[보안]위험을 어떻게 하지...

보안을 배우다#10

내용이 조금씩 많아지고 있습니다.

제가 완전히 이해하고 정리해서 쓰는게 아니라 제가 다시 읽어 봐도 조금 산만하군요.

이런 부족한 글을 읽어 주시고 추천해 주신분들 정말 감사드립니다.

일단 지금까지 한거 간단하게 정리하면 아래와 같습니다.

--------------------------------------------------------------------------------------

내가 보호해야할 것들이 무엇인지 정확히 알고

항상 위험에 대해 주의를 기울이는게 보안입니다.

기업에는 보호해야할 여러 자산들이 있지만 사람을 최우선으로 해야합니다.

보안의 3요소

C : Confidentiality (기밀성) - 내꺼 남한테 안보여주는거

I : Integrity (무결성) - 내꺼 훼손되지 않는거

A : Availability (가용성) -내꺼 내가 원할때 사용할 수 있어야 하다는거

Threat(위협) - 도둑놈, 보호해야할 대상을 훼손하거나 훔쳐갈 잠재적인 요인

Vulnerability(취약점) - 빈틈, 대상을 보호하는것이 가진 흠

Risk(위험) - 도둑놈이 빈틈을 노려 보석을 훔침, Threat(위협)이 Vulnerability(취약점)를

             이용하여 보호할 대상을 훼손하거나 훔쳐갈 가능성

보호대상의 가치, 취약점, 취약점을 공격할 위협을 모두 고려한 것을

유식한 말로 Total Risk라 부릅니다.

위험이 발생할 확률을 낮추기 위해 잠금장치 개선, 사설 경비업체 서비스,

보험 가입등의 조치들을 Total Risk에 반영한 것을

역시 유식한 말로 Residual Risk(잠재위험)이라고 합니다.

--------------------------------------------------------------------------------------

그럼 이러한 위험을 어떻게 하는게 좋을까요?

질문이 너무 추상적인가요?

그럼 질문을 바꿔서, 이러한 위험을 없애기 위해 해야할 행동은 무엇일까요?

0.3초만에 떠오르는 답은 "막아야죠" 입니다.

저만 그런가요....

어쨌든 이렇게 위험을 없애기 위한 행동을 크게 세가지 정도로 분류합니다.

사례를 통해 알아보겠습니다.

운전을 하게 되면 교통사고라는 Risk(위험)이 발생할 수 있습니다.

이를 피하기 위해 교통법규를 준수하고, 안전운전 혹은 방어운전을 합니다.

하지만 작은 가능성이라도 교통사고가 발생한다면 그 손실은 매우 큽니다.

차량이 파손되고 사람이 다치고 심하면 목숨을 잃을 수도 있습니다.

즉 운전자, 차량을 교통사고라는 Risk(위험)으로 부터 보호할 무언가가 필요합니다.

하지만 모든 운전자들이 탱크를 몰고 다닐수도 없고 물리적인 무언가로

막는다는건 한계가 있습니다.

그래서 필요한게 자동차 보험입니다.

이는 운전자가 일정 비용을 보험사에 지불하고 자산의 Risk(위험)을 보험사에게

넘기는 것입니다.

이를 유식한 말로 Risk transfer(위험 이전)이라고 합니다.

금은방에 보석을 보호하기 위해 아주 튼튼한 금고를 도입한다던지

외부인의 침입을 막기위해 네트워크에 방화벽을 설치한다던지

이런 Risk(위험)발생 가능성을 낮추기 위한 안전장치 등을 도입하는걸

Risk Reduction(위험 감소)이라고 합니다.

운전을 하고 교통사고가 나면 뭐 까짓거 돈으로 주면되지라고 생각한다던지

보석을 도둑이 훔쳐가면 그거 돈 몇푼한다고라고 생각한다던지

이렇게 Risk(위험)발생을 그냥 무시하거나 가능성을 인정하지 않는것을

Risk Rejection(위험 거부)라고 합니다.

제일 위험한 경우입니다.

제가 보안을 정의하면서 항상 위험에 대해 주의를 기울여야 한다고 말씀드렸습니다.

지금은 별거 아닌거 같은 Risk(위험)이 세월이 지나면 큰 Risk(위험)이 될수도 있습니다.

과거 인터넷을 통한 개인정보 유출은 발생 확률이 낮은 Risk(위험)이었지만

인터넷이 점점 활성화되어 생활의 일부분이 된 지금은 큰 Risk(위험)입니다.

그리고 마지막으로 Risk Acceptance(위험 수용)이 있습니다.

전에 1억 짜리 보석을 보호하는데 10억짜리 잠금장치를 갖추는건 바보라고 했습니다.

즉 위험을 대비하기 위한 비용이 너무 커서 보호하고자 하는 것의 가치보다

훨씬 큰 경우 위험을 알지만 그 정도는 수용한다는 것입니다.

Risk Rejection(위험 거부)와 Risk Acceptance(위험 수용)는 비슷하지만

위험을 정확하게 알고 알고 있느냐 그렇지 않느냐의 차이점이 있습니다.

정리하겠습니다.

Risk transfer(위험 이전) : Risk(위험)이 발생하여 입게 되는 손실을 보험등에 전가하는것

Risk Reduction(위험 감소) : Risk(위험)이 발생할 확률을 낮추기 위한 안전장치 등을 도입

Risk Rejection(위험 거부) : Risk(위험)이 발생할 확률이 거의 없다고 보고 무시

Risk Acceptance(위험 수용) : Risk(위험)를 대비할 비용이 너무 클경우 이를 수용

※ 혹시 제가 알고있는 부분에 잘못된 내용이 있다면 지적 달게 받겠습니다.