것이다. 그러한 대상이 무엇인지 파악하고 지켜야 할 이유를 납득하며 지키는 주체가 누구인지 확실히 아는 것이 위험관리의 시작이자 이후의 과정을 관통하는 중추인 것이다.

자산의 내용을 파악했다면 자산을 지킬 책임이 누구에게 있는지, 자산의 손실이 미칠 영향이 어느 정도인지 그 중요도를 정량적 또는 정성적으로 표현한다. 사례에서 기업의 정보 자산을 취급하는 안전해 대리는 자산 가치를 3점 단위로 정량 평가하고 인자한 씨의 경우는 정성적으로 표현하였다.

2단계: 소중한 대상(자산)에 해를 끼칠 수 있는 요소는 무엇인가 – 위협 분석
위협(Threat)이란 자산의 속성을 훼손할 수 있는 내•외부의 요인이다. 정보보호 분야에서 안전하게 유지해야 할 자산의 속성은 ▲가용성(Availability) ▲무결성(Integrity) ▲기밀성(Confidentiality) 등 세 가지이다.
가용성이란 어떤 대상의 지속적인 사용을 보장하는 것으로, 정보시스템이라면 서비스가 장애 없이 운영되는 것이고 사람이라면 아프지 않고 정상적인 활동이 가능한 상태라 할 수 있겠다. 무결성은 정보의 내용이 변조되지 않고 일관성을 유지할 수 있는 상태를 뜻한다. 예를 들어, 은행 전산시스템이 해킹되어 통장 잔고가 1억 원에서 1원으로 바뀌었다면 무결성이 훼손되었다고 할 수 있다. 기밀성은 정보에 접근할 수 있는 권한의 차등성이 유지되는 것이다. 쉽게 말해 다른 사람이 알면 안 되는 내용이라면 그들이 알 수 없도록 지켜져야 한다는 뜻이다.

위협의 정도는 위협이 미칠 영향과 위협이 발생할 빈도를 고려하여 측정하는 것이 일반적이다. 자주 발생하더라도 별다른 영향이 없는 위협이 있을 수 있고, 딱 한 번이더라도 돌이킬 수 없는 손실을 입히는 위협도 있을 것이다.
인자한 씨라면 아이가 놀다가 넘어지는 정도는 여러 번 발생하더라도 심각한 영향은 없는 위협으로 볼 수도 있다. 반면 교통사고는 단 한 번 일어나더라도 치명적인 위협일 것이다. [표 1]의 평가 모델은 기업의 위험 분석에 쓰이기는 하지만 이것이 절대적인 기준은 아니다. 기업 나름의 기준을 정하여 일관성 있게 적용한다면 그것으로 충분하다.

[표 1] 위협 평가 모델 (*출처: 한국인터넷진흥원)

3단계: 위협에 대한 약점은 무엇인가 – 취약성 분석
취약성(Vulnerability)이란 위협에 대응하여 위험의 실현 가능성을 높이는 요인이다. 자산에 내재된 단일한 요소를 뜻하지만 현실에서는 여러 요소의 결합이나 특정한 상황을 포함할 수도 있다. 예컨대 B형 간염 항원이라는 위협에 대해서 항체가 없는 상태라면 ‘B형 간염 항체 없음’이 취약성이 된다.
정보통신서비스와 관련한 취약성은 발견된 내용이 너무 많아 일종의 사전(Dictionary)이 구축되어 있을 정도다. cve.mitre.org와 같은 사이트를 참고하면 도움이 될 것이다.
안전해 대리의 인터뷰에 따르면, ‘채용시스템 장애’라는 위협에 대한 취약성은 데이터 백업이 되지 않고 있는 상황이라 할 수 있다. 입사지원자의 정보를 출력한 문서가 관리 부실로 방치되고 있다는 점도 서류 분실에 따른 위험을 높이고 있음이 분명하다. 한편 인자한 씨는 아이가 건널목을 건너다가 교통사고를 당할 수도 있다는 위험과 관련해, 관리가 되지 않는 아침 2개 구간과 방과 후 5개의 건널목 모두에 보호 방책이 없는 환경을 우려하고 있다.
취약성의 영향도는 위협이 작동할 여지를 크게 한다고 판단될수록 심각하다고 볼 수 있다. 사례에서는 VH(Very High), H(High)와 같은 형식으로 표현했지만 숫자로만 표시해도 무방하고 다른 어떤 표현을 써도 관계없다. 단지 각각의 취약성 정도가 동일한 수준이 아닐 때 그 차이를 식별할 기준만 명확하면 된다.

