사이버 보안에서 위협 평가란 무엇인가?

오늘날 모든 조직에서 사이버 보안은 최우선 과제입니다. 끊임없이 변화하는 사이버 환경 속에서 위협을 이해하고 완화하는 것은 민감한 데이터를 보호하고 비즈니스 연속성을 유지하기 위한 중요한 단계입니다. 이를 위한 주요 도구 중 하나가 위협 평가입니다. 위협 평가는 기업에 실제 위협이 가해지기 전에 잠재적 위협을 찾아내고 평가하는 사전 예방적 접근법입니다.

본 글에서는 위협 평가의 정의와 중요성을 살펴보고, 위험 평가와 같은 관련 개념과의 차이점을 설명합니다. 또한 위협 평가 수행 시 거쳐야 할 단계를 제시합니다. 또한 위협 평가 수행 시 흔히 발생하는 문제점들을 논의하고 이를 극복하는 데 도움이 되는 모범 사례를 정의할 것입니다.

사이버 보안에서 위협이란 무엇인가?

사이버 보안 위협은 보안 취약점을 악용하여 조직의 정보 시스템에 피해를 입힐 수 있는 잠재적 위험 요소입니다. 이러한 위협은 다음과 같은 다양한 경로로 발생할 수 있습니다: 악의적인 해커, 내부자, 자연 재해, 심지어 인적 오류까지 포함됩니다. 매우 흔한 사이버 보안 위협으로는 악성코드, 피싱 공격, 랜섬웨어, 분산 서비스 거부(DDoS) 공격 등이 있습니다. 위협의 본질을 파악하는 것이 방어의 시작입니다.

보안 평가란 무엇인가?

보안 평가는 단순히 조직의 정보 시스템에 존재하는 취약점과 잠재적 위협을 식별하는 과정입니다. 이러한 식별은 현재 보안 노력의 효과성을 평가하고 실행될 수 있는 잠재적 위협을 측정하는 데 도움이 됩니다.

보안 평가는 조직 방어 체계의 취약점을 지적하는 동시에 보안 태세를 개선하기 위한 로드맵을 제시하는 귀중한 도구입니다. 취약점 스캐닝, 침투 테스트, 보안 감사를 통해 적절한 조치를 취함으로써 이러한 보안 태세를 강화하는 것이 추구됩니다.

위협 평가란 무엇인가?

위협 평가는 조직의 사이버 보안 프로필에 대한 잠재적 위협을 식별, 평가 및 우선순위화하는 체계적인 프로세스로 정의될 수 있습니다. 이는 내부적 또는 외부적 요인에 관계없이 정보 시스템과 데이터에 위험을 초래할 수 있는 요소들을 비판적으로 고려합니다.

일반적인 보안 평가와 위협 평가는 다음과 같은 점에서 차이가 있습니다. 일반 보안 평가는 시스템 내 취약점을 식별하는 데 초점을 맞추는 반면, 위협 평가는 기존 취약점을 악용할 가능성이 있는 위협 요인에 집중합니다. 이를 통해 조직은 해당 공격에 대비할 수 있는 역량을 강화합니다.

위협 평가의 필요성

위협 평가는 사이버 보안 분야에서 매우 중요한 주제입니다. 조직은 보안 시스템을 지속적으로 현대화함으로써 잠재적 위협과 공격의 가능한 목표를 식별해야 합니다. 위협 평가의 중요성은 다음과 같은 이점으로 설명됩니다:

