정보보안-이론/XX에 대하여

위험평가 분석기법(SLE / ALE)에 대하여

숱한 보안시험에서 국내외를 안가리고 출시되는 분야는 위험관리이다. 위험의 식별, BIA의 진행, 위험 관리 프레임워크, 정성적 / 정량적 분석방법, 위험 핸들링등 IT관련된 위험과, 비 IT적 위험(이건 국내시험에 안나오는거 같다. CGEIT시험에서 이거떄문에 혼났다.)을 구분하여 심도깊은 이야기를 나누는 생각보다 깊은 분야다. 이번시간에는 그 심도싶은 분야에서 공짜점수를 제공해주는 효자지표 SLE와 ALE의 대한 이야기를 나누겠다.


일반상식

SLE를 계산하는 이유는 위험분석이다. 위험분석에는 정량적 / 정성적 분석방법이 있고, 특정한 자산 A가 어떠한 위험R에 노출되어 있는 경우, 이 자산에대한 위험의 수치를 정량적(재정적)으로 계산하기위한 방법이다. 


용어정리

  • AV(Asset Value) : 자산가치(단위 : 원) (EX : 100만원의 라우터)
  • EF(Exposure Factor) : 노출계수(단위 : %) (EX : 자산이 위험R에 노출되었을 때 XX%의 손실이 발생한다.)
  • SLE(Single Loss Expection) : 단일 예상 손실액(단위 : 원) (EX : 100만원의 자산이 위험R에 1회 노출될 때 나오는 손상액)
  • ARO(Annual Rate Occurrence) : 연간 발생율(단위 : %) (EX : 위험 R은 4년에 1번 발생한다. >> 1/4 = 25%)
  • ALE(Annual Loss Expection) : 연간 예상 손실액(단위 : 원) (EX : 100만원의 자산은 위험R에 1년 노출될 떄 나오는 손상액)

좋다. 자극적인 용어를 필자는 좋아한다. 즉 1번 위험에 노출되어 발생될 손상액과 1년간 위험에 노출되었을때 나오는 평균 손상액을 계산하는 방법이 SLE / ALE 계산이다. 자 공식들어간다.

  • SLE = AV * EF
  • ALE = SLE * ARO

예제

Q. 보안업체 ABC의 CEO REDUCTO는 큰맘먹고 새로운 방수라우터A를 1000원 주고 샀다. 이곳은 홍수가 자주일어나는 도시로 2년에 1회의 홍수가 발생을 하는데  기가막히게 이 방수라우터가 방파제에 설치되어있어 노출계수는 75%이다. 이때 ALE는 어떻게 되는가?(노출계수는 50%로 설정한다.)

 

A. 답 : 375원. 각 요소는 다음과 같이 계산된다.

  • SLE = AV * EF = 1000 * 0.75= 750원
  • ARO = 1/2 = 50%
  • ALE = SLE * ARO = 750 * 0.5 = 375원

여담

SLE를 계산하는데에 사실 AV * EF만 있는것은 아니다. 한번 발생 했을 때 발생하는 impact또한 SLE로 계산이가능한 데 만약 자산가치가 100원, 고장탐구비용이 20원, 서비스 인터럽트 비용이 50원이면 AV * EF가 아니라 100+20+50으로 170원이 된다.  

'정보보안-이론 > XX에 대하여' 카테고리의 다른 글

SOC에 대하여  (0) 2022.06.20
정보보안 문서의 분류에 대하여  (0) 2021.12.27
테스트하네스(Test - Harness) 에 대하여  (4) 2021.09.15
Robots.txt에 대하여  (0) 2021.06.09
Syllable Attack에 대하여  (0) 2021.06.05