KRI·EWS 시스템화 필요 … 일회성 아닌 지속적 위험관리 필수
최근 IT 부문의 위험관리에 대한 관심이 급증하면서 주요 기관, 기업들이 IT 위험관리 체계구축 및 시스템 도입을 추진하고 있다. 예기치 못한 손실로 인해 기업의 비즈니스가 중단되고, 심각한 타격을 입는 상황을 방지하기 위해서다. 이번호에서는 구체적으로 핵심위험지표(KRI)를 이용하는 방안에 대해 알아본다. KRI는 정보보안 분야에서는 아직 생소하지만 위험을 수치화, IT 위험을 모니터링이 가능하도록 정량화해 제시함으로써 관심을 모으고 있다. <편집자>
연재순서
1회 : 일반적인 정보보안 위험관리
2회 : KRI 이용한 강화된 위험관리 방안(이번호)
3회 : 개인정보보호에 특화된 위험관리 방안
전상미 //
에이쓰리시큐리티컨설팅 연구소장
jsm@a3security.com
전통적인 개념에서 위험은 부정적이고, 주관적이며, 정성적이라고 바라봤던 시각에서 벗어나 최근에는 위험은 또 다른 기회를 상징하며 반드시 정량적으로 측정돼 관리돼야 한다는 보다 적극적인 인식이 강화되고 있다. 이러한 흐름은 정보보안 분야에서도 예외가 아니다.
기업들은 정보보안이라는 영역에 이미 많은 돈을 투자하고 있다. 방화벽, IDS, 암호화 솔루션, ESM, 웹방화벽 등 끊임없이 새롭게 쏟아지는 보안 솔루션을 도입, 운영 중이며, 또 보안조직을 구성하고, 정보보안정책을 수립하며, ISO27001, KISA의 ISMS 등의 인증을 받기도 했다.
그렇다면, 이러한 투자는 얼마만큼의 보안위험을 감소시켰을까? 그래서 현재 우리 기업이 가지는 보안 위험수준은 어느 정도일까? 이 질문에 쉽게 답할 수 있는 보안담당자는 그리 많지 않을 것이다. 보안컨설팅을 통해 일회적인 위험평가를 하기도 하지만 지속적으로 위험수준을 가시화해 관리하는 기업은 많지 않다.
“측정되지 않으면 관리할 수 없다”
보안 위험을 관리하기 위해서는 먼저 위험을 사전정의하고 이를 수치화해 표현할 수 있어야 한다. 그러나 위험이란 것을 측정한다는 것은 너무나 막연할 일이다. 위험이 추상적인 개념이란 점이 바로 이러한 막연함을 가져오는 이유다.
이러한 막연함은 위험을 대변하는 핵심위험지표를 정의하고, 이를 주기적으로 측정할 때 해소될 수 있을 것이며, 핵심위험지표(KRI; Key Risk Indicator)란 위험을 측정해 모니터링 하기 위한 수단으로써 수치화가 가능한 지표를 의미한다.
KRI와 비슷한 개념으로는 KPI(Key Performance Indicator)가 있다. 하지만, 기존의 성과 수준을 측정하기 위한 KPI와 KRI는 그 도입 목적이나 활용 방안이 엄연히 다르다. KPI는 활동 성과를 제대로 평가해 구성원들을 기업이 원하는 방향으로 동기 부여하는 데에 있는 반면, KRI는 목표를 달성하지 못할 위험을 사전에 측정하는 것은 물론, 외부 환경에 대한 모니터링까지 적극적으로 수행할 수 있게 하는 것이다.
즉, KPI는 내부 구성원에 대한 당근과 채찍이라면, KRI는 목표 달성을 위한 네비게이터 역할을 수행하는 보다 목표 지향적인 개념이라고 할 수 있다. 따라서, 이미 KPI로 보안활동에 대한 성과 관리를 실시하고 있는 기업들의 경우에도 기존의 KPI로 감지할 수 없는 위험을 추가로 찾아내고, 이를 제대로 측정할 수 있는 정보보안 KRI를 추가하는 것이 보다 바람직하다.
KRI를 이용해 효과적인 위험관리가 가능하기 위해서는 <그림 2>과 같은 KRI 관리 정책이 먼저 정립돼야 한다.
<그림 2>에서도 볼 수 있듯이 KRI관리는 전체적인 위험관리 내에서 이뤄진다. 즉, 조직의 정보보호 목표에 영향을 미치는 위험을 정의, 핵심위험을 식별·분류하는 체계를 우선적으로 갖춰야 하며, 이러한 핵심위험을 정량적으로 표현할 수 있는 전체 위험지표(RI ; Risk Indicator) 풀을 구성하고, 이중에서 위험을 가장 유효하고 정확하게 산출해 표현 가능한 핵심위험지표(KRI)를 찾아 관리/활용하는 것이다.
위험을 수치로 나타낼 수 있는 위험지표(RI)는 매우 다양할 수 있다. <표 1>은 위험지표의 예다.
