IT 위험 탐구: IT 위험 관리 분류 및 진화

IT Risk Exploration: The IT Risk Management Taxonomy and Evolution

By Steve Schlarman, CISM, CISSP.
ISACA Journal Volume 3, 2009

비즈니스 위협을 관리하기 위하여 위험의 측정, 여러 옵션의 평가, 그리고 활동의 계획 및 실행은 성공을 위하여 필수적인 것들이다. 위험 관리는 광범위한 분야이며, 또한 위험을 관리하는 프로세스를 논의할 경우에는 위험의 확실한 단면들이 정의되어야만 한다. 위험에 관해서 이야기하는 방에서 전문가들이 맞이하게 되는 가장 어려우면서 좌절하도록 하는 도전 가운데 하나는 위험이라는 단어가 실제로 무엇을 의미하는가를 정의하는 것이다. 위험들은 다양한 모양과 크기로 나타난다. 그래서, 위험 관리 전문가(숫자)만큼이나 위험에 대한 많은 정의 혹은 위험에 대한 해석들이 있다.

IT 세계에서도, 위험 관리는 수많은 다양한 형태들을 지니고 있다. IT 위험 관리의 어려운 요소는 비즈니스 프로세스들 및 관련 기술에 내재되어 있는 위험 영역의 폭넓은 점뿐만 아니라 해당 비즈니스의 핵심 부문, 즉 IT를 관리하는데 따른 위험들에 있다. IT 위험 관리는 오늘날 계속해서 진화되고 있다. IT 위험 관리의 성숙화라는 이러한 진행은 초기에 보안 중심에서 시작하여 오늘날에는 IT 위험만이 아니라 조직들이 직면하고 있는 과도한 법규 및 업계의 요구사항들을 대상으로 하는 정교하면서 글로벌한 위험 프로그램을 표명하고 있다.

이들 2가지 주제를-IT 위험 유형과 IT 위험 진화- 살펴보는 것은 조직이 경쟁에서 계속 이길 것을 목표로 정할 필요가 있는 부문에 대한 통찰력을 부여한다. IT 위험 관리는 조직에게 실질적 가치를 줄 수 있고 법규 준수를 보장하기 위한 방법이 되어야 한다. IT 조직에 맞추어 IT 운영 위험 관리 프로그램을 개발할 수 있는 조직은 단지 기술 혁신 및 법규 준수와 관련하여 지속적으로 늘어나는 비용을 부담하는 것이 아니라 자신들의 노력에서 이익을 얻을 수 있다.

IT 위험 분류

오늘날 IT 조직이 직면하고 있는 다양한 형태의 위험에 대처하기 위해서는 몇 가지 유형으로 분류 체계를 정의하는 것이 필요하다. IT 세계에서 어떤 위험을 확인하는데 있어서는 위험을 IT 서비스 혹은 기술과 연결시키는 것 또한 위험을 비즈니스 및 그 최종 결과와 연결시키는 것이 필요하다.

재무 위험은 조직의 돈을 희생시킬 수 있는 위험이다. 이것에는 다음과 같은 것들이 포함될 수 있다:

l    신규 비즈니스 제공, 서비스 혹은 제품을 출시하는 것과 같은 돈벌이 프로세스를 지연시키는 서투른 IT 서비스 제공

l    불충분한 자원 할당, 시간외 근무, 장애 그리고 일반적인 비용 문제를 유발하는 비효율적인 프로세스들

l    회사의 시간, 돈 혹은 둘 다를 잃게 만드는 프로젝트 기간 초과

법규 위험은 벌금 및 구속을 수반한다. 이것에는 다음의 것들을 포함할 것이다:

l    미국 사베인-옥슬리 법(Sarbaines-Oxley Act), 건강 보험 이전 가능성 및 책임에 관한 법 (Health Insurance Portability and. Accountability Act, HIPAA), 유럽 사생활보호 법(European Privacy Act), 혹은 지불 카드 업계 데이터 보호 표준(the Payment Card Industry Data Security Standard: PCI DSS) 같은 최근 이어지고 있는 법률적 요구조건들의 공습

l    북미전력안정위원회(north American Electric Reliability Corporation (NERC)), 미연방에너지규제기관(Federal Energy Regulatory Commission (FERC)) 미국증권거래위원회(Securities and Exchange Commission (SEC)) 또는 기타 여러 업계 감시 조직들에서 정한 것과 같은 특정 업종에 적용되는 규범들

