상명대학교 / 서광규 교수
3. 클라우드 컴퓨팅 환경의 위험 처리
위험 평가 결과에 따라 위험 처리 방법이 선택되며 그 절차는 그림 2와 같다.
[그림2. 클라우드 컴퓨팅 환경의 위험 처리 프로세스]
3-1. 위험감소
위험 감소는 관련 선택 관리 조치를 통해 위험 수준을 낮추고, 다시 평가할 때 잔여 위험이 허용 가능한 수준에 도달할 수 있도록 하는 능력을 의미한다. 통제 조치에는 다음이 포함된다.
- 목표, 역할, 책임 및 프로세스를 포함한 관리 시스템을 최적화한다.
- 소프트웨어 및 하드웨어 결함을 수리한다.
- 자동화된 모니터링 시스템, 지능형 분석 시스템 등 클라우드 컴퓨팅 환경의 위험 관리에 대한 고급 기술 및 도구를 도입한다.
제어 조치를 선택할 때 제어 조치를 획득, 구현, 관리, 운영, 모니터링 및 유지하는 데 드는 비용은 클라우드 컴퓨팅 환경의 위험 관리에 대한 핵심 사항의 가치와 비교되어야 한다.
3-2. 위험 보유(Risk retention)
위험 보유는 위험 평가를 기반으로 추가 위험 보존 조치를 취하지 않기로 결정하는 능력을 의미한다. 위험 수준이 위험 허용 기준을 충족하면 추가 통제 조치를 구현할 필요가 없으며 위험을 유지할 수 있다.
3-3. 위험 회피
위험 회피는 특정 위험을 유발하는 활동이나 조건을 피하는 능력을 의미한다. 식별된 위험이 너무 높은 것으로 간주되거나 다른 위험 처리 옵션의 비용이 임계값을 초과하는 경우 위험을 피하기 위해 계획된 활동이나 기존 활동을 철회해야 한다.
위 활동은 스토리지 아키텍처 조정, 대규모 데이터 마이그레이션 등 위험 관리의 핵심 사항과 관련하여 CSP에서 수행한 변경 사항을 나타낸다.
3-4. 위험 이전
위험 이전이란 특정 위험을 효과적으로 관리할 수 있는 다른 당사자에게 위험을 이전하는 능력을 의미한다. 일반적인 접근 방식은 클라우드 서비스 중단, 데이터 손실 및 사이버 공격을 보장하는 보험에 가입하는 것이다.
※ 참고 : 위험 이전은 새로운 위험을 생성하거나 기존 위험을 변경할 수 있다.
4. 클라우드 컴퓨팅 환경의 위험 관리 평가 방법
4-1. 클라우드 컴퓨팅 환경의 위험 관리 핵심 가중치
표 2는 클라우드 컴퓨팅 환경에서 위험 관리의 다양한 수준에 대한 핵심 가중치를 보여준다.
[표2. 클라우드 컴퓨팅 환경에서 위험 관리의 다양한 수준에 대한 핵심 가중치]
4-2. 클라우드 컴퓨팅 환경의 위협 빈도
표 3은 클라우드 컴퓨팅 환경의 위협 빈도 수준과 설명을 보여준다.
[표3. 클라우드 컴퓨팅 환경의 위협 빈도 수준]
4-3. 위험 추정 공식
다음 공식은 위험 가치 추정 방정식을 보여준다.
예를 들어, 사용자 데이터는 매우 중요하므로 가중치는 3이다. CSP가 사용자 데이터의 빈번한 도난을 당할 경우 위협 빈도는 3이다. CSP가 이 위협에 대한 보호 조치가 없는 경우 사전 조치 계수는 1이다. 위 공식에 따르면 현재 위험 값은 9이다.
4-4. 클라우드 컴퓨팅 환경의 위협 매핑 및 위험 관리 핵심 사항
표 4는 클라우드 컴퓨팅 환경에서 위협을 매핑하고 위험 관리를 위한 핵심 사항을 보여준다.
표의 행과 열이 교차하여 형성된 셀의 문자 'Y'는 클라우드 서비스에 대한 특정 위협이 클라우드 컴퓨팅 환경에서 위험 관리를 위한 해당 핵심 지점에 의해 해결됨을 나타낸다.
[표4. 클라우드 컴퓨팅 환경의 위험 관리를 위한 위협 및 핵심 사항 매핑]
5. 결언
위험 관리 프레임워크는 비즈니스가 자산을 보호하기 위해 비즈니스를 구조화하고 모니터링해야 하는 방식을 지시하는 일련의 기준이다.
위험은 비즈니스에서 당연한 부분이다. 즉, 모든 투자와 신제품, 새로운 시장으로의 확장 또는 구조, 직원 책임의 변경까지도 중단을 야기할 수 있으며, 외부의 위험은 항상 어디에든 존재하기 마련이다.
반면에 위험에 너무 강경한 태도를 취하는 것은 비즈니스 성장을 저해할 수 있으며, 회사가 잠재력을 발휘하는 것을 방해할 수도 있다. 최고의 기업은 이렇게 하는 대신 전략적으로 어떻게 위험에 접근해야 하는지 알고 있으며 보상과 위험을 비교하여 성장 기회를 저하시키지 않으면서 잠재적인 위험을 줄일 수 있다.
이를 위해 많은 비즈니스 도메인에서 위험 관리 프레임워크 형식으로 운영 프로세스 보안에 전사적인 접근법을 도입하고 있으며 위험 관리 프레임워크는 체계적인 접근법을 취해 모든 종류의 비즈니스 위험을 식별하고 완화한다.
최근 들어 클라우드 컴퓨팅 환경이 확산됨에 따라 클라우드 컴퓨팅 환경에서의 위험관리 프레임워크의 중요성은 더욱 중요해 지고 시점에서 클라우드 컴퓨팅 환경에서의 위험관리 프레임워크는 위험 평가, 위험 처리, 위험 수용, 위험 커뮤니케이션 및 협의, 위험 모니터링 및 검토를 포함하며 클라우드 컴퓨팅 환경의 위험을 줄이기 위한 완전한 관리 프로세스 세트와 효과적인 조치를 제공한다.
본 고에서는 국제 표준화 문서인 ITU-T Y.3539 (01/2023) Cloud computing ? Framework of risk management에서 제시하고 있는 클라우드 컴퓨팅 환경의 위험 관리 개요 및 프레임워크이 주요 내용에 대하여 기술하였는데, 클라우드 환경에서 비즈니스 자산을 보호하기 위해 비즈니스를 구조화하고 모니터링해야 하는 방식을 위한 일련의 프레임워크를 제시하였다는 측면에서 큰 의미를 갖는다.
참 고 문 헌
- ITU-T Y.3539 (01/2023) Cloud computing ? Framework of risk management
- ITU-T Y.3500 (2014) | ISO/IEC 17788:2014, Information technology ? Cloud computing ? Overview and vocabulary.
- ISO/IEC 27000:2018, Information technology ? Security techniques ? Information security management systems ? Overview and vocabulary.
- ISO/IEC 27005:2022, Information security, cybersecurity and privacy protection ? Guidance on managing information security risks.
저작권 정책
K-ICT 클라우드혁신센터의 저작물인 『클라우드 컴퓨팅 환경의 위험 관리 프레임워크』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.