상명대학교 / 서광규 교수
위험 관리 프레임워크는 비즈니스가 자산을 보호하기 위해 비즈니스를 구조화하고 모니터링해야 하는 방식을 지시하는 일련의 기준이다.
따라서 위험 관리 프레임워크는 비즈니스의 모든 측면을 발생 가능한 위험으로부터 보호하기 위해 존재한다.
이러한 측면에는 원치 않거나 결함 있는 제품, 변동성이 높은 시장, 제대로 수행되지 않는 비즈니스 계획 등이 있다.
하지만 디지털 시스템의 지속적인 확산에 따라 일부 조직이 오늘날 마주한 위험 대부분은 IT 시스템에 대한 위험이다.
IT 위험 관리 프레임워크는 비즈니스와 정부 기관이 발생할 수 있는 데이터 위험을 식별하고, 위험을 유발하는 시스템과 해당 위험을 방지하거나 수정하기 위해 선택할 수 있는 사항이 무엇인지 판단할 수 있도록 지원하기 위해 설계되었다.
다양한 위험 관리 프레임워크 표준에서 단계는 대동소이하다. 예를 들어 NIST 위험 관리 프레임워크는 매우 엄격하며 미국 연방 정부 내 시스템을 승인하기 위해 사용된다.
최근 들어 클라우드 컴퓨팅 환경이 확산됨에 따라 IT 위험 관리 프레임워크와 마찬가지로 클라우드 컴퓨팅 환경에서의 위험관리 프레임워크의 중요성은 더욱 중요해지고 있다.
클라우드 컴퓨팅 환경에서의 위험관리 프레임워크는 위험 평가, 위험 처리, 위험 수용, 위험 커뮤니케이션 및 협의, 위험 모니터링 및 검토를 포함하며 클라우드 컴퓨팅 환경의 위험을 줄이기 위한 완전한 관리 프로세스 세트와 효과적인 조치를 제공한다.
본 고에서는 국제 표준화 문서인 ITU-T Y.3539 Cloud computing ? Framework of risk management에서 제시하고 있는 클라우드 컴퓨팅 환경의 위험 관리 개요 및 프레임워크이 주요 내용에 대하여 기술하기로 한다.
1. 클라우드 컴퓨팅 환경의 위험 관리 개요 및 프레임워크
클라우드 컴퓨팅의 급속한 발전으로 인해 위험 관리가 점점 더 중요해지고 있다. 실제 생산 환경에서는 네트워크 불안정, 장비 장애 등의 문제가 불가피하다. 클라우드 서비스의 수명주기와 관련된 몇 가지 잠재적인 위험이 있다.
클라우드 서비스 제공자(CSP)는 위험 관리를 위한 완전한 프로세스 세트와 위험을 줄이기 위한 효과적인 조치를 갖춘 클라우드 서비스 보안 및 위험 관리자를 제공해야 한다. 클라우드 컴퓨팅 환경의 위험 관리 프레임워크는 그림 1과 같은 관리 기능을 제공한다. 이러한 관리 기능은 특히 클라우드 컴퓨팅 환경 측면과 관련된 [ISO/IEC 27005]에 설명된 절차를 기반으로 한다.
[그림1. 클라우드 컴퓨팅 환경의 위험 관리 프레임워크]
- 위험 평가 : 클라우드 컴퓨팅 환경에서 위험을 식별하고 예측하기 위한 관리 기능이다.
- 리스크 처리 : 리스크 평가 결과를 토대로 리스크 감소, 리스크 유지, 리스크 회피, 리스크 전이 등 리스크를 허용 가능한 범위 내로 유지하기 위한 조치를 취하는 관리 능력으로 제8항에 제시되어 있다.
- 위험 수용 : 위험 수용 기준이 충족되면 잔여 위험을 수용하는 관리 능력이다. 다음 요소를 기준으로 고려해야 한다.
- 작은 손실로 이어지는 잔여 위험을 감수한다.
※ 참고 : 잔여 위험은 쓸모없는 구성 요소로 인해 생성된 일부 시스템 취약성과 같은 경우에 클라우드 서비스에 영향을 미치지 않는다. 위험도 평가 결과 영향력이 작다면 잔여 위험도를 수용할 수 있다.
