2010년 3월 2일 화요일

[보안]위험은 측정가능한가

보안을 배우다#9

연휴가 끝났네요.
다음 연휴까지는 5월 말까지 기다려야 하는군요.
거기에 올림픽 마저 끝나버리고 허전하군요.
암튼 연휴기분 털어 버리고 일상으로 돌아와야겠군요.

지난 포스팅에서는 보안의 3요소를 가지고 약간 오바해서 사례를 한가지 들었습니다.
거기서 위험을 확률이란 단어로 설명했었습니다.
그럼 이러한 위험은 측정이 가능할까요?
길이, 무게, 부피 등에 대한 물리적인 측량은 매우 정교하게 가능합니다.
하지만 어떠한 사건이 일어날 확률에 대한 측량은 사실상 불가능합니다.
단지 확률로서 미루어 짐작할 따름입니다.

자 그럼 위험의 정의에 대해 한번더 살펴보겠습니다.
Risk(위험) - 도둑놈이 빈틈을 노려 보석을 훔침, Threat(위협)이 Vulnerability(취약점)를
             이용하여 보호할 대상을 훼손하거나 훔쳐갈 가능성
제 블로그에서는 이렇게 정의했었습니다.

이런 위험을 알기 때문에 그냥 손놓고 있지는 않고 Risk(위험)을 낮출 방법을 찾게 됩니다.
Vulnerability(취약점)을 제거하거나 Threat(위협)으로 부터 보호할 무언가를 갖추게 됩니다.

예로 들고 있는 금은방 같으면 Vulnerability(취약점)을 제거하기 위해
점포의 잠금 장치를 이중 삼증으로 하고 사설 경비업체에 서비스를 받을 수 있습니다.

그리고 Risk(위험)이 실재로 발생할 경우를 대비하기 위해
보석에 대한 보험을 들어 놓을 수도 있습니다.
Risk(위험)을 완전하게 막을 수 없다고 보고 Risk(위험)을 분산하는 것 입니다.

그럼 잠금 장치는 어느수준까지 강화해야 할까요?
사설 경비업체의 서비스는 어느 수준까지 받아야 할까요?
보험은 어느정도 규모가 보장되는 것으로 선택을 할까요?

명쾌하게 답하기 쉽지 않다는것을 알수 있습니다.
하지만 무엇을 고려해야 하는지는 알수 있습니다.
일단 보호해야할 대상의 가치가 어느정도인지를 명확하게 알고있어야 합니다.
취약점이 무엇인지도 명확하게 알고 있어야 합니다.
그리고 위험이 발생할 확률을 통계, 사례들을 통해 어느정도 알고있어야 합니다.

금은방을 보면 보호해야할 대상의 가치는 각종 보석들로
그것들은 금액으로 가치를 평가할 수 있습니다.
물론 시세에 따른 약간의 변동은 있을 수 있습니다.

취약점은 현재 점포의 잠금 장치상태를 보면 알수 있습니다.
열쇠한개 달랑 있다면 매우 취약하다고 할 수 있죠.
그리고 위험이 발생할 확률은 지금껏 발생해왔던 금은방 절도 사건의 발생건수를
참고로 할 수 있습니다.

보호대상의 가치, 취약점, 취약점을 공격할 위협을 모두 고려한 것을
유식한 말로 Total Risk라 부릅니다.
위험이 발생할 확률을 낮추기 위해 잠금장치 개선, 사설 경비업체 서비스,
보험 가입등의 조치들을 Total Risk에 반영한 것을
역시 유식한 말로 Residual Risk(잠재위험)이라고 합니다.

식으로 써보면 Residual Risk = Total Risk * Control Gap 입니다.
뜬금없는 Control Gap이 뭐냐고 물으시면 위험을 낮추기 위해 해야 할 모든 조치 중
실재로 행한 조치의 비율정도로 이해하시면 될것 같습니다.

그러면 한가지 또 의문이 들 수 있습니다.
위험 발생확률을 0으로 만들면 되지 않느냐고 생각하실 수도 있습니다.
하지만 이러한 위험에 대비하기 위한 활동은 비용이 수반됩니다.
하다못해 열쇠를 바꿔달아도 열쇠비용이 들어갑니다.
즉 보호해야 할 대상의 가치를 알고 이를 보호하기 위한
적절한 비용을 지불하는 것이 합리적입니다.

즉 발생확률을 0으로 만들기 위해
1억원어치 보석을 보호하는데 10억의 비용을 지출하는건
바보란 예기입니다.

이는 기업체에서도 마찬가지 입니다.
모든 위험에 대해 대응하는 건 현실적으로 불가능하기 때문에
적절한 비용을 지불하여 보호활동을 합니다.

자 그럼 처음에 제기했던 문제인 "위험은 측정가능한가?"로 돌아가보면
사실상 불가능하다는 결론이 나옵니다.
이 문제 때문에 보안이 어려워집니다.
수학 공식처럼 누구나 이해할 수 있는 정해진 원칙이 있는것이 아니기 때문에
보안 전문가를 고용하거나 여력이 안되면 보안 컨설팅을 통해야 합니다.

이는 쓸데 없는 비용처럼 보이며 한번도 큰 위험이 발생하지 않은 경우라면
더더욱 관심을 가지지 않을 것입니다.

하지만 Total Risk를 산출해 보는것은 보안을 위해 반드시 해야 하며
자체적으로 이를 행할 능력이 안된다면 전문가의 도움을 받는건 당연한 겁니다.
이게 선행되어야만 어떠한 보안 조치를 취할지가 명확해 지며
합리적인 투자가 가능할 겁니다.

음... 근데 난 언제 전문가가 될라나...


※ 혹시 제가 알고있는 부분에 잘못된 내용이 있다면 지적 달게 받겠습니다.
작성자: 시간: 오전 11:50
라벨: ,

2 개의 댓글:

  1. 주말 잘 보내셨나요..

    드뎌 따뜻한 봄이 다가올 3월이 되었네요..

    항상 건강하시고 좋은 블로그 활동 부탁드려요^^

    답글삭제

  2. @진코멘 - 2010/03/02 12:21
    감사합니다. ^^

    활기넘치는 봄이 되시길 빕니다.

    답글삭제

피드 구독하기: 댓글 (Atom)