비즈니스 위험에는 일반적으로 회사의 전반적인 성공을 방해하는 위험들이 포함된다. 몇 가지 사례를 들면 다음과 같다:

l    비즈니스 전달(business delivery)을 허둥거리게 만드는 기술 장애

l    IT 환경의 불안정으로 인한 제품 또는 서비스 제공의 실패

평판 위험은 회사의 명성이나 신망에 누를 끼치게 된다. 이것에는 다음의 것들이 포함될 것이다:

l    제품 회수 혹은 경영진 부정행위 같은 스캔들 및 대중적 관계 이슈들

l    실패한 합병 혹은 인수 같은 비즈니스 실패

l    비즈니스 전달 이슈들을 유발하는 비즈니스 파트너와의 불편한 관계 유지

IT 세계에서 전략 위험은 비즈니스 공약(commitment)을 충족시키는 것에 있어서 IT (로 인한) 실패이다. 허술한 계획수립, 리더십 그리고 기타 다양한 이슈들이 이런 종류의 위험을 촉발할 수 있다.

보안 위험은 회사의 자원에 손해를 끼칠 수 있는 위험들이다. 전형적으로 이러한 위험의 대부분은 다른 위험들로 이어져서 재정적, 규범적, 사업적, 명성 혹은 전략적 위험을 유발한다. 이것은 해커, 도둑 그리고 스파이들의 세계이며 정보의 기밀성, 가용성 그리고 무결성의 용어들을 떠오르게 한다.

경영진(비즈니스 위험)이 함께 하는 상부로부터 시작하든 세세한 IT 관리 위험이 포진한 아래에서 출발하든 어떤 부류의 위험은 그 위험과 같은 수준에서 논의되도록 보장하는 것이 필요하다. 다음으로 회사가 직면한 여러 다른 IT 위험의 조사 그리고 토론이 올바른 수준에서 집중될 수 있고 그 대응이 적절할 수 있도록 위험을 분류하는 메소드(method)이다. 위험은 4가지 형태의 IT 위험으로 요약할 수 있다: 마이크로스코픽(microscopic: 극히미세), 마이크로(micro: 미세), 매크로(macro: 큰), 메가(mega: 아주큰). 이런 간단한 분류(법)는 많은 형태의 위험을 나타내는데 사용될 수 있으며, 그리고 IT 위험 관리를 논의하는데 있어 어떤 체계를 준비해 놓는 것이다.

그림 1은 아래 낮은 수준의 산재된 IT 위험들로 시작해서 최상위의 고수준 경영진 위험으로 올라가는 개념을 표현하고 있다.

<그림 1> 마이크로스코픽에서 메가 위험 분류까지의 도해

마이크로스코픽 위험은 밑바닥에 위치한다. 이들은 보다 커다란 위험들의 근본 원인이 되는 독자적인 취약점들이다. 1 대의 서버를 도청할 수 있는 취약한 네트워크 포트(port)는 마이크로스코픽 위험이다. IT 의식 훈련을 이수하지 않고 그리고 이해하지 못하는 직원은 마이크로스코픽 위험이다. 마이크로스코픽이라 하여 중요하지 않다는 것을 의미하지 않는다. 에볼라(Ebola) 바이러스는 아직까지 중요한 마이크로스코픽이다. 여기에서 마이크로스코픽은 “한가지 조치로 치유가 가능한” 것을 의미한다. 따라서 그 처방은 대단히 집중적이다(focused). 마이크로스코픽 위험은 근본 원인-시스템 구성, 직원 훈련 또는 비즈니스 프로세스 (재)설계-에 집중해서 필요한 통제를 정의함으로써 조치된다.

마이크로 위험은 보다 넓은 범위의 위험을 낳을 수 있는 마이크로스코픽 위험들의 조합이다. 예를 들면, 다수의 네트워크 취약점의 마이크로스코픽 위험들은 네트워크 장애라는 강력한 위험을 초래한다. 훈련을 받지 않은 여러 명의 직원들은 바이러스(virus) 혹은 웜(worms) 위험을 증대시킬 수 있다. 허술한 프로젝트 관리와 감독 부재의 결합은 프로젝트 실패를 가져올 수 있다. 마이크로 위험은 전형적으로 비즈니스의 특정 부문에 국한된다.