1. 선제적 방어: 사이버 보안에서의 선제적 방어는 공격이 발생한 후 대응하는 것보다 잠재적 위협보다 한 발 앞서 나갈 수 있는 방법을 확보하는 데 더 중점을 둡니다. 예를 들어, 위협 평가는 악의적인 행위자에 의해 악용되기 전에 조직이 취약점을 식별하는 데 도움이 될 수 있습니다.
2. 자원 배분: 사이버 보안 분야에서는 기본적으로 시간, 예산, 전문성 등 자원이 매우 부족합니다. 위협 평가는 조직이 자원을 배분할 때 보안 노력을 우선순위화하고, 유발될 경우 막대한 영향을 초래할 수 있는 가장 중요한 위협을 파악하도록 안내합니다. 이를 통해 자원이 모든 문제에 고르게 분산되지 않고, 공격 대상이 될 가능성이 높으며 악용 시 심각한 피해를 초래할 수 있는 영역에 집중됩니다.&
3. 위험 감소: 잠재적 위협의 성격과 발생 가능성을 이해함으로써 조직은 관련 위험을 줄이기 위한 집중적인 조치를 취할 수 있습니다. 예를 들어, 위협 평가에서 랜섬웨어 공격 가능성이 높다고 나타난다면, 조직은 이 정보를 바탕으로 데이터를 백업하고 엔드포인트 보안을 강화하고, 피싱 인식에 대한 직원 교육을 실시할 것입니다.
4. 규정 준수: 대부분의 산업에서는 정기적인 위협 평가를 수행하기 위한 엄격한 규제가 필요합니다. 이는 조직의 사이버 보안 규정 준수의 일부입니다. 이러한 규정은 개인 정보, 금융 정보, 지적 재산권 등과 같은 민감한 데이터를 보호할 수 있도록 보안을 극대화합니다.

위협 평가 대 위험 평가

위협 평가와 위험 평가는 사이버 보안과 밀접하게 연관되어 있지만, 각각 다른 목적을 수행합니다:

• 위협 평가: 이는 잠재적 위협을 식별, 평가 및 순위화하는 사이버 보안 접근 방식입니다. 그러나 위협 평가의 주요 관심사는 사이버 범죄자 같은 외부 출처에서 비롯된 위협이든, 악의적인 내부자 같은 내부 출처에서 비롯된 위협이든, 조직에 피해를 입힐 수 있는 구체적인 위험을 이해하는 데 있습니다.
• 위험 평가: 위험 평가는 위협 평가의 범위를 일반적인 수준으로 확장하며, 조직의 사이버 보안 관리에 특화되지 않습니다. 일반적으로 위협 평가에서 강조된 위협뿐만 아니라 조직의 취약점과 앞서 언급된 위협이 현실화될 경우 발생할 수 있는 위험의 영향도 고려합니다. 즉, 위험 평가는 위협 발생 가능성과 그 현실화 시 발생할 수 있는 영향을 측정합니다.&

위협 평가는 어떻게 진행되나요?

이는 잠재적이고 관련성 있는 위협을 식별하고 평가하며 최종적으로 우선순위를 정하는 과정입니다. 위협 평가 과정에서 따르는 단계는 다음과 같습니다:

1. 잠재적 위협 식별: 위협 평가 과정의 첫 번째 과제는 조직의 정보 시스템을 표적으로 삼을 수 있는 가능한 위협을 파악하는 것입니다. 이는 다양한 출처에서 정보를 수집하여 발생할 수 있는 모든 사항을 언급하는 데 더 중점을 둡니다. 이러한 측면에서 위협 식별은 최신 위협과 관련된 정보를 파악해야 하기 때문에 더욱 중요해집니다. 위협은 새로운 악성 코드 변종, 변이하는 공격 경로 또는 실제로 사용 중인 악용 코드일 수 있습니다.
2. 위협 평가: 잠재적 위협이 식별되면 다음 단계는 위협을 평가하여 그 중요성과 조직에 미칠 잠재적 영향을 파악하는 것입니다. 이 평가에는 여러 주요 요소를 기반으로 각 위협을 평가하는 작업이 포함됩니다.
3. 위협의 우선순위 지정: 가능한 위협을 평가한 후에는 발생 가능성이나 영향력 평가를 바탕으로 위협의 우선순위를 정합니다. 우선순위 지정은 조직의 자원과 관심을 즉각적인 압박을 가할 수 있는 위협에 집중시키는 데 유용합니다. 즉, 가장 높은 위험부터 먼저 해결합니다. 이는 일반적으로 발생 가능성이 높고 영향도 심각한 위협을 최우선 순위에 두게 합니다.

