[CISSP] 인적 자원 보안 관리, 위험 관리와 위협 모델링, ALE, ROI, 인수 합병 보안 이슈

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함

Domain1 Security & Risk Management 1-3

 

 

VI. 인적 자원 보안

 

1. 인적 관리의 개요

   기업의 정보 시스템과 관련된 모든 직원들과 외주직원, 퇴직자들은 직무상 알게되었던 정보 시스템 관련 비밀을 지킬 의무가 있음을 주지 시키고 그 내용을 담고 있는 서약서에 서명하도록 한다. 모든 직원과 외주사들은 작업을 마무리할 때 기업의 소유물을 반환해야 하며, 이는 시스템 권한, 건물 출입 및 접근 권한 모두를 포함한다.

 

2. 고용 과정에서의 보안

 2.1 직위 정의: 직무분리, 최소권한의 원칙

         **주의: 직무 순환, 최소권한은 답이 아님

-직무 분리, 최소권한의 원칙이 답이 되는 경우 5가지(1.Data Diddling, 2.인적 관리)

 2.2 배경조사(Motor Vehicle Records, Criminal Court History, Drug History, Polygraph 등등)

윤리의식과 이에 연관된 정책 실행을 하는 가장 주요한 이유는 조직의 명성에 영향을 주기 때문.

 

3. 고용기간동안에서의 보안(출제*)

 3.1 직무분리

민감한 업무(=Sensitive task, 중요한 Critical)를 한 직원이(=One Person)이 수행하지 않고, 2인 이상이 나누어서 수행하게 하는 것으로 예방통제에 속함

-‘공모’라는 위험성이 존재함

**keyword: One person, Split Knowledge

검증 = 무결: 1st person: input, 2nd person = verify: 직무분리를 의미함, ‘동일한’작업 = ‘하나’의 작업

 

 3.2 직무순환

지식에 대한 백업 및 직무분리의 위험성을 보완하기 위함으로 탐지 통제에 속하며, 전임자의 부정 탐지 관점에서 부정 적발의 기능이 있음

-직무분리/직무 순환의 상호작용

                  단점보완

직무분리 ———————>직무 순환

                < 개선/탐지

 

3.3 강제 휴가

외국의 경우, 야근, 주말출근 자리를 비우지 않는 직원에게 1~2주 정도 직원의 업무와 특권을 감사하는 것으로, 횡령 예방 효과를 가짐

**keyword: Large embezzlement(횡령)  <-> small amount(=Salami)

 

Q) 서로 다른 직원이 동일한 작업을 하게 한 사례는? a.직무분리 b.직무순환 : ‘하나’=동일한 작업을 한 사람이 하도록 두지 않음

Q) 서로 다른 작업을 동일한 직원이 하게 한 사례는? a.직무분리 b.직무순환 : ‘백업’의 기능 

 

4. 퇴사(Termination) 출제*

    조직의 시스템에 대한 접근 권한을 delete, 비자발적 퇴사의 경우 회사 밖까지 에스코트해야하며, 기밀유지동의서 NDA(Non Disclosure Agreement)를 검토해야 한다.

     Q) 퇴직검토서류 중 그 다음(NEXT)으로 해야할 일은? a.NDA 검토

 

 4.1 자발적인 퇴사(Friendly Termination)

접근권한, 컴퓨터 계정, 인증토큰의 제거 및 자산 반납

 4.2 비자발적인 퇴사(Unfriendly Termination)

가능한 빨리 시스템에 대한 접근을 terminated해야 함

 

 

5. 외부자(벤더, 컨설턴트, 계약자) 통제

    외부자에 의한 조직의 정보처리시설에 대한 접근과 외부자가 정보를 처리하고 송수신하는 것은 반드시 통제되어야 함

 5.1 에스코트

 5.2 NDA(기밀유지 서약서)

 5.3 SLA(서비스 레벨 동의서)

 

 

 

 [데이터 등급 분류] 

 

1. 데이터 분류의 목적

   중요성(=critical)과 민감성(=sensitive) 레이블에 기반을 두고 데이터를 보호하는 과정을 정형화하고 계층화 하는 것

 

2. 데이터 분류 기준(가치(Valueable): Data Classification = Passage of time)

-가치 및 유용성(Valueable & Usefulness): 데이터 등급 결정의 가장 중요한 요소 

-데이터 분류 수명(Lifetime): classified된 데이터는 일정 기간이 지나면(데이터의 가치가 떨어짐) 자동으로 분류 해제 됨

     Q) 데이터 등급분류에 영향을 미치는 것은? a.Passage of time(시간의 흐름/경과)

