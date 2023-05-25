사이버 위험 관리(사이버 보안 위험 관리라고도 함)는 정보 시스템에 대한 위험을 식별, 우선순위 지정, 관리 및 모니터링하는 프로세스입니다.
사이버 위험 관리는 광범위한 기업 위험 관리 노력의 중요한 부분이 되었습니다. 오늘날 모든 산업 분야의 기업은 정보 기술에 의존하여 주요 비즈니스 기능을 수행하므로 사이버 범죄자, 직원의 실수, 자연 재해 및 기타 사이버 보안 위협에 노출되어 있습니다. 이러한 위협은 중요한 시스템을 오프라인 상태로 만들거나 다른 방식으로 혼란을 야기하여 수익 손실, 데이터 도난, 장기적인 평판 손상 및 규제 위반 벌금을 초래할 수 있습니다.
이러한 위험은 제거할 수 없지만 사이버 위험 관리 프로그램은 위협의 영향과 가능성을 줄이는 데 도움이 될 수 있습니다. 기업은 사이버 보안 위험 관리 프로세스를 사용하여 가장 중요한 위협을 정확히 찾아내고 비즈니스 우선순위, IT 인프라 및 리소스 수준에 따라 사이버 공격과 기타 디지털 및 물리적 위협으로부터 정보 시스템을 보호하는 데 적합한 IT 보안 조치를 선택합니다.
사이버 위험을 완전히 확실하게 평가하기는 어렵습니다. 사이버 범죄자의 전술, 자체 네트워크 취약성, 악천후 및 직원 과실과 같이 예측할 수 없는 위험에 대한 완전한 가시성을 기업이 확보하는 경우는 거의 없습니다. 또한 같은 종류의 사이버 공격이라도 회사마다 다른 결과를 초래할 수 있습니다. IBM 데이터 유출 비용(CODB) 보고서에 따르면 의료 부문의 데이터 유출 비용은 평균 1,010만 달러인 반면, 서비스업의 데이터 유출 비용은 290만 달러에 달합니다.
이러한 이유로 미국 국립표준기술연구소(NIST)와 같은 당국에서는 사이버 위험 관리를 일회성 이벤트가 아닌 지속적이고 반복적인 프로세스로 접근할 것을 제안합니다. 프로세스를 정기적으로 재검토하면 회사는 새로운 정보를 통합하고 더 광범위한 위협 환경과 자체 IT 시스템의 새로운 개발에 대응할 수 있습니다.
전체 조직의 우선순위와 경험을 고려하여 위험 결정을 내릴 수 있도록 하기 위해 프로세스는 일반적으로 여러 이해 관계자가 함께 처리합니다. 사이버 위험 관리 팀에는 이사, CEO 및 최고 정보 보안 책임자와 같은 경영진, IT 및 보안 팀원, 법무 및 인사 담당자, 기타 비즈니스 부서의 대표자가 포함될 수 있습니다.
기업은 NIST 사이버보안 프레임워크(NIST CSF) 및 NIST 위험 관리 프레임워크(NIST RMF)를 포함한 다양한 사이버 위험 관리 방법론을 사용할 수 있습니다. 이러한 방법은 약간 다르지만 모두 유사한 핵심 단계를 따릅니다.
위험 프레임화는 위험 결정이 내려지는 맥락을 정의하는 행위입니다. 처음부터 위험을 구성함으로써 기업은 위험 관리 전략을 전반적인 비즈니스 전략에 맞출 수 있습니다. 이러한 정렬은 주요 비즈니스 기능을 방해하는 제어 기능을 배포하는 것과 같이 비효율적이고 비용이 많이 드는 실수를 방지하는 데 도움이 됩니다.
위험을 구체화하기 위해 기업은 다음과 같은 것들을 정의합니다.
프로세스의 범위: 어떤 시스템과 자산을 조사할 계획입니까? 어떤 종류의 위협이 검토됩니까? 프로세스가 진행 중인 일정은 무엇입니까(예: 향후 6개월의 위험, 내년의 위험 등)?
자산 인벤토리 및 우선순위 지정: 네트워크에 어떤 데이터, 디바이스, 소프트웨어, 기타 자산이 있나요? 다음 중 조직에 가장 중요한 자산은 무엇인가요?
조직 리소스 및 우선순위: 어떤 IT 시스템과 비즈니스 프로세스가 가장 중요합니까?회사는 사이버 위험 관리를 위해 재정 및 기타 어떤 자원을 투입할 예정입니까?