위협 평가 단계 (프로세스)

위협 평가는 하나의 과정으로, 다음과 같은 단계로 나눌 수 있습니다:

• 정보 수집

프로세스의 첫 번째 단계는 분석의 기초가 될 충분한 데이터를 확보하는 것입니다. 다양한 출처, 특히 실시간으로 업데이트되는 위협 및 전술 정보를 제공하는 위협 인텔리전스 피드에서 획득한 정보는 조직 내 또는 유사 산업의 과거 사건에서 발생한 역사적 데이터를 분석하여 패턴과 반복되는 위협을 찾는 데 도움이 됩니다.

• 잠재적 위협 식별

데이터 수집 후 다음 단계는 조직의 정보 시스템을 표적으로 삼을 수 있는 잠재적 위협을 식별하는 것입니다. 이러한 위협은 외부와 내부 모두에서 발생합니다. 외부 위협에는 해커가 포함되며, 여기에는 사이버 범죄자, 해커 활동가, 심지어는 조직의 정보를 탈취하여 금전적 이득을 추구하거나 정치적 목적을 가진 국가 차원의 행위자까지 포함될 수 있습니다.정보를 탈취하거나 정치적 목적을 추구하는 국가 차원의 행위자까지 포함됩니다.

• 위협 분석 및 평가

잠재적 위협이 걸러진 후, 기업은 각 위협을 상세히 검토하고 평가합니다. 이는 각 위협의 발생 가능성(즉, 특정 위협이 조직을 표적으로 삼을 가능성은 얼마나 되는가?)과 영향의 규모를 고려하여 수행됩니다. 예를 들어, 특정 위협은 발생 가능성이 높으면서도 핵심 데이터를 암호화하고 운영을 방해함으로써 강력한 부정적 효과를 촉발할 수 있습니다.

• 위협 우선순위 지정

위협을 분석하고 평가한 후에는 발생 가능성과 잠재적 영향력을 기준으로 우선순위를 지정해야 합니다. 이를 통해 조직은 더 중요한 위협에 자원과 노력을 집중할 수 있습니다. 고우선순위 위협은 발생 가능성이 높고 조직에 매우 큰 영향 또는 중대한 영향을 미치는 위협으로, 광범위하게 퍼진 피싱 캠페인이나 표적형 랜섬웨어 등이 해당됩니다. 낮은 우선순위 위협은 동등한 중요성을 지니지만 발생 가능성이 더 높거나 주요한 영향을 미치는 경우일 수 있으며, 경우에 따라 충분한 영향력을 가지지 않을 수도 있습니다. 이러한 낮은 우선순위 위협은 자원을 덜 투입하거나 후순위로 처리할 수 있습니다.

• 완화 전략 수립

위협에 우선순위를 부여한 후에는 위협을 완화할 방법을 마련해야 합니다. 여기에는 특정 위협에 대응하는 고급 방화벽, IDS(침입 탐지 시스템), 암호화 기술과 같은 새로운 방어 체계 구축이 포함될 수 있습니다. 일부 책임은 소프트웨어 업그레이드, 취약점 패치 또는 네트워크 분할과 같은 기존 방어 체계 개선에 있을 수 있습니다.

• 구현 및 모니터링

완화 전략이 수립되면 조직은 이를 실제로 실행에 옮겨야 합니다. 이는 필요한 기술의 배포나 정책 업데이트를 포함할 수 있으며, 모든 관련 인력이 새로운 조치에 대해 교육받고 인지하도록 해야 합니다. 이러한 노력을 유지하기 위해 조직은 잠재적 위협의 징후가 있는지 지속적으로 조직 환경을 모니터링해야 합니다.

• 검토 및 업데이트

평가 프로세스의 네 번째이자 마지막 단계는 준비된 프로세스를 검토하고 위협 변화에 대응하여 이를 시행하기 위해 전체 프로세스를 업그레이드하는 것입니다. 식별된 위협을 검토하여 적용된 통제 조치의 현재 관련성과 효과성을 확립합니다. 조직 환경에서 새로운 위협이 발생하고 변화가 일어날 때 — 신기술, 신규 프로세스, 새로운 비즈니스 운영 등이 등장함에 따라 위협 평가도 이러한 변화를 반영합니다.