매크로 위험은 조직적으로 집중적이어서 조직 전반의 대응을 필요로 하는데, 그 이유는 그들이 마이크로 위험들의 조합이기 때문이다. 매크로 위험을 관리하기 위한 접근은 조직의 특정 부서에게 맡겨져야만 한다. 예를 들면, 조직들이 복잡한 기술 인프라구조를 개발함에 따라서 비즈니스 변화를 수반하는 광범위한 기술 보안 위험의 출현은 특정 정보 보안 부서의 배치를 낳았다. 덧붙여 말하면 매크로 위험은 조직에 광범위하게 영향을 미친다.

메가 위험은 위험 더미의 맨 위쪽에 있다. 이러한 위험들은 보통 2 개의 주요 속성을 지니고 있다.

l    요구조건들이 외부 기관(비즈니스, 업계 혹은 규범적 단체)에 의해 부과된다.

l    메가 위험에 영향 받을 수 있다는 인식(만)으로도 하위 수준에 영향을 미칠 수 있다. 예를 들면, 회사가 안전한 환경을 구축하지 않고 있다는 의식은 비즈니스 파트너로 하여금 잠재적인 기회를 포기하도록 할 수 있다.

메가 위험을 정의하는데 이 2개의 기준을 사용하면, 법규 준수와 매우 중대한 비즈니스 위험들이 이 범주에 해당된다. 이러한 위험은 매크로 위험들의 조합이기도 하지만 외부 압력과 중대성이 더해진다. 한가지 사례로, 음식 및 음료 산업에서 제품 변조 사건은 당해 회사의 명성을 망가뜨릴 수 있다. 그렇지만, 불안전하게 제품을 취급-외부 기관에 의한 안전 검사의 실패와 같은-하고 있다는 인식 조차만으로 실질적인 사건 발생과 상관없이 업계에서 부정적인 영향을 줄 수 있다.

이런 위험 더미에 대한 IT 조직의 대처는 작은 것들을 계속적으로 연결하려는 요구뿐만 아니라 이러한 다양한 위험들을 염두에 준 접근방법을 필요로 한다. 10 년 전, ID 절도, 법규 위험, 비즈니스 파트너 위험 그리고 여러 분야의 IT 위험들이 수평선 위로 막 드러나기 시작했다. 이러한 위험 유형들은 시간이 지나면서 나타났다 사라지는데, 오늘날 IT 경영자에게 심각한 도전을 안겨주고 있다.

진화

IT 위험 관리는 과거 15 내지 20 년에 걸쳐 진화를 거듭하고 있다. 기술이 성숙해지면서, 위험을 관리하는 방법 및 수단도 변화해 왔다. 비즈니스 환경이 변함에 따라, 이어서 위험도 진화하고 기술에 대해서 새로운 요구사항을 부과하게 한다.

그림 2 는 위험 및 노출과 위험 관리 프로세스들 간의 간격을 메우기 위하여 지속되어오고 있는 노력을 보여준다. 본래 위험 관리 실무는 위험과 보조를 맞추더라도 항상 위험 곡선보다 약간 뒤에 위치한다. 그래서 위험 관리는 반응적 프로세스이다. 발전하는 과정에서는 위험 또는, 보다 정확하게는, 위협이 경쟁에서 이기기 위해서 감수해야 하는 것처럼 언제나 보인다. 우선, 미래를 배우기 위해서 과거를 검토하기로 하자.

<그림 2> 위험 관리 시대의 변천

그림 2 에서 물결선은 회사의 끊임없이 변화는 위험 프로파일을 나타낸다. 비즈니스 및 기술적 요구조건에 따라 정의된대로, 위험 수준은 항상 기복이 있다-비즈니스와 함께 오르락 내리락 함. 그러나, 위험 프로파일 밑에 놓여있는 기본 등식은 항상 오름 추세에 있다. 그러므로, 끊임없는 등락에도 불구하고 물결선은 일정한 오름세를 보여준다.

위험에 있어서 이러한 지속적인 오름세에 맞춰서 IT는 많은 활동으로 대응하고 있다. 이러한 활동들의 각 물결은 위험 및 노출(exposure)과 통제된 비즈니스 프로세스와의 불균형을 해소시키는 방향으로 추진되고 있다. 그렇지만, 그림에 나타난대로, 그러한 접근이 수평을 유지하는 어떤 지점이 있다. 다시 말해서, 위험 및 노출은 계속해서 증가하지만, 위험 관리 프로세스들은 그 불균형을 관리하는 데에는 훨씬 미치기 못하게 된다. (그래서 형성되는) 그 평원은 전형적으로 위험 세계 안의 어떤 것이 회사들의 위험 특징들을 더 높게 강하게 이끌 때까지 이어지며, 그래서 현재의 위험 관리 실무는 새로운 특정 위험을 목표로 삼지 않는다.

