사이버 공격은 보통 우연히 발생하는 것이 아니라 해결되지 않은 위험의 결과입니다. 모든 활성 네트워크는 위협에 취약합니다. 해커가 시스템 내부의 허점을 발견할 때까지 기다리는 대신 내재된 위험과 잔존하는 위험을 평가하여 선제적으로 대응할 수 있습니다.
네트워크 내 내재적 위험과 잔존 위험을 이해하면 보안을 강화하는 데 중요한 인사이트를 얻을 수 있습니다. 이러한 위험은 무엇이며 어떻게 예방할 수 있을까요?
내재적 위험이란 무엇인가요?
내재적 위험은 위협을 방지하기 위한 보안 절차, 프로세스 또는 정책이 마련되어 있지 않은 네트워크 내의 취약성을 말합니다. 하지만 기술적으로 없는 것을 측정할 수는 없으므로 내재적 위험은 기본 보안 설정에 따른 네트워크 내의 취약성이라고 하는 것이 더 적절합니다. 집의 문을 예로 들어보겠습니다. 문에 잠금 장치를 설치하지 않으면 침입자가 집에 들어오는 것을 막을 수 있는 장애물이 없기 때문에 침입자가 쉽게 침입할 수 있습니다.
잔존 위험이란 무엇인가요?
잔여 위험은 귀중품을 보호하기 위한 절차, 프로세스 및 정책을 포함한 보안 조치를 구현한 후에도 시스템 내에 남아있는 취약점입니다. 사이버 위협과 공격에 대응하기 위해 방어 체계를 구축했더라도 특정 위험이 여전히 발생하여 시스템에 영향을 미칠 수 있습니다.
잔존 위험은 보안이 일회성 활동이 아님을 나타냅니다. 문에 자물쇠를 채운다고 해서 범죄자가 공격하지 못한다는 보장은 없습니다. 범죄자들은 자물쇠를 열거나 문을 부술 방법을 찾을 수 있으며, 이를 위해 추가적인 노력을 기울일 수도 있습니다.
사이버 보안의 내재적 위험과 잔존적 위험
요약하자면, 내재적 위험은 보안 방어 장치가 없을 때 시스템이 노출되기 쉬운 위험이며, 잔존적 위험은 보안 조치를 구현한 후에도 시스템 내에서 발생할 수 있는 위험입니다. 보안에 미치는 영향을 통해 이러한 위험 범주 간의 차이점을 더 자세히 알아볼 수 있습니다.
내재적 위험의 영향
내재적 위험의 일반적인 영향은 다음과 같습니다:
비규제 준수
사용자 데이터 보호를 위한 다양한 규제 표준이 있습니다. 네트워크 소유자 또는 관리자는 사용자 데이터를 보호하기 위해 이러한 규정을 준수해야 할 의무가 있습니다.
해당 업계의 규제 요건을 준수하는 데 도움이 되는 정책을 만들지 않으면 네트워크에 내재된 위험에 노출되기 쉽습니다. 사용자 참여에 대한 정책이 없으면 제재, 소송 및 벌금이 수반되는 규정 준수 위반으로 이어질 수 있습니다.
보안 부족으로 인한 데이터 손실
효과적인 데이터 보호에는 강력하고 신중한 보안 제어가 필요합니다. 기본 보안 설정만으로는 계산된 사이버 공격에 대응하기 어렵습니다.
사이버 범죄자들은 항상 먹잇감을 찾고 있습니다. 내재된 위험은 이러한 침입자에게 귀중품을 노출시킵니다. 강력한 보안이 없으면 침입자가 네트워크에 침입하여 거의 또는 전혀 방해받지 않고 데이터를 훔칠 수 있기 때문에 그들의 작업이 훨씬 쉬워집니다.
액세스 제어 부족으로 인한 네트워크 침해
데이터 보호는 액세스 제어 또는 특정 정보에 액세스할 수 있는 사람을 모니터링하는 것으로 요약됩니다. 내재적 위험의 일반적인 의미는 시스템에 대한 제어가 없다는 것입니다. 사용자 간의 액세스 수준을 관리하지 않으면 누구나 가장 중요한 데이터에 액세스하여 데이터를 손상시킬 수 있습니다.
잔존 위험의 의미
다음은 내재적 위험의 몇 가지 일반적인 의미입니다.
내부자 위협
사이버 위험이 항상 외부에 있는 것은 아니며, 네트워크 내의 사용자로부터 발생할 수도 있습니다. 보안 방어를 설치한 경우에도 내부자의 의도적이거나 우발적인 행동으로 인해 네트워크가 손상될 수 있습니다.
내부자 위협은 기존 보안 메커니즘을 우회할 수 있기 때문에 잔존 위험의 일부이며, 특히 보안 구조가 외부 요인에 초점을 맞추고 내부 요인을 소홀히 할 때 더욱 그렇습니다.
