정보보안 취약점 vs 위협 vs 위험의 차이점 - 위드네트웍스

 

 

 

정보보안 업계에서 자주 사용하는 단어들이 있습니다. 그중 취약점(vulnerability), 위협(threat), 위험(risk)는 세미나, 기사, 보고서 등에서 정말 자주 볼 수 있는 단어입니다. 그만큼 자주 사용되고 있다는 뜻이죠.

 

이 글을 읽는 많은 전문가 분들은 당연히 이 세 단어를 구별하실 수 있겠지만, 오늘은 Back to Basic, 기초로 돌아가 다시 한번 이 세 단어의 정확한 뜻은 무엇이며 또 이 세 단어 사이의 관계가 어떠한지 되짚어 보는 시간을 가져보겠습니다. 그래서 희미해졌던 개념을 다시 명확하게 하여 앞으로 위드네트웍스 테크 블로그 뿐만 아니라 여러 곳에서 보고 듣게될 많은 컨텐츠 속에서 더욱 깊은 통찰력을 얻어가시길 바랍니다!

 

 

1. 정보보안 취약점이란?

 

 

정보보안 취약점

 

정보보안 취약점은 중요한 정보를 손상시키거나 침해하기 위해 악용될 수 있는 시스템 상의 결함입니다.

 

 정보보안 취약점은 소프트웨어 결함과 관련이 있으며 악성 공격자들은 이를 악용하여 시스템에 무단 접근하거나 중요한 정보 등을 훔치려고 합니다. 예를 들어 공격자는 취약점을 이용하여 시스템에 악성 프로그램을 심을 수 있는습니다. 또한 정보보안 취약점에는 물리적 보안 시스템의 결함과 휴먼 에러도 포함합니다. 여기서 휴먼 에러가 포함되는 이유는 직원의 보안 실수가 악의적인 공격자로 하여금 해당 시스템으로 무단 접근을 가능하게 할 수 있기 때문입니다.

 

 

 

정보보안 취약점의 예시

소프트웨어 취약점 Software Vulnerability	인젝션(주입) 결함, 사이트 간 스크립팅 결함, 접근 제어 중단 및 잘못된 구성
물리적 취약점 Physical Vulnerability	허가 받지 않은 당사자들이 제한된 구역으로 들어가게 하는 부서진 잠금 장치와 전원 콘센트 근처의 누수 파이프와 같은 건물의 구조적 결함
휴먼 에러 Human Error	피싱 전자 메일에 대한 취약점, 중요한 파일 잘못 배치, 파일 및 메일 오발송 등

 

 

2. 정보보안 위협이란?

 

 

정보보안 위협은 의도적으로든, 실수로든 취약점이 악용될 때 발생하며 자산에 부정적인 영향을 미칠 수 있는 이벤트 (예: 자산 분실 및 허가 받지 않은 사람이 접근한 경우 등)입니다.

 

 

정보보안 위협의 예시

의도하지 않은 위협 Unintended Threat	중요 파일 오발송, 하드 드라이브 분실 등 이 경우, 취약점은 직원의 실수에 대한 민감성이라면, 위협은 실수를 일으키는 이벤트 자체
의도적인 위협 Intended Threat	범죄 해커와 악의적인 내부자의 행동으로 구성된 것으로 예를 들어 공격자는 랜섬웨어 공격이 있음
자연 위협 Natural Threat	기상 악화(태풍 또는 눈보라 등) 또는 인프라 손상(배관 파열 또는 화재 등) 다시 말해, 취약점은 악천후나 기반 시설 손상을 경험할 수 있는 곳에 있는 조직의 시설이되며 이때 위협은 이와 관련된 사건이 되는 것

 

 

 

3. 정보보안 위험이란?

 

 

정보 보안 위험은 취약점을 활용하는 위협의 잠재적인 손실이나 피해로 정의됩니다. 여기에는 재정적 손실, 프라이버시 손실, 평판 손상 및 규제 조치가 포함됩니다. 따라서 "위험 = 위협 X 취약점" 으로 정의되기도 합니다. 

 

정보보안 위험의 예시

피싱 공격 위험 Phishing Risk	피싱 공격을 통해 로그인 자격 증명이 넘어가거나 악성 프로그램이 포함된 첨부 파일을 다운로드하도록 사용자를 속이는 것이 대표적인 예입니다. 이때, 피싱 메일은 위협이며 직원이 속아 넘어가는 것은 취약점입니다. 위험(피싱 공격 위험) = 위협(피싱 메일) X 취약점(휴먼 에러) 실수로 첨부 파일을 열면 악성 프로그램이 시스템에서 활성화 되어 큰 문제가 발생합니다. 이 경우 공격자가 스파이웨어를 사용하여 직원이 시스템에서 수행하는 작업을 모니터링하여 데이터베이스 및 기타 중요한 파일에 액세스할 수 있게 됩니다.
랜섬웨어 위험 Ransomware Risk	정보 보안 위험의 또 다른 예는 랜섬웨어 공격의 결과이다. 이 경우 랜섬웨어는 위협이며 랜섬웨어를 심는 방법(시스템 결함 또는 휴먼 에러)이 취약점 입니다. 위험(램섬웨어 위험) = 위협(랜섬웨어) X 취약점(시스템 결함 또는 휴먼에러) 일단 조직이 랜섬웨어에 감염되면 시스템이 암호화되고 공격자는 암호를 해독하는 것을 댓가로 돈을 요구합니다.

 

 

 

Copyright(c) 2021. (주)위드네트웍스  All Right  reserved