위협 평가의 이점

위협 평가는 다음과 같은 중요한 이점을 제공합니다:

• 보안 태세 강화 – 지속적인 위협 평가를 수행하면 취약점이 악용되기 전에 잠재적 위협을 식별하고 제거함으로써 적절한 선제 조치를 취하여 조직의 보안 수준을 크게 향상시킵니다. 위협 평가 프로세스를 통해 보안 부서는 기존 위협에 대한 명확한 그림을 파악할 수 있습니다. 이와 관련하여 보안 팀은 조직의 방어력을 강화하는 관련 보안 조치를 선제적으로 배치합니다.

• 비용 효율적인 자원 배분 – 위협 평가의 주요 이점 중 하나는 할당된 자원을 가능한 한 비용 효율적인 방식으로 투자할 수 있다는 점입니다. 잠재적 영향력과 발생 가능성에 대한 차원을 분석하고 등급을 매김으로써, 조직은 보안 자원이 제한적일지라도(재정적, 인적, 기술적 측면에서) 이러한 자원이 가장 위험한 영역에 집중되도록 보장할 수 있습니다.

• 규정 준수 강화 – 사이버 보안은 현대 사회의 모범 사례이지만, 위협 평가는 대부분의 규제 프레임워크와 산업 표준 내에서 어느 정도 요구 사항이 되었습니다. GDPR, HIPAA, PCI DSS 등 이러한 규제 조치에 따른 지속적인 위협 평가 요구 사항은 민감한 데이터의 보안을 최고 수준으로 유지하도록 보장합니다.

• 향상된 사고 대응 – 잘 수행된 위협 평가는 조직의 보안 대응 능력을 강화합니다. 사고 대응 능력을 강화합니다. 위협에 대한 심층적인 이해는 조직이 직면한 위험에 대비한 견고한 사고 대응 계획을 수립하는 첫걸음입니다.

위협 평가의 일반적인 과제와 극복 방안

위협 평가는 특히 제한된 자원이나 전문성을 가진 조직에게 매우 어려운 과제일 수 있습니다. 일반적인 도전 과제는 다음과 같습니다:

• 자원 부족 – 대부분의 중소기업은 포괄적인 위협 평가를 수행하기 위한 재정적, 인적 자원의 적절한 투자에 심각한 어려움을 겪습니다. 이러한 조직들은 사이버 보안 팀이 아예 없거나 극소수에 불과하거나, 고급 위협 평가 도구에 대한 지출이나 투자를 감당할 수 없는 경우가 많습니다. 기업들은 제3자가 제공하는 서비스를 이용하거나 합리적인 비용으로 가치 있는 통찰력을 제공하는 위협 인텔리전스 플랫폼을 활용하여 이 문제를 극복합니다.

• 급속히 진화하는 위협 환경 – 사이버 보안 위협 환경은 역동적이며 지속적으로 진화하고 있으며, 새로운 위협과 취약점이 정기적으로 등장합니다. 이들은 매우 짧은 기간 내에 발전하므로 조직이 위협 평가를 업데이트하는 것은 불가능합니다. 모든 조직에게 있어 위협 평가를 적절히 업데이트하고 최신 위협 정보로 흡수하는 것은 항상 중요합니다.&

• 데이터 과부하 – 데이터 양이 너무 방대해져 조직이 관련 위협을 식별하고 등급을 매기는 데 어려움을 겪을 수 있습니다. 수많은 위협 인텔리전스 출처 속에서 관련 없는 잡음으로 과부하되지 않고 핵심을 파악하는 것은 매우 어렵습니다. 이러한 양을 극복하기 위해 조직은 신뢰 수준과 산업별·위협 환경에 따른 관련성을 바탕으로 위협 인텔리전스 출처의 우선순위를 정해야 합니다.&

• 전문성 부족 – 대부분의 조직, 특히 전담 사이버 보안 팀이 없는 조직은 포괄적인 위협 평가를 수행하는 데 필요한 내부 전문성을 갖추지 못할 것입니다. 이로 인해 평가 과정에 여러 큰 구멍이 생겨 가장 중요한 위협 중 일부가 숨어 빠져나가거나 최소한 제대로 파악되지 못할 수 있습니다.