바이러스 공격
시스템에 보안을 설정한다고 해서 사이버 범죄자가 시스템을 표적으로 삼는 것을 자동으로 막을 수는 없습니다. 그들은 피싱 공격과 같은 의심할 수 없는 기술을 사용하여 사용자가 바이러스로 시스템을 손상시키는 조치를 취하도록 만듭니다.
바이러스에는 시스템 보안을 무력화하여 공격자에게 액세스 및 제어 권한을 부여할 수 있는 바이러스가 포함되어 있습니다. 강력한 방어 장치가 있는 경우에도 발생할 수 있으므로 잔존 위험이 있습니다.
타사 애플리케이션
시스템에 연결하는 타사 애플리케이션은 이미 설치한 방어 기능에도 불구하고 공격을 위한 새로운 창을 만듭니다. 이러한 장치는 공격 표면을 증가시키며, 사용자가 이러한 장치를 최대한 제어할 수 없으므로 수행할 수 있는 작업에는 한계가 있습니다.
위협 행위자는 시스템 내에서 열려 있는 포트를 조사하여 침투하기 가장 편리한 포트를 식별하고 중간자 공격과 같은 기술을 사용하여 운영을 방해하지 않고 통신을 가로챌 수 있습니다.
내재적 위험과 잔존적 위험을 방지하는 방법
내재적 위험과 잔존적 위험은 서로 다를 수 있지만 제때 해결하지 않으면 네트워크에 심각한 손상을 입힐 수 있습니다.
보다 안전한 네트워크를 위해 내재적 위험과 잔존 위험을 방지하는 방법을 알아보세요.
위험 평가 수행
위험 평가는 네트워크 내의 다양한 위험과 이로 인해 발생했거나 발생할 가능성이 있는 영향을 식별, 평가 및 정량화하는 능력입니다. 이 프로세스에는 사이버 위협 및 공격에 대한 자산과 자산의 노출 수준을 파악하는 것이 포함됩니다.
사이버 위험을 파악하면 위험 예방을 위해 채택할 수 있는 최상의 전략을 파악하고 평가에서 식별한 특정 위험을 해결하기 위해 보안 방어를 구축하는 데 도움이 됩니다.
위험을 카테고리로 분류
위험 분류를 통해 위험 평가를 위한 정성적 및 정량적 지표를 수립할 수 있습니다. 내재적 위험과 잔존 위험을 모두 다루고 있으므로 두 위험 유형의 속성을 개괄적으로 파악하고 그에 따라 분류해야 합니다.
잔존 위험의 경우, 영향을 받는 영역을 아무런 보호 조치 없이 방치하는 대신 보안 조치를 취해야 합니다. 잔여 위험의 경우 효과적인 사고 대응 계획을 수립하여 방어 체계를 훼손하는 공격을 해결하는 등의 완화 전략을 수립하는 것이 목표입니다.
위험 등록부 작성
사이버 위험은 대부분 피할 수 없으며, 사용자의 행동 또는 무활동에 따라 시스템에 미치는 영향이 결정됩니다. 시스템이 경험한 과거 사이버 사고에 대한 지식은 현재와 미래에 발생할 수 있는 위험을 관리할 수 있는 능력을 향상시킵니다.
위험 등록부에서 사이버 사고 이력이 있는 경우 찾아보세요. 없는 경우 유용한 출처에서 수집할 수 있는 정보를 최대한 수집하여 생성할 수 있습니다.
위험 등록부에는 이전 사이버 위험과 이를 해결하기 위해 취한 조치에 대한 세부 정보가 포함되어야 합니다. 조치가 효과적이었다면 다시 시행하는 것을 고려해야 합니다. 그러나 효과가 없었다면 새롭고 효과적인 방어 전략을 모색하는 것이 좋습니다.
위험 예방 제어 표준화
사이버 위험 해결은 NIST 사이버 보안 프레임워크, ISO 27001, 의료정보 이동 및 책임법(HIPAA)과 같은 표준 보안 프레임워크를 배포할 때 가장 효과적입니다. 이러한 프레임워크는 입증되고 테스트되었을 뿐만 아니라 측정 및 자동화를 위한 기반도 제공합니다.
내재적 위험은 실질적인 보안이 부재하기 때문에 처음부터 표준 보안 제어를 제정할 수 있는 백지 상태입니다. 잔존 위험의 경우 프레임워크의 전략으로 허점을 해결하여 현재 보안 구조를 개선할 수 있습니다.
총체적 사이버 보안으로 내재적 및 잔존 위험에 대처
총체적 보안은 모든 보안 인프라의 핵심이 되어야 합니다. 보안을 위해 시스템의 모든 측면을 해결하면 그 과정에서 내재된 위험과 잔존하는 위험을 해결할 수 있습니다.
올바른 사이버 보안 문화와 효과적인 프로세스 및 기술을 결합하면 위험을 최소한으로 줄일 수 있는 역량을 갖추게 됩니다.