법률 및 규제 요구 사항: 회사가 준수해야 하는 법률, 표준 또는 기타 의무는 무엇인가요?
이러한 고려 사항과 기타 고려 사항은 위험 결정을 내릴 때 회사에 일반적인 지침을 제공합니다. 이는 또한 회사가 위험 허용 범위, 즉, 허용할 수 있는 위험 유형과 허용할 수 없는 유형을 정의하는 데 도움이 됩니다.
기업은 사이버 보안 위험 평가를 사용하여 위협과 취약성을 식별하고 잠재적 영향을 추정하며 가장 중요한 위험의 우선순위를 지정합니다.
회사가 위험 평가를 수행하는 방법은 프레임화 단계에서 정의된 우선순위, 범위 및 위험 허용 범위에 따라 달라집니다. 대부분의 평가는 다음을 평가합니다.
위협은 IT 시스템을 방해하거나, 데이터를 훔치거나, 정보 보안을 손상시킬 수 있는 사람과 이벤트입니다. 위협에는 의도적인 사이버 공격(예: 랜섬웨어 또는 피싱)과 직원의 실수(예: 보안되지 않은 데이터베이스에 기밀 정보 저장)가 포함됩니다. 지진 및 허리케인과 같은 자연 재해도 정보 시스템을 위협할 수 있습니다.
취약성은 위협이 악용하여 피해를 입힐 수 있는 시스템, 프로세스 또는 자산의 결함 또는 약점입니다. 취약성은 잘못 구성된 방화벽으로 인해 멀웨어가 네트워크에 침입하거나 해커가 원격으로 디바이스를 장악하는 데 사용할 수 있는 운영 체제 버그와 같이 기술적인 것일 수 있습니다. 사람들이 필요 이상으로 많은 자산에 액세스할 수 있도록 허용하는 느슨한 액세스 제어 정책과 같이 취약한 정책과 프로세스로 인해 취약성이 발생할 수도 있습니다.
영향은 위협이 기업에 미칠 수 있는 영향입니다. 사이버 위협은 중요한 서비스를 중단시켜 다운타임과 매출 손실로 이어질 수 있습니다. 해커는 민감한 데이터를 훔치거나 파괴할 수 있습니다. 사기꾼은 비즈니스 이메일 손상 공격을 사용하여 직원을 속여 돈을 송금하도록 유도할 수 있습니다.
위협의 영향은 조직 외부로 확산될 수 있습니다. 데이터 유출로 인해 개인 식별 정보가 도난당한 고객도 공격의 피해자입니다.
사이버 보안 위협의 정확한 영향을 정량화하기는 어렵기 때문에 기업에서는 과거 동향 및 다른 조직에 대한 공격 사례와 같은 정성적 데이터를 사용하여 영향을 추정하는 경우가 많습니다. 자산 중요도도 한 가지 요인입니다. 자산이 중요할수록 해당 자산에 대한 공격 비용은 더 커집니다.
위험은 잠재적 위협이 조직에 영향을 미칠 가능성과 해당 위협으로 인한 피해의 정도를 측정합니다. 발생할 가능성이 있고 심각한 피해를 초래할 가능성이 있는 위협이 가장 위험한 반면, 경미한 피해를 유발할 가능성이 없는 위협은 가장 위험하지 않습니다.
위험 분석 중에 기업은 위협 가능성을 평가하기 위해 여러 요소를 고려합니다. 기존 보안 제어, IT 취약성의 특성, 회사가 보유하고 있는 데이터 종류 모두 위협 가능성에 영향을 미칠 수 있습니다. 기업의 업종도 중요한 역할을 할 수 있습니다. X-Force Threat Intelligence Index에 따르면 제조 및 금융 부문의 조직은 운송 및 통신 분야의 조직보다 사이버 공격에 더 많이 직면해 있습니다.
위험 평가는 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 내부 데이터 소스와 외부 위협 인텔리전스를 활용할 수 있습니다. 또한 공급업체에 대한 공격이 회사에 영향을 미칠 수 있으므로 회사 공급망의 위협과 취약성을 살펴볼 수도 있습니다.
이러한 모든 요소를 고려하여 회사는 위험 프로필을 구축할 수 있습니다. 위험 프로필은 회사의 잠재적 위험에 대한 카탈로그를 제공하고 중요도 수준에 따라 우선순위를 지정합니다. 위협이 위험할수록 조직에 미치는 영향은 더욱 커집니다.
