정보 보안 대응 전략

- 위험의 영향도와 발생 가능성에 따라 대응 전략이 달라짐

- 대응 비용과 예상 손실액의 비교

- 조직의 자원과 역량

- 법적/규제적 요구사항 및 비즈니스 영향도

 

위험수용(Risk Acceptance)

- 위험을 인지하고 받아들이는 전략

- 발생 가능성과 영향도가 낮은 경우

- 대응 비용이 잠재적 손실보다 큰 경우

 

* 비용 효율성 기반 위험 수용

    - 기존 시스템의 알려진 취약점 수용

* 기술적 한계 기반 위험 수용

    - 보안 패치 개발 전 신규 취약점 수용

* 업무 효율성 기반 위험 수용

    - 임원진 MFA 인증 정책

    - 개인 장비/특정 디바이스 사용 허용

 

위험 감소(Risk Mitigation/Risk Reduction)

- 위험 발생 가능성이나 영향을 줄이는 전략

- 위험을 완전히 제거하기가 불가능한 경우

- 장기적으로 비용 대비 효과가 우수

 

* 기술적 통제 기반 위험 감소

    - 보안 솔루션을 이용한 위험 감소

* 관리적 통제 기반 위험 감소

    - 보안 정책 등을 이용한 위험 감소

    - 정기적 보안 교육을 통한 위험 감소

* 물리적 통제 기반 위험 감소

    - 출입 통제를 이용한 위험 감소

    - CCTV, 보안 요원 배치

 

위험 전가(Risk Transfer)

- 보험/외주를 통해 위험을 3자에게 전가

- 전문적인 관리가 필요한 경우

- 예측 가능한 고정 비용 형태

 

* 보험을 통한 위험 전가

    - 개인정보 유출 배상 책임 보험

    - 사이버 사고 대응 비용 보험

* 외주 계약을 통한 위험 전가

    - 보안서비스 아웃 소싱

    - 클라우드 서비스 이용

* 공급업체에 계약을 통한 위험 전가

    - 보안 요구사항 명시

    - 배상 책임 조항/보안사고 대응 의무

 

위험 회피(Risk Avoidance)

- 위험을 유발하는 활동 자체를 중단

- 위험이 허용 수준을 크게 초과하는 경우

- 대체 방안이 존재하는 경우

- 단기적으로 높은 비용 발생 가능

 

* 서비스/시스템 관련 위험 회피

    - 취약성있는 기존 시스템 폐기 및 서비스 중단

    - 보안성이 검증되지 않은 신기술 도입 보류

* 데이터 관련 위험 회피

    - 민감정보 수집 최소화

    - 중요 데이터 외부 저장 제한

* 접근 통제 관련 위험 회피

    - 외부 접속 차단, USB 사용 차단

 

 

정보 보안 대응 전략

-> 상황과 위험의 특성에 따라 복합적, 순차적으로 적용

-> 효과적인 위험 관리 프레임워크 과정

1) 위험 식별 및 평가

2) 각 위험에 대한 적절한 대응 전략 선택

3) 선택된 전략의 구현

4) 지속적인 모니터링 및 검토

5) 필요 시 전략 조정