[정보보호] 정보보안 컨설팅이란?

보안 컨설팅의 절차

현황 분석 => 위험분석 => 보안대책 수립 및 문서작성 => 최종 점검 => 사후관리

1. 현황분석

: 운영환경 분석, 요구사항 정의, 수행계획 수립

2. 위험분석

: 자산조사, 자산관리 현황 분석, 기술적 취약점 분석, *위험분석 및 평가, **손실 분석

- 위험(Risk)이란?
자산(Asset)에 대해 존재하는 위협(Threat) 및 취약점(Vulnerablity)이 손실(Lose)을 일으킬 가능성

- 손실 분석

• SLE(Single Loss Expectation, 단일 손실 예상): 태풍이 불어 공장 파손 → 30억
• ALE(Annually Loss Expectation, 연간 손실 예상): 10년에 한 번 발생하는 태풍 → 3억/년

3. 보안대책 수립 및 문서작성

보안대책 도축, 이행 계획 수립, 중장기 계획 및 정책 수립 작성, 운영 문서 작성

4. 최종 점검

모의 심사 수행 (좁은 의미의 컨설팅)

5. 사후점검

예비점검 보완조치 (최근 강조되는 부분)

---

위험 vs 통제 vs 감사

통제(Control) : 위험(Risk)을 줄이기 위해 조치하는 대책 - 위험의 종류: 횡령, 해킹, 실수, 도난 등 - 통제의 종류: 승인, 서명, 모니터링(AI)

감사(Audit) : 통제의 적절성을 평가

보안점검의 유형

• Blind Test: 보안 점검원에게 기본정보를 알려주지 않고 보안점검하는 것
• Double Blind Test: 보안 점검원뿐 아니라 대상 담당자에게도 알려주지 않고 수행하는 것

소스코드 취약 점검 유형

• Black box text: 입출력만 가지고 확인하는 것 (의도한 결과가 나오는지 확인)
• White box test: 소스코드의 논리적인 내용 확인