An Effective Technical Risk Assessment of IT Assets

Abstract

컴퓨터와 정보통신의 발전은 경제적인 발전과 함께 조직과 개인에게 편리함을 더해 주고 있다. 그러나 이로인해 조직 및 개인의 컴퓨터와 정보통신에 대한 의존도가 높아짐에 따라 전산자산이 갖는 각종 취약성을 이용한 위협이 증가하고 있어 조직에서는 외부의 위협과 위험으로부터 자산을 보호하기 위해 위험 분석 및 평가방법을 통해 위험의 정도를 정의하고 관리하기 위한 노력을 기울이고 있다. 그러나 기존의 전산자산 위험평가 방법론은 일반적으로 관리적 관점의 취약점-위협 시나리오 기반 접근법과 우려사항(Concern) 시나리오 기반 접근법을 사용하고 있어 해킹을 포함한 기술적 위험을 식별하고 수치화하여 전산자산 위험평가를 수행하기에는 부족함이 있다. 따라서 본 논문에서는 조직에서 적용할 수 있는 기술적 항목인 CVE, CWE 취약점과 CCE 취약점을 복합적으로 고려한 효율적인 기술적 위험평가 기법을 제안하고자 한다.