위험 특징들이 도약할 때마다, IT 는 추가적인 접근방법과 새로운 실무로써 대응해 왔다. 위험 관리 실무에 있어서 이러한 중요한 “급부상(bumps)”을 시대(age)로 묶을 수 있다: 보안의 시대, 감사의 시대, 통제 계몽의 시대 그리고 유기적 위험 관리의 시대.

이러한 시대들은 내부 위험 관리 프로세스가 발전함에 따라 대부분 조직들이 각각의 시대를 거쳐서 나아가기 때문에 또한 성숙도 모델을 나타낸다. 처음 2 개 시대는 1990년대 후반과 2000년대 초기에 조직들이 사용한 실무들을 나타낸다. 마지막 2 개 시대는 위험 관리 움직임에 있어서 가까운 미래와 (먼) 미래를 예측한 것이다.

보안의 시대는 (그림 3) 현대의 보안 프로그램을 위한 토대가 되었으며 바이러스 및 웜, 운영체제 취약점, 그리고 기본적인 최종사용자 인식에 대한 보호 같은 마이크로스코픽 위험에 초점을 맞쳤다.

<그림 3> 보안 시대

위험:

l    데이터의 기밀성과 무결성에 대한 위협

l    시스템 가용성에 대한 위협

l    확장 기업의 관리

l    급속히 팽창하는 기술 인프라의 관리

동인자:

l    기술적 변화: 중앙집중 인프라구조로부터 분산 환경으로의 전이

l    비즈니스 변화: 인터넷 (시대) 도래, 비즈니스 교환, 늘어나는 접속, 비즈니스 프로세스들을 위한 급속한 자동화

l    위협 변화: 해커, 도둑 그리고 스파이들의 출현

l    기술적 위협: 바이러스, 웜 그리고 기타 멀웨어(malware)

대처:

l    보안 인프라구조와 보안 기술의 많은 이용

l    네트워크와 호스트 기반 보안 기술

l    보안 기능의 설립

l    기본적 보안 정책 및 프로세스의 확립

감사의 시대는 (그림 4) 즉흥적 진단, 내부 혹은 외부 감사, 그리고 반복적인 운영 보안 평가의 이행을 낳았다. 이러한 평가는 일반적으로 위험 분류의 마이크로 수준에 초점이 맞춰졌다.

<그림 4> 감사 시대

위험:

l    증가하는 분산 환경에서 데이터를 위한 보안 요구조건을 관리

l    사베인-옥슬리와 업계 요구조건의 출현

l    IT 관리 및 투자에 있어서 비용 증대

l    아웃소싱

동인자:

l    비즈니스를 위한 IT 시스템들에 대한 보다 큰 의존을 초래하는 IT 인프라의 확장

l    증가된 IT 투자는 정보 시스템의 재정적 영향에 대한 인식을 높임

l    전문적이고 조직적인 해커들을 포함한 해킹 위협의 고도화

l    IT에 있어서 비용 억제 및 관리

l    제3 서비스 제공자와 외주 IT 기능의 이용

대처:

l    내/외부 감사

l    해킹 시험

l    컨설턴트 및 외부 평가

l    사베인-옥슬리 팀 설립

l    IT 포트폴리오 관리와 프로젝트 위험 관리

l    제조/판매자 위험 관리 (SAS 70, 감사, 등등)

통제 계몽의 시대는 (그림 5) 보다 정교한 IT 위험 프로그램을 탄생시켰으며 보안, 감사 그리고 준법 노력들이 함께 형성되고 있다. 위험 더미 가운데 매크로 및 메가 수준에 초점이 맞춰져, IT 위험 관리 프로그램을 구축하는 조직들은 마이크로와 마이크로스코픽 위험을 응집력있는 비즈니스 오퍼레이션으로 관리하기 위하여 노력을 결집시키고 있다.

