정보보안의 목적은 단순히 취약점을 찾는 것이 아니라, 실제로 조직에 위험을 발생시킬 수 있는 요소를 식별하고 관리하는 것이다.
하지만 모든 취약점이 동일한 수준의 위험을 가지는 것은 아니다.
예를 들어 웹 서버에 취약점이 존재하더라도 중요하지 않은 테스트 서버라면 영향이 적을 수 있으며, 반대로 작은 취약점이라도 고객 개인정보가 저장된 서버라면 매우 큰 위험이 될 수 있다.
따라서 보안 담당자는 단순히 취약점을 나열하는 것이 아니라,
를 종합적으로 분석해야 한다.
이러한 과정을 위험분석(Risk Analysis) 이라고 한다.
위험분석(Risk Analysis)은 조직의 자산, 위협, 취약점을 식별하고 이들이 결합하여 발생할 수 있는 위험을 평가하는 과정이다.
기업은 제한된 예산과 인력을 가지고 있기 때문에 우선적으로 대응해야 할 위험을 판단해야 한다.
예를 들어 다음과 같은 두 가지 취약점이 있다고 가정해보자.
취약점 A
- 개인정보 서버
- 원격 코드 실행 가능
취약점 B
- 테스트 서버
- 정보 노출 가능
두 취약점 모두 존재하지만 일반적으로 취약점 A의 위험도가 훨씬 높다.
따라서 위험분석을 통해 어떤 위험을 먼저 대응해야 하는지 결정하게 된다.
위험분석은 크게 다음 세 가지 요소로 구성된다.
이 세 가지 요소가 결합될 때 위험(Risk)이 발생한다.
보호해야 할 가치가 있는 대상
정보보안에서 자산은 단순히 서버만 의미하는 것이 아니다.
기업의 업무와 관련된 모든 중요한 대상이 자산이 될 수 있다.
예시
예를 들어 고객 개인정보가 저장된 데이터베이스는 중요한 자산이다.
자산에 피해를 줄 수 있는 잠재적인 원인
위협은 실제 공격뿐 아니라 자연재해나 시스템 장애까지 포함하는 개념이다.
예시
예를 들어 랜섬웨어 공격은 기업의 데이터를 암호화하여 사용할 수 없게 만드는 대표적인 위협이다.
위협이 악용할 수 있는 약점
취약점은 시스템이 가지고 있는 보안상의 약점을 의미한다.
예시
예를 들어 관리자 계정의 비밀번호가 admin/admin이라면 명백한 취약점이다.
위험은 자산, 위협, 취약점이 결합될 때 발생한다.
예를 들어 다음과 같은 상황을 생각해보자.
자산 : 고객 개인정보 DB
취약점 : SQL Injection 존재
위협 : 해커 공격
-> 결과 : 개인정보 유출
즉 위험 = 자산 + 취약점 + 위협이 되는 것이다.
위험은 자산에 손실을 발생시킬 가능성을 의미한다.
일반적으로 다음과 같이 표현한다.
위험 = 자산 + 위협 + 취약점
위험도 = 발생 가능성 × 영향도
로 표현하기도 한다.
위험도는 일반적으로 발생 가능성과 영향도를 기준으로 평가한다.
위험도 = 발생 가능성 × 영향도
해당 사고가 실제로 발생할 확률
예시
사고 발생 시 조직에 미치는 피해 규모
예시

위험분석은 일반적으로 다음 순서로 진행된다.
자산 식별
↓
위협 식별
↓
취약점 식별
↓
위험도 산정
↓
대응방안 수립
보호해야 할 자산을 식별한다.
예시
자산에 영향을 줄 수 있는 위협을 식별한다.
예시
위협이 악용할 수 있는 취약점을 식별한다.
예시
발생 가능성과 영향도를 기반으로 위험도를 계산한다.
위험도를 기준으로 우선순위를 정하고 대응한다.
예시
위험분석(Risk Analysis)은 자산, 위협, 취약점을 식별하고 이들이 결합하여 발생하는 위험을 평가한 후 적절한 대응방안을 수립하는 과정이다.