초록 ▼

본 발명은 정보자산 모델링을 이용한 위험 평가 방법에 관한 것으로, 더욱 상세하게는, 위험 평가를 수행하고자 하는 정보자산을 식별하고, 이를 모델링함으로써, 정보자산에 대한 위험도 산출을 자동화할 수 있는 위험 평가 방법에 관한 것이다. 본 발명의 일 실시예에 따른 위험 평가 방법은, (a) 네트워크 서비스를 사용하거나 제공하는 정보자산을 식별하는 단계; (b) 컴퓨터 네트워크를 통해서 상기 정보자산에 가해지는 위협을 식별하는 단계; (c) 상기 정보자산의 취약성을 식별하는 단계; (d) 상기 취약성에 대한 공격 성공으로 인한 영향

본 발명은 정보자산 모델링을 이용한 위험 평가 방법에 관한 것으로, 더욱 상세하게는, 위험 평가를 수행하고자 하는 정보자산을 식별하고, 이를 모델링함으로써, 정보자산에 대한 위험도 산출을 자동화할 수 있는 위험 평가 방법에 관한 것이다. 본 발명의 일 실시예에 따른 위험 평가 방법은, (a) 네트워크 서비스를 사용하거나 제공하는 정보자산을 식별하는 단계; (b) 컴퓨터 네트워크를 통해서 상기 정보자산에 가해지는 위협을 식별하는 단계; (c) 상기 정보자산의 취약성을 식별하는 단계; (d) 상기 취약성에 대한 공격 성공으로 인한 영향(Severity)을 표준화된 값으로 변환한 CVSS 값을 이용하여 공격성공가능성을 산출하는 단계; (e) 상기 정보자산의 가치를 산정하여 충격도를 산출하는 단계; 및 (f) 상기 산출된 공격성공가능성과 충격도를 곱하여 상기 정보자산에 대한 위험도를 결정하는 단계를 포함한다. 본 발명에 따른 위험 평가 방법은 정보자산을 모델링하여, 정보자산에 대한 위험도 산출을 자동화함으로써, 위험도 산출에 소요되는 시간을 단축하고, 취약성 정보 관리를 일관적으로 수행할 수 있는 효과가 있다.

대표청구항 ▼

(a) 네트워크 서비스를 사용하거나 제공하는 정보자산을 식별하는 단계;(b) 컴퓨터 네트워크를 통해서 상기 정보자산에 가해지는 위협을 식별하는 단계;(c) 상기 정보자산의 취약성을 식별하는 단계;(d) 상기 취약성에 대한 공격 성공으로 인한 영향(Severity)을 표준화된 값으로 변환한 CVSS 값을 이용하여 공격성공가능성을 산출하는 단계;(e) 상기 정보자산의 가치를 산정하여 충격도를 산출하는 단계; 및(f) 상기 산출된 공격성공가능성과 충격도를 곱하여 상기 정보자산에 대한 위험도를 결정하는 단계를 포함하는 것을 특징으로 하는

(a) 네트워크 서비스를 사용하거나 제공하는 정보자산을 식별하는 단계;(b) 컴퓨터 네트워크를 통해서 상기 정보자산에 가해지는 위협을 식별하는 단계;(c) 상기 정보자산의 취약성을 식별하는 단계;(d) 상기 취약성에 대한 공격 성공으로 인한 영향(Severity)을 표준화된 값으로 변환한 CVSS 값을 이용하여 공격성공가능성을 산출하는 단계;(e) 상기 정보자산의 가치를 산정하여 충격도를 산출하는 단계; 및(f) 상기 산출된 공격성공가능성과 충격도를 곱하여 상기 정보자산에 대한 위험도를 결정하는 단계를 포함하는 것을 특징으로 하는 위험 평가 방법.제 1 항에 있어서, 상기 (c) 단계는 CVE 식별자를 이용하는 것을 특징으로 하는 위험 평가 방법.제 2 항에 있어서, 상기 위험 평가 방법은 상기 (c)와 (d) 단계 사이에,상기 CVE 정보로부터 취약성을 점수화한 CVSS 값을 추출하는 단계를 더 포함하는 것을 특징으로 하는 위험 평가 방법.제 1 항에 있어서, 상기 (e) 단계는, 상기 취약성에 대한 상기 정보자산의 식별자를 확인하는 단계;상기 정보자산이 제공하는 서비스와 운영중인 소프트웨어를 확인하는 단계; 및상기 확인된 서비스와 소프트웨어 상에서 사용하고 있는 트래픽 비율을 확인하여 상기 정보자산의 가치를 산정하는 단계를 포함하는 것을 특징으로 하는 위험 평가 방법.제 4 항에 있어서, 상기 트래픽은 인터넷 사이트를 통해 상기 정보자산에 접근하는 방문자수에 관한 정보를 포함하는 것을 특징으로 하는 위험 평가 방법.제 1 항에 있어서, 상기 정보자산에 가해지는 위협경로는 상기 컴퓨터 네트워크를 통한 논리적인 접근인 것을 특징으로 하는 위험 평가 방법.