<그림 5> 통제 계몽 시대

위험:

l    조직화된 컴퓨터 보안 위협들의 점점 증가하는 위험에 의해서 복잡해진 데이터 보호를 위한 광범위한 보안 요구조건

l    포괄적인 법규 준수와 여러가지 메가 위험들

l    IT 비즈니스 노력과 법규준수 노력의 균형

l    세계적인 시장 및 경제 불안정

l    테러

동인자:

l    비즈니스 환경의 지속적 확장(세계화, 신규 시장 (개척), 새로운 (비즈니스) 전달(delivery) 및 분산 모델, 등)

l    모바일 노동력, 무선 네트워크, 개인 장비 그리고 이동식 매체와 같은 IT 인프라의 폭발적 증가

대처:

l    통제-지향 위험 관리 접근방법

l    IT 정책 및 거버넌스 구조

l    거버넌스 및 법규준수 계기판 (dashboards)

l    법규준수 보고의 자동화

l    운영 감사-주요 비즈니스 프로세스와 시스템들을 커버하는 지속적 평가

유기적 위험 관리 시대는 (그림 6) IT 위험 관리의 미래를 나타낸다. 이 시대에는 광범위한 영역들의 IT 현안들을 관리하면서 전반적인 기업 거버넌스, 위험 그리고 컴플라이언스 인프라구조의 일부가 될 종합적인 위험 관리 프로그램을 구축하게 될 것이다. 그것은 IT 위험 전문가들로 하여금 위험을 넓은 의미에서 생각하고 또한 통제와 위험을 융통성이 있는 구조적 연결을 강요할 것이다. 새로운 시대의 모든 속성들을 전망하는 것은 어렵겠지만, IT 위험 관리의 변화는 위험 및 노출의 일정한 흐름을 방법론적이고 효율적인 프로그램에 맞추는 방향으로 나아갈 것이다.

<그림 6> 유기적 위험 관리 시대

위험:

l    더욱 복잡해진 법규 현안과 업계 및 비즈니스 파트너의 요구사항

l    기업 비즈니스 위험과 관련 IT 위험

l    IT 에 점점 늘어나는 재정적 투자

l    데이터의 혼재와 내/외부 데이터간의 제한적 경계

동인자:

l    위험 관리에 대한 회사 차원의 높은 기대

l    비즈니스 파트너와 고객의 높은 기대

l    서비스의 세계화와 외부 서비스 제공자의 이용

대처:

l    협력적이고 전체 구성원이 참여하는(top-to-bottom) 위험 관리 프로그램

l    재무 및 다른 위험 모델들의 강화 조치

l    통제 모니터링의 자동화

회사는 서로 다른 속도로 이 시대를 향해 나아가고 있다. 일부의 경우에는, IT 시장, 업계 기대 혹은 법적 요건이 회사를 어느 특정 시대로 떠밀려 하지만, 대부분의 회사들은 이러한 흐름대로 나아가고 있다. 위험 관리를 다음 단계로 나아가도록 하는 요구는 회사의 비즈니스 목적과 전략 속에 들어 있다.

결론

늘어나고 있는 위험에 대응하여, IT 위험 관리는 지난 10 년 혹은 20 년 사이에 많은 변화를 겪고 있다. 방화벽과 배스천 호스트(bastion host)의 초창기 시대부터 IT 거버넌스, 위험 그리고 법규준수 솔루션의 현재 상황까지, 시장은 기술 솔루션을 계속해서 공급하고 있다. IT 위험 프레임워크를 정의하고 소통하는 능력은 최근 몇 년간 구체화되고 있는데, 그것은 많은 회사들이 IT 위험 관리를 법적으로 만이 아니라 진정한 비즈니스 요구사항을 다루는 분야로써 공식화하는 것으로 보인다. 회사가 위험 관리 연속체를 따라서 움직일수록 비용 평가, 자산 가치 그리고 성과 측정기준이 함께 엮어진 객관적이고 반복적이며 그리고 측정이 가능한 IT 위험 관리 프로그램은 대부분 회사의 목표이다.

Steve Schlarman, CISM, CISS P, is the IT GRC product manager with Archer Technologies. He is a frequently requested speaker at IT GRC and security events and has published many articles on key topics. Prior to joining Archer Technologies, Schlarman was the chief compliance strategist at Brabeion Software, which was acquired by Archer Technologies. Prior to his position at Brabeion, he was a director in the advisory practice of PricewaterhouseCoopers (PwC). Prior to PwC, he had operational roles in information systems at the Missouri (USA) State Highway Patrol and A.G. Edwards.

ISACA Journal, formerly Information Systems Control Journal, is published by ISACA, a nonprofit organization created for the public in 1969. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscript-xion to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors, employers or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, Mass. 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

Subscript-xion Rates:
US: one year (6 issues) $75.00
All international orders: one year (6 issues) $90.00
Remittance must be made in US funds.