 

3. 자산의 가치 결정 이유: (성공요소=경영진의 지원)

-CBA(Cost Benefit Analysis) 수행(비용효익분석)

-Safeguard selection 선택

-보험 가입(자산의 등급이 매겨져 있어야 보상 가능하기 때문)

-Due Care를 만족시키기 위해(원칙/책임)

 

4. 자산 분류의 원칙

    자산을 분류하기 위해서는 위험기반 접근법을 고려(Risk Based)해야 하며, 취약점 평가가 수행된 후에 이에 대한 일의 우선순위에도 적용되어야 함

     Q) 취약점 평가가 수행된 후에 이에 대한 치료의 우선순위는 무엇인가? a.위험기반 접근법을 사용한다

     Q) 데이터를 분류하는 이유는 ________한 데이터를 더 잘 보호하기 위해서 이다. a.critical(중요한) b.sensitive(민감한)

                                                  -군에서 시작됨: 보호/기밀/민감데이터 보안*

 

5. 용어 정리

 5.1 Total Risk = Vulnerability * Asset value * Threat

잠재적 환경에 의한 위협적인 요소가 악영향을 끼쳤을 때의 결과 크기(=size) = Risk

     R = VAT : 피해의 정도/크기 = 취약*자산*위협 : 위험 = (자산이 가진 취약점)*위협

 

 5.2 잔여위험(Residual Risk): 기업에서 받아들일 수 있을 만큼의 위험을 감소 시키기 위해 적절한 보안 대응을 한 뒤에 남은 잔존 위험

Risk can be identified & reduced but never eliminated.

-정보 보안의 목적은 잔여위험을 제로로 만드는 것이 아니라, 조직의 comport zone, risk appetite(Tolerable risk level)로 맞추는 것

==위험관리의 목적

**keyword: acceptable, appropriately, comport zone

 

 

 5.3 취약점: 공격이 성공하기 위해 사용되는 시스템상의 약점

  ex. 민감정보가 사설 네트워크가 아닌 DMZ 시스템에 저장되어 있음/ 불필요한 서비스 동작 중/방화벽에 특정 커넥션을 제한하기 위한 필터링이 수행되지 않고 있음/적절한 패치가 수행되지 않은 서비스 존재/패치 버전관리가 안되어있음 등

 

 

 

 

VII. 위험관리 개념 및 위협 모델링

 

 [위험관리] -출제**

 

1. 위험 관리 개요

  위험관리의 주요 목표는 위험을 수용 가능한 수준으로 감소시키는 것에 있음(위험관리/위험평가/위험분석)

 

 1.1 위험관리의 목적*

-잔여위험까지 낮추는 것

-acceptable(수용가능)한 수준까지 낮추는 것

-approriately(적절하게) 줄이는 것

**keyword: 잔여위험, acceptable, appropriately

 

 1.2 성공적인 위험관리의 핵심은? a.경영진의 지원

Q) 방화벽을 언제 도입/업그레이드 해야 하는가?

     The expected loss from the risk > migration costs 

             방화벽 없을 때 예상되는 Risk   > 방화벽 도입 비용

 

2. Risk Mitigation(위험완화) *1Q 정도 출제

 위험분석을 한 후에 파악된 risk에 대하여 Cost-Benefit Analysis를 하여, 가장 효율적인 보안 대책이나 대응방안을 수립하는 것이며, 이에 대한 책임과 의무는 경영진에게 있다.

 

 

3. 비용대비 투자효과 분석 용어 정의

 3.1 Exposure Factor(노출요소): EF=손실%

어떤 위협사건으로부터 발생하는 자산가치의 손실을 0 ~ 100%의 백분율로 나타냄

 

 3.2 Single Loss Expectancy(단일 손실 예상액): SLE=1회 피해액=AV * EF

특정 위협이 발생하여 예상되는 1회 손실액(SLE)=자산가치(AV) * 노출요소(EF)

 

 3.3 Annualized Rate of Occurrence(연간 위협 발생 빈도수): ARO

매년 특정 위협이 발생할 가능성에 대한 빈도수

ex. 대홍수가 5년에 1번씩 일어났다면 ARO는? a.1/5

 

 3.4 Annualized Loss Expectancy(연간 손실 예상액): ALE=1년 피해액=AV*EF*ARO

ALE = SLE * ARO = 자산가치(AV) * 노출요소(EF) * 위협주기(ARO)

**TIP: 100$, 100,000$, 130,000$ 중 정답이 많음! 

 

4. CBA - Cost Benefit Analysis(비용효익분석) - 출제* (keyword: Justification 정당화)

   어떤 프로젝트의 플러스/마이너스 요소를 파악하여 예상비용과 예상 효과를 비교 분석하는 방법으로, 대표적으로 ROI 분석을 사용함

 4.1 ROI = (기대수익-투자비용)/투자비용

 

ROI =     Expected Returns - Cost of Investment.     

