미국 FDA 사이버보안 – 위험 평가
오늘은 사이버보안 위험 평가에 대해 알아보겠습니다.
사이버보안의 위험을 평가하는 데에는 여러가지 방법론이 있는데요, 그 중에서 CVSS와 NIST SP 800-30에 대해 알아보도록 하겠습니다.
CVSS
CVSS는 Common Vulnerability Scoring System의 약자로 공통 취약점 등급 시스템입니다.
공격자가 소프트웨어 취약점(CVE, Common Vulnerabilities and Exposure)을 악용해 미칠 수 있는 영향도를 수치로 표현하여 대응의 우선순위를 결정할 수 있게 됩니다.
CVSS는 2005년의 v1을 시작으로 작년인 2023년에 v4까지 발표되었는데요, 제일 보편적으로 사용하고 있는 v3/v3.1에 대해 설명하도록 하겠습니다.
CVSS 점수는 기초(Base), 시간(Temporal), 환경(Environmental)의 세 가지 메트릭 그룹으로 구성되어 있으며, 각 그룹은 여러 지표들로 구성이 되어있습니다.
✅ Base Metirc / 기초 지표
1. Exploitability Metrics / 악용가능성 메트릭
악용 가능성 메트릭은 취약점이 발생하는 본질적인 원인을 나타내는 지표이며, 시간의 흐름에도 크게 변화하지 않습니다. 이 메트릭은 공격 벡터, 공격 복잡성, 필요한 권한, 사용자 상호작용 등 4가지의 하위 구성요소로 이루어집니다.
a. Attack Vector (AC)
공격 벡터는 취약점 악용에 필요한 접근 수준을 나타냅니다. 공격자가 타겟으로부터 물리적이나 논리적으로 멀어질수록 점수가 높아집니다.
b. Attack Complexity (AC)
공격 복잡성은 공격자가 성공적으로 취약점을 악용하기 위해 필요한 조건과 난이도를 설명하는 지표입니다. 공격이 언제든지 수행될 수 있을 때 점수가 높아집니다.
c. Privileges Required (PR)
공격자가 취약성을 성공적으로 악용하기 전에 가져야 하는 권한 수준을 의미합니다. 공격을 실행하는 데 필요한 권한이 적을수록 점수는 높아집니다.
d. User Interaction (UI)
공격자가 취약성을 악용하기 위해 다른 사용자의 도움이 필요한지 여부에 대한 지표입니다. 다른 사용자와의 상호작용이 필요하지 않으면 점수가 높아집니다.
2. Scope / 범위
취약성이 시스템 내에서 얼마나 영향을 미치는지 평가하는 지표입니다. 다른 시스템까지 영향을 미칠 때 더 높은 점수를 얻게 됩니다.
3. Impact Metrics / 영향 메트릭
a. Confidentiality Impact (C)
기밀성은 권한이 있는 사용자에게만 정보 접근 및 공개를 제한하고 권한이 없는 사용자의 접근 또는 공개를 방지하는 것을 말합니다. 영향을 받는 구성 요소에 대한 손실이 클수록 점수가 높아집니다.
b. Integrity Impact (I)
무결성은 정보의 신뢰성과 진실성을 의미합니다. 무결성이 완전히 손실되어 공격자가 정보를 마음대로 변경할 수 있을 경우 점수가 높아집니다.
c. Availability Impact (A)
가용성은 시스템이나 정보가 필요한 시점에 접근 가능하도록 보장하는 것입니다. 가용성이 손실되어 공격자가 시스템이나 정보를 완전히 사용할 수 없게 만들 경우 점수가 높아집니다.
✅ Temporal Metric / 시간적 지표
1. Exploit Code Maturity (E) / 익스플로잇 코드 성숙도
익스플로잇 코드란, 취약성을 악용하기 위해 작성된 프로그램이나 스크립트를 의미하는데요, 이 익스플로잇 코드가 존재하여 취약점을 더 쉽게 악용할 수 있을수록 취약점 점수가 높아집니다.
2. Remidiation Level (RL) / 개선 수준
취약성에 대한 수정 또는 패치가 얼마나 준비되어 있는지를 평가하는 지표입니다. 수정 수준이 공식적이지 않고 영구적이지 않을수록 취약성 점수가 높아집니다.
3. Report Confidence (RC) / 보고 신뢰도
취약성의 존재 여부와 관련된 정보의 신뢰성을 평가하는 지표입니다. 제조 업체 또는 기타 평판이 좋은 출처에서 취약성을 더 많이 검증할수록 점수가 높아집니다.
✅ Environmental Metric / 환경 지표
1. Security Requirements (CR, IR, AR) / 보안 요구 사항
이 지표를 통해 기밀성, 무결성 및 가용성 측면에서 IT 자산의 중요도에 따라 CVSS 점수를 조절할 수 있습니다.