4단계: 얼마나 위험한 것인가 – 위험 평가
위험 평가는 앞의 1,2,3 단계에서 측정한 자산 중요도, 위협 정도, 취약성 정도를 입력 값으로 하여 위험 수준이라는 출력 값을 얻고 어느 수준까지 위험을 수용할지 판단하는 과정이다. 국제공인 정보시스템 보안전문가(CISSP) 가이드북에는 다음과 같은 수식으로 위험이 표현되어 있다.

이 수식에서 곱셈 기호(x)는 위험 수준을 구하기 위해서는 3가지 입력 값을 곱하라는 뜻이라기보다는 어느 하나의 값이 0이라면 출력값인 위험 역시 0으로 보아도 된다는 의미로 이해하는 것이 좋겠다.
즉, 아무리 큰 위협이 있다 하더라도 그 위협이 가해질 자산이 없다면 위험이란 의미가 업고, 자산이 있고 위협이 있다 하더라도 취약점이 전혀 없어 위협이 작동할 여지가 없다면 이 또한 위험은 없는 것과 같다는 뜻이다. 실제 위험수준의 계산은 앞에서 구한 3가지 요소들의 측정값을 1~3점이나 1~5점 범위로 구분한 다음, 이를 합산하는 방법이 주로 쓰인다. 이를 기준으로 안전해 대리와 인자한 씨의 위험평가 결과를 보면 다음과 같다.


어떤 방식으로 위험 정도를 산출하는가는 중요한 문제가 아니다. 위험평가를 하는 이유는 위험에 대처할 기준을 정하기 위한 것이다. 위험을 처리하려면 대개 비용이 소요되기 마련인데, 비용은 한계가 있기 때문에 의사결정이 필요하다. 만약 비용이 무한정이고 시기적으로 급박한 정도도 동일하다면(시간도 비용이다), 굳이 위험평가를 할 필요가 없다. 위험 정도를 측정한 뒤 ‘수용할 수 있는 수준’ 이상의 위험에 대해서만 비용을 들여 대응하는 것으로 결정하는데, 이 ‘수용할 수 있는 수준’을 보안 분야에서는 DoA(Degree of Acceptance)라고 한다.
안전해 대리의 경우, 해당 회사에서 DoA를 11로 정했다면 위험 정도가 11을 초과하는 경우에만 위험 대응 전략을 고려하고 그 이하의 위험에 대해서는 감수하거나 잠정적으로 대책을 보류하는 것으로 결정한다. 인자한 씨는 어떻게 해야 할까? 인자한 씨의 자산 가치는 사실상 평가 불가능하다. 부모가 아니더라도 어린 아이가 교통사고로 인해 중상을 입거나 생명을 잃었을 때 입을 손실이나 영향을 가늠하는 일은 상당히 어렵다. 결과적으로 인자한 씨는 ‘아이의 교통사고’라는 위험에 대해서 ‘위험 감수’라는 선택은 불가능하며 어떤 방법이든 위험에 대처할 방법을 찾아야만 한다.
5단계: 어떻게 위험에 대응할 것인가 - 위험대응전략
이제 위험관리의 마지막 단계에 이르렀다. 위험에 대응하는 전략은 일반적으로 ▲회피 ▲전가 ▲감소 ▲수용 등 4가지로 분류하곤 한다.
‘회피’란 말 그대로 위험이 발생할 상황 자체를 피하는 것이다. 연인과 야외로 피크닉을 가기로 했는데 오늘 비가 올 확률이 60%라는 일기예보를 들었다고 하자. 이때 위험은 ‘비가 와서 피크닉을 망치는 것’이고 위협은 ‘비’, 취약점은 ‘야외라 마땅히 비를 피할 곳이 없다’라는 정도로 볼 수 있다. 이 경우 취할 수 있는 대응 전략 중 하나는 비 올 가능성이 높은 오늘의 피크닉을 아예 취소하는 것인데, 이런 선택을 ‘회피’라고 볼 수 있다.
‘전가’는 위험으로 인한 손실을 누군가에게 분담시키는 선택이다. 전가의 대표적인 예는 ‘보험’이다. 가능성 있는 위험이 실제로 발생하면 보험사를 통해 그에 대한 보상을 받음으로써 손실의 규모를 줄이는 것이다.
‘감소’는 위험을 줄이기 위한 대책을 구현하는 것이다. 앞서 예를 든 피크닉 경우라면, 우산을 준비해 가는 것이 위험감소 대책이 될 것이다. ‘우산’이라는 비용은 들지만 비가 내렸을 때 망쳐버릴 수 있는 피크닉의 위험을 얼마쯤은 줄여줄 것이기 때문이다.
마지막 선택은 ‘위험 수용’이다. 이는 위험이 발생할 가능성을 그대로 받아들이는 것이다. ‘피크닉 가서 비가 오면 그냥 비를 맞지 뭐. 그것 때문에 여자친구가 화를 낸다면 어쩔 수 없고.’ 대범하거나 미련한 남자의 선택인 셈이다.
전략 결정에 가장 큰 영향을 미치는 것은 위험평가와 마찬가지로 ‘비용’이다. 위험으로 인한 ‘손실’이 위험을 억제하는데 드는 비용보다 적다면, 그 손실은 감수하는 편이 낫다는 것이 기본 논리이다. 역설적이지만 위험관리의 목적은 위험을 아예 제거하는 것이 아니라 수용할 수 있는 수준까지 낮추는 것이다. (물론, 예외도 있긴 하다.)
이제 안전해 대리와 인자한 씨의 위험대응 전략을 살펴보는 것으로 실습을 마무리하자.