                               Cost of Investment         

 

Q) 보안관리자가 F/W을 구매하려고 하는데, A사: 2억, B사: 3억, C사: 1억의 예산이 필요하다. 보안관리자는 가장 비싼 B사 제품을 구매하고 싶을 때, 정당화(=Justification)를 어떻게 할 것인가?   a.경영진에게 CBA를 제출한다(ALE, ROI, TCO)

 

 

 

 [위험관리] -출제**

 

5. 프로젝트 절감액 사례 계산

Q) 재구축 비용 1,000,000

10년에 한 번 발생

ACS(Access Control System) 25,000 구매

ACS의 효과성 60%

-> 손실 및 제어로 인한 2년간 기대 비용은? 

     ALE = SLE * ARO = 자산가치(AV) * 노출요소(EF) * 위협주기(ARO)

 

     ROI =     Expected Returns - Cost of Investment.     

                                     Cost of Investment         

 

     재구축비용(1,000,000) * 10%(연간 발생 확률) = 100,000

     소프트웨어 유효성 60% : 60,000

     소프트웨어 비용 : 25,000

     연간 기대 비용(100,000 - 60,000 + 25,000) = 65,000

     절감액 = 100,000 - 65,000

     >>손실 및 제어로 인한 2년간 기대 비용은? 65,000 * 2 = 130,000

 

 

 [위험분석] 

 

1. 위험분석(Risk Analysis) 개요

   보안관리를 수행하기 위해서 시스템의 위험을 평가하고, 비용 효과적인 대응책을 제시하여 시스템 보안 정책과 보안 대응책 구현 계획을 수립하는 역할 담당, top management의 직접적인 지원이 필요하며 자산에 가치를 부여한 다음, 이 자산에 어떠한 위협요소가 존재하는지 분석하고, 관련 위협을 찾아내어 종합 분석하여 위험을 계산해 내는 것.

 

 1.1 위험분석의 주요 목표

자산에 대한 위험을 측정하고, 허용가능한 수준(=acceptable)인지 판단할 수 있는 근거를 제시하는 것

-잠재적 위협의 영향을 질량화 하는 것(quantify)

1.2 위험분석의 시기

-Ongoing / Frequenty : 변화가 있을 때 자주/항상 하는 것이 좋음

 

2. 자산에 대하여 가치를 부여할 때 고려요소: Tool 사용

-소유자나 사용자, 그리고 경쟁자가 기꺼이 비용을 지급할만한 가치

-자산을 보유하기 위한 초기 투자비용, 구매, 지원 및 보호 비용 모두를 포함해야 함

-지적 자산과 시장에서 형성된 가치를 반영해야 함

-분실 시 대처 비용뿐만 아니라, 해당 자산을 사용할 수 없으므로 인한 피해(운용이나 생산성에 미치는 영향 등) 및 

향후 기업활동에 끼치는 영향 까지 모두 반영

 

3. 정량적 위험 분석 - 출제**

 3.1 정량적(Quantitative) 위험분석(주의* 오번역이 많으므로 반드시 영어로 문제 확인 할 것): 3t로 확인

-자산가치, 위협빈도, 취약성, 피해 영향, 안전장치 비용 및 효과 등을 수량화/수치화 하여 잔여위험을 결정

**keyword: Straightforward(직설적), Use tool(툴을 사용하여 자산가치 측정), Purely and fully(100%) not possible

 3.2 정량적 분석 장점

객관성 있는 데이터를 기반으로 경영진을 설득시키기에 용이하며, 정보의 가치가 수량/수치화 되어 이해하기 쉽게 표현됨

 3.2 정량적 분석 단점

계산이 복잡하며, 자동화 툴이 없을 경우 작업량이 많음 

 

4. 정성적 위험 분석

 4.1 정성적(Qualitative) 위험분석 - 2t

-위험의 구성요소와 손실에 대하여 정확한 숫자나 화폐 가치를 부여하지 않고(Not Financial index), 중요성, 위협, 취약성의 심각성을 

