와이즈컴퍼니는 다수의 업체의 미국 FDA 사이버보안 지도를 성공적으로 진행 혹은 완료하였으며,
이와 관련 사이버보안 시험 및 문서화 지도 서비스를 제공 드리고 있습니다.
오늘은 사이버보안 위험 평가에 대해 알아보겠습니다.
사이버보안의 위험을 평가하는 데에는 여러가지 방법론이 있는데요, 그 중에서 CVSS와 NIST SP 800-30에 대해 알아보도록 하겠습니다.
CVSS
CVSS는 Common Vulnerability Scoring System의 약자로 공통 취약점 등급 시스템입니다.
공격자가 소프트웨어 취약점(CVE, Common Vulnerabilities and Exposure)을 악용해 미칠 수 있는 영향도를 수치로 표현하여 대응의 우선순위를 결정할 수 있게 됩니다.
CVSS는 2005년의 v1을 시작으로 작년인 2023년에 v4까지 발표되었는데요, 제일 보편적으로 사용하고 있는 v3/v3.1에 대해 설명하도록 하겠습니다.
CVSS 점수는 기초(Base), 시간(Temporal), 환경(Environmental)의 세 가지 메트릭 그룹으로 구성되어 있으며, 각 그룹은 여러 지표들로 구성이 되어있습니다.
✅ Base Metirc / 기초 지표
1. Exploitability Metrics / 악용가능성 메트릭
악용 가능성 메트릭은 취약점이 발생하는 본질적인 원인을 나타내는 지표이며, 시간의 흐름에도 크게 변화하지 않습니다. 이 메트릭은 공격 벡터, 공격 복잡성, 필요한 권한, 사용자 상호작용 등 4가지의 하위 구성요소로 이루어집니다.
✔ Attack Vector (AC)
공격 벡터는 취약점 악용에 필요한 접근 수준을 나타냅니다. 공격자가 타겟으로부터 물리적이나 논리적으로 멀어질수록 점수가 높아집니다.
✔ Attack Complexity (AC)
공격 복잡성은 공격자가 성공적으로 취약점을 악용하기 위해 필요한 조건과 난이도를 설명하는 지표입니다. 공격이 언제든지 수행될 수 있을 때 점수가 높아집니다.
✔ Privileges Required (PR)
공격자가 취약성을 성공적으로 악용하기 전에 가져야 하는 권한 수준을 의미합니다. 공격을 실행하는 데 필요한 권한이 적을수록 점수는 높아집니다.
✔ User Interaction (UI)
공격자가 취약성을 악용하기 위해 다른 사용자의 도움이 필요한지 여부에 대한 지표입니다. 다른 사용자와의 상호작용이 필요하지 않으면 점수가 높아집니다.
2. Scope / 범위
취약성이 시스템 내에서 얼마나 영향을 미치는지 평가하는 지표입니다. 다른 시스템까지 영향을 미칠 때 더 높은 점수를 얻게 됩니다.
3. Impact Metrics / 영향 메트릭
✔ Confidentiality Impact (C)
기밀성은 권한이 있는 사용자에게만 정보 접근 및 공개를 제한하고 권한이 없는 사용자의 접근 또는 공개를 방지하는 것을 말합니다. 영향을 받는 구성 요소에 대한 손실이 클수록 점수가 높아집니다.
✔ Integrity Impact (I)
무결성은 정보의 신뢰성과 진실성을 의미합니다. 무결성이 완전히 손실되어 공격자가 정보를 마음대로 변경할 수 있을 경우 점수가 높아집니다.
✔ Availability Impact (A)
가용성은 시스템이나 정보가 필요한 시점에 접근 가능하도록 보장하는 것입니다. 가용성이 손실되어 공격자가 시스템이나 정보를 완전히 사용할 수 없게 만들 경우 점수가 높아집니다.
✅ Temporal Metric / 시간적 지표
1. Exploit Code Maturity (E) / 익스플로잇 코드 성숙도
익스플로잇 코드란, 취약성을 악용하기 위해 작성된 프로그램이나 스크립트를 의미하는데요, 이 익스플로잇 코드가 존재하여 취약점을 더 쉽게 악용할 수 있을수록 취약점 점수가 높아집니다.
2. Remidiation Level (RL) / 개선 수준
취약성에 대한 수정 또는 패치가 얼마나 준비되어 있는지를 평가하는 지표입니다. 수정 수준이 공식적이지 않고 영구적이지 않을수록 취약성 점수가 높아집니다.
3. Report Confidence (RC) / 보고 신뢰도
취약성의 존재 여부와 관련된 정보의 신뢰성을 평가하는 지표입니다. 제조 업체 또는 기타 평판이 좋은 출처에서 취약성을 더 많이 검증할수록 점수가 높아집니다.
