위험분석 접근법 4가지에 대한 개념과 특징

베이스라인 접근법(Basseline Approach)

모든 시스템에 대해 표준화된 보안대책의 모음들을 체크리스트 형태로 제공하는 방법이다. 기준 문서나 실무 규약 등을 이용하여 시스템에 대해 가장 일반적이고 기본적인 수준에서의 보안 사항을 구현하는 것을 목표로 하고 이를 체크리스트 형태로 제공하는 것이다. 현재 구현된 보안대책이 이 체크리스트에 있는지 없는지를 판단하고 없다면 새로 구현하는 방식으로 접근한다. 이렇게 하면 분석에 사용되는 비용과 시간이 절약된다는 장점이 있지만, 과보호 또는 부족한 보호가 될 가능성이 생긴다. 왜냐하면 해당 시스템에 적합한 체크리스트가 아니라면 이는 위험분석을 하지 않은 것과 같은 상태이기 때문이다. 또한 이 방식은 조직의 자산 변화나 새로운 에러나 취약성의 발생 또는 위험률의 변화 등 보안 상태의 변화를 적절하게 반영하지 못한다. 그리고 체크리스트 담당자로 하여금 실제 보안 상태보다는 구현의 용이성에 따라서 정보보호 대책을 마련하면 계량화가 어려울 뿐만 아니라 점수 자체에만 집착하게 되므로 위험분석에 대한 효과가 미미해진다.

비정형 접근법(Informal Approach)

이 접근법은 구조적인 방법론에 기초하지 않고 위험분석의 주체인 전문가의 지식을 이용하여 위험분석을 수행한다. 따라서 전문가 의존형 접근법으로 불리기도 한다. 위험 분석을 실시하는 전문가는 내부의 구성원일 수도 있고 외부 보안 전문가 일 수도 있다. 특정한 위험분석의 모델이나 기법을 선정하여 수행하지 않고 전문가의 경험에 의존하여 중요한 위험 중심으로 분석한다. 다음에 살펴볼 상세 위험분석 보다 빠르고 비용이 적게 든다는 장점이 있고 작은 규모의 조직에 적합하다. 그러나 새로 나타날 수 있는 위험이나 수행자가 과거에 경험한 적 없는 위험 요소가 나타났을 때 적절한 대처가 불가능하다. 또한 개인의 경험에 의존하므로 논리적이고 과학적으로 검증된 방법론이 아니라는 관점에서 바라봤을 때 사업 분야나 보안에 전문성이 높은 인력이 참여하지 않는다면 실패할 가능성도 크다고 볼 수 있다. 그리고 전문가의 주관적인 판단에 의하여 위험 분석이 이루어지므로 이는 결과를 왜곡시킬 수도 있다는 단점도 있다.

상세 위험분석(Detailed Risk Analysis)

상세 위험 분석은 잘 구조화된 모델을 기반으로 하여 자산, 위협, 취약성의 분석을 각 단계별로 수행하는 평가 방법이다. 자산의 보호는 위험관리를 수행하기 위한 가장 큰 목적으로, 조직이 사용하고 있는 시스템이나 네트워크를 구성하고 있는 모든 요소를 포함한다. 위협은 자산이 가진 고유한 취약성을 이용해서 자산에 직접적, 간접적으로 피해를 끼칠 수 있는 요소이다. 취약성은 자산이 가진 모든 약점을 의미하는데 앞서 설명했듯 위협에 의해 사용된다. 그러나 취약성은 존재 자체만으로는 자산에 어떠한 영향이나 피해를 주지 못한다. 즉, 달리 생각하면 자산이 가진 취약성을 통해서만 자산에 피해를 줄 수 있다. 이 방식은 조직의 요구사항과 자산의 정도 등을 구체적으로 판단하여 가장 적합한 대책을 마련할 수 있고 수행단계 전에 조직의 자산, 위협, 취약성에 대해 검토되므로 이후 변경이 생겼을 때도 변경이 생긴 관련 사항에 대해서만 수정하는 것도 용이하다. 그러나 이 방식은 조직의 요구사항과 자산, 취약성 등의 분석에 시간이 오래 소모되며 채택한 위험 분석 방법론에 대한 개요와 모델을 완벽히 이해하고 있어야 수월하게 진행이 가능하므로 비정형 접근법과 마찬가지로 고급 인력이 요구된다.

복한 접근법(Combined Approach)

이 방법은 상세 위험분석과 베이스라인 접근법을 복합 적용하여 위험분석을 하는 방식이다. 고위험이 우려되는 영역을 식별하여 이 부분은 상세 위험분석을 수행하고 이외의 부분에는 비교적 시간과 인적 자원을 작게 요구하는 베이스라인 접근법을 사용한다. 따라서 비용과 자원을 효과적으로 사용할 수 있는 동시에 고위험이 있는 영역도 효과적으로 대처할 수 있다는 장점이 있어서 많이 사용된다. 하지만 고위험 영역이 잘못 식별되었을 경우에는 위험분석 비용이 낭비되고 부적절하게 대응되어 위험 분석의 효과가 없게 된다는 단점도 있다.