사전 예측으로 위험 최소화 … IT위험관리, IT 거버넌스 실현 기초
최근 IT 부문의 위험관리에 대한 관심이 급증하면서 주요 기관, 기업들이 IT 위험관리 체계구축 및 시스템 도입을 추진하고 있다. 예기치 못한 손실로 인해 기업의 비즈니스가 중단되고, 심각한 타격을 입는 상황을 방지하기 위해서다. IT위험관리의 기본 개념에 대해 알아본다. <편집자>
연재순서
1회 : 일반적인 정보보안 위험관리(이번호)
2회 : KRI 이용한 강화된 위험관리 방안
3회 : 개인정보보호에 특화된 위험관리 방안
전상미 //
에이쓰리시큐리티컨설팅 연구소장
jsm@a3security.com
‘위험’이란, 목적에 도달하는데 방해가 되거나 직접적으로 손실을 초래할 수 있는 잠재 사건을 의미한다. 이에 비춰보면 위험관리는 위험 수준에 따라 비용 대비 효과를 고려해 효율적이고 효과적으로 대응할 수 있도록 하는 일련의 프로세스를 말하며, 위험의 사전식별과 위험 수준 평가 등이 이뤄져야 한다.
위험관리 정의
위험관리 활동은 경영, 금융, 신용, 도로/항만 등 다양한 부문에서 이미 활성화돼 있으며, 위험의 종류나 내용은 다르더라도 위험을 식별, 평가, 대응을 하는 방법론적인 측면에서는 큰 차이가 없다. 이와 마찬가지로 정보보호 부문을 포함한 IT위험관리도 식별된 각 위험에 대한 영향과 발생가능성을 평가, 위험 수준을 도출하고, 도출된 위험의 수준과 비용대비 효과를 고려한 차별화된 개선 대책을 수립·이행하는 일련의 프로세스를 따른다.
IT 위험관리는 접근방식에 따라 ‘IT 자산과 관련된 기술적 위험’에 대한 관리와 ‘IT 관련 업무 프로세스와 관련된 관리적 위험’으로 구분될 수 있으며, 기술적 위험과 관리적 위험, 이 두 가지 방식이 함께 수행돼야 효과적인 위험관리가 이뤄질 수 있다.
- IT 자산(서버, 데이터베이스, 네트워크, 애플리케이션 등)과 관련된 기술적 위험은 주요 IT 서비스 제공에 이용되는 IT 자산에 대해 취약점 평가를 통해 수행된다.
- IT 관련 업무 프로세스 (기획, 개발, 유지보수, 운영 등)와 관련된 관리적 위험은 IT 부서의 각 업무 프로세스에 대해 통제 수준의 평가를 통해 수행된다.
위험관리의 가장 큰 목적은 한정된 예산을 가지고 기업의 위험을 효과적으로 대응하기 위함이다. 위험관리는 최근 이슈가 되고 있는 ‘유효성(Effectiveness)과 효율(Efficiency)을 통한 IT 가치창출’을 목적으로 하는 IT 거버넌스(IT Governance)와도 연관될 수 있어 IT 부문에서도 위험관리의 필요성 인식이 점차 확대되고 있는 상황이다.
IT 위험관리 활동의 수행을 통한 기대 효과로는 ▲처리되는 정보의 보안성 및 정확성 확보 ▲IT 서비스의 안정성 및 가용성 확보 ▲효율적이고 효과적인 IT 서비스 제공 및 품질 향상 ▲각종 IT관련 규제에 대한 대응수준 향상 ▲한정된 IT 예산의 효율적 이행을 위한 의사결정 지원 등을 꼽을 수 있다.
이러한 IT 위험관리는 다양한 국제표준, 지침 및 규약에서 의무화하고 있는데, 이러한 표준, 지침 및 법규를 정리하면 <표 1>과 같다.
각 표준에 따라서 위험 수준을 평가하는 방법은 취급하는 위험의 종류에 따라 차이가 있을 수 있다. 표준에 따라 위험 수준 평가가 상이한 예를 들면 다음과 같다.
● 바젤 위원회(Basel Committee) 정의
바젤(Basel)은 운영리스크를 대상으로 한다.
운영리스크는 부적절한 내부 프로세스, 사람 및 시스템과 외부 사건들로 인해 손실이 발생할 수 있는 가능성을 의미하며, <그림 2>와 같은 과정을 거쳐 위험 수준이 결정된다. 이러한 정의는 내부통제 국제표준인 ‘COSO 인터널 콘트롤 프레임워크(COSO Internal Control Framework)’, 미국 연방정부 정보시스템 위험관리 표준인 ‘NIST SP800-30’ 등 다양한 국제표준 및 지침에서 널리 채택돼 사용되고 있다.