✅ Environmental Metric / 환경 지표
1. Security Requirements (CR, IR, AR) / 보안 요구 사항
이 지표를 통해 기밀성, 무결성 및 가용성 측면에서 IT 자산의 중요도에 따라 CVSS 점수를 조절할 수 있습니다.
2. Modified Base Metrics / 수정된 기본 메트릭
이 지표를 통해 사용자 환경의 특정 특성에 따라 각각의 Base metrics를 재정의 할 수 있습니다.
✅ CVSS 점수 체계
1. Qualitative Severity Rating Scale / 정성적인 평가 척도
Rating
CVSS Score
None
Low
Medium
High
Critical
0.0
0.1 – 3.9
4.0 – 6.9
7.0 – 8.9
9.0 – 10.0
2. Vector String / 벡터 문자열
CVSS 점수는 벡터 문자열로 나타내기도 하는데요, CVSS v3.1를 사용하여 점수를 계산하고 각 항목에 대해 점수가 다음과 같을 때
🔸 Attack Vector (AV): Local
🔸 Attack Complexity (AC): High
🔸 Privileges Required (PR): Low
🔸 User Interaction (UI): Required
🔸 Scope (S): Changed
🔸 Confidentiality (C): None
🔸 Integrity (I): Low
🔸 Availability (A): High
벡터 문자열은 다음과 같이 나타낼 수 있습니다.
🔸 CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:H
NIST SP 800-30
미국 국립표준기술원(NIST)에서 발행한 특별 간행물 800-30 (NIST SP 800-30)은 조직 및 정보 시스템 내에서 위험 평가를 수행하는 방법에 대한 포괄적인 지침을 제공하는 도구입니다.
이 간행물은 적응성이 뛰어나도록 설계되었으며, 규모, 부문 또는 정보 시스템의 정교함에 관계없이 위험을 식별하고 평가하려는 모든 조직에서 사용할 수 있습니다.
NIST SP 800-30의 주요 내용은 다음과 같습니다.
✔ 위험 평가 준비
✔ 위험 평가 실시
✔ 위험 평가 결과 전달
✔ 위험 평가 유지
✅ 위험 평가 준비
위험 평가 준비 단계에서는 위험 평가의 범위와 목표를 설정해야 합니다. 민감한 데이터, 지적 재산, 인프라 및 고객 정보를 포함하여 조직에서 중요한 자산을 식별하고 우선순위를 지정해야 합니다.
잠재적 위협 및 취약점을 식별해야 합니다. 여기에는 사이버 공격, 자연 재해, 내부자 위협 및 규정 준수 문제가 포함될 수 있습니다.
위험 평가 준비 단계에서는 위험 평가를 완료하기 위한 현실적인 타임라인도 설정해야 합니다. 외부 규제 또는 규정 준수 요구 사항이 평가를 주도하는 경우 특정 목표에 대한 마감일을 고려합니다.
✅ 위험 평가 수행
위험 평가 수행에는 조직이 직면한 위험을 식별, 분석 및 평가하는 체계적인 프로세스가 포함됩니다. 이는 이러한 위험을 관리하고 완화하기 위한 효과적인 전략을 수립하는 데 필수적입니다.
이 과정에서는 보호가 필요한 것과 잠재적인 취약점을 이해하기 위해 자산에 대한 데이터를 수집하고, 확립된 방법론을 활용하여 수집된 데이터를 체계적으로 분석해야 합니다. 여러 위협이 실현될 가능성과 조직에 미칠 수 있는 잠재적 영향을 정량화 하여 평가합니다. 평가된 가능성과 영향을 결합하여 다양한 시나리오에 대한 전반적인 위험 수준을 계산할 수 있습니다.
이를 통해 어떤 위험이 가장 중요하고 즉각적인 주의가 필요한지 이해하는 데 도움이 됩니다. 또한 이 단계에서 수행한 위험 분석은 위험 대응 전략의 기초가 됩니다. 잠재적 위험과 그 영향 및 기존 통제의 효과를 이해함으로써 각 위험을 완화, 이전 또는 수용하는 가장 좋은 접근 방식에 대한 결정을 내릴 수 있습니다.
✅ 위험 평가 결과 전달
다음은 위험 평가 프로세스의 복잡성을 번역하고 전달하는 과정입니다. 비 기술적인 언어를 사용하여 고위 경영진을 포함한 중요한 이해 관계자와 평가 결과를 공유해야 합니다. 이를 통해 의사 결정권자가 평가된 위험, 잠재적 영향 및 완화 전략의 근거를 이해할 수 있게 됩니다.
✅ 위험 평가 유지
마지막으로 조직은 위험 대응과 관련된 지속적인 의사 결정을 지원하기 위해 위험 평가 내 정보를 최신 상태로 유지해야 합니다. 위험 모니터링을 통해 발견된 변경 사항을 포착하기 위한 변경 관리 메커니즘이 마련되어야 합니다.