결국 안전해 대리와 인자한 씨 모두 위험을 감소시키는 방향으로 전략을 결정했다. 사례에서는 취약점이나 위협의 수가 적기 때문에 한 가지 전략을 선택했지만 실제 기업 운영이나 아이를 키우면서 직면하게 되는 위험은 매우 다양할 수 있다. 그에 따른 전략과 대책 또한 다양하게 도출될 수 있을 것이다.
변화하는 위협, 지속적인 위험관리 필요
끝으로 인자한 씨를 사례로 든 이유 또는 변명을 다시금 하고자 한다. 기업 보안 담당자라면 불필요한 사례라고 느꼈을 듯도 싶다. 그럼에도 불구하고 굳이 아이를 안전하게 지키고 싶은 아버지를 사례로 언급한 이유는 위험관리에서 가장 중요한 출발점은 자신이 지키고자 하는 대상에 대한 애정과 관심이라고 생각하기 때문이다. 아이들은 시시각각 성장하고 변한다. 기업의 자산도 처음 상태 그대로 있는 것이 아니다. 서버 시스템이라면 초기의 가용성과 5년 뒤, 10년 뒤의 가용성이 같은 상태일 수 없다. 위협 또한 고정적이지 않다. 초등학교 1학년 때는 길을 건너는 일조차 위험일 수 있지만 대학생이 된다면 그때는 또 다른 위험에 대해 고려해야만 한다. 기업 자산에 대한 위협 역시 늘 다양한 유형으로 바뀌고 늘어난다.
따라서 위험관리란 1회성으로 끝낼 일이 결코 아니다. 자산과 위협과 취약점의 변화를 지속적으로 주시하고 종합적인 위험을 수시로 가늠하면서 소중한 대상이 안전하게 유지될 수 있도록 돌보는 영속적인 과정이다. 만약 인자한 씨가 아들 걱정하듯 기업의 직원들이 자신에게 소중한 자산이 무엇인지 인식하고 지키고자 한다면 위험관리 방법론이 무엇이든 중요치 않다고 본다. 내게 전문 지식이 없다면 아이가 아플 때 병원 진료를 받듯이 전문가의 도움을 받으면 된다. 중요한 것은 어떤 상황에서도 내 자산은 내가 돌보겠다는 책임감과 의지가 보안의 핵심이라는 것이다. 손발이 오그라들 수 있는 멘트로 글을 맺는다. 보안은 사랑이다. 사랑하면 지키게 된다. @