나는 위협을 “정보시스템에, 정보시스템 자체적으로 보면 외부, 중요한 손해를 끼치는 확실한 원천”으로 정의하고자 한다. 확실성은 그러한(거대한 식인) 개구리들을 제거한다; 중요성은 하찮은 실수를 제거한다; 그리고 외적 영향은 에러를 제거한다. 나는 에러를 위협에서 빼내었다, 왜냐하면 에러를 범할 것 같은 사람들은 오직 그들이 해당 시스템 안에 있어야만 중대한 손해를 초래한다.

취약성(Vulnerability)

취약성이란 이용되어지면 정보시스템에 중대한 손해를 초래할 수 있는 내부 취약점(weaknesses)이다. ISO 27005 도 “취약성은 존재 자체만으로는 손해를 유발하지 않는다, 따라서 그것을 이용하고자 하는 위협이 존재할 필요가 있다. 상응하는 위협이 전혀 없는 취약성에 대해서는 통제를 구현할 필요는 없으나, (취약성의) 변화에 대하여 인식하고 모니터하여야 한다”라고 밝히는 점에서 이러한 정의에 동의하는 것 같다.⑹ 그렇지만, 공식적인 정의의 부재는 표준에 대한 해석을 자유롭게 방치하는 것인데, 그것은 위험 관리 및 보안 모두에 해가 될 수 있다.

정보시스템이 취약하다는 것은 (엄연한) 사실이다. 한가지 예로, 시스템은 사람에 의해 개발되고, 구현되고 그리고 운영된다. 그렇기 때문에 앞서 언급된 “사용상 오류”는 모든 사람에게 본질적이다. 프로그래머나 관리자가 나중에 자신들이 이용할 수 있도록 하기 위하여 악의적으로 시스템 내에 결함을 배치하는 사례들이 분명히 있는 반면, 대부분의 취약성은 복잡성, 무시 혹은 대처하는 통제 비용 같은 요소로부터 발생한다.

위험 관리 - 및 그에 대한 감사 - 의 요점은 취약성이 악용될 수 있기 전에 그것들을 확인하고 교정하는 것, 아니면 최소한 해당 위협들이 더 이상 의미가 없을 때까지 취약성을 악용할지도 모르는 가능한 위협들의 범위를 제한하는 것이다. 시스템은 설계 과정에서의 오류 (혹은 고의로 도입된 미비점) 가 있을지 모른다; 프로그래밍 과정에서; 혹은 시험, 구현, 운영, 저장 혹은 사용 중에; 내 생각에는 이러한 취약성의 모든 원천들을 함께 취급하고 그 결과들을 결합시키는 것은 위험에 대한 무기력하고 궁극적으로는 헛된 평가 및 취급을 낳는다.

ISO 27005 표준 부록 D에 나타나 있는 위협에 대한 분류처럼, 취약성에도 분류법이 있다. 이 부록에 나타난 예시들이 가치있는 것이나, (겨우) 2 페이지 반 길이의 리스트에 모두 담았다고 감히 주장할 수는 없다.

가능성(Likelihood)

ISO 27005 표준 섹션 3.5에는, 위험을 측정하기 위해서 “확률 probability” 대신 “가능성 likelihood”이 명시적으로 쓰이고 있다. 확률은 예측이 가능하다; 그것은 주어진 시간 동안의 발생 횟수이다. 전후 관계를 보아, 우리는 확률을 과거로부터 미래를 추정하는데 이용한다. 과거 어떠한 달에 발생한 일은 이번 달 그리고 다음 달에도 발생할 것이다. 가능성은 전적으로 주관적이고 경험적이다. 미국 애리조나주의 피닉스에 보다 런던에 비가 올 가능성이 더 많지만, 사람은 두 곳의 날씨에 친숙해야만 이것을 알 수 있다. 그러한 지식도 바로 오늘 어느 곳에 비가 내릴 것인가에 대한 징후는 거의 제공하지 않는다. 비슷하게, 보안 결함은 접근 통제, 감사 증적, 침입 탐지, 등등에 대한 정교한 메커니즘을 가진 시스템 보다는 덜 보호된 시스템에서 발생할 가능성이 더 있다. 측정할 수도 없으며 아직 알려지지 않은 것이 얼마나 많겠는가.

현재로서는 주관적인 분석에 있어서 본질적으로 잘못된 것은 아무 것도 없지만, 분명 분석가의 지식이나 솜씨(skills)에 의존한다. 어떠한 활동을 이행하는 표준 방법은 누가 그것을 수행하는가에 상관없이 동일하거나 아니면 최소한 비슷한 결과를 낳아야 한다. 확률이라는 용어를 회피함으로써, ISO 27005는 일정하게 알 수 없는 객관적인 사실들의 빈틈을 조종하지만, 종국에 있어서 위험 관리는 효과에 대한 다양한 해석을 자유롭게 방치하며, 또한 특정 위험을 다루고 특별한 통제를 적용할 요구에 대한 서로 다른 이해를 낳는다.

위험

ISO 27005는 적정한 부분 집합인 정보 보안 위험을 정의한다: “특정 위협이 개별 자산 또는 자산 그룹의 취약성을 이용하여 조직에 손해를 끼칠 가능성.” 나는 정의되지 않은 다른 주요 용어들을(이 경우에는 위협과 취약성) 신뢰하고, 또한 “가능성”이란 용어의 소개와 함께 그 의미를 애매모호한 체로 남겨놓은 정의를 의심한다.⑺

나는 위험을 개별 자산 또는 자산 그룹에 대한 손해에 대한 불확실성의 크기(measurement)로 간주하지만, 이 주장은 더 많은 설명과 토론을 필요로 한다. 나는 다음에 쓸 컬럼에서 그것에 답할 것을 약속한다.

Endnotes

1 In the beginning, there was BS 7799, parts 1 and 2, and it was good. (Actually it was so-so, but a lot has happened since.) BS 7799 begat ISO 17799 with only one part, which begat ISO 27002, which begat ISO 27001, which was, in fact, begotten by BS 7799, part 2. ISO 27001/2 begat ISO 27005 and BS 27006, the security auditing standard. ISO 27003 and ISO 27004 are, at the time of writing, still in the process of being begotten.

2 International Organization for Standardization, ISO/IEC 27001:2005/BS 7799-2:2005, Information Technology—Security Techniques—Requirements, 2005

3 Ross, Steven; “Contents and Context,” Information Systems Control Journal, vol. 1, 2006

4 “A threat has the potential to harm assets such as information, processes and systems and therefore organizations.” ISO 27005, section 8.2.1.3. Explanatory, in my opinion, but not definitional.

5 Or, more accurately, seismic phenomena, meteorological phenomena and fire.

6 ISO 27005, section 8.2.1.5

7 Ibid., section 3.2

Steven J. Ross, CISA, CBCP, CISSP

is a director at Deloitte. He welcomes comments at stross@deloitte.com.

--------------------------------------------------------------------------------

ISACA Journal, formerly Information Systems Control Journal, is published by ISACA, a nonprofit organization created for the public in 1969. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscript-xion to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors, employers or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, Mass. 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

Subscript-xion Rates:

US: one year (6 issues) $75.00

All international orders: one year (6 issues) $90.00

Remittance must be made in US funds.