• 내부 저항 – 내부 저항은 성공적인 위협 평가에 상당한 장애물이 될 수 있습니다. 일부 직원이나 부서는 이 과정을 불필요한 부담으로 여기거나, 시스템이나 프로세스의 취약점을 드러내는 정보를 공개하기를 꺼릴 수 있습니다. 조직의 보안과 우수성을 향한 한 걸음으로서 위협 평가의 중요성을 명확히 인식시키는 것만이 이 문제를 해결할 수 있는 방법입니다.

위협 평가를 위한 모범 사례

다음 모범 사례를 통해 위협 평가 노력을 효과적으로 수행하십시오.

1. 위협 평가 정기적 업데이트

사이버 위협의 지속적인 진화와 새로운 공격 경로 또는 악성 코드의 발견에 대응하여 사이버 보안 환경이 역동적으로 변화하고 있으므로, 위협 평가를 수행하고 이를 업데이트해야 합니다. 이때 최신 정보와 동향을 반영하도록 하십시오. 이는 조직에 영향을 미칠 수 있는 새로운 취약점, 신종 위협 또는 위협 환경의 변화를 항상 주시하는 관행과 관련이 있습니다.

2. 크로스-기능 팀 참여

효율적인 위협 평가는 조직 내 크로스-기능 팀의 참여에서 비롯됩니다. IT, 법무, 인사, 경영진 부서의 이해관계자를 포함함으로써 가능한 위협에 대한 심도 있는 관점을 도출할 수 있습니다. IT 담당자는 기술적 취약점과 시스템 약점에 대한 의견을 제시하고, 법무 및 규정 준수 팀은 관련 규제 요건이나 법적 결과에 대해 다룰 것입니다.

3. 위협 인텔리전스 활용

사이버 보안 위협 인텔리전스 피드 및 플랫폼을 최신 상태로 유지하는 것이 모범 사례입니다. 이러한 위협 인텔리전스는 조직이 사이버 보안의 최신 위협과 동향을 파악할 수 있도록 합니다. 이러한 위협 인텔리전스는 새로 발견된 취약점, 공격 방법 및 조직이 직면한 활성 위협에 대한 실시간 데이터를 제공합니다.gt;위협 인텔리전스 피드와 플랫폼을 활용하는 것이 모범 사례입니다. 이를 통해 조직은 사이버 보안 분야의 최신 위협과 동향을 파악할 수 있습니다. 이러한 위협 인텔리전스는 새로 발견된 취약점, 공격 방법, 조직이 직면한 활성 위협에 대한 실시간 데이터를 제공합니다. 이는 업계 보고서, 정부 기관, 사이버 보안 기업 또는 동료 조직과 같은 자원을 통해 수집된 정보일 수 있습니다.

4. 영향력이 큰 위협 우선순위 지정

효과적인 위협 평가는 조직에 가장 높은 수준의 위협을 가하는 요소에 집중해야 합니다. 잠재적 영향력과 발생 가능성에 따라 위협 우선순위를 매김으로써 가장 중요한 위협에 자원과 주의를 집중할 수 있습니다. 고위험 위협이란 심각한 재정적 손실, 대규모 운영 중단 또는 중대한 평판 손상 형태로 상당한 피해를 초래할 수 있는 위협을 의미합니다.

5. 지속적 개선 프로세스 개발

위협 평가의 세분화는 효과적인 사이버 보안 방어 체계 유지에 필수적입니다. 위협 환경은 역동적이며, 새로운 위협이 등장하고 기존 위협은 변이합니다. 위협 평가를 관리하는 한 가지 방법은 지속적 개선 프로세스를 통해 이를 일회성 활동이 아닌 지속적인 운영 및 관리 대상으로 다루는 것입니다. 여기에는 새로운 데이터, 피드백 및 조직 환경의 변화에 따라 위협 평가 접근 방식을 검토하고 변경할 수 있는 열린 태도를 유지하는 것이 포함됩니다.