2. Modified Base Metrics / 수정된 기본 메트릭
이 지표를 통해 사용자 환경의 특정 특성에 따라 각각의 Base metrics를 재정의 할 수 있습니다.
✅ CVSS 점수 체계
1. Qualitative Severity Rating Scale / 정성적인 평가 척도
| Rating | CVSS Score |
| None | 0.0 |
| Low | 0.1 – 3.9 |
| Medium | 4.0 – 6.9 |
| High | 7.0 – 8.9 |
| Critical | 9.0 – 10.0 |
2. Vector String / 벡터 문자열
CVSS 점수는 벡터 문자열로 나타내기도 하는데요, CVSS v3.1를 사용하여 점수를 계산하고 각 항목에 대해 점수가 다음과 같을 때
🔸 Attack Vector (AV): Local
🔸 Attack Complexity (AC): High
🔸 Privileges Required (PR): Low
🔸 User Interaction (UI): Required
🔸 Scope (S): Changed
🔸 Confidentiality (C): None
🔸 Integrity (I): Low
🔸 Availability (A): High
벡터 문자열은 다음과 같이 나타낼 수 있습니다.
🔸 CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:H
NIST SP 800-30
미국 국립표준기술원(NIST)에서 발행한 특별 간행물 800-30 (NIST SP 800-30)은 조직 및 정보 시스템 내에서 위험 평가를 수행하는 방법에 대한 포괄적인 지침을 제공하는 도구입니다.
이 간행물은 적응성이 뛰어나도록 설계되었으며, 규모, 부문 또는 정보 시스템의 정교함에 관계없이 위험을 식별하고 평가하려는 모든 조직에서 사용할 수 있습니다.
NIST SP 800-30의 주요 내용은 다음과 같습니다.
✔ 위험 평가 준비
✔ 위험 평가 실시
✔ 위험 평가 결과 전달
✔ 위험 평가 유지
✅ 위험 평가 준비
위험 평가 준비 단계에서는 위험 평가의 범위와 목표를 설정해야 합니다. 민감한 데이터, 지적 재산, 인프라 및 고객 정보를 포함하여 조직에서 중요한 자산을 식별하고 우선순위를 지정해야 합니다.
잠재적 위협 및 취약점을 식별해야 합니다. 여기에는 사이버 공격, 자연 재해, 내부자 위협 및 규정 준수 문제가 포함될 수 있습니다.
위험 평가 준비 단계에서는 위험 평가를 완료하기 위한 현실적인 타임라인도 설정해야 합니다. 외부 규제 또는 규정 준수 요구 사항이 평가를 주도하는 경우 특정 목표에 대한 마감일을 고려합니다.
✅ 위험 평가 수행
위험 평가 수행에는 조직이 직면한 위험을 식별, 분석 및 평가하는 체계적인 프로세스가 포함됩니다. 이는 이러한 위험을 관리하고 완화하기 위한 효과적인 전략을 수립하는 데 필수적입니다.
이 과정에서는 보호가 필요한 것과 잠재적인 취약점을 이해하기 위해 자산에 대한 데이터를 수집하고, 확립된 방법론을 활용하여 수집된 데이터를 체계적으로 분석해야 합니다. 여러 위협이 실현될 가능성과 조직에 미칠 수 있는 잠재적 영향을 정량화 하여 평가합니다. 평가된 가능성과 영향을 결합하여 다양한 시나리오에 대한 전반적인 위험 수준을 계산할 수 있습니다.
이를 통해 어떤 위험이 가장 중요하고 즉각적인 주의가 필요한지 이해하는 데 도움이 됩니다. 또한 이 단계에서 수행한 위험 분석은 위험 대응 전략의 기초가 됩니다. 잠재적 위험과 그 영향 및 기존 통제의 효과를 이해함으로써 각 위험을 완화, 이전 또는 수용하는 가장 좋은 접근 방식에 대한 결정을 내릴 수 있습니다.
✅ 위험 평가 결과 전달
다음은 위험 평가 프로세스의 복잡성을 번역하고 전달하는 과정입니다. 비 기술적인 언어를 사용하여 고위 경영진을 포함한 중요한 이해 관계자와 평가 결과를 공유해야 합니다. 이를 통해 의사 결정권자가 평가된 위험, 잠재적 영향 및 완화 전략의 근거를 이해할 수 있게 됩니다.
✅ 위험 평가 유지
마지막으로 조직은 위험 대응과 관련된 지속적인 의사 결정을 지원하기 위해 위험 평가 내 정보를 최신 상태로 유지해야 합니다. 위험 모니터링을 통해 발견된 변경 사항을 포착하기 위한 변경 관리 메커니즘이 마련되어야 합니다.
이상으로 FDA Cybersecurity에서 위험 평가를 하는 방법 중 CVSS와 NIST SP 800-30에 대해 알아봤습니다.
