ISMS-P 1.2.3 위험 평가 High Risk

위험 평가가 체계적으로 수행되고 있는가?

ISMS-P 1.2.3은 조직의 대내외 환경분석을 통해 위험을 식별하고 위험 수준을 결정하여 처리 전략을 수립하도록 요구합니다. 클라우드 환경에서는 Security Hub + Inspector 기반으로 위험 자동 탐지 및 심각도 기반 분류가 가능합니다.

📋

ISMS-P 인증 기준

ISMS-P 1.2.3 위험 평가 요구사항

1.2.3

위험 평가

인증 기준 정의

"조직의 대내외 환경분석을 통해 유출, 변조, 훼손의 위험을 식별하고, 위험의 발생 가능성, 영향도를 분석하여 위험 수준을 결정하고 처리전략을 수립하여야 한다."

📌 클라우드 환경 적용 포인트

Security Hub 자동 위험 탐지
Inspector 취약점 스캔
Severity Score 기반 위험 분류
자동 Remediation 처리 전략

⚠️ 미준수 시 심사 영향

결함: 위험 식별 체계 미구축
결함: 위험 수준 결정 기준 부재
권고: 처리 전략 수립 미흡

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ AWS Security Hub ↗

📰

실제 보안 사고 사례

위험 평가 미흡으로 발생한 실제 사고

2020.12

SolarWinds 공급망 공격

제3자 소프트웨어 위험 평가 미흡으로 대규모 공급망 공격 발생. 러시아 국가지원 해커(SVR)가 Orion 소프트웨어 업데이트에 악성코드를 삽입하여 미 정부 기관 및 민간 기업 18,000여 곳에 침투.

💡 교훈: 공급망 소프트웨어 포함 전방위 위험 평가 + 지속적 모니터링 필수

출처: CISA Advisory AA20-352A ↗

2021.12

Log4j 원격코드실행 취약점

오픈소스 의존성 위험 평가 미흡으로 CVE-2021-44228 (Log4Shell) 취약점 사전 탐지 실패. CVSS 10.0 Critical 등급, 전 세계 수억 개 시스템에 영향. 원격 코드 실행을 통한 시스템 완전 장악 가능.

💡 교훈: 의존성 라이브러리 포함 취약점 자동 스캔 + 즉시 패치 체계 필수

출처: NIST NVD CVE-2021-44228 ↗

⚡

클라우드 환경의 위험

위험 평가 체계가 미구축된 상황

❌ 위험 상태

위험 식별: 미수행
발생 가능성: 미분석
영향도: 미산정
위험 수준: 미결정
처리 전략: 미수립

✅ 권장 상태

위험 식별: Security Hub + Inspector
발생 가능성: Finding 빈도 분석
영향도: Severity Score 활용
위험 수준: Critical/High/Medium 분류
처리 전략: 자동 Remediation 설정

🚨

발견 사례: 위험 평가 체계 미구축

Security Hub, Inspector가 미활성화되어 있어 위험 자동 탐지가 불가능합니다. 취약점 발생 시 수동 분석에 의존하여 탐지 지연 및 대응 누락 위험이 높습니다.

현재 상태 - 위험 평가 체계 부재

# Terraform (문제)
# 위험 평가 체계 미구축

# Security Hub 미활성화
# resource "aws_securityhub_account" 미존재

# Inspector 미활성화
# resource "aws_inspector2_enabler" 미존재

# Security Standards 미적용
# resource "aws_securityhub_standards_subscription" 미존재

# 위험 알림 미설정
# resource "aws_cloudwatch_event_rule" 미존재

ISMS-P 1.2.3 위반 사항

●

위험 미식별: Security Hub 미활성화

●

취약점 미스캔: Inspector 미설정

●

위험 수준 미결정: 분류 체계 없음

●

처리 전략 미수립: Remediation 없음

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

위험 평가 체계 탐지 로직

탐지 대상	조건	결과
Security Hub	`aws_securityhub_account` 미존재	Critical - 위험 탐지 불가
Inspector	`aws_inspector2_enabler` 미존재	High - 취약점 스캔 불가
Security Standards	`aws_securityhub_standards_subscription` 미존재	High - 기준 미적용
Auto Remediation	EventBridge + Lambda 미설정	Medium - 처리 전략 부재

🔔

사후 대응 방안

런타임 모니터링 및 위험 탐지 대응

Security Hub Finding 대응 로직

탐지 시나리오	조건	결과
Critical Finding	`Severity = CRITICAL`	Critical - PagerDuty 즉시 호출
High Finding	`Severity = HIGH`	High - Slack 알림 + 자동 조치
신규 CVE 탐지	Inspector 새 취약점 발견	High - 패치 우선순위 부여
미처리 위험	30일+ 미조치 Finding	High - 에스컬레이션

모든 알림에 포함되는 정보

Finding ID 영향받는 리소스 Severity Score 권장 조치 가이드

✓

조치 가이드

즉시 적용 가능한 권장 설정

권장 설정 (Terraform)

risk-assessment.tf

# 1. Security Hub 활성화 (위험 통합 관리)
resource "aws_securityhub_account" "main" {}

resource "aws_securityhub_standards_subscription" "aws_foundational" {
  standards_arn = "arn:aws:securityhub:::ruleset/aws-foundational-security-best-practices/v/1.0.0"
}

resource "aws_securityhub_standards_subscription" "cis" {
  standards_arn = "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.4.0"
}

# 2. Inspector 활성화 (취약점 스캔)
resource "aws_inspector2_enabler" "main" {
  account_ids    = [data.aws_caller_identity.current.account_id]
  resource_types = ["EC2", "ECR", "LAMBDA"]
}

# 3. 위험 수준별 알림 설정
resource "aws_cloudwatch_event_rule" "critical_findings" {
  name = "critical-security-findings"

  event_pattern = jsonencode({
    source      = ["aws.securityhub"]
    detail-type = ["Security Hub Findings - Imported"]
    detail = {
      findings = {
        Severity = { Label = ["CRITICAL", "HIGH"] }
      }
    }
  })
}

# 4. 자동 Remediation (위험 처리 전략)
resource "aws_lambda_function" "auto_remediate" {
  function_name = "security-auto-remediation"
  handler       = "index.handler"
  runtime       = "python3.11"
  role          = aws_iam_role.remediation.arn
}

🛡

Security Hub

위험 통합 관리

🔍

Inspector

취약점 자동 스캔

📈

Severity

위험 수준 자동 분류

⚡

Auto Remediation

위험 처리 자동화

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

Security Hub 활성화 여부
Inspector 커버리지 현황
Critical/High Finding 개수
평균 조치 소요 시간
미조치 Finding 수

📅 리포트 주기

일간

Critical Finding 알림

주간

위험 현황 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

개별 서비스 점검만 수행

Security Hub 활성화 여부만 확인
Security Standards 적용 미확인
Inspector 연동 미검사
자동 Remediation 미확인

한계: ISMS-P 관점의 위험 평가 체계 전체를 점검하지 않음

BSG 접근 방식

ISMS-P 관점 통합 점검

식별: Security Hub + Inspector 통합
평가: Severity Score 기반 자동 분류
처리: Auto Remediation 검증
증적: 위험 평가 리포트 자동화

차별점: 인증 기준 관점에서 탐지 → 조치 → 증적 전 과정 자동화

← ISMS-P Compliance Support로 돌아가기