KRI 관리 프로세스의 정의
KRI는 선행 지표와 후행 지표로 구분될 수 있다. 예를 들어 ‘고객정보의 유출 위험’을 살펴보면, 만약 어떤 기업이 보유한 수많은 고객들의 정보가 보안 사고로 대량 유출될 경우에 해당 기업은 상당한 이미지 타격은 물론, 개인정보보호법령으로 금전적으로도 막대한 손실이 발생할 수 있다. 이 경우에 후행 지표로는 ‘고객정보 유출 사고 후 신고 건수’를, 선행 지표로는 사전 징후로 발견될 수 있는 ‘고객정보 조회건수 증가율’, ‘고객정보 조회시스템 및 DBMS 접속 건수’ 등이 제시될 수 있다.
이러한 RI 중에서 조직에서 반드시 측정해 관리해야 하는 KRI를 선택하는 방법은 크게 개념적인 선택기준과 기술적인 선택기준이 있으며, 최종적인 KRI는 이러한 개념적인 선택기준과 기술적인 선택 기준을 적절한 가중치로 평가함으로써 정하게 된다. 개념적인 선택기준의 대표로는 유효성이 있는데, 이는 해당 KRI를 측정하는 것이 관련된 위험을 측정하는데 얼마나 개념적으로 유효한지를 판단하는 것이고 기술적인 선택 기준의 대표인 추출 가능성은 KRI 자체를 정량적인 수치로 정확하게 뽑아내는 것이 현실적으로 가능한지 여부를 판단하는 것이다.
이렇게 뽑아낸 KRI를 이용해 정의서를 작성함으로써 보다 명확한 관리 방안을 수립하게 된다. 정의서에는 <표 2>와 같은 내용이 포함되며, <표 3>은 KRI 정의서의 한 예다.
KRI 활용 방안
KRI 정의서가 작성되면 각 KRI별 담당자는 산출주기, 보고단위에 따라서 자동 또는 수동으로 측정해 보고하게 된다. 이 때 측정 및 보고방법은 수동적으로 담당자가 직접 측정한 후 보고하는 방법도 있으나, 기존 레거시 시스템 등에서 자동으로 추출해 연동할 수 있는 경우에는 자동으로 연동, 측정·보고하는 것도 좋은 방법이 된다.
이 때 중요한 것은 각 KRI별로 허용이 가능한 한도 값을 정확하게 정하고 한도를 초과할 때 알람을 발생시켜서 신속하게 대응할 수 있도록 하는 것이다. 각 KRI별 알람이 발생했을 때 각 조직별 대응을 위한 역할 및 책임(R&R)을 사전에 정해놓는 것도 중요하다.
KRI 중 선행 지표는 위험 사건의 발생 가능성, 혹은 사전 예측 정보를 제공하며, 후행 지표는 보안사고 발생 이후의 사후 결과를 보여준다. 무엇보다 중요한 것은 KRI 선행 지표를 잘 활용할 경우, 정보보안 조기경보체계(EWS ; Early-Warning System)까지 가능하다는 점이다.
예를 들어, 사전에 고객신용정보 조회건수 또는 다운로드 수의 10배 폭증 등을 사전에 인지할 수 있도록 메커니즘을 자동화해 시스템으로 관리할 수만 있다면 고객 신용정보의 유출을 사전에 방지할 수도 있게 된다.
EWS의 운영을 위해서는 EWI(Early Warning Indicator)를 KRI와도 차별화해 사전 정의하는 것이 좋다. 다시 말해 EWS는 KRI 중에서도 선행적인 지표를 중심으로 위험을 조기에 측정하는데 이용될 수 있는 EWI의 변동추이를 모니터링 함으로써 위기 징후를 포착, 사전 예방을 위한 보다 적극적인 체계로써 KRI와 밀접하게 연계해 구축돼야 한다. EWI는 <그림 4>과 같은 두 가지 조건에 따라서 선정될 수 있다.
KRI와 EWS의 시스템화
KRI와 EWS는 실시간 신속하게 측정해 대응하는데 활용하는 것이 중요하다. 따라서 이를 시스템으로 구축, 자동으로 관리할 수 있도록 하려는 움직임도 나타나고 있다. 에이쓰리시큐리티의 경우, 최근 정보보안 부문에서 KRI를 활용해 실질적으로 위험을 관리할 수 있는 시스템을 개발, 그동안 막연한 위험관리로 어려움을 겪고 있는 보안담당자를 지원하기 위한 노력을 진행하고 있다.
다른 분야와 마찬가지로 위험관리 부문에 있어서도 왕도는 있을 수 없다. 숨겨진 위험을 남보다 먼저 읽고 정확히 측정하려는 구성원들의 역량과 노력에 따라 위험관리의 성패가 좌우될 수밖에 없는 것이다.
그동안 정보보안 분야에서 위험관리라는 업무가 실질적으로 위험을 평가하고 측정하는 해법이 명확하지 않아 많은 시도에도 불구하고 큰 성과로 이어지기는 어려웠다. 일회성에 지나지 않고 지속적으로 효과성을 나타내지 못했던 것이다. 이러한 위험관리의 어려움을 극복하기 위해서는 보안위험을 가장 잘 나타낼 수 있는 KRI를 도출하고 이를 시스템화해 자동 관리할 수 있도록 하는 것이 좋은 방법이 될 것이다.
다음호에서는 최근 이슈가 되고 있는 개인정보보호에 특화된 위험관리 방법에 대해 알아보겠다.
