표로 정리하기
| 용어 | 정의 |
|---|---|
| 위협 (Threat) | 손실이나 손상의 원인이 될 수 있는 환경/행위/사건 |
| 취약점 (Vulnerability) | 위협에 의해 손실이 발생할 수 있는 자산의 약점 |
| 위험 (Risk) | 위협이 취약점을 악용해 자산에 손해를 가할 가능성 |
위협 (Threat)
: 자산에 손실이나 손상을 일으킬 수 있는 잠재적 원인이나 사건, 환경
: 공격이 될 수 있는 가능성, 보안에 해를 끼치는 행동이나 사건
(예시)
해커의 침입시도, 내부자의 악의적 행위, 자연재해, ...취약점 (Vulnerability)
: 소프트웨어 설계·구현·운영상의 오류, 관리적 미흡, 물리적 결함, 휴먼 에러 등 위협에 의해 손실이 발생할 수 있도록 만드는 자산의 약점
(예시)
패스워드 복잡성 미적용, 보안 패치 미적용, Broken Access Control, ... 위험 (Risk)
: 실제로 손해가 발생할 확률과 그 영향의 크기
위험 = 자산 x 위협 x 취약점
(예시)
1. 패스워드 복잡성 미적용(취약점) + 해커의 침입 시도(위협) → 계정 탈취 및 정보 유출(위험)
2. 직원의 피싱 메일 실수(취약점) + 피싱 메일 공격(위협) → 시스템 감염 및 데이터 유출(위험)
little by little