위협 평가 템플릿

위협 평가 수행 작업을 훨씬 편리하게 해주는 템플릿이 제공됩니다. 이는 위협 식별 및 평가를 체계적으로 수행할 수 있는 방법을 제공합니다. 사용 중인 템플릿의 일부는 다음과 같습니다:

• 위협 식별 템플릿: 잠재적 위협을 기록하는 양식으로, 위협의 출처, 발생 가능성 및 영향에 대한 세부 정보를 포함합니다.
• 위협 평가 매트릭스: 발생 가능성과 영향도 수준을 기반으로 위협을 평가하고 우선순위를 정하는 효과적인 도구입니다.
• 완화 계획 템플릿: 식별된 위협을 완화하고 보안을 강화하기 위해 실행 가능한 전략을 명시합니다.
• 위협 평가 보고서 템플릿: 평가 결과 확인된 위협, 검사 결과, 위협 제거를 위해 제안해야 할 조치 등 평가 결과에 관한 종합 보고서입니다.

실제 위협 평가 사례

실제 적용 사례에서 위협 평가가 어떻게 연구되는지 이해하는 것이 더 쉬울 수 있습니다. 몇 가지 예시를 소개합니다:

1. 금융 서비스

금융 기관 중 최대 규모인 JPMorgan Chase는 자사 인터넷 뱅킹 플랫폼을 겨냥한 사이버 위협을 평가했습니다. 그 위협 중 고객을 대상으로 한 피싱 공격은 그들에게 고위험 활동으로 간주되었습니다. 이에 대응하여 JPMorgan Chase는 다단계 인증(MFA) 및 고객 인식 캠페인을 통해 피싱 공격 발생 가능성을 최소화하고, 피싱 사고의 전반적인 효과를 감소시키는 통제 수단을 시행했습니다.

2. 의료 분야

미국 최고의 의료 기관 중 하나인 메이오 클리닉은 위협 평가를 수행하여 전자건강기록(EHR) 시스템에 위험을 초래할 가능성이 있는 여러 위험 요소를 발견했습니다. 랜섬웨어 공격은 실제로 해당 기관이 직면한 주요 위협 중 하나였습니다. 메이오 클리닉은 데이터 백업 프로세스를 더욱 다각화하고, 더 진보된 솔루션을 도입하여 엔드포인트 보호를 강화했으며, 민감한 환자 데이터를 보호하기 위한 사고 대응 계획을 수립했습니다.

3. 정부

미국 국토안보부(DHS)는 대외적으로 노출된 웹사이트의 취약성을 평가하기 위해 위협 평가를 실시했습니다. 실제로 확인된 주요 위협에는 분산 서비스 거부(DDoS) 공격이 제기할 수 있는 위협이 포함됩니다. 이러한 DDoS 공격으로부터 보호하기 위해 국토안보부는 DDoS 보호 서비스를 적용하고, 디지털 인프라 무결성을 유지하며 온라인 서비스의 지속성을 보장하기 위해 사고 대응 역량을 강화했습니다.&

4. 소매업

미국 최대 소매 기업 중 하나인 타겟 코퍼레이션은 결제 단말 시스템과 관련된 공개된 사이버 보안 위협을 처리하기 위해 위협 평가를 수행하기로 결정했습니다.-판매 시스템과 관련된 공개된 사이버 보안 위협을 처리하기 위해 위협 평가를 수행하기로 결정했습니다. 수행된 평가에 따르면 가장 큰 위협 중 하나로 결제 카드 데이터를 노린 악성코드 공격이 확인되었습니다. 이후 결제 처리 과정에 종단 간 암호화를 도입하고, POS 시스템을 업그레이드하며, 실시간 위협 탐지 및 대응 기능을 갖춘 지속적 모니터링 솔루션을 도입했습니다.

결론

위협 평가는 사이버보안을 종합적으로 보장하는 핵심 요소 중 하나입니다. 조직은 정보 시스템과 관련 데이터를 보호하기 위한 예방 조치를 마련하는 잠재적 위협 경로를 식별하고 평가함으로써 혜택을 얻을 수 있습니다. 위협 평가를 수행하는 것이 때로는 다소 어려울 수 있지만, 보유한 자원을 활용한 모범 사례와 기법을 통해 기업은 위협을 효과적으로 처리하고 줄일 수 있습니다.&

다기능 팀과 함께 위협 평가 프로세스를 반복적으로 수행하면 적응력이 향상되고 역동적인 위협 환경에서 조직의 보안 태세를 강화할 수 있습니다.

FAQs