[정보보호개론] 위험(Risk) vs 위협(Threat) vs 취약점(Vulnerability)

위험(Risk) vs 위협(Threat) vs 취약점(Vulnerability)

정보보안에서 많이 사용되는 위험(Risk), 위협(Threat), 취약점(Vulnerability)이라는 단어가 있다.

각각 단어를 하나씩 사용하거나 듣는다면 어렵지 않다.

그러나 보안에 관련된 가이드, 책, 논문 등 여러 문서를 보면 3가지 단어가 혼잡하여 사용되고 있다.

영어(원문)로 된 내용을 보게 되면 조금은 헷갈리지 않을 수 있으나 한글로 보면 간혹 헷갈리는 경우가 있다.

이번에 다시 한번 이해하면서 머릿속에 새겨보도록 하자.

1. 위험(Risk, 危險)

우선 위험의 사전적 정의는 아래와 같다.

• 예상되는 위협에 의하여 자산에 발생할 가능성이 있는 손실의 기대치
• 자산의 가치 및 취약성과 위협 요소의 능력, 보호 대책의 효과 등에 의해 영향을 받음
  
  • http://word.tta.or.kr/mobile/dictionaryView.do?word_seq=054574-1
• 예제) 도둑이 보석 상점에 허술함(취약)을 노리고 보석을 훔쳐갈 수 있는 가능성

2. 위협(Threat, 危脅)

우선 위협의 사전적 정의는 아래와 같다.

• 자산에 손실을 발생시키는 원인이나 행위
• 보안에 해를 끼치는 행동이나 사건
  • http://word.tta.or.kr/mobile/dictionaryView.do?word_seq=058051-1
• 예제) 보석을 가지고 있어 언제든지 도둑이 그 보석을 훔쳐 달아는 행위

728x90

3. 취약점(Vulnerability, 脆弱點)

우선 취약점의 사전적 의미는 다음과 같다.

• 위협에 의하여 손실이 발생하게 되는 자산의 약점.
• 기능 명세, 설계 또는 구현 단계의 오류나 시동, 설치 또는 운용상의 문제점으로 인하여 정보 시스템이 지니게 되는 보안 취약점.
  
  • http://word.tta.or.kr/mobile/dictionaryView.do?word_seq=059891-1
• 예) 보석 상점의 문을 잠그지 않거나, 주인도 모르는 통로를 통해 상점으로 들어갈 수 있는 경우

4. 자산(Asset, 資産)

우선 자산의 사전적 의미는 다음과 같다.

• 개인이나 기업이 소유하고 있는 경제적 가치가 있는 유형, 무형의 재산
  • http://word.tta.or.kr/mobile/dictionaryView.do?word_seq=085537-1
• 예) 매우 비싼 보석, 세계에서 유일한 보석 등

728x90

5. 상관관계

단어에 따라 사전적 의미 및 간단한 예를 들어서 위험, 위협, 취약점에 대해서 설명을 하였다.

그래도 조금 헷갈릴 수 있으니 예제에 나온 내용을 가지고 정리 및 상관관계를 알아보자.

" 보석 상점을 운영하고 있는데 해당 상점에는 세계에서 유일한 보석을 가지고 있다. 마침 이때 주인이 문을 잠그지 않고 상점을 비우게 되었고 그 세계에서 유일한 보석은 도둑이 훔쳐서 달아나 버렸다. "

여기서 세계에서 유일한 보석은 "자산(Asset)"이고, 상점을 문을 잠그지 않은 건 "취약점(Vulnerability)", 도둑이 훔쳐서 달아나는 건 "위협(Threat)"이다.

그리고 위험(Risk)은 "위험 = 자산 * 위협 * 취약점"으로 정리할 수 있다.