-핵심 사항에 해결할 수 없는 위험이 있는 경우 핵심 사항이 CSP에 매우 높은 이점을 가져올 수 있다면 이 위험은 허용된다.
※ 참고 : 일부 핵심 사항은 위험과 이점을 동시에 가져올 수 있다. 예를 들어, 클라우드 서비스에서 오픈소스 구성 요소를 사용하면 라이선스 침해, 오픈소스 보안 사고 등의 위험이 발생할 수 있다. 오픈 소스 구성 요소는 비용 절감이나 빠른 기술 반복과 같은 이점을 가져올 수도 있다. 핵심 사항이 위험보다 더 많은 이점을 가져온다면 받아들일 수 있다.
-CSP가 위험을 줄일 여유가 없을 때 위험을 감수한다.
- 위험 커뮤니케이션 및 상담 : 다음을 포함하되 이에 국한되지 않는 보안 위험 이벤트를 클라우드 서비스 고객(CSC)에게 적시에 알리는 관리 기능
-클라우드 서비스의 데이터와 애플리케이션을 위협할 수 있는 취약점
-클라우드 서비스 또는 CSP의 주요 변경 사항
-데이터 손실, 데이터 침해 등 발생한 보안 이벤트
- 위험 모니터링 및 검토 : 보안 경고 공지, 취약성 공지 및 기타 위협 공지에 지능적으로 적시에 주의를 기울이고 규제 검토를 위해 정기적으로 위험 보고서를 생성하는 관리 기능
2. 클라우드 컴퓨팅 환경의 위험 평가
2-1. 핵심 사항 식별
클라우드 컴퓨팅 환경의 위험 관리에는 인프라, 네트워크 리소스, 컴퓨팅 리소스, 스토리지 리소스, 애플리케이션, 데이터, 인적 요소 및 운영 관리를 포함한 많은 핵심 사항이 포함된다. 범주와 예는 다음 표 1과 같다.
[표1. 클라우드 컴퓨팅 환경의 위험 관리 핵심 사항]
클라우드 컴퓨팅 환경의 핵심은 영향력 정도에 따라 평가되어야 하는데, 표 1은 클라우드 컴퓨팅 환경에서 위험 관리의 다양한 수준에 대한 참조 가중치를 제공한다.
2-2. 위협 식별
위협은 클라우드 컴퓨팅 환경에 잠재적인 피해를 줄 수 있는 가능한 요소로, 객관적으로 존재한다. 위협의 원인에는 환경적 요인, 기술적 실패, 인적 요인 등이 있다. 위협의 범주와 설명은 표 2와 같다.
[표2. 위협 분류]
위협 빈도를 추정하는 것은 위협 식별의 중요한 작업이다.
위협 빈도는 위협이 실현되는 횟수를 나타내는 여러 수준으로 나눌 수 있다. 수준이 높을수록 위협 빈도가 높아지고 클라우드 컴퓨팅 환경에 미치는 위험한 영향도 커진다.
2-3. 취약점 식별
취약점 식별 방법에는 설문 조사, 도구 감지, 수동 확인, 로그 검토 및 침투 테스트가 포함된다.
취약점은 클라우드 컴퓨팅 환경의 위험 관리 핵심 사항을 기반으로 식별되며 CSP의 위험 대책과 일치한다.
위험에 대한 강력한 사전 대책을 갖춘 시스템의 경우 취약성은 낮거나 존재하지 않는 경우가 많다.
참 고 문 헌
- ITU-T Y.3539 (01/2023) Cloud computing ? Framework of risk management
- ITU-T Y.3500 (2014) | ISO/IEC 17788:2014, Information technology ? Cloud computing ? Overview and vocabulary.
- ISO/IEC 27000:2018, Information technology ? Security techniques ? Information security management systems ? Overview and vocabulary.
- ISO/IEC 27005:2022, Information security, cybersecurity and privacy protection ? Guidance on managing information security risks.
저작권 정책
K-ICT 클라우드혁신센터의 저작물인 『클라우드 컴퓨팅 환경의 위험 관리 프레임워크』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.