회사는 위험 평가 결과를 활용하여 잠재적인 위험에 어떻게 대응할지 결정합니다. 보안 조치에 투자하는 비용이 위험 자체보다 더 많이 들 수 있으므로 가능성이 매우 낮거나 영향이 크지 않다고 판단되는 위험은 그냥 받아들일 수도 있습니다.
일반적으로 영향이 큰 위험과 가능성이 높은 위험에 먼저 대응합니다. 가능한 위험 대응은 다음과 같습니다.
완화는 취약성을 악용하기 어렵게 만들거나 악용으로 인한 영향을 최소화하는 보안 제어를 사용하는 것입니다. 예를 들어, 중요한 자산 주변에 침입 방지 시스템을 배치하고 위협을 신속하게 탐지하고 처리하기 위한 사고 대응 계획을 구현할 수 있습니다.
수정이란 취약성을 완전히 해결하여 악용될 수 없도록 하는 것을 의미합니다. 예로는 소프트웨어 버그 패치, 취약한 자산 폐기 등이 있습니다.
완화 및 개선이 실용적이지 않은 경우 회사는 위험에 대한 책임을 다른 당사자에게 이전할 수 있습니다. 사이버 보험에 가입하는 것은 기업이 위험을 이전하는 가장 일반적인 방법입니다.
조직은 새로운 보안 제어를 모니터링하여 의도한 대로 작동하는지, 관련 규제 요구 사항을 충족하는지 확인합니다.
또한 조직은 더 광범위한 위협 환경과 자체 IT 생태계를 모니터링합니다. 새로운 위협의 출현, 새로운 IT 자산의 추가 등 어느 한쪽의 변화로 인해 새로운 취약성이 발생하거나 이전에 효과적이었던 제어가 쓸모 없어질 수 있습니다. 지속적인 감시를 유지함으로써 회사는 사이버 보안 프로그램과 위험 관리 전략을 거의 실시간으로 조정할 수 있습니다.
기업이 일상적인 운영부터 비즈니스에 중요한 프로세스까지 모든 것에 기술을 사용하게 되면서 IT 시스템은 더 크고 복잡해졌습니다. 클라우드 서비스의 폭발적인 증가, 원격 근무의 증가, 제삼자 IT 서비스 제공업체에 대한 의존도 증가로 인해 일반 기업의 네트워크에 더 많은 사람, 장치, 소프트웨어가 유입되고 있습니다. IT 시스템이 성장함에 따라 공격 표면도 커집니다. 사이버 위험 관리 이니셔티브는 기업에 변화하는 공격 표면을 매핑하고 관리하여 보안 태세를 개선할 수 있는 방법을 제공합니다.
더 광범위한 위협 환경도 끊임없이 진화하고 있습니다. 매달 약 2,000개의 새로운 취약성이 NIST의 국가 취약성 데이터베이스에 추가됩니다(ibm.com 외부 링크). 매달 수천 개의 새로운 맬웨어 변형(ibm.com 외부 링크)이 탐지되고 있으며, 이는 사이버 위협의 한 종류에 불과합니다.
회사가 모든 취약성을 해결하고 모든 위협에 대응하는 것은 비현실적이며 재정적으로 불가능합니다. 사이버 위험 관리는 기업에 가장 큰 영향을 미칠 가능성이 높은 위협과 취약성에 정보 보안 노력을 집중함으로써 보다 실용적인 위험 관리 방법을 제공할 수 있습니다. 이렇게 하면 회사는 가치가 낮고 중요하지 않은 자산에 값비싼 통제를 받지 않을 수 있습니다.
사이버 위험 관리 이니셔티브는 조직이 일반 데이터 보호 규정, 건강 보험 양도 및 책임에 관한 법률, 결제 카드 산업 데이터 보안 표준 및 기타 규정을 준수하는 데도 도움이 될 수 있습니다. 사이버 위험 관리 프로세스에서 기업은 보안 프로그램을 설계할 때 이러한 표준을 고려합니다. 모니터링 단계에서 생성된 보고서와 데이터는 감사 및 침해 후 조사 과정에서 기업이 실사를 수행했음을 입증하는 데 도움이 될 수 있습니다.
때때로 기업은 특정 위험 관리 프레임워크를 따라야 할 수 있습니다. 미국 연방 기관은 NIST RMF와 NIST CSF를 모두 준수해야 합니다. 정부 계약은 자주 NIST 표준을 사용하여 사이버 보안 요구 사항을 설정하기 때문에 연방 계약자는 이러한 프레임워크를 준수해야 할 수도 있습니다.