● ISO 보안관리 표준 정의
IT 보안 위험은 특정 위협이 자산의 취약성을 이용해 조직에 손실이나 손상을 끼칠 수 있는 잠재성을 의미한다.
<그림 3>의 과정을 거쳐 위험의 수준이 결정된다.
이 글에서는 주로 바젤에서의 정의에 따라 위험을 정의하고, 기술적 위험과 관리적 위험을 구분해 위험관리를 제시하도록 하겠다.
기술적 위험관리
기술적 위험이란 IT 서비스 제공에 이용되는 서버, 데이터베이스, 네트워크 및 응용프로그램에 대해 수행돼야 하며, 은행에 악영향을 끼칠 수 있는 다양한 잠재 취약점에 의해 발생할 수 있는 위험을 말한다. 이러한 기술적 위험을 식별하기 위해서는 하드웨어, 소프트웨어 공급업체의 기술 문서, 각종 보안/운영 지침과 가이드라인 등을 참조해 취약점 평가 체크리스트를 작성해야 한다.
궁극적으로 위험의 제거 혹은 완화를 위한 활동을 수행해야 하는데, 구성/설정의 변경을 통해 ‘빠른 교정(Quick Fix)’이 가능한 위험에 대해서는 비용과 시간을 최소화할 수 있도록 즉각 교정을 수행하고, 빠른 교정을 수행할 수 없는 위험에 대해서는 효과/효율적인 개선 대책의 수립을 위해 위험 평가를 실시하는 것이 바람직하다.
위험 평가가 필요한 경우에는 위험 수준을 도출하기 위해 위험의 영향과 발생가능성을 평가한다. 이러한 평가는 조직의 비전 및 목적, 사업부문, 규모 등에 따라서 다소 달라질 수 있지만, 통상적으로 <표 2>와 같은 표를 이용해 등급을 부여하는 방식으로 이뤄지게 된다.
이러한 평가표를 통해 각 기술적 위험에 대해 평가된 영향 및 발생가능성 평가 등급으로부터 최종적인 위험의 수준을 도출하게 된다. 최종적인 위험 수준 도출에는 <그림 5>와 같은 리스크 레벨 매트릭스(RISK LEVEL MATRIX)를 이용할 수 있다.
위험 수준에 따라 차별화된 위험 대응방안을 수립해야 하며, 위험의 수준에 따른 적합한 개선안을 선택함으로써 효율적이고 효과적인 개선 대책을 수립·이행할 수 있다. 즉, 매트릭스 상에서 3, 4, 5에 해당하는 위험은 반드시 사전에 예산을 확보해서라도 예방위주의 대응이 필요하며, 1에 해당하는 위험은 위험을 보험회사에 전가하거나, 조직적으로 수용하는 것이 검토될 수 있다.
관리적 위험관리
관리적 위험이란 IT 업무 프로세스에서의 통제상 취약점을 의미한다. 이러한 취약점의 식별은 현재의 업무 프로세스와 COBIT 등에서 제시된 선진사례(통제 목적 및 통제 사례)와의 차이(Gap) 분석을 통해 이뤄진다. COBIT에서는 34개 프로세스에 대해 318개의 통제 목적(Control Objectives)을 정의하고 있으며, 각 통제 목적은 여러 통제 사례(Control Practice)를 예시로서 포함하고 있다. IT 업무 프로세스에 대한 통제 취약점의 식별은 이러한 통제 목적과 통제 사례를 업무 프로세스 현황과 비교함으로써 이뤄진다.
관리적 위험의 평가 과정은 기술적 위험의 평가 과정과 동일하다. 기술적 위험의 경우와 동일한 방식으로 만약 식별된 관리적 위험 중 빠른 교정이 가능한 항목이 있다면, 이러한 위험은 위험 평가 대신 빠른 교정이 수행된다. 관리적 위험에 대한 개선 대책의 수립 및 이행 역시 기술적 위험관리에서의 과정과 동일하다.
관리적 위험과 이에 대한 개선 계획은 <그림 6>과 같은 과정으로 진행되게 된다. <그림 6>은 관리적 위험에 대한 개선 계획 수립의 예다.
지금까지 IT위험관리의 기본 개념에 대해 설명했다. IT위험관리를 통해 기업은 보다 한정된 IT 예산을 보다 효과적으로 사업의 연속성을 보장하는데 사용할 수 있을 것이다. 다음호에서는 이러한 IT위험관리를 보다 실질적으로 보여줄 수 있는 ‘핵심위험지표(KRI)를 이용한 위험관리 방안’에 대해서 살펴보도록 하겠다.
