정보보안감사 비정형 접근법 (Informal approach)에 대해 알아보기

  정보보안 감사에서 비정형 접근법은 형식적이거나 체계적인 절차나 프레임워크를 따르지 않고 주관적인 판단과 경험을 기반으로 보안 상태를 평가하고 개선하는 접근 방법을 의미합니다. 이는 주로 전문가의 경험과 직관을 활용하여 보안 위험을 식별하고 조치 방안을 제안하는 방식으로 수행됩니다. 비정형 접근법은 형식화되지 않은 토론, 면담, 기술적 분석 등을 통해 정보보안 감사를 수행하며, 아래에서 정보보안 감사에서의 비정형 접근법의 특징에 대해 상세하게 알아보겠습니다.

 

1.전문가의 경험과 직관 활용

  비정형 접근법은 주로 경험이 풍부한 정보보안 전문가들이 자신의 지식과 경험을 활용하여 보안 상태를 평가합니다. 이들은 일상적으로 다양한 보안 위험 상황을 다루며 눈으로 볼 수 없는 취약점과 위협을 식별하는 데 능숙합니다.

 

2.면담과 토론

  정보보안 감사에서 비정형 접근법은 주로 조직 내부의 키피소스나 보안 담당자와의 면담과 토론을 중요한 수단으로 사용합니다. 이들은 조직 내의 보안 정책, 프로세스, 절차 등을 논의하고 보안 문제를 파악합니다.

 

3.기술적 분석

  전문가들은 기술적 분석을 통해 시스템 및 네트워크의 구성, 로그 파일, 보안 취약점 등을 검토합니다. 이들은 보안 이벤트와 로그를 분석하여 이상한 활동을 식별하거나 취약점을 발견합니다.

 

4.경험 기반의 위험 평가

  비정형 접근법은 주로 경험 기반의 위험 평가를 수행합니다. 전문가들은 이전의 보안 사고나 위험 사례를 바탕으로 비슷한 위협을 예측하고 조치 방안을 제안합니다.

 

5.주관적인 평가

  비정형 접근법은 주관적인 평가와 판단을 중요하게 여깁니다. 정보보안 전문가는 그들의 경험과 지식을 토대로 어떤 보안 위험이 심각하고 어떤 조치가 필요한지를 판단합니다.

 

 

  또한 비정형 접근법의 아래와 같은 장점을 가지고 있습니다..

1.유연성

  형식적인 프레임워크나 절차에 얽매이지 않고 자유롭게 접근할 수 있어 신속하게 보안 평가를 수행할 수 있습니다.

 

2.전문가의 지식 활용

  경험 많은 전문가들의 지식과 직관을 최대한 활용하여 보안 문제를 식별하고 개선할 수 있습니다.

 

 

  그러나 비정형 접근법은 다음과 같은 한계가 있습니다

1.주관적인 편향

  주관적인 평가에 의존하기 때문에 전문가의 개인적인 의견과 경험에 따라 결과가 다를 수 있습니다.

 

2.시스템적 분석 부족

  형식적인 접근법에 비해 시스템적인 분석이 부족할 수 있으며 특정한 측면을 강조하거나 놓칠 가능성이 있습니다.

 

3.일관성 문제

  여러 전문가들이 동일한 문제를 다르게 평가할 수 있어 일관성이 떨어질 수 있습니다.

 

 

  이렇게 정보보안 감사에서 비정형 접근법은 형식적인 접근법이 적용하기 어려운 경우에 유용하게 사용될 수 있습니다. 그러나 보안 평가의 신뢰성을 위해서는 주관적인 판단을 비판적으로 검토하고 기술적 분석을 보완하는 것이 중요합니다.

 

  오늘은 이러한 정보보안감사 비정형 접근법 (Informal approach)에 대해 알아보았습니다.