등급 또는 순위에 의해 상대적으로 비교하는 방법

**keyword: Rate으로 표현(high, medium, low 등 ‘내가’ 결정), 판단, 직관, 경험, 의견(Opinion), Very subjective in nature(태생이 주관적)

 4.2 정성적 분석 장점

계산이 단순함

 4.3 정성적 분석 단점

주관적인 분석 및 데이터로 경영진을 설득시키기 어려움

4.4 Methods : Delphi Technique(익명의 피드백과 만장일치 응답과정), Story Boarding, Check List, Interview, Brain Storming 등

 

 

 

 [위험분석]

 

5. IT 보안과 캐피탈 계획의 통합: 시나리오형 출제*

   (1st)베이스라인* 확인: 정보보안 매트릭스 사용(최소한의 요구사항을 파악함). 

                   | — 베이스라인?(1.최소한의 요구사항, 2.기준선 기반 3.보안그로그램 베이스라인, 4. FW 베이스라인 셋팅값)

                   |

   우선순위 요구사항 확인: 보안 posture 평가

                   |

엔터프라이즈 레벨의 우선순위 수행: 잠재 엔터프라이즈 레벨의 정보보안 투자를 우선순위로 수행

                   |

시스템 레벨의 우선순위 수행: 잠재 시스템 레벨의 교정 조치를 우선순위화 시킴

                   |

   지원 Material 개발: 비즈니스 케이스 등

 

     Q) F/W 구매예산이 1억일 때, preference F/W Fortinet 3억이다. 담당자가 1st로 할 일은? a.베이스라인 확인

-최저 마지노선, 최소한의 요구사항을 확인해야 함(**keyword: 기준선 기반, 보안 program baseline, FW baseline 셋팅값 확인)

 

 

 

VIII. 인수 전략 및 실무

 

1. 인수 합병 단계(보안 이슈 관련 출제*)

   기업의 인수(Acquisition)란 기업이 다른 기업의 주식이나 자산을 취득하면서 경영권을 획득하는 것이며, 합병(Merger)이란 2개 이상의 기업들이 법률적으로 ‘하나의’ 기업으로 합쳐지는 것을 의미함

**합병 시, 수행해야하는 것: BCP/DRP 변경, 정책 변경, Pen test 수행, Full Backup 수행, 위험평가 수행

 

 Q) 만약 네트워크 관리자가 인수합병이 되던 첫 날 경쟁사로 이직한다면 1st로 해야할 일? a.NDA 검토

 Q) 합병이 될 때 보안관리자의 관심사항은? a.BCP/DRP 변경, 정책 변경, Pen test 수행, Full Backup 수행, 위험평가 수행

 

 

IX. 사회공학(Social Engineering)

 

1. 정의

  사람을 속여서 민감한 정보를 유출하게 하는 기술로, 자신의 신분을 속이거나 사람들을 교묘히 조종하는 것을 말한다. 보안 사슬에서 가장 약한 연결고리인 사람을 공격 대상으로 하는 기법.

Q) 패스워드를 알아내는 최고의 방법은? a.사회공학 b.무차별공격

 

2. 사회공학의 도구

-Shoulder Surfing: 신용카드 번호, 고객 전화번호, 개인식별번호 등

-Dumpster Diving

-Blackmail

-도청 등

 

3. Reverse Social Engineering(RSE)

   사회공학의 진보된 방법으로, 공격자가 공격 대상 모르게 특정한 문제를 유발한 후, 공격자에게 도움을 요청하도록 만든 기법

Q) 사회공학(Social Engineering) 방지를 위한 최고의 방어 수단은? a.보안 인식 교육     b.Backup 

 

4. Phishing(자세한 내용은 뒷 파트에서 이어짐)

 4.1 정의

신뢰할 수 있는 객체로 가장하여, 민감한 정보를 얻기위해 시도하는 범죄적인 사기 과정으로, ‘신원 도용’에 사용된다( !=사칭,웨일링)

-기법: 사회 공학(신뢰할만한 기관 사칭 등), 링크 조작(Fake Website) 등

 4.2 스피어피싱 -출제*

특정 피해자에 대한 개인정보를 수집한 후, 특정 피해자에게 전송할 정보를 맞춤화 하는 것

-웨일링: 사칭하여 송금 유도

-바싱(Vishing): VoIP 이용하여 피싱

4.3 파밍(Pharming)

도메인을 탈취하거나 도메인 네임을 속여 진짜 사이트로 오인하도록 유도하여 개인정보를 취득하는 기법